75、基于多项式操作模式的多属性保留域扩展

基于多项式操作模式的多属性保留域扩展

在密码学领域，构建安全的哈希函数是一项至关重要的任务。传统的Merkle - Damgård变换虽然在构建哈希函数方面应用广泛，但也存在一些安全隐患。本文将介绍一种新的双管道操作模式，它在多属性保留域扩展方面具有显著优势。

1. 背景与动机

Merkle - Damgård变换是从固定大小压缩函数构建密码哈希函数的常用方法。它的一个主要优点是，通过适当的填充算法可以保留碰撞抗性，这使得人们可以专注于构建安全的压缩函数。然而，Joux指出，如果底层压缩函数的碰撞计算变得可行，那么哈希函数可能会出现比预期更严重的问题。例如，对于基于n位输出压缩函数的哈希函数，找到t - 多碰撞的复杂度仅为$O(2^{n/2} \log t)$，远小于理想随机函数所需的$O(2^{(t - 1)n/t})$。这一发现引发了一系列通用攻击，如长消息第二原像攻击和羊群攻击。

Lucks观察到，通过增加内部状态的大小可以缓解这些弱点，并认为内部状态大小应被视为一个独立的安全参数。为了解决构建大输出大小安全压缩函数的困难，Lucks提出在双管道模式中使用“窄”压缩函数。Yasuda随后对双管道操作模式的安全性进行了严格分析，证明了Lucks的双管道操作模式在一定查询复杂度内可以保留不可伪造性、不可区分性和不可区分性。

然而，Lucks的压缩函数需要两次应用一个（相当强大的）原语，这是一个缺点。Stam最近提出了一类宽管道压缩函数，只需要对一个相等的原语进行一次调用，我们称之为基于多项式的压缩函数。本文将分析使用Stam的基于多项式的压缩函数的双管道模式的安全属性，重点关注消息认证码（MAC）保留、伪随机函数（PRF）保留和伪随机预言机（PRO）保留。