<div dir="ltr">&gt;<span style="font-size:12.8px">You have to not only produce a ripemd160 collision, you have to produce a collision that is also a valid sha-256 hash - and that&#39;s much much much more difficult.</span><div class="gmail-yj6qo gmail-ajU" style="font-size:12.8px"></div><br>I agree that merely finding a collision in RIPEMD-160 will be hard to use in Bitcoin.<br><br>However finding a collision in RIPEMD-160(SHA-256(msg)) via bruteforce (2^80 queries) is not particular more difficult than finding a collision in RIPEMD-160 via brute force. Furthermore if you find a collision in RIPEMD-160(SHA-256(msg)) you also get a valid SHA-256 hash for which you know the preimage.<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Feb 25, 2017 at 1:19 PM, Alice Wonder via bitcoin-dev <span dir="ltr">&lt;<a href="mailto:bitcoin-dev@lists.linuxfoundation.org" target="_blank">bitcoin-dev@lists.linuxfoundation.org</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 02/25/2017 08:10 AM, Ethan Heilman via bitcoin-dev wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
SHA1 is insecure because the SHA1 algorithm is insecure, not because<br>
</blockquote>
160bits isn&#39;t enough.<br>
<br>
I would argue that 160-bits isn&#39;t enough for collision resistance.<br>
Assuming RIPEMD-160(SHA-256(msg)) has no flaws (i.e. is a random<br>
oracle), collisions can be generated in 2^80 queries (actually detecting<br>
these collisions requires some time-memory additional trade-offs). The<br>
Bitcoin network at the current hash rate performs roughly SHA-256 ~2^78<br>
queries a day or 2^80 queries every four days.<br>
</blockquote>
<br></span>
You have to not only produce a ripemd160 collision, you have to produce a collision that is also a valid sha-256 hash - and that&#39;s much much much more difficult.<div class="HOEnZb"><div class="h5"><br>
<br>
______________________________<wbr>_________________<br>
bitcoin-dev mailing list<br>
<a href="mailto:bitcoin-dev@lists.linuxfoundation.org" target="_blank">bitcoin-dev@lists.linuxfoundat<wbr>ion.org</a><br>
<a href="https://lists.linuxfoundation.org/mailman/listinfo/bitcoin-dev" rel="noreferrer" target="_blank">https://lists.linuxfoundation.<wbr>org/mailman/listinfo/bitcoin-d<wbr>ev</a><br>
</div></div></blockquote></div><br></div>