Schimbarea numărului de runde în ultima compresie ar preveni atacul de extindere a lungimii?

LightBit

06.01.2023, 18:49

Să presupunem că avem o funcție hash MerkleâDamgÃ¥rd. Presupunând că funcția de compresie o acceptă și este la fel de sigură cu mai multe runde.

Schimbarea numărului de runde (de exemplu dublarea lor) pentru compresia ultimului bloc de criptare ar preveni atacul de extensie a lungimii?

1 + 4

lungime-extensie

merkle-damgaard

fgrieu

06.01.2023, 19:33

În teorie, o funcție hash Merkle-DamgÃ¥rd nu utilizează neapărat runde. Și funcția sa de compresie vine în mai multe structuri comune, niciuna dintre care nu are o noțiune directă de runde. Vrei să spui mai multe runde într-o funcție de criptare repetată a funcției de compresie [Davies-Meyer](https://en.wikipedia.org/wiki/One-way_compression_function#Davies%E2%80%93Meyer) a unor Merkle-DamgÃ¥ funcția hash rd?

Răspunde

LightBit

06.01.2023, 20:41

@fgrieu Am avut în minte Matyas-Meyer-Oseas.

Răspunde

fgrieu

06.01.2023, 20:51

Cel puțin [Matyas-Meyer-Oseas](https://en.wikipedia.org/wiki/One-way_compression_function#Matyas%E2%80%93Meyer%E2%80%93Oseas) specifică XOR (că exemplul de contor din mine răspunsul trebuie să fie eliminat), și în aceasta este similar cu Davies-Meyer. Iar blocul suplimentar în comparație cu Davies-Meyer pare să protejeze și mai mult împotriva atacului. Dar „mai multe runde” rămâne destul de vag, chiar dacă presupunem că cifrul bloc folosit are rotunde. Așadar, ar fi bine să fiu sigur decât să îmi pare rău și să nu fac declarații sigure până la noi precizări.

Răspunde

LightBit

06.01.2023, 21:10

Putem presupune că cifrul bloc are constante rotunde diferite pentru fiecare rundă. Apelarea cifrului bloc de două ori, știu că nu ar funcționa, deoarece ar fi la fel cu adăugarea de zerouri la sfârșitul mesajului. O altă posibilitate ar putea fi să faceți $E_0(h) \oplus h$ (la final, comutați la Davies-Meyer și folosiți toate tastele zero pentru a masca ieșirea).

Răspunde

Puncte:1

Crypto

fgrieu

06.01.2023, 19:53

Întrebarea lasă de ghicit ce este funcția de compresie și cum folosește rundele. Asta fiind nespecificat, Nu, creșterea numărului de runde în ultima funcție de compresie nu este garantată pentru a preveni atacul de extensie a lungimii, chiar dacă funcția de compresie este schimbată și mai degrabă îmbunătățită prin adăugarea mai multor runde la aceasta.

Dovada prin contraexemplu: modificați SHA-512 prin

eliminând OR-ul exclusiv la sfârșitul fiecărei funcție de compresie, utilizând efectiv cifrul bloc al Davies-Meyer funcția de compresie direct ca funcție de compresie;
și modificarea programului de cheie al acelui cifru, astfel încât acesta să se repete după numărul de runde utilizate în cifrul bloc al funcției de compresie (dar acel cifru bloc este altfel sigur)
și dublarea numărului de runde din acel cifru bloc în ultima funcție de compresie, reutilizand aceleași constante ca în prima jumătate

Această combinație are efectiv de două ori ultimul bloc al mesajului extins și folosește o funcție de compresie reversibilă. Asta lasă hașul slăbit teoretic în fața unor atacuri, dar încă de neîntrucat din toate punctele de vedere practice. Și asta îl face vulnerabil la atacul de extindere a lungimii în unele cazuri. De exemplu, atunci când intrarea necunoscută este un bloc de mesaje (128 de octeți) și știm că este hash, putem calcula cu siguranță hash-ul unei intrări de 3 blocuri (384 de octeți) începând cu originalul, urmat de dublul celui cunoscut. bloc egal cu blocul de umplutură al SHA-512 pentru intrare de 128 de octeți.

Pe de altă parte, dacă modificarea pe care o facem în ultima funcție de compresie face ca aceasta să nu aibă nicio legătură cu compresia normală, da, suntem în mod demonstrat în siguranță de atacul de extensie a lungimii. Schimbarea constantelor utilizate la fiecare rundă a cifrului bloc al unui Davies-Meyer sau Matyas-Meyer-Oseas Funcția de compresie ca în SHA-2 (fără a schimba numărul de runde) ar face, dincolo de orice îndoială rezonabilă. La fel ar fi dublarea numărului de runde și utilizarea de noi constante în a doua jumătate. Nu fac nicio declarație despre dublarea numărului de runde cu aceleași constante.

0 + 0

SEF 777

întrebarea această in alte limbi:

EN: Would changing number of rounds in last compression prevent length extension attack?

TH: การเปลี่ยนจำนวนรอบในการบีบอัดครั้งสุดท้ายจะป้องกันการโจมตีแบบขยายความยาวหรือไม่

RO: Schimbarea numărului de runde în ultima compresie ar preveni atacul de extindere a lungimii?

RU: Предотвратит ли изменение количества раундов в последнем сжатии атаку расширения длины?

VI: Việc thay đổi số vòng trong lần nén cuối cùng có ngăn chặn cuộc tấn công mở rộng độ dài không?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.