Inverting Cryptographic Hash Functions via Cube-and-Conquer

要約

MD4 と MD5 は、1990 年代初頭に提案された独創的な暗号ハッシュ関数です。
MD4 は 48 のステップで構成され、任意の有限サイズのメッセージを指定して 128 ビットのハッシュを生成します。
MD5 は、MD4 をより安全に 64 ステップ拡張したものです。
MD4 と MD5 は両方とも実際の衝突攻撃に対して脆弱ですが、それらを反転すること、つまりハッシュが与えられたメッセージを見つけることは依然として現実的ではありません。
2007 年に、MD4 の 39 ステップ バージョンは、SAT に縮小され、いわゆる Dobbertin の制約とともに CDCL ソルバーが適用されることで逆転されました。
MD5 に関しては、2012 年に、追加の制約を追加することなく、指定された 1 つのハッシュに対して CDCL ソルバーを介して 28 ステップのバージョンが反転されました。
この研究では、Cube-and-Conquer (CDCL と先読みの組み合わせ) を適用して、MD4 と MD5 のステップ削減バージョンを反転します。
この目的のために、2 つのアルゴリズムが提案されています。
最初のものは、Dobbertin の制約を徐々に変更することによって、MD4 の反転問題を生成します。
2 番目のアルゴリズムは、さまざまなカットオフしきい値を使用して Cube-and-Conquer の立方体フェーズを試行し、征服フェーズの実行時間推定が最小限のものを見つけます。
このアルゴリズムは 2 つのモードで動作します。(i) 与えられた命題ブール式の硬さを推定します。
(ii) 与えられた充足可能な命題ブール式の不完全な SAT 解決。
最初のアルゴリズムはステップ削減 MD4 の反転に焦点を当てていますが、2 番目のアルゴリズムはエリア固有ではないため、さまざまなクラスのハード SAT インスタンスに適用できます。
この研究では、40、41、42、および 43 ステップの MD4 が、最初のアルゴリズムと 2 番目のアルゴリズムの推定モードによって初めて反転されます。
28 ステップ MD5 は、2 番目のアルゴリズムの不完全な SAT 解決モードを介して 4 つのハッシュに対して反転されます。
そのうちの 3 つのハッシュについて、これが初めて行われます。

要約(オリジナル)

MD4 and MD5 are seminal cryptographic hash functions proposed in early 1990s. MD4 consists of 48 steps and produces a 128-bit hash given a message of arbitrary finite size. MD5 is a more secure 64-step extension of MD4. Both MD4 and MD5 are vulnerable to practical collision attacks, yet it is still not realistic to invert them, i.e. to find a message given a hash. In 2007, the 39-step version of MD4 was inverted via reducing to SAT and applying a CDCL solver along with the so-called Dobbertin’s constraints. As for MD5, in 2012 its 28-step version was inverted via a CDCL solver for one specified hash without adding any additional constraints. In this study, Cube-and-Conquer (a combination of CDCL and lookahead) is applied to invert step-reduced versions of MD4 and MD5. For this purpose, two algorithms are proposed. The first one generates inversion problems for MD4 by gradually modifying the Dobbertin’s constraints. The second algorithm tries the cubing phase of Cube-and-Conquer with different cutoff thresholds to find the one with minimal runtime estimation of the conquer phase. This algorithm operates in two modes: (i) estimating the hardness of a given propositional Boolean formula; (ii) incomplete SAT-solving of a given satisfiable propositional Boolean formula. While the first algorithm is focused on inverting step-reduced MD4, the second one is not area-specific and so is applicable to a variety of classes of hard SAT instances. In this study, 40-, 41-, 42-, and 43-step MD4 are inverted for the first time via the first algorithm and the estimating mode of the second algorithm. 28-step MD5 is inverted for four hashes via the incomplete SAT-solving mode of the second algorithm. For three hashes out of them this is done for the first time.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google