北京理工大学密码学作业

4.6

假定m m f }1,0{}1,0{:→是一个原像稳固的双射。定义m m h }1,0{}1,0{:2→如下：给定m

x 2}1,0{∈，记

''||'x x x = 其中m x x }1,0{'','∈，然后定义

)'''()(x x f x h ⊕=

证明：h 不是第二原像稳固的。

解：

由于''||'x x x =，不妨这样构造第二原像：取'||''1x x x = ，显然m x 21}1,0{∈且x x ≠1，因为''''''x x x x ⊕=⊕故 )'''()()'''()(1x x f x h x x f x h ⊕==⊕=，得证。

4.9假定 m m h }1,0{}1,0{:21→ 是一个碰撞稳固的Hash 函数。 (a)定义 m m h }1,0{}1,0{:42→ 如下：

1、将 m x 4}1,0{∈ 记为 21||x x x = ，其中 m x x 221}1,0{,∈ 。

2、定义 ))(||)(()(211112x h x h h x h = 。

证明：2h 是碰撞稳固的。

(b)对整数 2≥i ，从 1-i h 递归定义Hash 函数 m m i i h }1,0{}1,0{:2→ 如下：

1、将 m i x 2}1,0{∈ 记为 21||x x x = ，其中 m i x x 1221}1,0{,-∈ 。

2、定义 ))(||)(()(21111x h x h h x h i i i --= 。

证明： i h 是碰撞稳固的。

解：

(a)对于函数)(2x h ，)(||)(2211x h x h x =，而且m

x h x h }1,0{)(),(2211∈,

故 m x h x h 22211}1,0{)(||)(∈，因为m m h }1,0{}1,0{:21→是碰撞稳固的，所以2h 是碰撞稳固的。

(b)利用归纳法来证明：

当1=i 时，由(a)可知成立；

当2≥i 时，假定1-i h 是碰撞稳固的，则对于函数)(x h i ，)(||)(2111x h x h x i i --=，而且m i i x h x h }1,0{)(),(2111∈--,故m i i x h x h 22111}1,0{)(||)(∈--，因为m m h }1,0{}1,0{:21→是碰撞稳固的，所以i h 是碰撞稳固的。

4.10在这个习题中，我们考虑Derkle-Damgard 结构的一个简化版本。

假定compress:m }1,0{1}{0t m →+，

,其中 1≥t ，假定k x x x x ||...||||21= 其中 t x x x k ====||...||||21 ，我们研究下面的迭代Hash 函数：(函数略)，假定compress 是碰撞稳固的，进一步假定compress 是零原像稳固的，也就是说，难以找到满足compress m z 0)(=的t m z +∈}1,0{。在这些假设条件下，证明：h 是碰撞稳固的。

解：

假定可以找到'x x ≠使得)'()(x h x h =，现在说明可以在多项式时间内找到compress 的碰撞。

令 k x x x x ||...||||21=

'||...||'||''21l x x x x =，由题意可知

compress(=====')'()()||1-l k k k g x h x h g x g compress('||'1-k l x g ) 显然满足条件)(mod |'|||t x x ≠，因为'k k x x ≠，所以找到了h 的一个碰撞。