32、对BLAKE - 32的回旋镖攻击

对BLAKE - 32的回旋镖攻击

1. 引言

SHA - 3竞赛即将进入第三阶段，从14个第二轮候选者中选出5个。哈希函数BLAKE是这14个候选者之一，自2008年首次提交以来几乎未作调整。作为一个基于加法 - 旋转 - 异或（ARX）设计的函数，BLAKE在各种软件平台上运行速度极快。在快速候选者中，BLAKE拥有较高的已公布安全级别，即已公布的最佳攻击仅能作用于总轮数的一小部分。不过，针对BLAKE - 32（共10轮）的约减轮压缩函数和密钥置换的攻击较少。

1.1 前人工作

• Ji和Liangyu对BLAKE - 32的2.5轮压缩函数进行了碰撞和原像攻击。
• Su等人以 $2^{21}$ 次压缩函数调用的复杂度找到了4轮的近碰撞。
• Aumasson等人以 $2^{56}$ 的复杂度找到了4轮压缩函数的近碰撞，并给出了5轮密钥置换的不可能差分。

1.2 本文贡献

• 展示了对约减轮BLAKE - 32的各种回旋镖区分器。基于BLAKE - 32在2轮和3轮存在高概率差分轨迹（2轮概率为 $2^{-1}$，3轮概率为 $2^{-7}$），并可将3轮轨迹扩展到4轮。
• 利用这些轨迹构建了对最多8轮约减密钥置换的回旋镖区分器，并将回旋镖区分器的概念扩展到哈希函数，这是标准回旋镖首次应用于哈希函数。
• 展示了如何从回旋镖得到更简单的零和区分器，并给出了BLAKE - 32的4、5、6轮的此类区分器。
• 最终得到了BLAKE - 32的7轮压缩函数的回旋镖区分器。