12、密码学中SHAvite - 3 - 256与Hamsi - 256的攻击分析

密码学中SHAvite - 3 - 256与Hamsi - 256的攻击分析

在密码学领域，哈希函数的安全性至关重要。本文将深入探讨对SHAvite - 3 - 256简化版本的分析以及对Hamsi - 256的改进代数攻击。

1. SHAvite - 3 - 256简化版本分析

SHAvite - 3是SHA - 3竞赛的候选者之一。对于其256位版本的简化轮数分析，我们发现了一些有趣的攻击方法。

1.1 7轮简化版本的自由启动近碰撞攻击

在分析过程中，通过特定的差异传播（Δ1确定Δ2），我们可以反向计算，直到获得验证路径的初始状态。从这个输入出发，经过七轮计算后，得到的输出没有差异。当应用Davies - Meyer变换时，状态的右半部分不会有差异。这样，我们就实现了对使用Davies - Meyer模式的7轮简化版本SHAvite - 3 - 256压缩函数的自由启动近碰撞攻击。该攻击使用选定和相关的盐，计算复杂度为$2^{25}$，内存需求为$2^{14}$，远低于理想情况下的$2^{64}$操作复杂度。

1.2 8轮简化版本的区分器攻击

在第七轮之后再增加一轮，会形成特定的输入/输出结构。第八轮的子密钥差异无法控制，因此状态的右半部分A8会有差异，但左半部分B8（即第七轮的右半部分）由于Feistel结构不会有差异。经过Davies - Meyer变换后，输入状态的左半部分和输出状态的左半部分会有相同的差异。这样，我们就得到了对8轮简化版本SHAvite - 3 - 256压缩函数的选定相关盐区分器攻击，其复杂度与之前的自由启动近碰撞攻击相同，即$2^{25}$计算和$2^{14}$内存。在理想情况下，