16、抗碰撞双长度哈希函数与哈希函数安全证明解读

抗碰撞双长度哈希函数与哈希函数安全证明解读

1. 抗碰撞双长度哈希

在双长度哈希的研究中，Serial - DL 有着独特的特性。当最后一个查询为前向查询且用于 T L 和 BR（T L = BR）时，T R 中的查询由最后一个查询的输入唯一确定。对于 q 次查询，顶行成功的概率上限为 q/N ′。若最后一个查询是反向查询且再次用于 T L 和 BR，由于 BL 中的查询由 T L 中最后一个查询的输入唯一确定，底行 q 次查询的总成功概率同样上限为 q/N ′。所以，无论对手发起前向还是反向查询，成功概率都被限制在 ≤q/N ′。

对于通用双长度（Generic - DL）压缩函数的抗碰撞性，定理 3 无法用于推导更通用构造（如 Mix - Tandem - DM）的界限。定理 5 给出了相关界限：设 H 为通用双长度压缩函数，α, β, κ, n 和 γ 为常数，其中 α, κ > e，τ = N ′α/q，N = 2n，N ′ = N - q，Γ(q, γ) 为一个函数，则有：
[Adv_{H}^{coll}(q) \leq \frac{q\beta(\gamma + 1)}{N’} + \frac{q^2\zeta}{N’} + \frac{q\gamma}{N’} + L]
其中：
[L = \frac{2q^2n e^{\tau q(1 - \ln \tau)}}{N’} + \frac{2q^2}{\beta N’} + 2q e^{\kappa(1 + \ln \frac{q}{N’} - \ln \kappa)} + \Gamma(q, \gamma)]

在 Mix - Tandem - DM 的应用中，ζ = 1/N ′，Γ