超级会员免费看
对BLAKE - 32的回旋镖攻击解析
1. 差分路径相关特性
在研究BLAKE - 32的过程中,差分路径是一个重要的概念。一个3轮差分路径可以在正向方向上再扩展半轮。若在这三轮的末尾添加半轮,并且所选的消息字不在此出现,那么就可以得到概率≥2⁻²⁴⁻⁸(即2⁻³²)的3.5轮路径。
对于这个3轮差分路径,需要在v12和v13处注入两个不同的输入差分,它们对应同一个计数器t0。为了获得在对应计数器t0和t1的状态下具有一致输入差分的3轮差分路径,会使用概率较低的2轮路径。
当Δa = Δc = Δ,且Δ只有第i位和第(i + 16)位有效时,对于G函数,如果消息字没有差异,那么差分路径(Δ, 0, Δ, 0) →(Δ, 0, 0, 0)出现的概率:若第i位是最高有效位(MSB),概率为2⁻³;否则为2⁻⁶。
一个与计数器(t0, t1)输入差分一致的3轮差分路径可以以概率2⁻²¹或至少2⁻³⁶获得。具体证明过程如下:从Δmj = Δa = Δ = 0x80008000开始,可以得到概率为2⁻⁹的2轮差分路径。然后在开头再添加一轮,这一轮中消息字mj的位置决定了为获得3轮路径应考虑哪三轮,从第4轮开始可以找到这样的三轮。在这开头添加的一轮中,有两个G函数的差分如上述所述,还有一个G函数的差分是(Δ1, Δ2, Δ, 0) →(0, 0, Δ, 0)(其中步骤5有消息差分),这一轮的概率是2⁻⁶⁻⁶ = 2⁻¹²,所以得到概率为2⁻²¹的3轮路径。若Δ有两个有效位(如0x00080008),开头这一轮的概率至少为2⁻¹²⁻¹⁰ = 2⁻²²,2轮路径的概率至少为2⁻¹⁴,从而得到概率至少为2⁻³⁶的3轮差分路径。当从第4轮开始,且对应计数器的状态输入差分Δv12
订阅专栏 解锁全文
扫一扫
1195
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
