超级会员免费看
深入探究Merkle–Damgård变换的安全性
哈希函数在现代密码学中扮演着至关重要的角色,它能够将任意长度的输入数据转换为固定长度的哈希值。Merkle–Damgård变换是一种经典的迭代哈希函数构造方法,它通过迭代压缩函数来处理任意长度的消息。本文将深入探讨Merkle–Damgård变换的安全性,包括其对碰撞抗性的保留以及对第二原像抗性和目标碰撞抗性的影响。
1. 填充函数的后缀无关性
在Merkle–Damgård变换中,填充函数起着关键作用。它确保了消息在处理前被填充到合适的长度,以便后续的迭代计算。具体来说,我们将消息长度编码在最后一个块中,这使得填充函数具有后缀无关性。
后缀无关性的定义如下:对于定义域为 ${0, 1}^ $ 的函数 $f$,如果对于所有的 $m, m’, x \in {0, 1}^ $ 且 $m \neq m’$,都有 $f(m’) \neq x \parallel f(m)$,则称 $f$ 为后缀无关函数。在Merkle–Damgård变换中,我们定义的填充函数 $pad$ 满足后缀无关性。对于长度相等的消息对 $(m, m’)$,填充函数会追加相同的比特串,因此要么 $m = m’$,要么填充前的前缀不同。而对于长度不同的消息,由于最后一个块编码了消息长度,$pad(m)$ 和 $pad(m’)$ 的最后一个块必然不同。
2. Merkle–Damgård变换保留碰撞抗性
后缀无关的填充函数是证明Merkle–Damgård变换保留碰撞抗性的最后一个要素。以下是相关定理:
设 $h : {0, 1}^{h.bl(\lambda)} \times {0, 1
订阅专栏 解锁全文
扫一扫
1454
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
