Хеш-функция Whirlpool и ее криптоанализ
Добрый день. Хотел бы обсудить атаку на хеш-функцию WhirlPool, описанную в статье http://www.iacr.org/archive/as.....9120118/59120118.pdf. В подразделе 4.1 описана атака, в которой внутренняя фаза состоит из двух этапов. На первом этапе подбираются разности для состояний S1, S2^SB, S4, S5^SB. На втором этапе результаты первого этапа требуется объединить путем подбора значения для ключа. В ходе прочтения статьи возник следующий вопрос о процессе соединения результатов.На втором этапе внутренней фазы для каждой пары сообщений, сгенерированных для состояний S1, S2^SB, S4, S5^SB, нужно подбирать свой ключ или требуется подбор уникального ключа, который всякую корректную пару для состояний S1, S2^SB переводит в некоторую корректную пару для состояний S4, S5^SB?
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Результат в девятом уравнении там проверяется на совпадение с восьмым (S4). Для этого там работают с состоянием S2* и ключом K2* для зафиксированного на предыдущем шаге X так, чтобы были определённые совпадения с предыдущим уравнением. На всё приведено количество шагов. Можно ли так легко всё поменять, с условием того, что S2* и K2* ближе всего связаны — сказать сложно, надо разбирать достаточно подробно.
Кстати, текст перед уравнением, разве не отвечает на ваш вопрос:
Если можно менять SC и SB, то вроде и уравнение поменяется в отношении ключей так, как вы и спрашиваете.