<div dir="ltr"><div>On Mon, Dec 12, 2022 at 10:29 PM Viktor Dukhovni <<a href="mailto:cryptography@dukhovni.org" target="_blank">cryptography@dukhovni.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Mon, Dec 12, 2022 at 05:54:45AM +0000, Peter Gutmann wrote:<br>
<br>
> In the absence of any actual name, could I suggest "singular preimage<br>
> resistance"?<br>
<br>
The closest extant term is "1st preimage resistance", where all you have<br>
is the digest, rather than "2nd preimage resistance" where you have some<br>
given preimage and the goal is to find another.<br>
<br>
However, you're asking for something that's mathematically less well<br>
defined, because mathematically all 1st preimages are alike, but in<br>
you're looking for "the one true" preimage, that has low entropy, or<br>
some expected structure, that would it better than the rest.<br>
<br>
So I don't think there's a well-established term for that.  The expected<br>
number of preimages of a "random" function is (if I'm not mistaken)<br>
e/(e-1) ~ 1.5819767068693, so if a digest is close to "ideal", finding<br>
any preimage gives you an ~63% chance of finding "the one true"<br>
preimage, but of course you're concerned with "less than ideal"<br>
digests...<br>
<br>
-- <br>
    Viktor.<br>
_______________________________________________<br>
The cryptography mailing list<br>
<a href="mailto:cryptography@metzdowd.com" target="_blank">cryptography@metzdowd.com</a><br>
<a href="https://www.metzdowd.com/mailman/listinfo/cryptography" rel="noreferrer" target="_blank">https://www.metzdowd.com/mailman/listinfo/cryptography</a></blockquote><div><br></div><div>Though catching a running train, it might be worth considering the entropy defined in the set, e.g. if there is less than an order of 1 million, SP800-38G/format preserving can be reversed aka brute forced, similarly, a hash of a field like password with limited entropy would be identified through the Big Data Set over the full entropy. Also, this was the same issue with the crypt function with let's say 200000 rounds, definitely, it is an obfuscation and whether you go to the 200000th iteration, it still has the same resistance as the very first hash. Hence, the preimage resistance would be calculated based on the fields having entropy after removing the constants like rounds, etc., and the next iterations would be the variance over each iteration, e.g., of Hash(Hash X), this is still Hash X, however, Hash((Hash (X + entropy1)) + entropy2) can have strength increments or decrements based on the variance/entropy in entropy1 and entropy2.<br></div><div><br></div><div>I forgot to send that the term could be Dispersion Cofactor and to test it under FIPS it requires<div>1. 1. 8 to 10 million + bits with Iteration 1 on random data sample fields</div><div>2.  2 to N, 8 to 10 million bits each of the same data run through the second and to nth iterations of the hash or compensating hash function for PQC.</div></div><div><br></div><div>Validators can then run the IID or Min-entropy estimators on them and then accept them.</div><div><br></div><div>Thx.,</div><div>Tuhar</div><br><div class="gmail_quote"></div><div> </div></div></div>