Improved Rebound Attack on the Finalist Grøstl

icon

71

pages

icon

English

icon

Documents

Écrit par

Publié par

Lire un extrait
Lire un extrait

Obtenez un accès à la bibliothèque pour le consulter en ligne En savoir plus

Découvre YouScribe et accède à tout notre catalogue !

Je m'inscris

Découvre YouScribe et accède à tout notre catalogue !

Je m'inscris
icon

71

pages

icon

English

icon

Documents

Lire un extrait
Lire un extrait

Obtenez un accès à la bibliothèque pour le consulter en ligne En savoir plus

Improved Rebound Attack on the Finalist Grøstl Jérémy Jean1 María Naya-Plasencia2 Thomas Peyrin3 1École Normale Supérieure, France 2University of Versailles, France 3Nanyang Technological University, Singapore FSE'2012 – March 19, 2012

  • compression function

  • grøstl

  • grøstl-v0

  • round

  • has been tweaked

  • finalist grostl

  • ecole normale


Voir icon arrow

Publié par

Langue

English

Poids de l'ouvrage

1 Mo

Improved Rebound Attack on the FinalistGstrøl
Jérémy Jean1María Naya-Plasencia2Thomas Peyrin3
3
1
École Normale Supérieure, France
2
University of Versailles, France
Nanyang Technological University, Singapore
FSE’2012 – March 19, 2012
thoncktaisalineF2ltsorGt
In December 2010, the NIST chose the 5 finalists of the SHA-3competition: BLAKE Grøstl JH Keccak Skein
I
I
This year, the winner will be chosen.
72/a,T.enciinIPeyrevRdpmordntAbeuosørGS&lt3-AHpyrCeuGsørts-l52G6ørtanalysisTechniqoC3-AHSnoititepm2C51l-stiousclonalisnFintsPlasaya-,M.NJean2.J210FES
Gtsør5-ltsørG652-ltsøøsGronsiluncCo12nalayrtp-AC3&lHSesGrniquTechysisseisnouFltC:morpF)nction(CpmorevRdbeuodntAencia,T.PeyrinInaeJN.M,-ayasalPSEF012J.2
Grøstl-v0 08][Knudsen et al.has been tweaked for the final: IGrøstl-256:|h|=|m|=512 bits. IGrøstl-512:|h|=|m|=1024 bits.
7/2l3strotGsilaniFehtnokcat
stionmutachniquesalysisTe65rGsøltrGsølt2-siluGron12-5ncCoanrerePlltsøtnI:obeRdevorpmInirey.P,Tiancsela-P/472solttsrGanilheFikontttacundA,n.MaNay21JJ.aeFSE20
AddRoundConstant
Permutations P and Q apply the wide-trail strategy from theAES. IGrøstl-256: 10 rounds on state a 8×8. IGrøstl-512: 14 rounds on state a 8×16.
Tweak: constants inARKandShchanged to introduce asymmetry between P and Q
MixBytes
ShiftBytes
SubBytes
3Cryptanstl&SHA-Gør
FS20E.M,nayaNJ21aeJ.RoontizalinaFil:dnul-51røst256Gstl-ørtsoiGnlcsuC2no
Once all blocks of message have been treated: truncation.
P
h
hi1
cattAdnuiFehtnokGrstlina275/tlosescnP-alP.yeaiT,ImprrinReboovedtløsGrechnsisTsGrøique3-rCS&AHanylpyat
Ms,øNr.GySa&-latl3P-sAaHnpeyircCnFaStEas2i0l1y2ecJs.TJieqahnnRdevuobetAdnkcatT.a,yrPeIinromp2/7ts6l
I
Grøstl-512 [Schläffer 2011] collision on the CF.: 6-round
Grøstl-256: [Sasaki et al A10] permutation distinguisher.: 8-round
I
 FSE11][Boura et al.: 10-round zero-sum.
[Gilbert et al. FSE10]: 8-round CF distinguisher.
eFinonthtGroaliskwTaetrehfAetsysiAnalBeststl:nGrøoisulcnoC215-ltsrø6G25l-strøsGue
ecsTiqhnnatasily3-AHpyrCsørGS&ltusiooncl512Cstl-G6ør-l52ørtseuGs2/1stluseRweNruOn02EJ21SFyaNala-Pea.JM.n,P.yeirnescnaiT,ReboundAImprovedilaniFehtnokcatt
Based on the rebound technique[Mendel et al. FSE09].
I
I
277/tlosGrst
I
Based on a way of finding solutions forthreeconsecutive full active rounds:new.
They apply both to 256 and 512 versions.
Voir icon more
Alternate Text