The Keccak hash function is the winner of the SHA-3 competition (2008–2012) and became the SHA-3 standard of NIST in 2015. In this paper, we focus on practical collision attacks against round-reduced SHA-3 and some Keccak variants. Following the framework developed by Dinur et al. at FSE 2012 where 4-round collisions were found by combining 3-round differential trails and 1-round connectors, we extend the connectors to up to three rounds and hence achieve collision attacks for up to 6 rounds. The extension is possible thanks to the large degree of freedom of the wide internal state. By linearizing S-boxes of the first round, the problem of finding solutions of 2-round connectors is converted to that of solving a system of linear equations. When linearization is applied to the first two rounds, 3-round connectors become possible. However, due to the quick reduction in the degree of freedom caused by linearization, the connector succeeds only when the 3-round differential trails satisfy some additional conditions. We develop dedicated strategies for searching differential trails and find that such special differential trails indeed exist. To summarize, we obtain the first real collisions on six instances, including three round-reduced instances of SHA-3 , namely 5-round SHAKE128 , SHA3 -224 and SHA3 -256, and three instances of Keccak contest, namely Keccak [1440, 160, 5, 160], Keccak [640, 160, 5, 160] and Keccak [1440, 160, 6, 160], improving the number of practically attacked rounds by two. It is remarked that the work here is still far from threatening the security of the full 24-round SHA-3 family.

中文翻译：

---

针对 Round-Reduced SHA-3 的实际碰撞攻击

Keccak 哈希函数是 SHA-3 竞赛（2008-2012 年）的获胜者，并于 2015 年成为 NIST 的 SHA-3 标准。 本文重点介绍针对轮减少的 SHA-3 和一些 Keccak 的实际碰撞攻击变种。遵循 Dinur 等人开发的框架。在 FSE 2012 中，通过结合 3 轮差分轨迹和 1 轮连接器发现了 4 轮碰撞，我们将连接器扩展到最多 3 轮，从而实现最多 6 轮的碰撞攻击。由于宽内部状态的大自由度，扩展成为可能。通过对第一轮的 S-box 进行线性化，将求解 2 轮连接器的问题转化为求解线性方程组的问题。当线性化应用于前两轮时，3 轮连接器成为可能。然而，由于线性化导致自由度快速降低，只有当3轮差分路径满足一些附加条件时，连接器才能成功。我们开发了专门的策略来搜索差异轨迹，并发现确实存在这种特殊的差异轨迹。总而言之，我们在六个实例上获得了第一次真正的碰撞，包括三个减少轮次的 SHA-3 实例，即 5-round SHAKE128、SHA3 -224 和 SHA3 -256，以及三个 Keccak 竞赛实例，即 Keccak [1440， 160, 5, 160]、Keccak [640, 160, 5, 160] 和 Keccak [1440, 160, 6, 160]，将实际攻击回合数提高了两轮。需要注意的是，这里的工作还远远没有威胁到完整的 24 轮 SHA-3 家族的安全。只有当 3 轮差分路径满足一些附加条件时，连接器才成功。我们开发了专门的策略来搜索差异轨迹，并发现确实存在这种特殊的差异轨迹。总而言之，我们在六个实例上获得了第一次真正的碰撞，包括 SHA-3 的三个减少轮次的实例，即 5-round SHAKE128 、SHA3 -224 和 SHA3 -256，以及 Keccak 竞赛的三个实例，即 Keccak [1440， 160, 5, 160]、Keccak [640, 160, 5, 160] 和 Keccak [1440, 160, 6, 160]，将实际攻击回合数提高了两轮。需要注意的是，这里的工作还远远没有威胁到完整的 24 轮 SHA-3 家族的安全。只有当 3 轮差分路径满足一些附加条件时，连接器才成功。我们开发了专门的策略来搜索差异轨迹，并发现确实存在这种特殊的差异轨迹。总而言之，我们在六个实例上获得了第一次真正的碰撞，包括三个减少轮次的 SHA-3 实例，即 5-round SHAKE128、SHA3 -224 和 SHA3 -256，以及三个 Keccak 竞赛实例，即 Keccak [1440， 160, 5, 160]、Keccak [640, 160, 5, 160] 和 Keccak [1440, 160, 6, 160]，将实际攻击回合数提高了两轮。需要注意的是，这里的工作还远远没有威胁到完整的 24 轮 SHA-3 家族的安全。我们开发了专门的策略来搜索差异轨迹，并发现确实存在这种特殊的差异轨迹。总而言之，我们在六个实例上获得了第一次真正的碰撞，包括 SHA-3 的三个减少轮次的实例，即 5-round SHAKE128 、SHA3 -224 和 SHA3 -256，以及 Keccak 竞赛的三个实例，即 Keccak [1440， 160, 5, 160]、Keccak [640, 160, 5, 160] 和 Keccak [1440, 160, 6, 160]，将实际攻击回合数提高了两轮。需要注意的是，这里的工作还远远没有威胁到完整的 24 轮 SHA-3 家族的安全。我们开发了专门的策略来搜索差异轨迹，并发现确实存在这种特殊的差异轨迹。总而言之，我们在六个实例上获得了第一次真正的碰撞，包括三个减少轮次的 SHA-3 实例，即 5-round SHAKE128、SHA3 -224 和 SHA3 -256，以及三个 Keccak 竞赛实例，即 Keccak [1440， 160, 5, 160]、Keccak [640, 160, 5, 160] 和 Keccak [1440, 160, 6, 160]，将实际攻击回合数提高了两轮。需要注意的是，这里的工作还远远没有威胁到完整的 24 轮 SHA-3 家族的安全。以及Keccak比赛的三个实例，即Keccak [1440, 160, 5, 160]，Keccak [640, 160, 5, 160]和Keccak [1440, 160, 6, 160]，将实际攻击回合数提高了两个. 需要注意的是，这里的工作还远远没有威胁到完整的 24 轮 SHA-3 家族的安全。以及Keccak比赛的三个实例，即Keccak [1440, 160, 5, 160]，Keccak [640, 160, 5, 160]和Keccak [1440, 160, 6, 160]，将实际攻击回合数提高了两个. 需要注意的是，这里的工作还远远没有威胁到完整的 24 轮 SHA-3 家族的安全。