Trong trường hợp SHA-1 cỏc bit được đan xen với nhau và do đú ta khụng thể
chia mở rộng thành 32 mở rộng con. Dự sao, tớnh bất biến (invariance) bằng việc dịch chuyển vẫn đỳng. Vỡ vậy, ta vẫn cú thể suy ra 5 corrective mask (mặt che
điều chỉnh) từ một perturbative mask (mặt che xỏo trộn), sử dụng cỏch xõy dựng của phần 1.
Chớnh xỏc hơn, cho trước một perturbative mask M0 là đầu ra của E1. Biểu thức (3) và (7) vẫn xảy ra, và mặt che xõy dựng được M được xỏc định bởi (8) lại là đầu ra của E1.
Việc tỡm perturbative mask M0 cú thể thực hiện bằng cỏc cụng cụ lý thuyết mó (coding theory tools) [3], bởi mặt che được xem như một từ mó cú trọng số thấp (low-weight codeword) của mở rộng. Thực hiện tỡm kiếm như vậy trờn E1 dẫn tới một số từ mó rất ngắn so với số chiều của mó (dimension of code). Tuy nhiờn, với xỏc suất rất cao, khụng cú từ mó cú trọng số nhỏ hơn 100 tồn tại trong E1, mà thoả
món cỏc ràng buộc (xem phần 1), trong khi đú vẫn tồn tại từ mó cú trọng số 27 trong E0.
Do mỗi bit của perturbative mask M0 đem lại ớt nhất thừa số 1/4 trong xỏc suất thành cụng tổng, tấn cụng của chỳng ta vỡ thế sẽ khụng cú hiệu quả với SHA-1.
Dự sao, vẫn cũn một bài toỏn mở là xem cỏc differential mask (mặt che vi sai) cú tồn tại hay khụng trong trường hợp của SHA-1, bởi vỡ tấn cụng của chỳng tụi xõy dựng cỏc mặt che rất đặc biệt.
4. Kết luận
Chỳng tụi đó phỏt triển một kiểu tấn cụng mới trờn cỏc hàm SHA, mà kết quả thu
được tốt hơn tấn cụng nghịch lý ngày sinh cổ điển trờn SHA-0. Tấn cụng này cú liờn quan tới thỏm mó vi sai nổi tiếng [1] trong đú nú thực hiện tỡm kiếm một số
loại mặt che đặc trưng (characteristic masks) mà cú thể cộng với từđầu vào thỡ với xỏc suất khụng tầm thường sẽ khụng làm thay đổi đầu ra của hàm nộn. Mở rộng của SHA-1 dường nhưđược thiết kếđể chống lại kiểu tấn cụng này, do đú nú tăng mức độ tin cậy trong chuẩn này.
Lời cảm ơn
Chỳng tụi muốn cảm ơn Matthew Robshaw và những trọng tài về những phờ bỡnh, nhận xột cú giỏ trị và cỏc cải tiến cho bài bỏo này.
Tài liệu tham khảo
1. E. Biham, và A.Shamir. Cryptanalysis of Full 16-Round DES, CRYPTO’92 LNCS 740, pp 487-496, 1993. 71
2. B. den Boer, và A. Bosselasers. Collisions for the compression function of MD5, EUROCRYPT’93 LNCS 773, pp 293-304, 1994. 56
3. A. Canteaut, và F. Chabaud. A new algorithm for finding minimum-weight words in a linear code: Application to primitive narrow-sense BCH codes of length 511, IEEE Trans. Inform. Thoery, IT-44(1), pp 367-378, Jan. 1998. 70
4. H. Dobbertin. Cryptanalysis of MD4, Fast SoftEncryption LNCS 1039, pp 53-69, 1996. 56
5. R. Rivest. The MD4 Message-Digest Algorithm, CRYPTO’90 LNCS 537, pp303-311, 1991. 56
6. R. Rivest. The MD5 Message-Digest Algorithm, Network Working Group
Request for Comments: 1321, April 1992.
http://theory.lcs.mit.edu/~rivest/Rivest-MD5.txt 56
7. Secure Hash Standard. Federal Information Processing Standard Publication #180, U.S. Deparment of Commerce, National Institute of Standards and Technology, 1993. 56, 57, 71
8. Secure Hash Standard. Federal Information Processing Standard Publication #180-1, U.S. Deparment of Commerce, National Institute of Standards and Technology, 1995 (phần tiếp theo của [7]). 56