新如何破解MD5等散列函数.docVIP

如何破解MD5等散列函数摘要MD5算法是一种最广泛使用的加密散列函数如今。它的设计是在1992为MD4算法的改进，并其安全性被广泛的研究，此后的几位作者。最好的已知的结果到目前为止是半自由开始碰撞，在最初的哈希函数的值是通过一个非标准的价值所取代，这是攻击的后果。在本文中，我们提出了一个新的强大的攻击MD5让我们找到有效的碰撞。我们用这种攻击在15分钟到一小时计算找到MD5的碰撞时间。攻击是一个攻击，它不像攻击，不使用专用或作为衡量的差异，但相反，采用模块化的整数减法的措施。我们称这样差分差分。这种攻击的一个应用MD4可以找到在不到一秒钟的碰撞。这种攻击也适用于其他的哈希函数，如RIPEMD和HAVAL。 人们知道数字签名信息安全重要。数字签名的安全性取决于加密强度基本的哈希函数。哈希函数也有许多其他的应用在密码等数据的完整性，群签名，电子现金和其他密码协议。散列函数的这些应用不仅使用确保安全，而且大大提高效率。如今，有两种广泛使用的散列函数和。 MD5哈希函数由Ron Rivest设计为一个加强版的MD4算法[ 17 ]。自从出版以来，已经发现了一些弱点。1993，Bden Boer和A.bosselaers?[ 3 ]发现一种MD5伪碰撞由相同的信息初始值的。这种攻击公开了弱的雪崩在最重要的位的所有链接变量MD5。在的96届欧洲，H.Dobbertin?[ 8 ]提出的一个半自由起始碰撞由两个不同的512位的消息所选择的初始值 这种攻击的一般描述发表在[ 9 ]。 虽然H.?Dobbertin不能提供真正的MD5碰撞，他的攻击揭示了完整的MD5弱雪崩。这个发现提供了一种可能性一个迭代的一个特殊的差分。 在本文中,我们提出一个新的强大的攻击,可以有效地找到一个碰撞MD5。从h . Dobbertin的攻击,是否我们的动机研究可以找到一条消息,每个包含两个街生产第二个块后碰撞。更具体地说,我们想找一对(M0、M1)和 a0,b0,c0,d0 MD5的初始值。我们展示了这种碰撞MD5可以有效地找到,发现第一块大约操作,找到第二块大约需要操作。这种攻击的应用程序在IBM P690大约需要一个小时找到,在最快的情况下,只需要15分钟。然后,它只需要5分钟15秒之间找到第二块。两个这样的碰撞的MD5加密的公诸于世残余会话[19]。 这种攻击适用于很多其他的哈希功能，包括MD4，HAVAL-128、RIPEMD（[ 17 ]，[ 20 ]，[ 15 ]）。在MD4的情况下，攻击可以发现在不到一秒钟的碰撞，还可以找到第二前图像许多信息。 在密码2004?Eli Biham和Rafi提出了近碰撞攻击SHA-0 [ 2 ]，它遵循的技术[ 4线]。在会议上他们的臀部描述他们的新的（更好的）对SHA-0和SHA-1结果（包括多块技术和碰撞，减少SHA-1）。然后，A.?茹了一个4块全碰撞SHA-0?[ 14 ]，这是这些进一步的改进结果。这些作品独立的文章 本文的组织如下：在2节中我们简要地描述了MD5。然后我们在3节给我们进攻的主要思想，和我们在4节给出的详细描述的攻击。最后，我们在5节总结纸，并讨论了这种攻击的其他散列函数的适用性。 为了方便地描述MD5的总体结构，我们首先回顾对于Hash函数的迭代过程。 一般的哈希函数是迭代压缩函数x＝f（z）将位消息块Z?位的散列值L＞SMD5，L = 512，S = 128。迭代方法通常称为Merkle—Damgard方法元（见[ 6 ]，[ 16 ]）。一个填充消息M位长度，迭代过程如下： 是哈希函数的初始值。 在上面的迭代过程，我们省略填充方法，因为它有我们的攻击没有影响。以下是描述MD5压缩函数。每个的填充消息M的512位块MI，32位，MI?=（M0，M1，…，M15）。压缩算法有四个回合，每轮16操作。四个连续的步骤操作如下： 在手术+手段加模232。和步骤相关的常数。是一个消息。Si +?j循环左移根据Si + j数位位置。细节的消息顺序和移动位置在表3中可以看到。 每一轮使用一个非线性轮函数，下面给出。 X, Y , Z是32位的词。 这些链接变量的初始化如下： 我们选择一个碰撞差分利用两种循环如下：让Hi?1 =(aa, bb, cc, dd)是链接值为先前的信息块。四轮以后，压缩值Hi通过逐字添加链接变量到达了Hi?1。 3、散列函数的差分攻击 3.1 模块化的差分和xor差分 散列函数最重要的分析方法是攻击分析分组密码的最重要的方法在一般情况下，特别是在分组密码的差分攻击是一种异或差分攻击采用独家或差异。差分攻击由E. Biham A. Shamir分析了DES一样安全密码。E. BihamA. Shamir，描述了差分密码分析一种方法，分析了特定差异