Ataque a funções de hash que não satisfazem a propriedade unidirecional

Estou revisando para um curso de segurança de computadores e estou preso a uma das perguntas anteriores. Aqui está:

Alice ( $A$ ) deseja enviar uma mensagem curta $M$ para Bob ( $B$ ) usando um segredo compartilhado $S_{ab}$ para autenticar que a mensagem veio dela. Ela propõe enviar uma única mensagem com duas partes:
$A \to B : M, h (M ∥ S_{a b})$ $A \to B: \quad M, h(M \mathbin\parallel S_{ab})$ onde $h$ é uma função hash e $\parallel$ denota concatenação.

Explique com cuidado o que Bob faz para verificar se a mensagem veio de Alice e por que (além das propriedades de $h$ ) ele pode acreditar nisso.

Suponha que $h$ não satisfaça a propriedade unidirecional e seja possível gerar pré-imagens. Explique o que um invasor pode fazer e como.

Se a geração de pré-imagens é relativamente demorada, sugira uma contramedida simples para melhorar o protocolo sem alterar $h$ .

Eu acho que sei o primeiro. Bob precisa pegar um hash da mensagem recebida junto com sua chave compartilhada e comparar esse hash com o hash recebido de Alice, se eles corresponderem, isso deve provar que Alice a enviou.

Não tenho certeza das duas segundas perguntas. Para o segundo, a resposta seria que um invasor pode simplesmente obter a mensagem original com um hash? Não tenho certeza de como isso seria feito.

cryptography hash one-way-functions

— sam
fonte

Por favor, dê atribuição para a imagem. Além disso, considere copiar o texto para que ele possa ser pesquisado corretamente.

— Raphael

Para o segundo, a resposta seria que um invasor pode simplesmente obter a mensagem original com um hash?

$M$ $M^*, h(M^*\|S_{ab})$ $M^* \ne M$

$h$ $S_{ab}$ $h(M\| S_{ab})$
^{$M_1, S_1$ $h(M\|S_{ab})=h(M_1\|S_1)$ $h$}

$h$ $k$ $h(h(h(....h(M\|S_{ab})..))$

— Tocou.
fonte