科学研究

论文《Collision Attacks on Round-Reduced SHA-3 Using Conditional Internal Differentials》和《Probabilistic Linearization: Internal Differential Collisions in up to 6 Rounds of SHA-3》主要研究对第三代安全哈希算法SHA-3的约减轮版本的碰撞攻击，分别被EUROCRYPT（欧密会）2023和CRYPTO（美密会）2024录用发表。论文《Preimage Attacks on up to 5 Rounds of SHA-3 Using Internal Differentials》主要研究对SHA-3的约减轮版本的原像攻击，被EUROCRYPT 2025录用发表。以上三篇论文均以山东大学密码科学与工程学院副研究员张仲毅作为第一作者。

EUROCRYPT（欧密会）CRYPTO（美密会）、ASIACRYPT（亚密会）由国际密码学会（IACR）主办，三者并称为国际密码学领域三大会议，也是当前密码学界最为重要的三个年度会议，具有极大的国际影响力。

一、 研究背景

Keccak算法由Guido Bertoni, Joan Daemen, Michaël Peeters和Gilles Van Assche共同设计，并于2012年被美国国家标准与技术研究院（NIST）确定为SHA-3竞赛的获胜算法。2015年，NIST发布FIPS 202标准作为SHA-3标准。名称为SHA-2的后继者。其广泛应用于数字签名、消息认证、数据完整性校验等领域，并被许多密码协议和应用程序所采用。

图一Keccak团队的官方网站

2008年欧密会上，Bertoni等人通过严格的数学证明，表明当使用随机置换函数时，Sponge结构在一定条件下与随机预言机（RandomOracle）不可区分。该文献的研究为SHA-3的安全性提供了坚实的理论支持，确保其在各种应用中的可靠性。虽然SHA-3在设计结构上不同于SHA-2，但其安全性仍需经过严格的密码分析评估。SHA-3的安全性分析主要通过碰撞攻击和原像攻击进行评估。近年来国内外研究人员提出了多种针对SHA-3的密码分析方法，包括标准差分分析、内部差分分析、基于SAT（布尔可满足性理论）的差分分析、中间相遇攻击、线性结构-猜测分析、多项式求解攻击以及量子攻击等技术，逐步突破了SHA-3部分轮数的安全性界限。

图二SHA-3的三类安全性

二、 研究成果

EUROCRYPT 2023中，论文首次提出“条件内部差分攻击”并将其应用于SHA-3全部的六个版本。对于安全性更高的SHA-3版本，条件内部差分攻击相比标准差分攻击更有优势，且更容易并行实现。

论文的主要结果有二：

1. 更新了国际上对4轮SHA3-512碰撞攻击的结果，复杂度减少到2^237；

2. 首次实现对SHAKE256的4轮及5轮碰撞攻击，复杂度分别为2^76和2^185。

图三EUROCRYPT 2023中的新型挤压攻击示意图

CRYPTO 2024中，论文通过对SHA-3轮函数中非线性层的分析，引入最大差分密度子空间的概念，并利用概率线性化方法，提出了一种新的目标内部差分算法。相较于现有的连接内部差分特征与初始消息空间的解决方案，该方法可以显著提升效率。本文还开发了优化内部差分特征的新策略。此外，通过分析摘要的碰撞概率，计算出了内部差分中碰撞子集规模的期望，进一步降低攻击边界。

主要结果包括：

1. 刷新4轮SHA3-512的最佳碰撞攻击结果；

2. 首次将SHA3-384的碰撞攻击从2013年度4轮记录扩展到5轮；

3. 首次将SHAKE256的碰撞攻击轮数从5轮扩展到6轮。

图四CRYPTO 2024中n轮碰撞攻击的基本框架

EUROCRYPT 2025中，论文研究了SHA-3实例的抗原像性，提出挤压中间相遇攻击作为Sponge结构哈希算法的原像攻击模型。该攻击结合了挤压攻击和中间相遇攻击，并通过内部差分来实现。通过分析了SHA-3轮函数的逆操作，设计了新型目标内部差分算法，以及在逆向阶段用于S盒的线性化技术。此外，本文还提出值-差分分布表的概念以优化攻击的复杂度。这些技术降低当前五个SHA-3实例的4轮原像攻击时间复杂度，并使四个SHA-3实例的原像攻击扩展到5轮。

主要结果包括：

1. 首次提出SHA3-224/SHA3-256/SHAKE128/SHAKE256的五轮原像攻击；

2. 刷新4轮SHA3-384的最佳原像攻击结果。

图四EUROCRYPT 2025中n轮原像攻击的基本框架