密码学上的Hash函数研究现状及进展.pdf

加 密 技 术 密码学上的Hash函数研究现状及进展 1 2 马陵勇 张姗姗 淮北煤炭师范学院数学系 安徽 235000 摘要： 本文描述了密码学上Hash函数的现状。比较了不同的Hash函数定义，并且讨论了Hash函数几个理论上的结果， 最后提出了几个公开的Hash函数问题。 关键词：Hash函数；原像稳固；第二原像稳固；碰撞稳固；攻击 0引言 的定义由Merkle给出，一个碰撞稳固的Hash函数h是满足下 本文就密码学上的Hash函数作一个概括的总结。用尽可 列条件的一个函数h： 能浅显的语言讨论Hash函数的定义、一般构造和安全结果， （1）自变量x是任意长度的比特串，而结果h(x)是一个具 以及常用的Hash函数现状，最后提出了一些公开的问题。 有固定长度n的比特串(n≥128,…,160); 1定义 （2）h是单向函数，也即原像稳固和第二原像稳固; （3）h必须是碰撞稳固的，也即找两个不同的消息而他们 以下讨论中，我们用h来表示Hash函数，h的自变量也 的Hash值一样是难于实现的。 就是被保护的消息用x表示，x在h下的像用h(x)表示，并且 解决碰撞问题要比解决第二原像问题容易，因此该定义 假定关于Hash函数h的描述是公开的，h不需要任何保密的 中关于第二原像的条件是多余的，但是原像稳固并不是碰撞 信息。关于h的第二个假定是给了输入信息x，计算x在h下 稳固的必要条件(这是某些应用上的要求)。 的Hash值是容易的。 给碰撞稳固下一个正式的定义并不像正式定义单向函数 1.1 单向hash函数(OUWHF) 那样直接，难点在于不能把“不会存在输出碰撞的敌手”这 定义1 一个单向Hash函数H是一个具有定义域为 个问题具体化。因为有许多长度较短的碰撞输入，这将会有 ，值域为 的函数，满足下列条件： 许多有效的敌手，他们能输出一对消息在下是碰撞的。避免 （1） (原像稳固)假设x是在D中均匀选取的，M是一个敌 这种问题出现的一个方法是把碰撞稳固定义为一个Hash函数 手，根据输入h(x)，至多运算t次就可以输出M(h(x))∈D，对 族H的性质，也就是说，由一个参数s引出的函数集合。为 于每一个敌手M有 了简化讨论，假定s是取自参数空间 的，这样H就是一个 从 到R的映射。而在该族中，单个的函数用h表示， s 这里可能性(概率)要考虑到M的随机选择； h:D→R。 s （2）(第二原像稳固)：假设x是在 中均匀选取 定义2 一个碰撞稳固的Hash函数H是一个具有定义域 的，M’是一个敌手，它根据输入x，至多运算t次就可以输 为 ，值域为 的函数族，满足下列条件。 出x’∈D且x’≠