дифференциальный криптоанализ хэш функций семейства m...
TRANSCRIPT
![Page 1: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/1.jpg)
Дифференциальный криптоанализ хэш-функций семейства MDx
Часть 1
![Page 2: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/2.jpg)
Outline1. Общий вид дифференциальной характеристики(первое
приближение)2. Секрет успеха Wang et Al.3. Задача, для которой строится дифференциальная
характеристика4. Обозначения и понятия5. Три семейства функций6. Класс функций сжатия (MD4 based)
![Page 3: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/3.jpg)
Общий вид ДХДля функций MD4, MD5 и SHA-1 дифференциальная характеристика имеет общий вид
Дифференциальная характеристика
0
10
20
30
40
50
60
70
Конечное звеноСвязующее звеноНачальное звено
![Page 4: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/4.jpg)
Решаемая задачаДля двух заранее заданных префиксов сообщений Найти и :
,где
![Page 5: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/5.jpg)
Стандартные обозначенияПобитовые операции
Операции по модулю
Циклические сдвиги• ,
![Page 6: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/6.jpg)
Двоичное знаковое представлениеДля любого существует его двоичное знаковое представление(BSDR) в виде последовательности
Для ненулевого существует множество таких представлений.
– вес – сумма ненулевых в его представлении
![Page 7: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/7.jpg)
Несоседствующее представление Несоседствующее(NAF) – двоичное знаковое представление, в котором два коэффициента и одновременно не могут быть нулевыми.
Представление все еще не уникально, но уже почти.Ограничим Теперь представление уникально и может быть быстро вычислено.
![Page 8: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/8.jpg)
Три семейства функций
1. 2. 3.
![Page 9: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/9.jpg)
𝐹 𝑠𝑢𝑚𝑟𝑜𝑡
Функции выборочного суммирования
![Page 10: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/10.jpg)
𝐹 𝑠𝑢𝑚𝑟𝑜𝑡
Доказательство.Выпишем
Зафиксируем все переменные, кроме
Утверждение 1.Если для зафиксировать все переменные, кроме тогда получившаяся функция будет либо легко инвертируемой биективной, либо константой
![Page 11: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/11.jpg)
𝐹 𝑠𝑢𝑚𝑟𝑜𝑡Доказательство.
Если , то Иначе при биективно и
![Page 12: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/12.jpg)
𝐹 𝑏𝑜𝑜𝑙Некоторая надстройка над определенной булевой функцией .
![Page 13: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/13.jpg)
𝐹 𝑏𝑜𝑜𝑙𝑟𝑜𝑡Некоторая надстройка над определенной функцией .
![Page 14: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/14.jpg)
Класс Класс, который будет описан включает в себя функции сжатия MD4, MD5, SHA-1 и другие, полностью подходящие под его описание.
SHA-2 не входит в т.к. каждый шаг обновляется не одна, а две переменные сцепления.
Для фиксированных неотрицательных :
- количество n-битных слов в исходном сообщении- количество n-битных – переменных сцепления
![Page 15: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/15.jpg)
Выполнение функции сжатияВо время работы функция сжатия посчитает последовательность из слов. кратно
Первые слов будут проинициализированы ,Остальные будут вычислены шаговым преобразованием.Выход функции вычисляется из кортежа последних слов
![Page 16: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/16.jpg)
Инициализация заполняются кортежем из L элементов
![Page 17: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/17.jpg)
Завершение функции сжатия После S шагов можно определить
как
![Page 18: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/18.jpg)
Шаговая функция На каждом шаге булева функция осуществляет некоторое преобразование.
Представление шаговой функции можно представить как суперпозицию из V преобразований следующего вида:
Тогда
![Page 19: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/19.jpg)
Шаговая функция Кроме того функция должна обладать некоторыми свойствами:• Коэффициент выборочной суммы при не должен быть
равен 0.• Во всех выборочных суммах переменная
встречается выбранной ровно один раз.• Коэффициенты при и должны быть ненулевые ровно в
одной сумме (независимо друг от друга)
![Page 20: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/20.jpg)
Шаговая функция MD4Для MD4 и
![Page 21: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/21.jpg)
Шаговая функция MD5Для MD5 и
![Page 22: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/22.jpg)
Шаговая функция SHA-1Для SHA-1 и
![Page 23: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/23.jpg)
Свойства шаговой функцииДля каждого отображение
Существует три необходимых условия :1. должно иметь возможность получить все значения из
только путем варьирования и фиксирования остальных переменных.
2. Аналогично, но с вместо .3. Аналогично, но с вместо .Назовем эти свойства Полной зависимостью от соответствующей переменной.
![Page 24: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/24.jpg)
Полная зависимость от Теорема 1. (полная зависимость от )Для фиксированных следующее соотношение биективно:
Более того, существует последовательность функций , вычисляющая обратное к
При наличии и .
![Page 25: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/25.jpg)
Полная зависимость от Доказательство Теоремы 1. Для доказательства покажем, что существует последовательность функций ,Которая вычисляет обратное к .При конструировании последовательности ненужные её элементы будем считать нулями.
Пусть – уникальный индекс такой, что выбирающий при в не равен нулю.Имея можем посчитать
![Page 26: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/26.jpg)
Полная зависимость от Доказательство Теоремы 1. Тогда можем записать обратные преобразования
Пусть тогда все переменные в известны, кроме и .Но, на самом деле, может быть проигнорирована.Тогда при помощи Утверждения 1 можно увидеть биективность отображения
![Page 27: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/27.jpg)
Полная зависимость от Доказательство Теоремы 1.Инвертируя можем вычислить
Зная иможем вычислить
![Page 28: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/28.jpg)
Полная зависимость от Доказательство Теоремы 1.
Таким образом, получаем биективность отображения
В свою очередь
![Page 29: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/29.jpg)
Полная зависимость от Доказательство Теоремы 1.Определим
и - константы выборочной суммы и сдвига в Имея и
получим
![Page 30: дифференциальный криптоанализ хэш функций семейства M dx](https://reader035.vdocuments.mx/reader035/viewer/2022081420/55b67a49bb61eb752f8b457e/html5/thumbnails/30.jpg)
Спасибо за внимание!