Ruhr- Ruhr- Universit Universit ät ät Bochum Bochum Fakultät für Mathematik Fakultät für Mathematik Informationssicherheit und Informationssicherheit und Kryptologie Kryptologie Which Hash Which Hash Functions Functions will survive? will survive? Xiaoyun Wang Xuejia Lai Magnus Daum Shanghai Shanghai Jiaotong Jiaotong University University Shandong Shandong University University Ruhr University Ruhr University Bochum Bochum
23
Embed
Ruhr- Universität Bochum Fakultät für Mathematik Informationssicherheit und Kryptologie Which Hash Functions will survive? Xiaoyun Wang Xuejia Lai Magnus.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Ruhr-Ruhr-UniversitätUniversitätBochumBochumFakultät für MathematikFakultät für Mathematik
Informationssicherheit und KryptologieInformationssicherheit und Kryptologie
Which Hash FunctionsWhich Hash Functions
will survive?will survive?Xiaoyun Wang Xuejia Lai Magnus Daum
Ruhr-Ruhr-UniversitätUniversitätBochumBochumFakultät für MathematikFakultät für Mathematik
Informationssicherheit und KryptologieInformationssicherheit und Kryptologie
General StructureGeneral Structure
• Iterated Compression Functions
collision-resistance of the compression function
collision-resistance of the hash function
05.11.2004 Which Hash Functions will survive? 12
Ruhr-Ruhr-UniversitätUniversitätBochumBochumFakultät für MathematikFakultät für Mathematik
Informationssicherheit und KryptologieInformationssicherheit und Kryptologie
Common Structure of theCommon Structure of the Compression FunctionsCompression Functions
Message Expansion
05.11.2004 Which Hash Functions will survive? 13
Ruhr-Ruhr-UniversitätUniversitätBochumBochumFakultät für MathematikFakultät für Mathematik
Informationssicherheit und KryptologieInformationssicherheit und Kryptologie
Different Message ExpansionsDifferent Message Expansions
MD / RIPEMD• roundwise permu-
tations of the Mi
SHA• recursive definition
e.g. SHA-1:
05.11.2004 Which Hash Functions will survive? 14
Ruhr-Ruhr-UniversitätUniversitätBochumBochumFakultät für MathematikFakultät für Mathematik
Informationssicherheit und KryptologieInformationssicherheit und Kryptologie
Step OperationStep Operation
SHA-0/1:MD5:
• Only 1 register changed per step• Mixture of different kinds of operations
05.11.2004 Which Hash Functions will survive? 15
Ruhr-Ruhr-UniversitätUniversitätBochumBochumFakultät für MathematikFakultät für Mathematik
Informationssicherheit und KryptologieInformationssicherheit und Kryptologie
Attack MethodsAttack Methods
05.11.2004 Which Hash Functions will survive? 16
Ruhr-Ruhr-UniversitätUniversitätBochumBochumFakultät für MathematikFakultät für Mathematik
Informationssicherheit und KryptologieInformationssicherheit und Kryptologie
• collision-resistance:„Find M‘M such that h(M‘)=h(M)“ is infeasible„Find M‘M such that h(M‘)=h(M)“
• Three different kinds of (successfull) attacks:– Dobbertin (1995/96)– Chabaud/Joux (1998),
Biham/Chen(2004),Joux(2004)
– Wang/Feng/Lai/Yu (2004)
Collision AttacksCollision Attacks
05.11.2004 Which Hash Functions will survive? 17
Ruhr-Ruhr-UniversitätUniversitätBochumBochumFakultät für MathematikFakultät für Mathematik
Informationssicherheit und KryptologieInformationssicherheit und Kryptologie
Dobbertin‘s AttacksDobbertin‘s Attacks
• Idea: Describe the whole compression functions by the means of a huge system of equations
• Variables: Equations:– Message words - Step operation– Contents of the registers - Message Expansion
- Collision
• Equations include many very different kinds of operations, e.g. F2-linear, „modulo 232“ operations and bitwise defined Boolean functionsHard to solve with algebraic meansSpecial methods are needed
05.11.2004 Which Hash Functions will survive? 18
Ruhr-Ruhr-UniversitätUniversitätBochumBochumFakultät für MathematikFakultät für Mathematik
Informationssicherheit und KryptologieInformationssicherheit und Kryptologie
Example: Attack on MD5Example: Attack on MD5
• Find with•
• Each Mi is used in exactly four steps in the computation
• Choose and for all other i
• Computations run in parallel to each other up to the first appearance of i 0
• Another special restriction:Require Inner Collisions
i=0
i=0
i=0
150
150
150
150
M 6 fM hM h fM
fM ¡ M fM i M i
05.11.2004 Which Hash Functions will survive? 19
Ruhr-Ruhr-UniversitätUniversitätBochumBochumFakultät für MathematikFakultät für Mathematik
Informationssicherheit und KryptologieInformationssicherheit und Kryptologie