<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jun 8, 2015 at 7:33 AM, Zooko Wilcox-OHearn <span dir="ltr"><<a href="mailto:zooko@leastauthority.com" target="_blank">zooko@leastauthority.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">> Well, not completely broken, but here's an attack that breaks Tiger reduced<br>
> to 23 rounds (from 24) with 2^47 complexity:<br>
><br>
> <a href="http://link.springer.com/chapter/10.1007%2F978-3-540-76900-2_33" target="_blank">http://link.springer.com/chapter/10.1007%2F978-3-540-76900-2_33</a><br>
<br>
</span>There's also<br>
<br>
<a href="http://eprint.iacr.org/2010/016" target="_blank">http://eprint.iacr.org/2010/016</a><br>
<br>
Which says it can find a second-pre-image in full (all rounds) Tiger<br>
with 2^8 memory and 2^188.2 computation.<br>
<br>
I must confess I too am fond of Tiger. I agree with Ryan Carboni that<br>
it is the oldest widely-used secure hash function which hasn't been<br>
broken.<br>
<br>
However, BLAKE2 has a much better security margin than Tiger — see the<br>
Cryptanalysis section here: <a href="https://blake2.net/#cr" target="_blank">https://blake2.net/#cr</a> — in addition to<br>
being substantially faster than Tiger in software.<br>
<br>
Regards,<br>
<br>
Zooko<br>
</blockquote></div><br></div><div class="gmail_extra">"substantially faster"</div><div class="gmail_extra">BLAKE2 has been optimized for modern architectures. Has Tiger? And how much is substantial? </div><div class="gmail_extra"><br></div><div class="gmail_extra">And collision attacks are more important than preimage attacks anyway. </div><div class="gmail_extra"><br></div><div class="gmail_extra">And when the security margin has been exhausted after two decades of cryptanalysis...</div><div class="gmail_extra">well.</div><div class="gmail_extra">Are you going to say DES is insecure now too?</div><div class="gmail_extra"><br></div><div class="gmail_extra">There's a certain ludicrousness to evaluating each cipher as if they came out only a year ago.</div></div>