為什麼雜湊（data1 xor data2）不安全的工作量證明算法

x 是挑戰字元串，y 是證明字元串。H 是工作量證明 (pow) 函式，用於找到是的 $ y $ 這樣H(X,是的)<2256/D $ H(x,y)<2^{256}/D $

1. X,是的={0,1}512 $ x ,y = { 0, 1 }^{512} $
2. H(X,是的)=小號H一個-256(X⊕是的) $ H(x,y) = \operatorname{SHA-256}(x \oplus y) $
3. 找到是的 $ y $ 這樣H(X,是的)<2256/D $ H(x,y)<2^{256}/D $

問題是要證明：

如果困難D $ D $ 提前修復，攻擊者可以找到是的 $ y $ 用最少的時間一次 X $ x $ 已發布。（攻擊者可以在 x 發布之前完成大部分工作）

---

我的直覺是：

1. 預計算攻擊與異或操作有關。例如1101⊕1111=0101,0000⊕0101=0101 $ 1101 \oplus 1111 =0101, 0000 \oplus 0101 = 0101 $ .
2. 在雜湊函式之前有一些衝突。X⊕是的=X’⊕是的’ $ x \oplus y = x’ \oplus y’ $ ,H(X⊕是的)=H(X’⊕是的’) $ H(x \oplus y )=H(x’ \oplus y’) $ .

我努力學習了一整天的預計算攻擊或原像攻擊，但最終沒有進展。如果您能提供一些線索，我將不勝感激。

---

原題連結： https : //cs251.stanford.edu/hw/hw1.pdf hw 和項目，以確保我了解主題細節。此外，工作逾期，所以我認為它沒有違反一些校規。如果不合適問，請告訴我）

非常感謝

所謂的證明者可以預先計算一個你 $ u $ 這樣H(你) $ H(u) $ 滿足工作量證明的條件。

面臨挑戰X $ x $ ，證明者可以輸出X異或你 $ x \text{XOR} u $ 作為作弊的證據。

引用自：https://crypto.stackexchange.com/questions/102495