57、迭代哈希函数的攻击与分析

迭代哈希函数的攻击与分析

1. 选择目标强制前缀

在某些场景下，传统的抗碰撞属性无法准确描述实际情况。以Alice为例，她对文档的后缀有完全的控制权（但后缀可能不宜过长），而对前缀的控制非常有限，因为前缀需要包含精确的股票价格。这种情况可以用选择目标强制前缀属性来描述。

定义 ：一个高效的密钥哈希函数 $H = (H.KGen, H.Eval)$ 对于一组前缀 $P$ 是选择目标强制前缀原像抗性（CTFP）的，如果对于所有的概率多项式时间（PPT）算法 $A := (A1, A2)$，优势 $Adv_{H,A1,A2}^{ctfp}(\lambda)$ 是可忽略的。优势定义如下：
$Adv_{H,P,A1,A2}^{ctfp}(\lambda) := Pr[Exp_{H,P,A1,A2}^{ctfp}(\lambda)]$
相关实验 $Exp_{H,P,A1,A2}^{ctfp}(\lambda)$ 流程如下：
1. $(m, state) \leftarrow A1(1^{\lambda})$
2. $hk \leftarrow H.KGen(1^{\lambda})$
3. $p \leftarrow P$
4. $m’ \leftarrow A2(1^{\lambda}, hk, p, state)$
5. 返回 $H.Eval(hk, m) = H.Eval(hk, p \parallel m’)$

这里的属性是相对于一组前缀 $P$ 定义的，极端情况下，$P$ 可以是所有字符串的集合 ${0, 1}^*$。在Alice的例子中，$P$ 就是所有可能的股票价格组合的