10、对简化版SHAvite - 3 - 256 v2的密码分析

对简化版SHAvite - 3 - 256 v2的密码分析

1. 引言

在密码学领域，哈希函数是至关重要且实用的工具。一个n位的加密哈希函数H，能将任意长度的消息作为输入，输出固定长度为n位的哈希值。理想情况下，这种哈希函数应具备抗碰撞性和抗（二次）预象性，即攻击者分别在少于$2^{n/2}$和$2^n$次计算内，无法找到碰撞（两个不同消息哈希到相同值）或（二次）预象（一个消息哈希到给定挑战值）。

近年来，许多标准化哈希函数遭受了严重攻击。为应对这些攻击，并考虑到计算能力的提升和密码分析技术的潜在进步，美国国家标准与技术研究院（NIST）发起了SHA - 3竞赛，旨在选出新的哈希函数标准。在最初提交的64个候选方案和第二轮竞赛选出的14个方案中，相当一部分是基于AES的提案，例如SHAvite - 3。

对于攻击者而言，分析分组密码和哈希函数存在显著差异。在分析哈希函数时，攻击者可完全访问内部计算，从而优化对自由度的利用。对于基于AES的哈希函数，反弹攻击、从中间开始攻击或超级S盒密码分析等方法是密码分析师的得力工具。

在SHA - 3竞赛第一轮中，Peyrin对SHAvite - 3进行了分析，发现攻击者能轻松找到压缩函数的选定计数器和选定盐值的碰撞。这一弱点促使第二轮对算法进行了调整。近期，也有关于SHAvite - 3 512位版本的新密码分析结果公布。

本文首次对调整后的256位版本SHAvite - 3 - 256进行密码分析。通过反弹攻击或超级S盒密码分析，我们能为SHAvite - 3 - 256内部置换的简化轮数推导区分器。这些结果可转化为区分器，或用于对简化版压缩函数发起自由启动碰撞攻击。若允许攻击者完全控制盐值，攻击的轮