## Funzioni hash:

Una funzione hash $H$ è un algoritmo <b>deterministico</b> (si chiama proprio <i>funzione</i>) che mappa un messaggio di <b>lunghezza arbitraria</b> * in un messaggio di <b>lunghezza fissa</b> $l$ (questo messaggio si chiama <b>message digest</b>, sintesi del messaggio):

$\quad H \in \{0,1\}^* \rightarrow \{0,1\}^l$

In algoritmi e strutture dati, le funzioni hash sono utilizzate per implementare le <b>tabelle hash</b>, strutture dati efficienti con operazione di ricerca efficiente in tempo costante $O(1)$: l'indice del dato è l'indice della tabella hash.

La funzione $H$ deve ridurre le <i>collisioni</i>: coppie di messaggi <b>diversi</b> che producono però lo <b>stesso hash</b>

$(x,\ x') \quad x \neq x' \quad H(x) = H(x')$ 

In <i>crittografia</i> vogliamo che trovare le collisioni sia un'operazione <b>inefficiente</b>.

## Funzioni hash crittografiche (definizione incompleta):

Una funzione hash crittografica $H$ con <b>digest lenght</b> $l(n)$ dove $n$ è il <b>parametro di sicurezza</b> è un algoritmo <b>deterministico</b>:

$\quad H \in \{0,1\}^* \rightarrow \{0,1\}^{l(n)}$

Intuitivamente, aumentando il parametro $n$, aumentiamo anche la dimensione del message digest, riducendo la probabilità di trovare una collisione (aumentando così la sicurezza).

## Funzione di compressione:

In generale, non siamo interessati esclusivamente a tutte le funzioni che prendono in input un messaggio di lunghezza arbitraria.\
Certe volte ci interessano le funzioni hash dove la dimensione dell'input è <b>fissata</b>.

Funzione di compressione per messaggi di lunghezza fissata: $\ \forall n \ \ \exists l' : \ \ H \in \{0,1\}^{l'(n)} \rightarrow \{0,1\}^{l(n)} \quad l'(n) > l(n)$

$l'(n) > l(n) \rightarrow H \ non \ è \ iniettiva$

Se $l'(n) \leq l(n) \ $ sarebbe banale evitare le collisioni, come per esempio nella funzione identità $H(x) = x$ che ovviamente non ci interessa.\
In generale, <b>non</b> ci interessano le funzioni hash <i>iniettive</i>, le collisioni ci saranno ma è importante che calcolare queste collisioni, per l'attaccante, sia un'<b>operazione inefficiente</b>.

## Funzione hash collision resistant (definizione errata):

Definiamo <b>erroneamente</b> l'esperimento di <b>collision resistance</b> come: 

$Hash$-$coll_{M,H}(n):$

$M: \ (x,x') \quad$ <i>$M$ deve trovare una collisione</i>

L'esperimento ha successo se $M$ ha trovato una collisione: $\ Hash$-$coll_{M,H}(n) = 1 \ \ se \ \ x \neq x' ,\ \ H(x) = H(x')$

Definiamo (<b>erroneamente</b>) $H$ <b>collision resistant</b> se $\ \forall M \in PPTIME: \ \ Pr(Hash$-$coll_{M,H}(n) = 1) \leq negl(n)$

Questa definizione <b>ha un problema</b>: \
Abbiamo detto che se $l'(n) > l(n)$, la funzione $H$ <b>non</b> può essere iniettiva, quindi ci saranno per forza delle collisioni...

Se $M$ è un avversario che non calcola niente, ma <b>si limita a</b> restituire una <b>collisione$\ (x, x') \ $ hardcoded</b>, allora

$\exists M \in O(1): \ Hash$-$coll_{M,H}(n) = 1 \rightarrow$ $H \ $ <b>non</b> è collision resistant

## Funzioni hash crittografiche (definizione completa):

$M$ si limitava a restituire una <b>collisione hardcoded</b>, per evitare questo problema, aggiungiamo una <b>chiave</b> (o seed) $s$ come <b>parametro</b> della funzione hash; questa chiave però non è segreta, ma visibile, infatti serve solo per migliorare la definizione di collisione resistance escludendo l'avversario con la collisione hardcoded:

$s \leftarrow Gen(1^n)$\
$H^s(x) \quad$ <i>adesso $H$ prende come parametro anche $s$</i>

Una funzione hash crittografica $\boldsymbol{H}$ con digest lenght $l(n)$, allora, è una <b>coppia di algoritmi</b>:

$\boldsymbol{H} = (H, \ Gen)$

$Gen \in 1^n \rightarrow \{0,1\}^n$\
$H \in (\{0,1\}^* \rightarrow \{0,1\}^n) \rightarrow \{0,1\}^{l(n)}$

## Funzione hash collision resistant (definizione corretta):

$Hash$-$coll_{M,\boldsymbol{H}}(n):$

$1. \ A: \quad s \leftarrow Gen(1^n)$\
$2. \ M: (x,x')$

L'esperimento ha successo se $M$ ha trovato una collisione: $\ Hash$-$coll_{M,\boldsymbol{H}}(n) = 1 \ \ se \ \ x \neq x' ,\ \ \boldsymbol{H}^s(x) = \boldsymbol{H}^s(x')$\
(una collisione questa volta in $\boldsymbol{H}^s$ e non più in $H$ senza la chiave/seed random)

$\boldsymbol{H}$ <b>collision resistant</b> se $\ \forall M \in PPTIME: \ \ Pr(Hash$-$coll_{M,\boldsymbol{H}}(n) = 1) \leq negl(n)$