攻击不满足单向属性的哈希函数

我正在为一门计算机安全课程进行修订，但我陷入了过去的问题之一。就这个：

爱丽丝（）希望使用共享密钥向鲍勃（）发送一条短消息，以验证该消息是否来自她。她建议发送一条包含两个部分的单个消息：其中，是哈希函数，表示串联。 $A$ $M$ $B$ $S_{ab}$
$A \to B : M, h (M ∥ S_{a b})$ $A \to B: \quad M, h(M \mathbin\parallel S_{ab})$ $h$ $\parallel$

仔细说明鲍勃为检查消息是否来自爱丽丝所做的工作，以及为什么（除了属性之外）他可能会相信这一点。 $h$

假设不满足单向性质，并且有可能生成原像。说明攻击者可以做什么以及如何做。 $h$

如果生成原图像比较耗时，则建议一种简单的对策，以在不更改情况下改进协议。 $h$

我想我知道第一个。Bob需要对接收到的消息及其共享密钥进行哈希处理，并将该哈希与从Alice接收到的哈希进行比较，如果它们匹配，则应证明Alice发送了该哈希。

我不确定后两个问题。对于第二个问题，答案是攻击者可以简单地获取给定哈希值的原始消息吗？我不知道该怎么做。

cryptography hash one-way-functions

— 山姆
source

请注明图片的归属。另外，请考虑复制文本，以便可以对其进行正确搜索。

— 拉斐尔

对于第二个问题，答案是攻击者可以简单地获取给定哈希值的原始消息吗？

好吧，消息已经被提供给了对手（它是通过不安全的渠道发送给Bob的），因此他不需要找到它。为了打破该方案，他需要发送一个新对，以便鲍勃将接受作为爱丽丝发送的消息。 $M$ $M^*, h(M^*\|S_{ab})$ $M^* \ne M$

对于第二个问题：如果很容易生成原像，则对手可能能够从学习秘密密钥，从而破坏了方案。^{（请注意，这可能并非无关紧要。反转过程可能会输出}^从而使^{，但这对对手没有用。对手再次尝试反转}^{，他可能会得到相同的原像。）} $h$ $S_{ab}$ $h(M\| S_{ab})$
^{$M_1, S_1$ $h(M\|S_{ab})=h(M_1\|S_1)$ $h$}

对于第三个问题：现在我们假设反转会花费很多时间，所以让我们通过要求对手多次反转以破坏该方案来使其更加艰苦。例如，使用哈希次存在其他解决方案。 $h$ $k$ $h(h(h(....h(M\|S_{ab})..))$

— 冉G.
source