確定性塊密碼上的可變長度雜湊衝突

我正在嘗試學習對雜湊衝突的攻擊。我想對於這個方案，可能可以使用不同長度的消息來找到一對相同的密文。嘗試使用相同的第一個塊，然後 letM1 = M[1]和M2 = M[1]M[2]. 然後，可能會發現碰撞，因為第一個輸出C[1]，第二個輸出C[2]，但我對如何分析M[2]以使它們形成碰撞有點困惑。

你正在努力學習，所以我只是給你一個提示：

• 你知道價值C[1]；你如何找到一個不動點，即一個M[2]映射C[1]到自身的值（so C[1] = C[2]）
• 進一步提示：向後工作更容易；從 的目標值開始C[2]，並弄清楚如何選擇M[2]，這樣才B[2]合適

引用自：https://crypto.stackexchange.com/questions/99462