Improved Preimage Attack on 3-Pass HAVAL

HAVAL is a hash function proposed by Zheng et al.in 1992,including 3-,4-and 5-pass versions.We improve pseudo-preimage and preimage attacks on 3-pass HAVAL at the complexity of 2 172 and 2 209.6,respectively,as compared to the previous best known results:2 192 and 2 225 by Sasaki et al.in 2008.We extend the skip interval for partial-patching and apply the initial structure technique to find the better message chunks,and combine the indirect-partial-matching,partial-fixing and multi-neutral-word partial-fixing techniques to improve the attacks based on the meet-in-the-middle method.These are the best pseudo-preimage and preimage attacks on 3-pass HAVAL.

MD-4原象攻击的分析与改进

首先分析了Leurent提出的MD-4原象攻击方法,该方法利用MD-4布尔函数的吸收性质,迭代函数的可逆性以及消息扩展方式的特殊性,首先形成伪原象攻击,之后利用基于树的方法将伪原象转变为原象攻击。采用随机图的方法,对其后一部分进行了改进,提高了攻击效率,将复杂度从2102降低到298。

SM3密码杂凑算法

密码杂凑算法是3类基础密码算法之一,它可以将任意长度的消息压缩成固定长度的摘要,主要用于数字签名和数据完整性保护等.SM3密码杂凑算法的消息分组长度为512 b,输出摘要长度为256 b.该算法于2012年发布为密码行业标准(GM/T 0004—2012),2016年发布为国家密码杂凑算法标准(GB/T 32905—2016).总结了SM3密码杂凑算法的设计原理、算法特点、软硬件实现和安全性分析,同时将SM3密码杂凑算法和国际通用杂凑算法在实现效率和安全性方面进行比较.

密码杂凑算法综述

密码杂凑算法是现代密码学中的基本工具,它能够将任意长度的消息压缩成固定长度的摘要.杂凑值又称为杂凑码、消息摘要或数字指纹.通常密码杂凑算法被非正式地称为杂凑算法。杂凑算法的重要性就是能够赋予每个消息唯一的"数字指纹",即使更改该消息的一个字母,对应的杂凑值也会变为截然不同的"指纹"。杂凑算法在现代密码学中有着极其重要的作用,它最常用的用途是用在数字签名和数据完整性保护中.杂凑算法是数字签名的核心技术,通常用公钥密码算法如RSA进行数字签名时,一般不是对消息直接签名,而是对消息的杂凑值进行签名,这样既可以减少计算量,提高效率,也可以破坏数字签名算法的某些代数结构,保障其安全性.杂凑算法还是许多密码算法密码系统安全的基本前提条件,它可以用来设计消息认证码以及众多可证明安全协议,还广泛应用于口令保护协议、电子支付协议、广播认证协议等密码协议中.因此对杂凑算法进行研究在密码学领域具有重要的意义.

对强化MD结构杂凑函数的一个新的“牧群”攻击

该文构造了具有2k个起始点的变长"钻石树"结构的多碰撞,并据此提出了对强化MD结构杂凑函数的一个新的选择目标强制前缀且原像长度为2k+3块的原像攻击(即"牧群"攻击)。由于增大了攻击过程中可利用的中间链接值的数量,故当k≥n/4-1.05时,新的牧群攻击可将该攻击的计算复杂性由现有结果O(2n-2(k+1)+2n/2+k+5/2)降至O(2n-k/3+2n/2+k+2)。

Collision Attack on the Full Extended MD4 and Pseudo-Preimage Attack on RIPEMD

The cryptographic hash functions Extended MD4 and RIPEMD are double-branch hash functions, which consist of two parallel branches. Extended MD4 was proposed by Rivest in 1990, and RIPEMD was devised in the framework of the RIPE project （RACE Integrity Primitives Evaluation, 1988-1992）. On the basis of differential analysis and meet-in-the- middle attack principle, this paper proposes a collision attack on the full Extended MD4 and a pseudo-preimage attack on the full RIPEMD respectively. The collision attack on Extended MD4 holds with a complexity of 237, and a collision instance is presented. The pseudo-preimage attack on RIPEMD holds with a complexity of 21254, which optimizes the complexity order for brute-force attack. The results in this study will also be beneficial to the analysis of other double-branch hash functions such as RIPEMD-160.

对缩减轮数DHA-256的原像与伪碰撞攻击

提出了对DHA-256散列函数37轮的原像攻击以及39轮的伪碰撞攻击。基于中间相遇攻击,利用Biclique方法可以改进之前对DHA-256的原像分析结果,将攻击轮数从原来的35轮提高到了37轮。通过上述方法还可以构造对DHA-256的39轮伪碰撞。最终,以2255.5的时间复杂度以及23的空间复杂度构造了对DHA-256的37轮原像,并以2127.5的时间复杂度以及常数2的空间复杂度构造了对DHA-256的39轮伪碰撞。这是目前对DHA-256最好的原像与碰撞攻击结果。

对缩减轮数SM3散列函数改进的原像与伪碰撞攻击

提出了对SM3散列函数32轮的原像攻击和33轮的伪碰撞攻击。利用差分中间相遇攻击与biclique技术改进了对SM3的原像分析结果,将攻击结果从之前的30轮提高到了32轮。基于上述方法,通过扩展32轮原像攻击中的差分路径,对SM3构造了33轮的伪碰撞攻击。以2^(254.5)的时间复杂度与25的空间复杂度构造了对SM3的32轮原像攻击,并以2^(126.7)的时间复杂度与23的空间复杂度构造了对SM3的33轮伪碰撞攻击。

对104步杂凑函数HAVAL的原根攻击

针对杂凑函数HAVAL的第1圈中圈函数的性质和消息字的顺序,结合使用穷举搜索等方法,给出对前104步HAVAL压缩函数的原根攻击。其计算复杂度是2224次杂凑运算,需要存储238个字节,而穷举攻击的计算复杂度是2256次杂凑运算。分析结果对杂凑函数HAVAL安全性的评估有重要的参考价值。

带消息填充的29步SM3算法原根和伪碰撞攻击

基于中间相遇攻击技术,提出了一种针对密码杂凑函数SM算法的原根攻击和伪碰撞攻击方法,给出了从第1步开始的带消息填充的29步SM3算法的原根攻击和伪碰撞攻击。结果表明:对于29步SM3算法的原根攻击的时间复杂度为2254;对于29步SM3伪碰撞攻击的时间复杂度为2125。说明从第1步开始的带消息填充的29步SM3算法不能抵抗原根攻击和伪碰撞攻击。

对缩减杂凑函数HAVAL的原根攻击

根据杂凑函数HAVAL算法中消息字的顺序和第一圈中圈函数的性质,结合使用"中间相遇攻击"和穷举搜索等方法,给出从第3步到第122步HAVAL压缩函数的原根攻击。分别采用中间相遇方法和树方法,把对120步压缩函数的原根攻击扩展到对120步HAVAL算法的原根攻击。

可用于哈希函数的安全迭代结构

Merkle-Damgard(MD)迭代结构存在着不能保持压缩函数的第2原像稳固性、伪随机函数性等不安全性问题.为增强迭代哈希函数的安全性,从抵抗现有攻击的角度提出1个强化MD迭代结构,称为CMD结构.经证明,该结构可以保持压缩函数的抗碰撞性,能抵抗现有的对MD迭代结构的攻击,包括第2原像攻击和任意选定前缀的原像攻击.利用这些攻击方法对enveloped Merkle-Damgard结构进行了分析,并指出该结构不能提供比MD结构更高的安全性.

代数系统求解4轮Keccak-256原像攻击的完善

Keccak哈希函数是第三代安全哈希函数,具有可证明的安全性与良好的实现性能。讨论基于代数系统求解的4轮Keccak-256原像攻击,对已有的4轮原像攻击方法进行了完善,有效降低了理论复杂度。目前,4轮Keccak-256原像攻击的理论复杂度最低为2^(239),通过充分利用二次比特的因式之间的关系,在自由度相同的情况下,线性化更多的二次比特,将理论复杂度降低至2^(216)。

SHA-3算法的抗原象攻击性能优化

通过对SHA-3算法置换函数Keccak-f的线性性质以及缩减轮数的Keccak杂凑函数原象攻击的研究,提出了SHA-3算法的抗原象攻击性能优化设计方案.首先结合Keccak杂凑函数的差分特点和θ置换函数的奇偶性质,分析了基于CP-kernel的SHA-3算法原象攻击;然后针对目前实施原象攻击的方法,在θ置换函数运算后异或随机数以打乱其汉明重量,改变CP-kernel的校验性质,阻止攻击者利用中间相遇的方法寻找原象,提高了SHA-3算法的抗原象攻击能力;最后利用VHDL硬件语言实现抗原象攻击SHA-3算法的设计方案,验证了该算法的正确性以及安全性.

多AES分组杂凑模型原像攻击研究

压缩函数采用高级加密标准AES(Advanced Encryption Standard)的杂凑模型是杂凑函数设计的重要方式之一,研究者已经提出了针对7轮单AES分组杂凑模型的原像攻击和6轮单AES分组杂凑模型的碰撞攻击,而针对多AES分组的杂凑模型安全性仍未知.本文提出了适应于后量子时代的两AES分组和四AES分组的杂凑函数模型的原像攻击,该攻击中采用了初始结构、连接剪切、部分匹配等技巧,恢复了7轮双AES分组和6轮四AES分组的杂凑函数的原像,与已有7轮单AES分组杂凑模型的原像攻击相比,双AES分组杂凑模型可以达到几乎相当的安全强度,而四AES分组杂凑模型安全强度更强.此研究成果是对AES分组杂凑模型原像攻击的一个重要补充,为AES分组杂凑模型的设计提供了有力的理论保障.

对HTBC杂凑函数的碰撞和第二原像攻击

使用安全的分组密码作为基本组件,并搭配合适的链接结构是一种常用的杂凑函数设计方法.当使用安全性较强的分组密码,如高级加密标准(Advanced Encryption Standard,AES)等作为基本组件时,这类杂凑函数的安全性很大程度上取决于链接结构的安全性.基于三重分组链接的杂凑函数(triple-block-chaining-based hash function,HTBC),利用安全分组密码作为基本元件,采用一种特殊的三重链接结构,证明了HTBC杂凑算法的这种链接结构是不安全的.基于该链接结构的弱点,利用相关运算的特殊性质,直接构造出HTBC算法的碰撞,构造碰撞的时间复杂度为1.对于长度满足特定要求的消息,可以构造该消息的第二原像.当使用AES-256作为底层的分组密码时,攻击的最大时间复杂度为2112,低于穷举攻击所需要的时间复杂度2128;对于某些满足特定性质的弱消息,攻击的时间复杂度仅为1;如果消息的取值足够随机,攻击的平均时间复杂度为246.56.