壓縮函式不是抗碰撞的，但 Merkle-Damgard 是抗碰撞的

即使壓縮函式發生碰撞，您是否仍然可以在 Merkle-Damgard 中具有碰撞阻力？

是的，根據 Merkle-Damgård 構造建構的雜湊可以是抗碰撞的，即使它的壓縮函式具有已知的碰撞。

考慮 SHA-256。注意它的圓形功能 $ F:{0,1}^{256}\times{0,1}^{512}\to{0,1}^{256} $ 其中第一個參數是狀態，第二個是消息塊。現在定義 $ F’ $ 相同 $ F $ ， 除了那個 $ F’(0^{256},0^{512}) $ 被定義為 $ F(0^{256},1^{512}) $ .

$ F’ $ 有一個已知的衝突，但 SHA-256 的變體使用 $ F’ $ 是抗碰撞的，因為我們無法找到一種方法將 SHA-256 的狀態變為全零，這本質上是一種原像攻擊。

引用自：https://crypto.stackexchange.com/questions/67959