blocks|key|2175181|text|设f是Merkle哈希函数\operatorname{MD}_f的压缩函数，如MD5。假设我们有一个廉价的算法C(h)，它返回消息块m_0+\ne+m_1，从而使f(h,+m_0)+=+f(h,+m_1)。我们可以在标准初始化向量\mathit{iv}中使用它来找到双向碰撞(m_0,+m_1)+=+C(\mathit{iv})，那么\operatorname{MD}_f(m_0)+=+f(\mathit{iv},+m_0)+=+f(\mathit{iv},+m_1)+=+\operatorname{MD}_f(m_1).我们能用它找到一个四向碰撞(m_0,+m_1,+m_2,+m_3)吗？|type|unstyled|depth|inlineStyleRanges|offset|length|style|CODE|entityRanges|data|2175182|回答:是的，我们可以使用一种算法C来查找双向MD碰撞，以找到2%5En-way冲突，而只使用对C.|header-two|2175183|的n调用。|2175184|让(b_0,+b'_0)+=+C(\mathit{iv})。|ordered-list-item|2175185|然后是f(\mathit{iv},+b_0)+=+f(\mathit{iv},+b'_0)。|unordered-list-item|2175186|2175187|让h_1+=+f(\mathit{iv},+b_0)+=+f(\mathit{iv},+b'_0)。|2175188|让(b_1,+b'_1)+=+C(h_1)。也就是说，使用公共哈希作为新的初始化向量来查找新的冲突。|2175189|然后是f(f(\mathit{iv},+b_0),+b_1)+=+f(f(\mathit{iv},+b_0),+b'_1))等，所以\begin{align}+m_0+&=+b_0+\mathbin\%7C+b_1,+\\+m_1+&=+b'_0+\mathbin\%7C+b_1,+\\+m_2+&=+b_0+\mathbin\%7C+b'_1,+\\+m_3+&=+b'_0+\mathbin\%7C+b'_1+\end{align}的消息构成了一个四位一体的碰撞.|2175190|2175191|泡沫，漂洗，重复多次不同的碰撞，你想要的。|2175192|这一系列攻击及其对连接散列函数的影响在Antoine，迭代散列函数中的多解.“级联结构的应用”，马特·富兰克林编，“密码学进展-密码学进展”，2004年年，斯普林格LNCS+3152，第306至316页中有更详细的描述。|entityMap|0|INLINETEX|mutability|IMMUTABLE|teX|f|1|\operatorname{MD}_f|2|C(h)|3|m_0+\ne+m_1|4|f(h,+m_0)+=+f(h,+m_1)|5|\mathit{iv}|6|(m_0,+m_1)+=+C(\mathit{iv})|7|\operatorname{MD}_f(m_0)+=+f(\mathit{iv},+m_0)+=+f(\mathit{iv},+m_1)+=+\operatorname{MD}_f(m_1).|8|(m_0,+m_1,+m_2,+m_3)|9|C|10|2%5En|11|12|n|13|(b_0,+b'_0)+=+C(\mathit{iv})|14|f(\mathit{iv},+b_0)+=+f(\mathit{iv},+b'_0)|15|h_1+=+f(\mathit{iv},+b_0)+=+f(\mathit{iv},+b'_0)|16|(b_1,+b'_1)+=+C(h_1)|17|f(f(\mathit{iv},+b_0),+b_1)+=+f(f(\mathit{iv},+b_0),+b'_1))|18|\begin{align}+m_0+&=+b_0+\mathbin\%7C+b_1,+\\+m_1+&=+b'_0+\mathbin\%7C+b_1,+\\+m_2+&=+b_0+\mathbin\%7C+b'_1,+\\+m_3+&=+b'_0+\mathbin\%7C+b'_1+\end{align}|19|LINK|MUTABLE|url|https://link.springer.com/chapter/10.1007/978-3-540-28628-8_19^0|1|1|D|J|1J|4|1U|B|29|L|37|B|3T|R|4N|2O|7O|K|1|1|0|D|J|1|1J|4|2|1U|B|3|29|L|4|37|B|5|3T|R|6|4N|2O|7|7O|K|8|0|G|1|U|3|19|1|G|1|9|U|3|A|19|1|B|0|1|1|1|1|C|0|1|S|1|S|D|1|3|16|3|16|E|1|0|1|1C|1|1C|F|0|1|K|1|K|G|1|3|1N|1U|41|3|1N|H|1U|41|I|1|0|0|J|2A|J^^$0|@$1|2|3|4|5|6|7|2D|8|@$9|2E|A|2F|B|C]|$9|2G|A|2H|B|C]|$9|2I|A|2J|B|C]|$9|2K|A|2L|B|C]|$9|2M|A|2N|B|C]|$9|2O|A|2P|B|C]|$9|2Q|A|2R|B|C]|$9|2S|A|2T|B|C]|$9|2U|A|2V|B|C]]|D|@$9|2W|A|2X|1|2Y]|$9|2Z|A|30|1|31]|$9|32|A|33|1|34]|$9|35|A|36|1|37]|$9|38|A|39|1|3A]|$9|3B|A|3C|1|3D]|$9|3E|A|3F|1|3G]|$9|3H|A|3I|1|3J]|$9|3K|A|3L|1|3M]]|E|$]]|$1|F|3|G|5|H|7|3N|8|@$9|3O|A|3P|B|C]|$9|3Q|A|3R|B|C]|$9|3S|A|3T|B|C]]|D|@$9|3U|A|3V|1|3W]|$9|3X|A|3Y|1|3Z]|$9|40|A|41|1|42]]|E|$]]|$1|I|3|J|5|6|7|43|8|@$9|44|A|45|B|C]]|D|@$9|46|A|47|1|48]]|E|$]]|$1|K|3|L|5|M|7|49|8|@$9|4A|A|4B|B|C]]|D|@$9|4C|A|4D|1|4E]]|E|$]]|$1|N|3|O|5|P|7|4F|8|@$9|4G|A|4H|B|C]]|D|@$9|4I|A|4J|1|4K]]|E|$]]|$1|Q|3|-4|5|6|7|4L|8|@]|D|@]|E|$]]|$1|R|3|S|5|M|7|4M|8|@$9|4N|A|4O|B|C]]|D|@$9|4P|A|4Q|1|4R]]|E|$]]|$1|T|3|U|5|M|7|4S|8|@$9|4T|A|4U|B|C]]|D|@$9|4V|A|4W|1|4X]]|E|$]]|$1|V|3|W|5|P|7|4Y|8|@$9|4Z|A|50|B|C]|$9|51|A|52|B|C]]|D|@$9|53|A|54|1|55]|$9|56|A|57|1|58]]|E|$]]|$1|X|3|-4|5|6|7|59|8|@]|D|@]|E|$]]|$1|Y|3|Z|5|M|7|5A|8|@]|D|@]|E|$]]|$1|10|3|11|5|6|7|5B|8|@]|D|@$9|5C|A|5D|1|5E]]|E|$]]]|12|$13|$5|14|15|16|E|$17|18]]|19|$5|14|15|16|E|$17|1A]]|1B|$5|14|15|16|E|$17|1C]]|1D|$5|14|15|16|E|$17|1E]]|1F|$5|14|15|16|E|$17|1G]]|1H|$5|14|15|16|E|$17|1I]]|1J|$5|14|15|16|E|$17|1K]]|1L|$5|14|15|16|E|$17|1M]]|1N|$5|14|15|16|E|$17|1O]]|1P|$5|14|15|16|E|$17|1Q]]|1R|$5|14|15|16|E|$17|1S]]|1T|$5|14|15|16|E|$17|1Q]]|1U|$5|14|15|16|E|$17|1V]]|1W|$5|14|15|16|E|$17|1X]]|1Y|$5|14|15|16|E|$17|1Z]]|20|$5|14|15|16|E|$17|21]]|22|$5|14|15|16|E|$17|23]]|24|$5|14|15|16|E|$17|25]]|26|$5|14|15|16|E|$17|27]]|28|$5|29|15|2A|E|$2B|2C]]]]

Let $f$ be the compression function of a Merkle–Damgård hash function $\operatorname{MD}_f$, like MD5. Suppose we have a cheap algorithm $C(h)$ which returns message blocks $m_0 \ne m_1$ such that $f(h, m_0) = f(h, m_1)$. We can use this with the standard initialization vector $\mathit{iv}$ to find a two-way collision $(m_0, m_1) = C(\mathit{iv})$, so that $$\operatorname{MD}_f(m_0) = f(\mathit{iv}, m_0) = f(\mathit{iv}, m_1) = \operatorname{MD}_f(m_1).$$ Can we use it to find a four-way collision $(m_0, m_1, m_2, m_3)$?

Answer: Yes, we can use an algorithm $C$ for finding two-way MD collisions to find $2^n$-way collisions with only $n$ calls to $C$.

<ol>
<li>Let $(b_0, b'_0) = C(\mathit{iv})$.

<ul>
<li>Then $f(\mathit{iv}, b_0) = f(\mathit{iv}, b'_0)$.</li>
</ul></li>
<li>Let $h_1 = f(\mathit{iv}, b_0) = f(\mathit{iv}, b'_0)$.</li>
<li>Let $(b_1, b'_1) = C(h_1)$. That is, use the common hash as a new initialization vector to find a new collision.

<ul>
<li>Then $f(f(\mathit{iv}, b_0), b_1) = f(f(\mathit{iv}, b_0), b'_1))$, etc., so the messages \begin{align} m_0 &amp;= b_0 \mathbin\| b_1, \\ m_1 &amp;= b'_0 \mathbin\| b_1, \\ m_2 &amp;= b_0 \mathbin\| b'_1, \\ m_3 &amp;= b'_0 \mathbin\| b'_1 \end{align} constitute a four-way collision.</li>
</ul></li>
<li>Lather, rinse, repeat for as many distinct collisions as you want.</li>
</ol>

This family of attacks, and their impact on concatenating hash functions, is described in more detail in <a href="https://link.springer.com/chapter/10.1007/978-3-540-28628-8_19" rel="nofollow noreferrer">Antoine Joux, ‘Multicollisions in Iterated Hash Functions. Application to Cascaded Constructions’, in Matt Franklin, ed., Advances in Cryptology—CRYPTO 2004, Springer LNCS 3152, pp. 306–316</a>.

Given X1 and X2 such that md5(X1) = md5(X2) and Y1 and Y2 such that md5(Y1) = md5(Y2), and knowing the following property of md5:

<blockquote>
 if md5(a) = md5(b), md5(a|s) = md5(b|s)
</blockquote>

is there a way to find Z1, Z2, Z3, and Z4 such that md5(Z1) = md5(Z2) = md5(Z3) = md5(Z4)?

Combining md5 collisions to create more collisions

翻译质量差，导致语言生硬或混乱。

没有提供实际的解决方法或示例。

解答不清晰，无法理解或解决问题。

页面排版不美观，阅读体验差。

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

EdgeOne AI 安全实战专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

给定X1和X2，使得md5(X1) = md5(X2)，Y1和Y2使md5(Y1) = md5(Y2)，并且知道md5的以下属性：设md5(a) = md5(b)，md5(a=S)=md5(b=S)是否有找到Z1、Z2、Z3和Z4的方法，使md5(Z1) = md5(Z2) = md5(Z3) = md5(Z4)？

问组合md5冲突来创建更多的冲突
EN

回答 1

Cryptography用户

回答:是的，我们可以使用一种算法C来查找双向MD碰撞，以找到2^n-way冲突，而只使用对C.

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问组合md5冲突来创建更多的冲突EN