生日攻击哈希算法如何工作？

#1 楼

您引用的链接中描述的方法基于弗洛伊德（Floyd）的循环查找算法，也称为“乌龟和野兔”算法。这是一种用于检测迭代映射图中的循环的通用算法，下面我将首先对其进行介绍。

具体来说，考虑由$ x_i = H（x_ {i- 1}）$用于某些地图$ H $和某些初始值$ x_0 $。如果此序列是循环的，那么我们有一些整数$ j> 0 $和$ k> 0 $，使得$ x_j = x_ {j + k} $，因此对于所有变量，$ x_i = x_ {i + nk} $整数$ i \ ge j $和$ n \ ge 0 $。

尤其适用于$ i = nk $和满足$ n \ ge j / k $的任何整数$ n $，产生$ x_i = x_ {2i} $。
因此，如果序列$（x_i）$是循环的，则存在整数$ i> 0 $使得$ x_i = x_ {2i} $。相反，这样一个整数的存在也清楚地表明该序列必须是循环的（其周期均匀地除以$ i $）。

因此得出结论，要检测序列$（ x_i）$，对于任何正整数$ i $，只要检查$ x_i = x_ {2i} $是否足够。我们可以通过跟踪序列的两个元素$ y = x_i $和$ z = x_ {2i} $（在迭代$ i = 0 $都初始化为$ x_0 $）来使用常量空间来迭代地执行此操作在每个连续的迭代中，将它们更新为$ y \得到H（y）$和$ z \得到H（H（z））$。

如果找到这样的$ i $，我们我们将知道序列$（x_i）$是循环的。现在，我们有两种可能性：初始值$ x_0 $是循环的一部分，或者不是。在后一种情况下，我们有$ x_0 \ ne x_i $，但是$$ H ^ {（i）}（x_0）= x_i = x_ {2i} = H ^ {（i）}（x_i），$$ ve因此在$ i $倍的迭代映射$ H ^ {（i）} $中发现了一个碰撞，这又意味着在基础映射$ H $中存在碰撞。

剩下要做的就是找到潜在的冲突。为此，我们将迭代倒回$ i $步骤，使$ y = x_0 $和$ z = x_i $，然后一次将它们前进一步，这一次是$ y \得到H（y）$和$ z \得到H（z）$，因此，在迭代$ j $时，我们将始终具有$ y = x_j $和$ z = x_ {i + j} $。由于我们知道$ x_0 \ ne x_i $和$ x_i = x_ {2i} $，因此得出在$ 0 $和$ i-1 $之间必须有一些$ j $，这样$ x_j \ ne x_ {i + j } $，但$ x_ {j + 1} = x_ {i + j + 1} $，因此$ H（x_j）= H（x_ {i + j}）$。当我们发现$ j $时，即当我们找到第一个$ y $和$ z $使得$ H（y）= H（z）$时，我们停止；这就是我们一直在寻找的冲突。

此算法仅需要空间即可存储固定数量的值：$ x_0 $，$ y $和$ z $。需要多少时间？好吧，如果$ j $和$ k $是满足$ x_j = x_ {j + k} $的最低正整数，则弗洛伊德的循环发现算法将采用$ i = k \ lceil j / k \ rceil
现在，如果$ H $是$ m $元素集上的随机函数，则，根据生日悖论，第一次碰撞之前的预期步数$ \ mathbb E [j + k] $为$ O（\ sqrt {m}）$。因此，上述碰撞发现算法的预期运行时间也是$ O（\ sqrt {m}）$。

评论

---

$ \ begingroup $
如果出现两种可能性中的第一种（初始值$ x_0 $是循环的一部分），则算法将失败。通过在检测到$ x_i = x_ {2i} $之后检查$ x_0 = x_i $，可以廉价地检测到它。如果发生这种情况，除了随机尝试另外$ x_0 $之外，我们别无选择。幸运的是，这具有较低的赔率$ O（1 / \ sqrt {m}）$。论据：如果我们在恰好$ i $次迭代后发生冲突，则所有$ 0 \ le j $ \ endgroup $
–fgrieu♦
2012年7月24日11:24

---