Điểm:1

Mọi người chọn thủ công mọi số nguyên được sử dụng trong hàm băm tiền điện tử hay chúng được tạo bởi máy tính?

lá cờ tn

Ví dụ, cái này:

nhập mô tả hình ảnh ở đây

Có phải tất cả những con số như 7, 4, 13, 1, 10, 6, 15, 3, 12, 0, 9, 5, 2, 14, 11, 8... được chọn bằng tay bằng cách nào đó, hoặc chúng chỉ được chọn ngẫu nhiên (giống như bạn viết một tập lệnh "hãy cho tôi 64 số nguyên ngẫu nhiên trong khoảng từ 0 đến 15" và sau đó bất cứ thứ gì bạn sử dụng đầu ra), hay cái gì khác? Kỹ thuật để chọn rất nhiều số là gì?

kelalaka avatar
lá cờ in
[Tại sao "không có gì trong tay áo của tôi" có entropy thấp?](https://crypto.stackexchange.com/q/16364/18298)
kelalaka avatar
lá cờ in
Vì bạn quan tâm đến hàm băm của IV, tôi sẽ cung cấp cho bạn thêm 1) [Nguồn gốc của giá trị băm ban đầu SHA-224?](https://crypto.stackexchange.com/q/42373/18298) 2) [Tại sao những giá trị cụ thể này có được sử dụng để khởi tạo bộ đệm băm trong SHA-512 không?](https://crypto.stackexchange.com/q/5338/18298) [Tại sao SHA2-224 sử dụng IV khác với SHA2-256?](https ://crypto.stackexchange.com/q/83306/18298) 3) [Các hằng số cho SHA-1/2/3 đến từ đâu?](https://crypto.stackexchange.com/q/71314/18298 ) 4) [Tại sao lại khởi tạo SHA1 với bộ đệm cụ thể?](https://crypto.stackexchange.com/q/10829/18298)
Điểm:3
lá cờ ng

Nói chung là không. Trong mật mã, sự xuất hiện của các chuỗi số "ngẫu nhiên" thường khá đáng ngờ --- điều gì sẽ xảy ra nếu có một số lựa chọn số "yếu" khiến toàn bộ cấu trúc không an toàn? Làm thế nào để bạn biết nhà thiết kế đã không sử dụng quyền tự do của họ trong việc lựa chọn những con số này để nhúng một cửa hậu? Lưu ý rằng điều này làm xảy ra, ví dụ nổi tiếng là:

Lưu ý rằng có một số "hằng số tùy ý" được coi là ít nghi ngờ hơn --- các lựa chọn phổ biến là các chữ số của $\pi$, hoặc những thứ thuộc loại này (giả sử các chữ số của $\sqrt{2}$ hoặc $\sqrt{3}$). Chúng thường được gọi là không có gì lên số tay áo của tôivà có thể đạt được khi nhà thiết kế chỉ cần một số số tùy ý thỏa mãn một số ràng buộc tối thiểu mà các số "hầu hết" phải đáp ứng.

Dù sao, trở lại RIPEMD. Ban đầu nó được chỉ định trong bài báo năm 1995 "Nguyên tắc toàn vẹn cho các hệ thống thông tin an toàn." (Tôi tìm thấy thông tin này qua liên kết này). Đặc biệt, thông số kỹ thuật được chứa trong tài liệu này. Tôi thu hút sự chú ý của bạn đến trang 75 của tài liệu (trên trang 7 của pdf).

Bốn hằng số được sử dụng trong các thao tác này không được chọn ngẫu nhiên; họ là phần nguyên của $2^{30}\sqrt{2}, 2^{30}\sqrt{3}, 2^{30}\sqrt[3]{2}, 2^{30}\sqrt[3]{3}$ tương ứng. Tuy nhiên, không có lý do cụ thể cho sự lựa chọn này.

Điều này giải thích các hằng số trong thêm hằng số một phần của tệp bạn đã liên kết --- chúng không có gì trong tay áo của tôi. Thật không may, bảng cụ thể mà bạn hỏi không được giải thích thỏa đáng. Các tác giả tuyên bố rằng họ sao chép một sửa đổi chức năng nén của MD4 (bao gồm cả bảng mà bạn đã chú ý), nhưng chỉ đơn giản nói rằng chúng bao gồm các sửa đổi của B. den Boer, mà họ trích dẫn là Truyền thông cá nhân (vì vậy lý do cụ thể của họ cho việc sửa đổi là không rõ).

Thật không may, các tài liệu khác về mật mã cũng không sáng tỏ. Xem xét cuộc tấn công này trên hàm băm. Các tác giả đã đề cập (như rõ ràng) rằng các chỉ số "lựa chọn từ thông báo" cụ thể phải là một hoán vị (điều này cũng đã được đề cập trong thông số kỹ thuật ban đầu), nhưng không rõ ràng tại sao những hoán vị cụ thể đã được chọn.

Điều cuối cùng mà tôi sẽ đề cập là đôi khi bạn ở trong tình huống có nhiều lựa chọn có thể xảy ra. có cấu trúc đối tượng (như hoán vị, vì vậy bạn không thể hy vọng các chữ số của $\pi$ sẽ đủ), và bạn cần chọn một. Một chiến lược bạn có thể làm (thay vì lôi nó ra khỏi không khí loãng) là:

  1. cố gắng "xếp hạng" các đối tượng có cấu trúc theo một số chỉ số hiệu quả, rồi
  2. chọn "đầu tiên" (theo một số thứ tự tự nhiên) của các đối tượng "hiệu quả nhất".

Điều này là mơ hồ, vì vậy một ví dụ cụ thể có thể hữu ích. Thiết kế của AES yêu cầu số học trên $\mathsf{GF}(2^8)$. Mọi đa thức bất khả quy bậc 8 trên $\mathbb{F}_2$ định nghĩa một bản sao "khác" (nhưng tất cả đều đẳng cấu lẫn nhau) của $\mathsf{GF}(2^8)$. Cho rằng đây là trường hợp, bạn chọn đa thức nào trong thiết kế của AES?

Các nhà thiết kế AES biện minh cho lựa chọn này (và những lựa chọn khác mà bạn có thể thấy thú vị) trong phần 7 của đề xuất của họ.

đa thức $m(x)$ ... cho phép nhân trong $\mathsf{GF}(2^8)$ là cái đầu tiên trong danh sách các đa thức bất khả quy bậc 8, được đưa ra trong [LiNi86, p. 378].

Vì vậy, họ thu hút một số thiết kế của các tác giả khác ngoài họ. Tôi cũng đã thấy (và nghĩ rằng tôi đã có cho AES nói riêng) lựa chọn:

  1. thu thập tất cả các đa thức bất khả quy
  2. sắp xếp chúng theo trọng lượng hamming (số liệu hiệu quả)
  3. trong số những thứ có trọng lượng hamming tối thiểu, hãy chọn cái đầu tiên theo từ điển.

Tất nhiên, điều này không may là không hữu ích cho bảng cụ thể của bạn.

Lance avatar
lá cờ tn
Công cụ rất thú vị, cảm ơn bạn rất nhiều! Vì vậy, cuối cùng, trường hợp với những con số tôi liệt kê là gì, những con số đó (có khả năng) được chọn như thế nào? Không bao giờ gặp phải "không có gì lên số tay áo của tôi", có ý nghĩa!
Mark avatar
lá cờ ng
Đó là phần hơi khó chịu đối với các số cụ thể của bạn --- Tôi không thể truy tìm nguồn gốc để biết chúng được tạo như thế nào. RIPEMD là một bản sửa đổi của MD4, được chỉ định [tại đây](https://datatracker.ietf.org/doc/html/rfc1320). Các số tương ứng cho MD4 là khác nhau và có một số mẫu bên trong có ý nghĩa hơn. Các tác giả RIPEMD tuyên bố rằng họ thay đổi những con số này, nhưng chỉ trích dẫn một cuộc trao đổi cá nhân (từ năm 1992) với B. den Boer. Thật không may, những thông tin liên lạc cá nhân đó có thể có câu trả lời cho câu hỏi của bạn, nhưng dường như không thể tìm thấy chúng được xuất bản.
Mark avatar
lá cờ ng
Điều an ủi nhỏ duy nhất mà tôi có là cuộc tấn công được công bố vào RIPEMD mà tôi đã xem xét hoàn toàn bỏ qua cấu trúc (hơi tùy tiện) của các số của bạn, vì vậy có thể chúng không ảnh hưởng đáng kể đến bảo mật và chúng đã được sửa đổi cho mục đích hiệu quả trên nền tảng nào đó (các tác giả RIPEMD dành một hoặc hai đoạn đề cập đến việc họ đang chuyển đổi giữa các biểu diễn cuối nhỏ/lớn cho mục đích này). Tuy nhiên, đây chỉ là phỏng đoán và nếu không liên hệ với B. den Boer (hoặc các tác giả của RIPEMD), có thể khó có câu trả lời tốt hơn.
poncho avatar
lá cờ my
Kuznyechik: tôi hiểu rằng, trong khi sbox là đặc biệt và không phù hợp với những tuyên bố ban đầu về tính ngẫu nhiên, vẫn không có cửa hậu (công khai) nào được biết đến dựa trên nó...
Mark avatar
lá cờ ng
@poncho có, nhưng nó có *rất đặc biệt* [bất biến mà nó duy trì](https://eprint.iacr.org/2019/092.pdf). Có lẽ tôi có một người báo động khi đọc điều này, nhưng tôi không thể thấy một lý do nào không phải cửa sau cho trường hợp này.
Mark avatar
lá cờ ng
mặc dù có vẻ như tôi đã nhóm các vấn đề với Streebog và Kuznyechik trong đầu là tương tự nhau, nhưng khi xem lại bài báo đó, có vẻ như Streebog có thể sử dụng các hộp chữ S kỳ lạ theo cách đáng lo ngại hơn một chút.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.