Хеш-функция Whirlpool и ее криптоанализ
Добрый день. Хотел бы обсудить атаку на хеш-функцию WhirlPool, описанную в статье http://www.iacr.org/archive/as.....9120118/59120118.pdf[link1]. В подразделе 4.1 описана атака, в которой внутренняя фаза состоит из двух этапов. На первом этапе подбираются разности для состояний S1, S2^SB, S4, S5^SB. На втором этапе результаты первого этапа требуется объединить путем подбора значения для ключа. В ходе прочтения статьи возник следующий вопрос о процессе соединения результатов.На втором этапе внутренней фазы для каждой пары сообщений, сгенерированных для состояний S1, S2^SB, S4, S5^SB, нужно подбирать свой ключ или требуется подбор уникального ключа, который всякую корректную пару для состояний S1, S2^SB переводит в некоторую корректную пару для состояний S4, S5^SB?
Ссылки
[link1] http://www.iacr.org/archive/asiacrypt2009/59120118/59120118.pdf
В конце того раздела написано, что для нахождения ключа размером 264 может использоваться предвычисленная таблица размером 2128. Можно понять, что или каждый раз заново находить перебором ключ 264, или один раз создать таблицу 2128 и находить по ней в среднем всего за одну операцию.
Спасибо, я так и думал. Вопрос возник в связи с алгоритмом, который используется для поиска ключа. В статье сначала определяются значения строк раундового ключа k3, а затем значения строк ключа k2*. В чем преимущество такого подхода? Почему бы не использовать перебор значений для строк раундового ключа k2* и последующее вычисление строк ключа k3?
Результат в девятом уравнении там проверяется на совпадение с восьмым (S4). Для этого там работают с состоянием S2* и ключом K2* для зафиксированного на предыдущем шаге X так, чтобы были определённые совпадения с предыдущим уравнением. На всё приведено количество шагов. Можно ли так легко всё поменять, с условием того, что S2* и K2* ближе всего связаны — сказать сложно, надо разбирать достаточно подробно.
Кстати, текст перед уравнением, разве не отвечает на ваш вопрос:
Если можно менять SC и SB, то вроде и уравнение поменяется в отношении ключей так, как вы и спрашиваете.