Introductionto Modern Cryptograph 第四章部分课后题答案（下）

Acknowledge
致敬Katz J, Lindell Y. Introduction to modern cryptography[M]. Chapman and Hall/CRC, 2014. 推荐该书正版。

4.10 Provide formal definitions for second pre-image resistance and pre-image resistance. Formally prove that any hash function that is collision resistant is second pre-image resistant, and that any hash function that is second pre-image resistant is pre-image resistant.

The second pre-image finding experiment:

• A key $s$ is generated by running $\mathsf{G}\mathsf{e}\mathsf{n}(1^{\lambda })$. Pick $x\leftarrow \mathcal{X}$ uniformly at random.
• The adversary $\mathcal{A}$ is given $s$ and $x$ and outputs $x^{\prime }$.
• $\mathcal{A}$ wins the game iff $x$ ≠ $x^{\prime }$ and $H^s(x)=H^s(x^{\prime })$.

(Definition). A hash function $\Pi =(\mathsf{G}\mathsf{e}\mathsf{n},H)$ is second pre-image resistant if for all probabilistic polynomial-time adversaries $\mathcal{A}$ there exists a negligible function $\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}$ such that
$$\mathrm{P}\mathrm{r}[\mathcal{A}\text{wins}]\le \mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}(\lambda ).$$
注意，上述定义使用定义域符号$\mathcal{X}$代替 { 0 , 1 } ∗ \{0, 1\}^* {0,1}∗或者 { 0 , 1 } ℓ ′ ( λ ) \{0, 1\}^{\ell'(\lambda)} {0,1}ℓ′(λ)，不关心$\Pi$是定长输入还是不定长输入。其次，$s$的值已经给予$\mathcal{A}$，它可以自己计算$H^s(\cdot )$，无需额外提供谕言机$\mathcal{O}$。

The pre-image finding experiment:

• A key $s$ is generated by running $\mathsf{G}\mathsf{e}\mathsf{n}(1^{\lambda })$. Pick y ← { 0 , 1 } ℓ ( λ ) y \gets \{0, 1\}^{\ell(\lambda)} y←{0,1}ℓ(λ) uniformly at random.
• The adversary $\mathcal{A}$ is given $s$ and $y$ and outputs $x$.
• $\mathcal{A}$ wins the game iff $H^s(x)=y$.

(Definition). A hash function $\Pi =(\mathsf{G}\mathsf{e}\mathsf{n},H)$ is pre-image resistant if for all probabilistic polynomial-time adversaries $\mathcal{A}$ there exists a negligible function $\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}$ such that
$$\mathrm{P}\mathrm{r}[\mathcal{A}\text{wins}]\le \mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}(\lambda ).$$

证明部分省略。

---

4.11 Let $({\mathsf{G}\mathsf{e}\mathsf{n}}_1,H_1)$ and $({\mathsf{G}\mathsf{e}\mathsf{n}}_2,H_2)$ be two hash functions. Define $(\mathsf{G}\mathsf{e}\mathsf{n},H)$ so that $\mathsf{G}\mathsf{e}\mathsf{n}$ runs ${\mathsf{G}\mathsf{e}\mathsf{n}}_1$ and ${\mathsf{G}\mathsf{e}\mathsf{n}}_2$ to obtain keys $s_1$ and $s_2$, respectively. Then define $H^{s_1,s_2}(x)=H^{s_1}(x)\Vert H^{s_2}(x)$.

• Prove that if at least one of $({\mathsf{G}\mathsf{e}\mathsf{n}}_1,H_1)$ and $({\mathsf{G}\mathsf{e}\mathsf{n}}_2,H_2)$ is collision resistant, then $(\mathsf{G}\mathsf{e}\mathsf{n},H)$ is collision resistant.
• Determine whether an analogous claim holds for second pre-image resistance and pre-image resistant, respectively. Prove your answer in each case.

假设$(\mathsf{G}\mathsf{e}\mathsf{n},H)$不能抗碰撞，则有$(x,x^{\prime })$使得$H_1^{s_1}(x)\Vert H_2^{s_2}(x)=H_1^{s_1}(x^{\prime })\Vert H_2^{s_2}(x^{\prime })$，即$H_1^{s_1}(x)=H_1^{s_1}(x^{\prime })$且$H_2^{s_2}(x)=H_2^{s_2}(x^{\prime })$，这相当于找到$({\mathsf{G}\mathsf{e}\mathsf{n}}_1,H_1)$的一对碰撞与$({\mathsf{G}\mathsf{e}\mathsf{n}}_2,H_2)$的一对碰撞，该结论与题设矛盾，故假设不成立，即$(\mathsf{G}\mathsf{e}\mathsf{n},H)$是抗碰撞的。

正式安全性规约证明需要证明如下式子成立：
$$\mathrm{P}\mathrm{r}[\mathcal{A}\text{wins}]\le \mathrm{P}\mathrm{r}[(\mathcal{A}\text{wins})\wedge (H_1\text{抗碰撞})]+\mathrm{P}\mathrm{r}[(\mathcal{A}\text{wins})\wedge (H_2\text{抗碰撞})]\le {\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}}_1(\lambda )+{\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}}_2(\lambda )，$$
此处省略正式安全性规约证明。

假设$(\mathsf{G}\mathsf{e}\mathsf{n},H)$不满足抗第二原象性，则给定$x$能够找到$x^{\prime }$使得$H_1^{s_1}(x)\Vert H_2^{s_2}(x)=H_1^{s_1}(x^{\prime })\Vert H_2^{s_2}(x^{\prime })$，这相当于给定$x$能够找到$({\mathsf{G}\mathsf{e}\mathsf{n}}_1,H_1)$的第二原象与$({\mathsf{G}\mathsf{e}\mathsf{n}}_2,H_2)$的第二原象，该结论与题设矛盾，故假设不成立，即$(\mathsf{G}\mathsf{e}\mathsf{n},H)$是满足抗第二原象性的。

具体地，需证明如下式子成立：
$$\mathrm{P}\mathrm{r}[\mathcal{A}\text{wins}]\le \mathrm{P}\mathrm{r}[(\mathcal{A}\text{wins})\wedge (H_1\text{抗第二原象})]+\mathrm{P}\mathrm{r}[(\mathcal{A}\text{wins})\wedge (H_2\text{抗第二原象})]\le {\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}}_1(\lambda )+{\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}}_2(\lambda )，$$

先证明$\mathrm{P}\mathrm{r}[(\mathcal{A}\text{wins})\wedge (H_1\text{抗第二原象})]\le {\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}}_1(\lambda )$，假设有一个PPT敌手${\mathcal{A}}_1$试图赢得$H_1$抗第二原象性挑战游戏，其编码如下，

• 从${\mathcal{C}}_1$处得到$s_1$，计算$s_2\leftarrow {\mathsf{G}\mathsf{e}\mathsf{n}}_2(1^{\lambda })$，随机挑选$x\leftarrow \mathcal{X}$，将$s_1$、$s_2$与$x$交予$\mathcal{A}$。
• 从$\mathcal{A}$处得到$x^{\prime }$，若$x^{\prime }$不等于$x$且$H_1^{s_1}(x)=H_1^{s_1}(x^{\prime })$，则将$x^{\prime }$提交给${\mathcal{C}}_1$，否则输出$\perp$。

假设$\mathcal{A}$以不可忽略概率赢得$H$抗第二原象性挑战游戏，分析${\mathcal{A}}_1$赢得$H_1$抗第二原象性挑战游戏的概率：因定义域为 { 0 , 1 } ℓ ′ ( λ ) \{0, 1\}^{\ell'(\lambda)} {0,1}ℓ′(λ)，而值域为 { 0 , 1 } ℓ ( λ ) \{0, 1\}^{\ell(\lambda)} {0,1}ℓ(λ)，由鸽巢原理可知，随机挑选的$x$至少以$1-2^{\ell (\lambda )-{\ell }^{\prime }(\lambda )}$概率存在第二原象，令$y=H_1^{s_1}(x)$，其对应有$c_y$个原像，又由于$x$是随机挑选，这$c_y$个原像被抽中的概率相同，则$\mathrm{P}\mathrm{r}[x=x^{\prime }]=1/c_y$，则$\mathcal{A}$不会输出$\perp$的概率至少为
$$(1-\frac{2^{\ell (\lambda )}}{2^{{\ell }^{\prime }(\lambda )}})\cdot \frac{c_y-1}{c_y}，$$
上述式子乘以不可忽略函数仍然是不可忽略函数，已假设$\mathcal{A}$以不可忽略概率赢得$H$抗第二原象性挑战游戏，则${\mathcal{A}}_1$以不可忽略概率赢得$H_1$抗第二原象性挑战游戏，这与条件$H_1$抗第二原象相矛盾，故假设不成立，$\mathcal{A}$赢得$H$抗第二原象性挑战游戏的概率可忽略。

同样易证$\mathrm{P}\mathrm{r}[(\mathcal{A}\text{wins})\wedge (H_2\text{抗第二原象})]\le {\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}}_2(\lambda )$。

抗原象性证明类似。

---

4.12 Let $(\mathsf{G}\mathsf{e}\mathsf{n},H)$ be a collision-resistant hash function. Is $(\mathsf{G}\mathsf{e}\mathsf{n},\hat{H})$ defined by ${\hat{H}}^s(x)\stackrel{\text{set}}{=}{H}^s(H^s(x))$ necessarily collision resistant?

假设$(\mathsf{G}\mathsf{e}\mathsf{n},\hat{H})$不能抗碰撞，则能够找到$(x_1,x_2)$使得${\hat{H}}^s(x_1)={\hat{H}}^s(x_2)$。记$h_1=H^s(x_1)$与$h_2=H^s(x_2)$，此时分为两种情况：(1) $h_1$和$h_2$要么相等；(2) $h_1$和$h_2$要么不相等。对于情形(1)，意味着$(x_1,x_2)$是$(\mathsf{G}\mathsf{e}\mathsf{n},H)$的一对碰撞；对于情形(2)，意味着$(h_1,h_2)$是$(\mathsf{G}\mathsf{e}\mathsf{n},H)$的一对碰撞。上述无论哪一种情形，都能找到$(\mathsf{G}\mathsf{e}\mathsf{n},H)$的一对碰撞，与题设相矛盾，故假设不成立。

正式安全性规约证明时需要证明如下式子成立：
$$\begin{array}{rl}\mathrm{P}\mathrm{r}[\mathcal{A}\text{wins}]& =\mathrm{P}\mathrm{r}[(\mathcal{A}\text{wins})\wedge (h_1\text{is equal to}{h}_2)]+\mathrm{P}\mathrm{r}[(\mathcal{A}\text{wins})\wedge (h_1\text{isn’t equal to}{h}_2)]\\ & \le {\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}}_1(\lambda )+{\mathsf{n}\mathsf{e}\mathsf{g}\mathsf{l}}_2(\lambda )。\end{array}$$

---

4.15 For each of the following modifications to the Merkle-Damgard transform, determine whether the result is collision resistant or not. If yes, provide a proof; if not, demonstrate an attack.

• Modify the construction so that the input length is not included at all (i.e., output $z_B$ and not $z_{B+1}=h^s(z_B\Vert L)$).
• Modify the construction so that instead of outputting $z=h^s(z_B\Vert L)$, the algorithm outputs $z_B\Vert L$.
• Instead of using a fixed $IV$, choose I V ← { 0 , 1 } n IV \gets \{0, 1\}^n IV←{0,1}n and define $z_0:=IV$. Then set the output to be $IV\Vert h^s(z_B\Vert L)$.
• Instead of using an $IV$, just start the computation from $x_1$. That is, define $z_1:=x_1$ and then compute $z_i:=h^s(z_{i-1}\Vert x_i)$ for $i=2,\dots ,B+1$ and output $z_{B+1}$ as before.
• Instead of using a fixed $IV$, set $z_0:=L$ and then compute $z_i:=h^s(z_{i-1}\Vert x_i)$ for $i=1,\dots ,B$ and output $z_B$.

技巧点. THEOREM 4.14的证明分为2种情形：① $L$不等于$L^{\prime }$；或② $L$等于$L^{\prime }$。

第(1)小题，留意哈希值没有包含长度$L$的任何信息，即直接输出$z_B$。当$L$不等于$L^{\prime }$时，失去了$h^s(z_B\Vert L)=h^s(z_B^{\prime }\Vert L^{\prime })$这一关键点，Case 1无法正确规约（回顾书中原文），直觉上该方案是无法抗碰撞的。接下来具体分析，为何该方案无法抗碰撞。留意当$m$长度不足$n$的倍数时是需要用$0$进行填充的，当没有约定长度$L$时，$m=0^{\ell (n)-1}$与$m^{\prime }=0^{\ell (n)}$的哈希值$z_B$和$z_B^{\prime }$是一样的（若加上$z_{B+1}$，因长度$L$的不同，最终两者的哈希值不同）。

第(2)小题，方案是抗碰撞的，注意THEOREM 4.14的证明分为2种情形，当将$L$作为哈希值的一部分直接输出时，敌手的攻击只能对应THEOREM 4.14证明的第二种情形，即$L=L^{\prime }$（第一种情形直接不用再考虑，两个长度不同的消息，该方案生成的哈希值必然不同，该情形不会产生碰撞），已知该情形敌手成功伪造的概率可忽略，故该方案抗碰撞。该方案虽然抗碰撞，但是长度是原方案的2倍。

第(3)小题，方案是抗碰撞的，证明类似THEOREM 4.14的证明（书中原文已经提示The value $z_0$ used in step 2 of Construction 4.13 is arbitrary and can be replaced by any constant.）。该方案虽然抗碰撞，但是生成随机变量太耗时了（密码学意义上的随机变量生成算法很耗时间）。

第(4)小题，方案是抗碰撞的，证明类似THEOREM 4.14的证明。

第(5)小题，方案是抗碰撞的。证明思路如下：
① 当$L$不等于$L^{\prime }$时，若$z_1=z_1^{\prime }$，直接找到$h$的碰撞；否则，必存在$z_i$不等于$z_i^{\prime }$而$z_{i+1}$等于$z_{i+1}^{\prime }$，从而找到$h$的碰撞，这与$h$是抗碰撞的前提相矛盾。
② 当$L$等于$L^{\prime }$时，必存在$x_i$不等于$x_i^{\prime }$，对于$j\ge i-1$，必然存在$z_j$不等于$z_j^{\prime }$而$z_{j+1}$等于$z_{j+1}^{\prime }$，从而找到$h$的碰撞。
该方案抗碰撞，并且对于 h : { 0 , 1 } 2 ℓ ( n ) → { 0 , 1 } ℓ ( n ) h:\{0,1\}^{2\ell(n)}\to\{0,1\}^{\ell(n)} h:{0,1}2ℓ(n)→{0,1}ℓ(n)貌似$H$少了1次哈希运算，相比原方案会更优。但考虑如下情形：哈希函数$h$的定义域为 { 0 , 1 } ℓ ( n ) + c \{0,1\}^{\ell(n)+c} {0,1}ℓ(n)+c，而$c>\ell (n)$，此时原方案对比新方案，可以处理长度更大的消息，即$x_i$的比特串长度为$c$，并且总长度$L$的编码比特串长度为$c$。

---

4.17 Before HMAC was invented, it was quite common to define a MAC by ${\mathsf{M}\mathsf{a}\mathsf{c}}_k(m)=H^s(k\Vert m)$ where $H$ is a collision-resistant hash function. Show that this is not a secure MAC when $H$ is constructed via Merkle-Damgard transform.
Hint. Use ${\mathsf{M}\mathsf{a}\mathsf{c}}_k(m)$ to construct a valid tag on a particular longer message $m^{\prime }$. Note that Merkle-Damgard appends the length of the message to the end of the (padded) input string, you’ll need to figure out how to get around that.

访问谕言机${\mathcal{O}}_{\mathsf{M}\mathsf{a}\mathsf{c}}(\cdot )$得到消息$x=x_1\Vert \dots \Vert x_B$的标签${\tau }_x$，由于$s$公开，接下来可以对任意消息$m^{\ast }=x\Vert L_x\Vert y$计算一个有效的伪造${\tau }^{\ast }$（其中$y=y_1\Vert \dots \Vert y_c$）。HMAC通过在最后一层Hash中加入$k\oplus \mathsf{o}\mathsf{p}\mathsf{a}\mathsf{d}$，使得这样的攻击不存在。

---

5.13 Show how to find a collision in the Merkle tree construction if $t$ is not fixed. Specifically, show how to find two sets of inputs $x_1,\dots ,x_t$ and $x_1^{\prime },\dots ,x_{2t}^{\prime }$ such that ${\mathcal{M}\mathcal{T}}_t(x_1,\dots ,x_t)={\mathcal{M}\mathcal{T}}_{2t}(x_1^{\prime },\dots ,x_{2t}^{\prime })$.

解题思路很简单，如下图：