Hash

關於 MDS 矩陣和安全性

  • May 31, 2022

我為壓縮素數欄位中的元素的雜湊函式找到了 MDS 矩陣的構造( https://eprint.iacr.org/2020/1143的算法 4 ) $ F_p $

如果雜湊有速率和容量 $ (r,c) $ 和 $ m = r+c $ . 它進行為

  1. 確定統一的原始根 $ g $ 在 $ F_p $ .
  2. 寫一個范德蒙德矩陣 $ V[i,j] = g^{ij} $ 在哪裡 $ i=0,1,\ldots m-1 $ 和 $ j=0,1,\ldots 2m $
  3. 將其簡化為行梯形
  4. 然後 $ V = I|M^T $ 在哪裡 $ I_{m\times m} $ 是單位矩陣和 $ M $ 是所需的 MDS 矩陣。

雜湊提供的安全級別 $ s= \log_2(\sqrt{p})min(r,c) $ . 我想知道這種形式的MDS構造是否獨立於安全級別。

以上資源來自救援雜湊函式,它提供 $ 122 $ 位安全,與 $ p = 2^{61}+20.2^{32}+1 $ 和 $ r=8, c=4 $ .

通常選擇 MDS 矩陣是因為它們的混合屬性參見例如這個問題,並且這些屬性適用於任何 MDS 矩陣。所以我想說特定 MDS 矩陣的選擇與安全級別無關。

在您連結到作者的文件中,第 12 頁說:

在某些情況下,通過針對某些設計標準優化 MDS 可以提供更好的性能。第 2.4 節將 Vandermonde 矩陣指定為生成 MDS 矩陣的標準方法。然而,最初的出版物並沒有將 MDS 的選擇限制為任何特定類型,並認為它相對於任何 MDS 矩陣都是安全的。更嚴格的決定只是簡化了標準規範,並且不知道對遵循 Marvelous 設計策略的算法有任何安全影響。

**選擇 MDS 矩陣:**可以使用任何 MDS 矩陣。輪數不受此決定的影響。選擇 Round Constants 不受此決定的影響。

可信度很高。原始出版物的通用安全參數明確涵蓋了此變體

引用自:https://crypto.stackexchange.com/questions/100369