Protože dotaz zapadl v diskusi, odpovídám takto na konci.
Není známo nic, co by nasvědčovalo, že se nalezené kolize týkají také Tigeru. Domovská stránka Tigeru je na http://www.cs.technion.ac.il/~biham/Reports/Tiger/
a pokud se něco Tigeru týká, mělo by to tam být. Tak to slibují autoři Tigeru, uznávaní kryptologové a univerzitní profesoři Anderson a Biham.
Tiger je dostatečnou náhradou za MD5, ale má to také své nevýhody. U Tigeru si můžete zvolit až do 192 bitů hašového kódu, protože má 192 bitů výstupu. Tento výstup se dá krátit na 128 (pak lze v aplikacích zaměnit za MD5) nebo 160 (jako SHA-1) nebo nejlépe plných 192bitů . Složitost nalezení kolizí narozeninovým paradoxem je při použití 192bitové haše 2^(192/2) = 2^96, což je DNES dostatečné. Tiger je robustní a stojí za ním skvělí kryptologové.
ALE:
Při použití 128bitového Tigeru je ale složitost nalezení kolizí narozeninovým paradoxem (tedy zde hrubou silou) pouze 2^64, což není považováno dnes za bezpečné.
Proto je vhodné použít Tiger-192, což není v aplikacích z hlediska délky haše kompatibilní s MD5. Když už budeme nahrazovat nekompatibilně, přimlouval bych se za delší haš. Časem bude 192 bitů málo z hlediska složitosti útoku narozeninovým paradoxem. Proto je dobré se zamyslet se nad třídou SHA-2 s délkou kódu minimálně 256 bitů. Moje volba by byla SHA-512 a použít potřebnou délku hašovacího kódu (n bitů) podle bezpečnosti, kterou chci docílit (2^(n/2)), byť by to bylo 256 bitů nebo dokonce oněch krátkých 128 bitů tam, kde je NUTNO nahradit MD5.
Opakuji myšlenku z hlavního článku, že v případě brejknutí jakéhokoliv algoritmu (nejen haše) musí být systémy začít stavěny tak, aby šly jednoduše překonfigurovat na jiné. Proto je také dobré začít používat například SHA-512 s tím, že parametrem aplikace bude délka haše, která se z jejího výstupu 512 bitů použije. Tím se připravíte jednak na výměnu hašovacích funkcí a jednak na možnost mít až 512 bitový výstup.
