压缩函数采用高级加密标准AES（Advanced Encryption Standard）的杂凑模型是杂凑函数设计的重要方式之一，研究者已经提出了针对7轮单AES分组杂凑模型的原像攻击和6轮单AES分组杂凑模型的碰撞攻击，而针对多AES分组的杂凑模型安全性仍未知。本文提出了适应于后量子时代的两AES分组和四AES分组的杂凑函数模型的原像攻击，该攻击中采用了初始结构、连接剪切、部分匹配等技巧，恢复了7轮双AES分组和6轮四AES分组的杂凑函数的原像，与已有7轮单AES分组杂凑模型的原像攻击相比，双AES分组杂凑模型可以达到几乎相当的安全强度，而四AES分组杂凑模型安全强度更强。此研究成果是对AES分组杂凑模型原像攻击的一个重要补充，为AES分组杂凑模型的设计提供了有力的理论保障。

• 单位
  信息安全国家重点实验室; 上海理工大学; 中国科学院信息工程研究所