Дифференциальный криптоанализ хэш-функций семейства MDx

Часть 1

Outline1. Общий вид дифференциальной характеристики(первое

приближение)2. Секрет успеха Wang et Al.3. Задача, для которой строится дифференциальная

характеристика4. Обозначения и понятия5. Три семейства функций6. Класс функций сжатия (MD4 based)

Общий вид ДХДля функций MD4, MD5 и SHA-1 дифференциальная характеристика имеет общий вид

Дифференциальная характеристика

0

10

20

30

40

50

60

70

Конечное звеноСвязующее звеноНачальное звено

Решаемая задачаДля двух заранее заданных префиксов сообщений Найти и :

,где

Стандартные обозначенияПобитовые операции

Операции по модулю

Циклические сдвиги• ,

Двоичное знаковое представлениеДля любого существует его двоичное знаковое представление(BSDR) в виде последовательности

Для ненулевого существует множество таких представлений.

– вес – сумма ненулевых в его представлении

Несоседствующее представление Несоседствующее(NAF) – двоичное знаковое представление, в котором два коэффициента и одновременно не могут быть нулевыми.

Представление все еще не уникально, но уже почти.Ограничим Теперь представление уникально и может быть быстро вычислено.

Три семейства функций

1. 2. 3.

𝐹 𝑠𝑢𝑚𝑟𝑜𝑡

Функции выборочного суммирования

𝐹 𝑠𝑢𝑚𝑟𝑜𝑡

Доказательство.Выпишем

Зафиксируем все переменные, кроме

Утверждение 1.Если для зафиксировать все переменные, кроме тогда получившаяся функция будет либо легко инвертируемой биективной, либо константой

𝐹 𝑠𝑢𝑚𝑟𝑜𝑡Доказательство.

Если , то Иначе при биективно и

𝐹 𝑏𝑜𝑜𝑙Некоторая надстройка над определенной булевой функцией .

𝐹 𝑏𝑜𝑜𝑙𝑟𝑜𝑡Некоторая надстройка над определенной функцией .

Класс Класс, который будет описан включает в себя функции сжатия MD4, MD5, SHA-1 и другие, полностью подходящие под его описание.

SHA-2 не входит в т.к. каждый шаг обновляется не одна, а две переменные сцепления.

Для фиксированных неотрицательных :

- количество n-битных слов в исходном сообщении- количество n-битных – переменных сцепления

Выполнение функции сжатияВо время работы функция сжатия посчитает последовательность из слов. кратно

Первые слов будут проинициализированы ,Остальные будут вычислены шаговым преобразованием.Выход функции вычисляется из кортежа последних слов

Инициализация заполняются кортежем из L элементов

Завершение функции сжатия После S шагов можно определить

как

Шаговая функция На каждом шаге булева функция осуществляет некоторое преобразование.

Представление шаговой функции можно представить как суперпозицию из V преобразований следующего вида:

Тогда

Шаговая функция Кроме того функция должна обладать некоторыми свойствами:• Коэффициент выборочной суммы при не должен быть

равен 0.• Во всех выборочных суммах переменная

встречается выбранной ровно один раз.• Коэффициенты при и должны быть ненулевые ровно в

одной сумме (независимо друг от друга)

Шаговая функция MD4Для MD4 и

Шаговая функция MD5Для MD5 и

Шаговая функция SHA-1Для SHA-1 и

Свойства шаговой функцииДля каждого отображение

Существует три необходимых условия :1. должно иметь возможность получить все значения из

только путем варьирования и фиксирования остальных переменных.

2. Аналогично, но с вместо .3. Аналогично, но с вместо .Назовем эти свойства Полной зависимостью от соответствующей переменной.

Полная зависимость от Теорема 1. (полная зависимость от )Для фиксированных следующее соотношение биективно:

Более того, существует последовательность функций , вычисляющая обратное к

При наличии и .

Полная зависимость от Доказательство Теоремы 1. Для доказательства покажем, что существует последовательность функций ,Которая вычисляет обратное к .При конструировании последовательности ненужные её элементы будем считать нулями.

Пусть – уникальный индекс такой, что выбирающий при в не равен нулю.Имея можем посчитать

Полная зависимость от Доказательство Теоремы 1. Тогда можем записать обратные преобразования

Пусть тогда все переменные в известны, кроме и .Но, на самом деле, может быть проигнорирована.Тогда при помощи Утверждения 1 можно увидеть биективность отображения

Полная зависимость от Доказательство Теоремы 1.Инвертируя можем вычислить

Зная иможем вычислить

Полная зависимость от Доказательство Теоремы 1.

Таким образом, получаем биективность отображения

В свою очередь

Полная зависимость от Доказательство Теоремы 1.Определим

и - константы выборочной суммы и сдвига в Имея и

получим

Спасибо за внимание!