Нахождение $k$ строк $M_i$ таких, что XOR $k$ хэшей $H(i,M_i)$ равен нулю

fgrieu

22.11.2022, 16:05

Позволять $k\ge2$ быть умеренно заданной константой, и $H:[0,k)\times\{0,1\}^*\to\{0,1\}^b$ быть $b$-bit данная хеш-функция уподобляется случайному оракулу. Например $H(i,M)=\operatorname{SHAKE256}((\underline i\mathbin\|M),b)$ куда $\подчеркнуть я$ является $я$ кодируется в соответствии с ASN.1 DER.

Насколько сложно вычислить $к$ струны $M_i$ такой XOR $к$ хеши $Ч(я,М_я)$ с $0\le i<k$ ноль?

Мотивация – это оценка стоимости атаки на это протокол.

я вижу это для $к=2$ мы, вероятно, преуспеем с $2^{b/2+2}$ хэши и распределенный ро Полларда с выделенными точками. И что произвольный сильный противник с доступом оракула к хэшу мог бы сделать с гораздо меньшим количеством хеш-запросов, когда $к$ становится большим, но мне трудно количественно оценить вычислительную работу.

1 + 1

столкновение-атака

kodlu

22.11.2022, 22:23

Связанный (почти тот же?) вопрос и ответ: https://crypto.stackexchange.com/questions/72596/is-it-feasible-to-find-n-hashes-that-sum-up-to-a-given -хеш/72606#72606

Ответить

Рейтинг:2

Crypto

Mikero

22.11.2022, 17:23

Если вы вычислите $2^{б/к}$ значения формы $H(i,\cdot)$, для каждого $я$, то с большой вероятностью будет некоторый набор представителей, которые XOR к нулю. Интуитивно будет $(2^{б/к})^к$ способы выбора представителя для каждого $я$, поэтому один из этих способов, скорее всего, XOR до нуля. Задача состоит в том, чтобы эффективно найти такое решение.

Эта проблема изучается Вагнером в Обобщенная проблема дня рождения. Он показывает алгоритм, который работает во времени $O(k \cdot 2^{b/(1+\log k)})$. Действительно, алгоритм не сильно улучшается по мере $к$ увеличивается, хотя для $к=4$ мы уже получаем $O(2^{b/3})$ что является большим скачком от $к=2$ кейс.

я нашел последующая статья Бракерски, Стивенса-Давидовица и Вайкунтанатана, что свидетельствует о том, что более быстрый алгоритм маловероятен.

Также обратите внимание, что когда $k\geb$, решения можно найти за полиномиальное время с помощью простой линейной алгебры. См. Приложение А Эта бумага.

0 + 2

kodlu

22.11.2022, 22:23

см. также https://crypto.stackexchange.com/questions/72596/is-it-feasible-to-find-n-hashes-that-sum-up-to-a-given-hash/72606#72606

Ответить

bmm6o

22.11.2022, 23:54

Все эти результаты касаются целых сумм. Применимы ли результаты к $Z_2^b$?

Ответить

Admin

Этот вопрос на других языках:

EN: Finding $k$ strings $M_i$ such the XOR of the $k$ hashes $H(i,M_i)$ is zero

TH: การค้นหา $k$ สตริง $M_i$ เช่น XOR ของแฮช $k$ $H(i,M_i)$ เป็นศูนย์

RO: Găsirea $k$ șiruri $M_i$ astfel încât XOR al hashurilor $k$ $H(i,M_i)$ este zero

RU: Нахождение $k$ строк $M_i$ таких, что XOR $k$ хэшей $H(i,M_i)$ равен нулю

VI: Tìm các chuỗi $k$ $M_i$ sao cho XOR của các giá trị băm $k$ $H(i,M_i)$ bằng 0

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.