78、串联 DM 在理想密码模型中的碰撞安全性分析

串联 DM 在理想密码模型中的碰撞安全性分析

1. 引言

在密码学领域，哈希函数的安全性至关重要。串联 DM（Tandem - DM）作为一种哈希函数构造，其安全性分析一直是研究的重点。此前关于串联 DM 安全性的研究存在错误，下面将详细介绍新的证明方法，以展示其在理想密码模型中的碰撞抗性。

2. 旧证明的问题

旧的 FGL 证明方法存在明显问题。在进行情况分析时，直接使用自由查询，且将其与特定情况绑定。这种临时添加自由查询的方式，无法对自由查询进行恰当统计。例如，若自由查询是新的，可能在其他地方引发碰撞或其他不良事件；若该查询之前已被询问过，则无法从中获取新的随机性。

3. 新证明思路

新证明采用了一种标准框架：
1. 修改敌手 ：对碰撞查找敌手进行修改，为其提供一些“免费”查询。
2. 情况分析 ：通过情况分析来限制修改后敌手成功的概率。

这种方法能轻松限制免费查询的数量，以及查询（免费或非免费）引发碰撞的概率。

4. 主要结果

设 $N = 2^n$，$q < N/2$，$N’ = N - 2q$，$\alpha$ 为整数且 $1 \leq \alpha \leq 2q$，则有：
[Adv_{T - DM}^{coll}(q) \leq 2N \left(\frac{2eq}{\alpha N’}\right)^{\alpha} + \frac{4q\alpha}{N’} + \frac{4q}{N’}]

该定理给出了串联 DM 碰撞