5、简化Grøstl压缩函数的改进密码分析

简化Grøstl压缩函数的改进密码分析

在密码学领域，针对哈希函数和分组密码的攻击技术一直是研究的热点。本文将介绍两种新的攻击技术，它们可用于对Grøstl、ECHO等SHA - 3候选算法以及AES分组密码进行攻击，这些技术改进并扩展了反弹攻击。

1. 攻击阶段分析

在对Grøstl - 256的攻击中，前两个阶段与反弹攻击本质上做着相同的工作，但所需操作更少。平均而言，反弹攻击每个有效候选值约需一次操作，而此步骤总共需要$2^{64}$次操作。在此，需重复该过程$2^{5.5}$次才能找到一个解，且每次迭代仅需进行几次表查找。因此，平均约进行一次Grøstl - 256计算就能找到截断差分路径$1 → 8 → 64 → 8$的一个解。

到了第三阶段，$SB_{in}^2$和$SB_{out}^4$的差异似乎不能再随意选择。不过，通过观察发现可以对$SB_{in}^2$的差异进行一定控制。具体操作如下：
- 设$S$是$SB_{in}^3$的一个64字节解（在第二阶段结束时找到），用$(a, b)[i,j]$表示$S$中第$i$行第$j$列的字节对。
- 从图中可知，$SB_{in}^2$的活动字节位于第一列，且$SB_{in}^2$第$j$行活动字节的差异仅取决于$MB_{out}^2$（或$SB_{in}^3$）第$j$列的字节对。
- 已知$(a, b)[0,j], …, (a, b)[7,j]$是该列的有效解，交换任意一对中的$a$和$b$仍能保持候选值的有效性。

这样，$SB_{in}^3$每列的一个解实际上能提供$2^8$个有效候选值。每个解都会在对应的$SB_{in}^2[j, 0]$活动字节上产生一个随机差异，且