<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Oct 13, 2014 at 5:08 PM, Jerry Leichter <span dir="ltr"><<a href="mailto:leichter@lrw.com" target="_blank">leichter@lrw.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Oct 13, 2014, at 4:53 PM, Bill Cox <<a href="mailto:waywardgeek@gmail.com">waywardgeek@gmail.com</a>> wrote:<br>
> Can I take it as a good sign than no one offered any attacks or found any weaknesses so far? :-)<br>
</span>You can take it as a sign that people aren't very interested.<br>
<br>
I lost interest after an exchange we had that went:  "It's secure because of the discrete log problem.  But it violates its own basic security requirements when it produces a 0 result!  Oh, that's so unlikely - why worry about it?"  At that point, we left the realm of mathematics and proofs for someplace else where I, for one prefer not to go.<span class=""><br></span></blockquote><div><br></div>Hi, Jerry.  Thanks for making the attempt, but your attack fails.  To mount it, an attacker must have an algorithm for finding x such that H(x) = 0.  If he has such an algorithm, he has broken H completely, which contradicts the assumption that H is a secure cryptographic hash.</div><br></div><div class="gmail_extra">A more interesting point is does the algorithm have a practical use?  Is there need for a hashing algorithm that defends well against the generalized birthday attack?<br><br></div><div class="gmail_extra">It probably is worth noting that there is such an algorithm in any case, and we cannot assume that this attack breaks all hashes of this form.<br></div><div class="gmail_extra"><br>Bill<br></div></div>