52、动态SHA(2)密码分析：攻击方法与复杂度解析

动态SHA(2)密码分析：攻击方法与复杂度解析

1. 首次原像攻击

在首次原像攻击中，填充位会限制攻击者对消息位的控制。攻击者不能像二次原像攻击那样简单地复制填充。具体操作步骤如下：
1. 选择消息长度 ：选择合适的消息长度，使最后填充的消息块仅包含最少的65位填充。
2. 确定除最后一块外的消息 ：为除最后一个消息块之外的所有消息块选择任意消息。
3. 确定最后一个消息块 ：使用改进后的攻击方法来确定最后一个消息块。

由于最后65位是填充位，攻击者无法选择，其内容由消息长度决定。对于动态SHA - 256，搜索树中预期的解的数量为$2^{6}·2^{7} · 2^{-42·4} · 2^{-43·1} = 2^{-49}$，即解存在的概率仅为$2^{-49}$。因此，需要以不同的消息长度多次重复攻击。树最宽层的节点数为$2^{6}·2^{7}$，扩展该层单个节点的成本是$2^{14}$次动态SHA压缩函数调用。所以，总攻击复杂度约为$2^{49} · 2^{6}·2^{7} · 2^{14} = 2^{225}$次动态SHA压缩函数评估。

2. 动态SHA2的碰撞攻击

2.1 攻击思路

攻击动态SHA2采用与动态SHA类似的思路，通过控制消息确保尽可能多的旋转量符合需求。攻击基于在两个消息字w8和w14的最高有效位引入差异。由于对链值施加了32位条件，使用双块碰撞查找技术，搜索第一个块直到遇到合适的链值。

2.2 第一次迭代部分

给定初始值a,