信息安全基础CS-IS09.pptVIP

第九章 散列算法 1 离散对数的散列函数算法 (Chaum–Van, Heijst–Pfitzmann散列算法） 设P是一个大素数，且q=(p-1)/2也为素数，取定FP（P 元有限域）中的一个本原元α，给定一个保密的指数λ， （λ，p–1）=1，于是β=αλ也为FP中的本原元。值 λ=logαβ不公开，计算这个对数值是计算上难处理的。  散列算法 h:{0,1,…,q-1}?{0,1,…,q-1}?Fp* 定义为 h(x1,x2)=αx1βx2(mod p) 下面要证明，散列算法h是强无碰撞的！相当于证明: 定理：若上述算法h的碰撞算法是可行的，那么计算离散 对数logαβ也是可行的。 证明： 假设我们给了一个碰撞h （x1, x2）=h （x3, x4）其中 （x1,x2）≠（x3, x4），则有下列同余式 αx1βx2≡αx3βx4(modp)  也即，αx1-x3?βx4-x2(mod p) 记 gcd(x4-x2,p-1)=d，易见d∈{1,2,q,p-1} ，原因是p–1=2q. 1°若d=1，此时可设 y= （x4–x2）–1（mod p–1） 有 β ? β(x4-x2)y(mod p) ? α(x1-x3)y(modp) 于是，计算出离散对数 logαβ=（x1–x3）y =（x1–x3）（x4–x2）–1 （mod p–1） 2°若d=2: 由p-1=2q, q为奇素数，必有gcd （x4-x2, q）=1, 设 y= （x4-x2）-1 （mod q） 于是 （x4-x2）* y≡1 （mod q）  也就是存在整数k使得（x4-x2）*y=k*q+1 所以β(x4-x2)*y?βk*q+1(mod p) ?(-1)kβ(mod p) (因为β(p-1)/2 ? -1(mod p)) ? ?β(modp) 这样 α(x1-x2)y ? β(x4-x2)*y(modp)? ±β(mod p) (i) 若α(x1-x3)y ? β(mod p) 则logαβ=(x1-x3)y (mod p-1) (ii)若α(x1-x3)y ? ?β(mod p) ? α(p-1)/2*β(mod p) ==α(x1-x3)y*α(p-1)/2 ? β(mod p) 所以，logαβ=(x1-x3)y+(p-1)/2(mod p-1) 可见，（i）、（ii）都是易计算的。  3°若d=q:因为0≤x2≤q-1,0≤x4≤q-1 有结果，gcd（x4-x2, p-1）=q是不可能的。 4°若d=p-1，此时仅当x4=x2时发生，此时有 αx1βx2?αx3βx2(mod p) αx1 ? αx3(mod p)=x1=x3 于是，（x1,x2）=（x3,x4）与假设矛盾，此种情况不可 能发生。 综上知，如果计算FP中离散对数logαβ是不可行的， 那么我们推出该算法h是强无碰撞的。  2 扩展的散列函数 我们已研究过具有有限定义域的散列函数。现在研究 如何把具有有限定义域的强无碰撞的散列函数扩展为具 有无限定义域的强无碰撞散列函数，这将使我们能签名 任意长度的消息。 假设h: (F2)m?(F2)t是一个强无碰撞的散列函数，这里 m≥t+1。我们的目的是想从h入手，构造无限定义域的散 列函数h*:X?(F2)t, 其中  首先考虑m≥t+2的情况： 符号：|x|表示x的长度。（比特数目） x||y表示比特串x和y的并。 假设|x|=n＞m，（x为一段信息bit串） 则先将x表为x=x1||x2||……||xk 这里, |x1|=|x2|=…=|xk-1|=m-t-1 且 |xk|=m-t-1-d， 易见0≤d≤m-t-2 而 k=[n/(m-t-1)] （上整数部分）  下面给出扩展的散列函数h*的生成算法： 从h到h*算法，注意|x|=n＞m，m≥t+2情形： x=x1||x2||……||xk; |x1|=|x2|=…=|xk-1|=m-t-1; |xk|=m-t-1-d 1°对i=1到k-1做yi=xi 2°yk=xk||od 3°设yk+1是d的二进制表示，(右边补0,使∣yk+1∣=m-t-1) 4°g1=h（ot+1||y1） 5°对i=1到k做gi+1=h(gi||1||yi+1) 6