37、简化步数的SHA - 256碰撞及公开可验证秘密共享方案

简化步数的SHA - 256碰撞及公开可验证秘密共享方案

1. 简化步数的SHA - 256碰撞相关

在攻击的第二阶段，其影响可忽略不计。由于仍存在大量的自由度，通过多次重复这一阶段，只需付出极小的额外努力，就能找到许多23步半自由启动的碰撞。

1.1 求解方程 (L(x + δ) = L(x) + δ’)

这里介绍一种通用方法来求解形如 (L(x + δ) = L(x) + δ’) 的方程，其中 (δ) 和 (δ’) 是给定的 (n) 位加法差分，(L) 是从 (n) 位到 (n) 位的 (GF(2)) 线性变换。

考虑模加法 (x + δ)，设 (\Delta = (x + δ) \oplus x)。该加法由以下方程描述：
[
\begin{cases}
(x + δ) i = x_i \oplus δ_i \oplus c_i \
c {i + 1} = f_{maj}(x_i, δ_i, c_i) \
c_0 = 0
\end{cases}
\Leftrightarrow
\begin{cases}
c_i = δ_i \oplus \Delta_i \
c_{i + 1} = f_{maj}(x_i, δ_i, δ_i \oplus \Delta_i) \
c_0 = 0
\end{cases}
\quad (27)
]
一旦确定了加法差分 (δ) 和异或差分 (\Delta)，所有的进位 (c_i) 就都确定了。部分 (x_i) 也随之确定：当 (\Delta_i = 1)