id: Гость   вход   регистрация
текущее время 03:57 29/03/2024
Автор темы: Гость, тема открыта 22/10/2014 13:53 Печать
Категории: криптоанализ, атаки
http://www.pgpru.com/Форум/Криптография/Хеш-функцияWhirlpoolИЕеКриптоанализ
создать
просмотр
ссылки

Хеш-функция Whirlpool и ее криптоанализ


Добрый день. Хотел бы обсудить атаку на хеш-функцию WhirlPool, описанную в статье filehttp://www.iacr.org/archive/as.....9120118/59120118.pdf. В подразделе 4.1 описана атака, в которой внутренняя фаза состоит из двух этапов. На первом этапе подбираются разности для состояний S1, S2^SB, S4, S5^SB. На втором этапе результаты первого этапа требуется объединить путем подбора значения для ключа. В ходе прочтения статьи возник следующий вопрос о процессе соединения результатов.На втором этапе внутренней фазы для каждой пары сообщений, сгенерированных для состояний S1, S2^SB, S4, S5^SB, нужно подбирать свой ключ или требуется подбор уникального ключа, который всякую корректную пару для состояний S1, S2^SB переводит в некоторую корректную пару для состояний S4, S5^SB?



 
Комментарии
— unknown (22/10/2014 15:04)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В конце того раздела написано, что для нахождения ключа размером 264 может использоваться предвычисленная таблица размером 2128. Можно понять, что или каждый раз заново находить перебором ключ 264, или один раз создать таблицу 2128 и находить по ней в среднем всего за одну операцию.
— Гость (22/10/2014 15:19)   <#>
Спасибо, я так и думал. Вопрос возник в связи с алгоритмом, который используется для поиска ключа. В статье сначала определяются значения строк раундового ключа k3, а затем значения строк ключа k2*. В чем преимущество такого подхода? Почему бы не использовать перебор значений для строк раундового ключа k2* и последующее вычисление строк ключа k3?
— unknown (23/10/2014 10:58, исправлен 23/10/2014 14:33)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Результат в девятом уравнении там проверяется на совпадение с восьмым (S4). Для этого там работают с состоянием S2* и ключом K2* для зафиксированного на предыдущем шаге X так, чтобы были определённые совпадения с предыдущим уравнением. На всё приведено количество шагов. Можно ли так легко всё поменять, с условием того, что S2* и K2* ближе всего связаны — сказать сложно, надо разбирать достаточно подробно.


Кстати, текст перед уравнением, разве не отвечает на ваш вопрос:


Note that one can always change the order of SC and SB in the Whirlpool block cipher without affecting the output of one round. In order to make the subsequent description of the attack easier, we do this here and get the following equation.

Если можно менять SC и SB, то вроде и уравнение поменяется в отношении ключей так, как вы и спрашиваете.

Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3