密码学中的sponge函数

1. Hash函数特性

Hash函数是将任意长度的输入，映射为固定长度的输出：
$h:Z_2^*\mapsto Z_2^n$
通常 $n$的取值为：128，160，256，512。


Hash函数应具有如下特性：

• Pre-image resistant：即已知 $y$，根据 $h(x)=y$求 $x$，需要 $2^n$次尝试。
  
• 2nd pre-image resistance：已知 $M$和 $h(M)$，找到另一个 $M'$使得 $h(M')=h(M)$，需要 $2^n$次尝试。
  
• Collision resistance：找到任意的 $x_1!=x_2$，使得 $h(x_1)=h(x_2)$，需要 $2^{n/2}$次尝试。
  

一个好的Hash函数，应表现得像一个random oracle。

密码学中Hash函数可用于：

• 签名：用 $sign_{RSA}(h(M))$代替 $sign_{RSA}(M)$
• 密钥推导：由主key $K$推导keys $K_i=h(K||i)$
• Bit commitment, predictions： $h(what\ I\ know)$
• 消息认证： $h(K||M)$

2. random oracle

random oracle(RO)是将任意长度的消息映射为无限输出string。
支持的输入参数为 $(M,l)$，其中 $M$代表的是输入的消息， $l$代表希望的输出字符串的长度。
输出为 $Z$，为 $l$长度的字符串。是独立且均匀分布的字符。
random oracle的输出是自洽的，即相同的输入，对应相同的输出。

random oracle没有internal collisions。

3. tranditional construction——Merkle-Damgård

4. sponge construction

$f$被称为 $b$-bit排列函数（同时也为extendable output function(XOF)）， $b=r+c$，其中的 $r$为bits of rate， $c$为bits of capacity(security parameter)。

4.1 sponge函数

sponge函数又可称为海绵函数，主要分为两个阶段：

• absorbing 吸收阶段。对应该阶段的为hash碰撞。
• squeezing 挤压阶段。对应该阶段的为周期性output。

论文 《Sponge functions》中sponge函数等的定义如下：

5. duplex construction

参考资料：
[1] Sponge functions
[2] Introduction to sponge-based cryptography Part 1: Keccak and SHA-3
[3] Cryptographic sponge functions
[4] 博客Fiat-Shamir heuristic（含实现）和Random oracle