Bart Preneel, René Govaerts, Joos Vandewalle CRYPTO’93, pp. 368-378
Tóm tắt:Việc thiết kế các hàm băm dựa trên mã khối đ−ợc nghiên cứu khi độ dài của giá trị băm bằng với độ dài khối của mã khối và khi độ dài khoá xấp xỉ bằng độ dài khối. Mô hình tổng quát đ−ợc trình bày, và chỉ ra rằng mô hình này bao gồm 9 l−ợc đồ đã xuất hiện tr−ớc đây trong tài liệu in. Trong mô hình tổng quát đó, tồn tại 64 l−ợc đồ có thể, và chỉ ra rằng 12 trong chúng là an toàn, chúng có thể đ−a về 2 lớp dựa trên các biến đổi tuyến tính của các biến. Tính chất của 12 l−ợc đồ này t−ơng ứng với tính yếu của mã khối nằm trong đã đ−ợc nghiên cứu. Cũng ph−ơng pháp này có thể mở rộng để nghiên cứu các hàm băm có khoá (MAC’s) dựa trên mã khối và các hàm băm dựa trên phép tính modulo. Cuối cùng, một tấn công mới đ−ợc trình bày đối với l−ợc đồ đ−ợc đề nghị bởi R. Merkle.
1. Mở đầu
Các hàm băm là các hàm nén đầu vào có độ dài bất kỳ thành một xâu có độ dài cố định. Nó là khối kiến trúc cơ bản cho các ứng dụng mật mã giống nh− bảo vệ tính toàn vẹn dựa trên “dấu vân tay” hay l−ợc đồ chữ ký số. Các yêu cầu mật mã đã đ−ợc đặt lên hàm băm là [4, 5, 19, 27, 28]:
tính một chiều: theo nghĩa này, khi cho X và h(X), sẽ “khó” tìm đ−ợc một tạo ảnh thứ hai, tức là bản tin X’≠ X sao cho h(X’) = h(X),
chống va chạm: “khó” tìm đ−ợc va chạm, tức là hai biến khác nhau sao cho có cùng giá trị băm.
Lý do chính để kiến thiết hàm băm dựa trên mã khối là cực tiểu hoá việc thiết kế và nỗ lực cài đặt. Thiết kế một cấu trúc an toàn là bài toán khó; điều này đ−ợc minh hoạ bằng một số lớn các l−ợc đồ đã bị phá vỡ [23, 27].
Kiến thiết đầu tiên cho các hàm băm dựa trên mã khối là các hàm băm nhằm sử dụng DES [10]. Trong tr−ờng hợp này, kích th−ớc của giá trị băm (64 bit) bằng với độ dài khối của mã khối và kích th−ớc của khoá (56 bit) là xấp xỉ bằng độ dài khối. Các hàm băm dạng này sẽ đ−ợc nghiên cứu trong tóm tắt mở rộng này. Các kiến thiết về sau cho các hàm băm chống va chạm đã đ−ợc phát triển dựa trên DES; trong tr−ờng hợp này đòi hỏi rằng kích th−ớc của giá trị băm ít nhất là 112..128 bit (vì tấn công ngày sinh [33]). Các ví dụ về các l−ợc đồ không bị phá vỡ có thể tìm thấy trong [20, 22]. Công trình gần đây xem xét việc kiến thiết các hàm băm nếu độ dài khoá gấp đôi độ dài khối [17], và nếu khoá đ−ợc coi là không đổi [26]. Các kiến thiết ban đầu vẫn còn là thú vị bởi vì đối với một số ứng dụng, một hàm băm một chiều là đủ. Hơn nữa, chúng có thể dẫn đến một hàm băm chống lại va chạm nếu mã khối cùng với độ dài khoá đủ lớn là có thể.