$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

해쉬함수에 대한 충돌쌍 탐색 공격의 동향 원문보기

情報保護學會誌 = KIISC review, v.16 no.4, 2006년, pp.25 - 33  

성수학 (배제대학교 전산정보수학과)

초록
AI-Helper 아이콘AI-Helper

중국의 Wang 교수 등은 2004년부터 차분 공격을 이용하여 대표적인 해쉬함수인 MD4, MD5, RIPEMD, HAVAL, SHA-0에 대한 충돌쌍을 찾았다. 그들은 아직까지 SHA-1에 대한 충돌쌍을 찾지는 못했지만 생일 공격보다 빠른 방법으로 SHA-1의 충돌쌍을 찾을 수 있음을 이론적으로 보였으며 58단계 SHA-1(SHA-1의 전체는 80단계)에 대해서는 구체적인 충돌쌍을 찾았다. 본 논문에서는 Wang 교수 등이 개발한 차분 공격법에 대해서 살펴보기로 한다.

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 구체적인 예제를 살펴보자.
  • 구체적인 예제를 통해서 좌순환 연산에 대한 일반적인 차분과 Wang 등이 고려한 차분을 비교해 보자.
  • 위와 같은 방법으로 단계별 차분 특성과 차분 특성이 만족되게 하는 충분조건을 찾을 수 있다. 단계 41 이후에서의 차분 특성을 살펴보자.
  • 본 논문에서는 Wang 교수 등이 개발한 차분 공격법에 대해서 살펴보기로 한다. 2절에서는 해쉬함수의 요구조건을 3절에서는 Wang 등의 차분 공격법을 살펴보기로 한다.
  • 본 절에서는 Wang 등이 해쉬함수의 충돌쌍을 찾기 위해서 사용한 차분 공격법에 대해서 살펴보기로 한다. 먼저 차분 공격을 기술하는데 필요한 기호를 살펴보자.
  • 해쉬함수(hash function)는 다양한 크기의 입력을 받아 고정된 짧은 크기의 출력(128~ 256비트) 을 생성하는 함수이다. 본 절에서는 해쉬함수의 요구 조건과 안전성에 대해서 살펴보기로 한다. 해쉬함수는 다음 두 성질을 만족하여야 한다.
  • 여기서는 차분 공격을 이용하여 MD4의 충돌쌍을 찾는 방법을 설명하는데 필요한 MD4의 구조에 대해서 살펴보기로 한다. 특히 512비트 메시지 블록이 MD4의 기초해쉬함수에 어떻게 작용하는지를 살펴보기로 한다.
  • 위의 정리를 해쉬함수에 적용해 보자. 해쉬값의 크기가 기비트인 해쉬함수에서 2"/2개의 메시지를 갖는 두 집합 사이에서 동일한 해쉬값이 존재할 확률은 1 — exp(— 1) = 0-63 이다.
  • 이젠 归 및 〃 이 MD4의 충돌쌍이 되기 위한 차분 특성을 찾아보자. Wang 등이 사용한 것과 같이 다음 조건을 만족하는 두 개의 메시지 블록을 고려하기로 한다.
  • 이젠 충분조건을 모두 만족하게 하는 메시지 归을 찾는 방법에 대해서 살펴보자. MD4의 첫째 라운드 내에서 작용하는 16개의 메시지 워드들은 서로 독립이므로 3절에서 언급한 basic modification에 의해서 첫째 라운드에서는 확률 1로 중분조건을 모두 만족하게 하는 메시지 Af을 찾을 수 있다.
  • 즉, 랜덤한 512비트 메시지를 선택하면 첫째 라운드 후에는 basic modification 에 의해서 메시지가 약간 조정된다. 조정된 메시지가 둘째 라운드 및 셋째 라운드 내의 충분조건을 모두 만족하는지 조사한다. 랜덤한 메시지를 적용하는 횟수는 둘째 및 셋째 라운드의 차분 특성 확률의 역수 정도이다.
  • 여기서는 차분 공격을 이용하여 MD4의 충돌쌍을 찾는 방법을 설명하는데 필요한 MD4의 구조에 대해서 살펴보기로 한다. 특히 512비트 메시지 블록이 MD4의 기초해쉬함수에 어떻게 작용하는지를 살펴보기로 한다.

가설 설정

  • . 충돌회피성(collision-free): 같은 출력을 갖는 서로 다른 입력 메시지를 찾는 것이 계산상 불가능하다. 즉 /i(z) = 九(, ) 이며 zXa:'인 충돌쌍 (00‘ ) 을 찾는 것은 계산상 불가능하다.
본문요약 정보가 도움이 되었나요?

참고문헌 (26)

  1. 강주성, 김재헌, 박상우, 박춘식, 지성택, 하길찬, 한재우, 현대암호학, 경문사, 2000 

  2. 한국정보통신기술협회, '해쉬함수알고리즘표준(HAS-160)', TTAS.KO-12.0011/R1, TTA, 2000 

  3. T.A. Berson, 'Differential cryptanalysis mod 2 32 with applications to MD5', Eurocrypt'92, pp. 71-80, 1993 

  4. E. Biham and R. Chen, 'Near collision of SHA-0', Crypto'04, LNCS 3152, pp. 290-305, 2004 

  5. E. Biham, R. Chen, A. Joux, P. Carribault, C. Lemuet, and W. Jalby, 'Collision of SHA-0 and reduced SHA-1', Eurocrypt'05, LNCS 3494, pp. 36-57, 2005 

  6. F. Chabaud and A. Joux, 'Differential collisions in SHA-0', Crypto'98. LNCS 1462, pp. 56-71, 1999 

  7. B. den Boer and A. Bosselaers, 'An attack on the last two rounds of MD4', Advances in Cryptology-Crypto'91, Lecture Notes in Computer Science, Springer-Verlag, pp. 194-203, 1991 

  8. B. den Boer and A. Bosselaers, 'Collision for the compression function of MD5', Advances in Cryptology-Eurocrypt'93, Lecture Notes in Computer Science, Springer-Verlag, pp. 293-304, 1994 

  9. H. Dobbertin, 'Cryptanalysis of MD4', Fast Software Encryption, LNCS 1039, pp. 53-69, 1996 

  10. H. Dobbertin, 'Cryptanalysis of MD5 compress', Presented at the rump session of Eurocrypt'96 

  11. H. Dobbertin, 'Cryptanalysis of MD4', J. Cryptology 11, pp. 253-271, 1998 

    상세보기 crossref

  12. P.R. Kasselman and W.T. Penzhorn, 'Cryptanalysis of reduced version of HAVAL', Electronics Letters 36, pp. 30-31, 2000 

    상세보기 crossref

  13. A.J. Menezes, P.C. van Oorschot, and S.A. Vanstone, Handbook of Applied Cryptography, CRC Press, 1997 

  14. NIST, 'Secure hash standard', Federal information processing standard, FIPS-180, 1993 

  15. NIST, 'Secure hash standard', Federal information processing standard, FIPS-180-1, 1995 

  16. S. Park, S.H. Sung, S. Chee, and J. Lim, 'On the Security of Reduced Versions of 3-pass HAVAL', LNCS 2384, pp. 406-419, 2002 

  17. RIPE, 'Integrity primitive for secure information system', Final report of RACE integrity primitive evaluation (RIPE-RACE 1040), LNCS 1007, 1995 

  18. R.L. Rivest, 'The MD4 message digest algorithm', Advance in Cryptology-Crypto'90, pp. 303-311, 1991 

  19. R.L. Rivest, 'The MD5 message digest algorithm', Request for Comments(RFC) 1321, Internet Activities Board, Internet Privacy Task Force, 1992 

  20. B. van Rompay, A. Biryukov, B. Preneel, and J. Vandewalle, 'Cryptanalysis of 3-pass HAVAL', Asiacrypt'03, pp. 228-245, 2003 

  21. X. Wang, X. Lai, D. Feng, H. Chen, and X. Yu, 'Cryptanalysis of the hash functions MD4 and RIPEMD', Advances in Cryptology-Eurocrypt'05, Lecture Notes in Computer Science 3494, Springer-Verlag, pp. 1-18, 2005 

  22. X. Wang, Y.L. Yin, and H. Yu, 'Finding collisions in the full SHA-1', Advances in Cryptology-Crypto'05, Lecture Notes in Computer Science 3621, Springer-Verlag, pp. 17-36, 2005 

  23. X. Wang and H. Yu, 'How to break MD5 and other hash functions', Advances in Cryptology-Eurocrypt'05, Lecture Notes in Computer Science 3494, Springer-Verlag, pp. 19-35, 2005 

  24. X. Wang, H. Yu, and Y.L. Yin, 'Efficient collision search attacks on SHA-0', Advances in Cryptology-Crypto'05, Lecture Notes in Computer Science 3621, Springer-Verlag, pp. 1-16, 2005 

  25. A. Yun, S.H. Sung, S. Park, D. Chang, S. Hong, and H. Cho, 'Finding collision on 45-step HAS-160', LNCS 3935, 2006 

  26. Y. Zheng, J. Pieprzyk, and J. Seberry, 'HAVAL-A one-way hashing algorithm with variable length of output', Auscrypt'92, pp. 83-104, 1993 

관련 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로