24、加速宽管道：安全快速的哈希

加速宽管道：安全快速的哈希

1. 引言

哈希函数 $H : {0, 1}^* \to {0, 1}^n$ 是一种将任意长度的二进制字符串作为输入，并输出固定长度二进制字符串的数学函数。安全的哈希函数可应用于数据认证、数字签名、承诺协议和密码保护等众多领域。许多实用的哈希函数，如 MD4、MD5、SHA - 0 和 SHA - 1 等，都采用了执行固定输入长度（FIL）压缩函数的顺序模式来设计。这些哈希函数主要由压缩函数和操作模式两个部分组成。

本文设计并分析了一种新的哈希操作模式——快速宽管道（Fast wide pipe，简称 FWP）。

相关工作

经典的 Merkle - Damgård 模式是应用最广泛且研究最多的哈希操作模式，它简单且具有抗碰撞性。然而，由于存在长度扩展攻击、多碰撞攻击、Kelsey - Schneier 第二原像攻击和羊群攻击等，在当前的 NIST 哈希函数竞赛中，没有一个参赛的 51 个哈希函数使用该模式。

Merkle - Damgård 模式的逐渐失宠促使了两个新的研究方向：一是设计新的操作模式，如宽管道（Wide - pipe）、HAIFA、海绵（Sponge）、EMD 和 JH 等；二是开发新的安全框架来分析哈希函数，其中 Maurer 等人提出的不可区分性框架是一个重要成果。一个新的操作模式应同时具备抗碰撞性和与随机预言机的不可区分性。

我们的贡献

为了使哈希函数抵抗 Joux 的多碰撞类型攻击，Lucks 提出了宽管道模式，建议使用输入为 $m + 2n$ 位、输出为 $2n$ 位的压缩函数（Lucks 压缩函数）。我们使用 Lucks 压缩函数设计了