Merkle-Damgård vs Sponge: сравнительный анализ двух конструкций функций хеширования

werkleEh—mg¦—rd vs ƒpongeX ñðàâíèòåëüíûé àíàëèç äâóõ
êîíñòðóêöèé ôóíêöèé õýøèðîâàíèÿ
Ãðèãîðèé Ìàðøàëêî, Âàñèëèé Øèøêèí
ÔÑÁ Ðîññèè
26 ìàðòà 2014
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR I G IV

Ïîñëåäíèå 4íîâèíêè ìîäåëüíîãî ðÿäà4
Õýø-ôóíêöèè ñåìåéñòâà Ñòðèáîã â 2012 ã. ïðèíÿòû â êà÷åñòâå
íàöèîíàëüíîãî ñòàíäàðòà ÃÎÑÒ Ð 34.11-2012
Õýø-ôóíêöèè ñåìåéñòâà Keccak â 2012 ã. ïîáåäèëè â êîíêóðñå
SHA-3 è ïëàíèðóþòñÿ â ñêîðîì âðåìåíè ê ñòàíäàðòèçàöèè â ÑØÀ
Ðàçíûå ïðèíöèïû ñèíòåçà, êàê îíè ñîîòíîñÿòñÿ, ÷òî âûáèðàòü?
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR P G IV

Êðèïòîãðàôè÷åñêèå ôóíêöèè õýøèðîâàíèÿ
Îïðåäåëåíèå
Êðèïòîãðàôè÷åñêîé ôóíêöèåé õýøèðîâàíèÿ íàçûâàåòñÿ îòîáðàæåíèå
H : V ∗ → Vn, ãäå n ∈ N íàòóðàëüíîå ÷èñëî, V ∗ ìíîæåñòâî âñåõ
äâîè÷íûõ âåêòîðîâ êîíå÷í��é ðàçìåðíîñòè (âêëþ÷àÿ ïóñòóþ ñòðîêó),
Vn ìíîæåñòâî âñåõ n-ìåðíûõ äâîè÷íûõ âåêòîðîâ.
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR Q G IV

Çàäà÷è àíàëèçà
Îáðàùåíèå õýø-ôóíêöèè (Preimage attack). Íåîáõîäèìî ïî
èçâåñòíîìó y íàéòè òàêîé x, ÷òî h(x) = y. Ñëîæíîñòü ≈ 2n.
Ïîñòðîåíèå êîëëèçèè. Íåîáõîäèìî íàéòè òàêèå ðàçëè÷íûå
ñîîáùåíèÿ x1, x2, ÷òî h(x1) = h(x2). Ñëîæíîñòü ≈ 2
n
2 .
Ïîñòðîåíèå âòîðîãî ïðîîáðàçà (Second preimage attack).
Íåîáõîäèìî ïî èçâåñòíûì y è x íàéòè òàêîé x1, îòëè÷íûé îò x,
÷òî h(x) = h(x1). Ñëîæíîñòü ≈ 2n.
Ðàñøèðåíèå ñîîáùåíèÿ. Ïî çàäàííûì çíà÷åíèÿì |x|, H(x)
íàéòè íåêîòîðîå çíà÷åíèå y ∈ V ∗, äëÿ êîòîðîãî âû÷èñëèòü
H(x y). Ñëîæíîñòü ≈ 2n
ìóëüòè-, ïñåâäî-, ïî÷òè- è ò.ä.
Ïîñòðîåíèå ðàçëè÷èòåëÿ. Ïîñòðîèòü àëãîðèòì ïîçâîëÿþùèé â
íåêîòîðîé ìîäåëè îòëè÷èòü õýø-ôóíêöèþ h îò ñëó÷àéíîãî
îòîáðàæåíèÿ.
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR R G IV

PSEëåòèå ÌÄEêîíñòðóêöèè
Íåçàâèñèìî ïðåäëîæåíà â 1989 ã. Ìåðêëåì è Äàìãîðäîì
Òåîðåòè÷åñêèå ðåçóëüòàòû ïî ñòîéêîñòè â ðàìêàõ ðÿäà
ôîðìàëüíûõ ìîäåëåé (ò.í. äîêàçóåìàÿ ñòîéêîñòü)
Íà÷àëî 2000-õ ãîäîâ íîâûå ìåòîäû àíàëèçà (ìóëüòèêîëëèçèè,
ðàñøèðåíèå ñîîáùåíèÿ, ïðîîáðàç äëÿ äëèííûõ ñîîáùåíèé...)
ïðîäåìîíñòðèðîâàëè íåèäåàëüíîñòü ÌÄ-êîíñòðóêöèè ñ
òåîðåòè÷åñêîé òî÷êè çðåíèÿ
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR S G IV

Ïóòè ïðîòèâîäåéñòâèÿ àòàêàì
Wide-pipe (Double-pipe) (2004 ã.) óâåëè÷åíèå âíóòðåííåãî
ñîñòîÿíèÿ (îãðàíè÷åíèÿ ïî ïàìÿòè)
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR T G IV

Ðàíäîìèçèðîâàííîå õýøèðîâàíèå (2006 ã.) äîáàâëåíèå
ñîëè (óâåëè÷åíèå òðóäîåìêîñòè õýøèðîâàíèÿ)

Ðÿä äðóãèõ ñïîñîáîâ, íî êàê îêàçàëîñü, è îíè íå ñïàñàþò îò
íåäîñòàòêîâ

Ðÿä äðóãèõ ñïîñîáîâ, íî êàê îêàçàëîñü, è îíè íå ñïàñàþò îò
íåäîñòàòêîâ
Íàèáîëåå âçâåøåííîå ðåøåíèå êîíñòðóêöèÿ HAIFA (2006 ã.)
äîáàâëåíèå íà î÷åðåäíîé èòåðàöèè ÷èñëà õýøèðîâàííûõ áèò è,
âîçìîæíî, ñîëè

ÕýøEôóíêöèè Ñòðèáîã
Îñíîâàíà íà ÌÄ-êîíñòðóêöèè íàñëåäîâàíèå èçâåñòíûõ
ðåçóëüòàòîâ î ñòîéêîñòè
Ìîäèôèêàöèÿ MÄ-êîíñòðóêöèè èñêëþ÷åíèå âîçìîæíîñòè
ïðèìåíåíèÿ ðàñøèðåíèÿ ñîîáùåíèÿ, îãðàíè÷åíèå âîçìîæíîñòè
ïðèìåíåíèÿ ìóëüòèêîëëèçèé
Îñíîâíàÿ èäåÿ: âçÿòü ëó÷øåå îò ÌÄ è óñòðàíèòü âîçìîæíûå
íåäîñòàòêè ïðè ñîõðàíåíèè ïðèåìëåìûõ ýêñïëóàòàöèîííûõ
õàðàêòåðèñòèê
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR U G IV

Ðåçóëüòàòû íåçàâèñèìîãî àíàëèçà õýøEôóíêöèè Ñòðèáîã
AlTawy R., Kircanski A., Youssef A. M., Rebound attacks on Stribog.
ICISC'2013 ïðèìåíåíèå àòàêè îòðàæåíèÿ
Óñëîâíàÿ ïñåâäî-êîëëèçèÿ äëÿ 7.75 èç 12 èòåðàöèé ôóíêöèè
ñæàòèÿ
Óñëîâíàÿ ïñåâäî-ïî÷òè-êîëëèçèÿ äëÿ 9.75 èç 12 èòåðàöèé ôóíêöèè
ñæàòèÿ
Wang Z., Yu H., Wang X., Cryptanalysis of GOST R hash function.
Cryptology ePrint Archive àíàëîãè÷íûé ïîäõîä
Êîëëèçèè äëÿ 9.5 èç 12 èòåðàöèé ôóíêöèè ñæàòèÿ
Îãðàíè÷åííûé ðàçëè÷èòåëü (ïî ïîäìíîæåñòâàì âõîäà è âûõîäà) íà
10 èç 12 èòåðàöèé ôóíêöèè ñæàòèÿ
Óêàçàíî íà âîçìîæíîñòü ïîñòðîåíèÿ k-êîëëèçèé (óêàçàííîå ðàíåå
ñâîéñòâî ÌÄ-êîíñòðóêöèè),
AlTawy R., Youssef A. M., Integral distinguishers for reduced-round
Stribog. Cryptology ePrint Archive
Ðàçëè÷èòåëü äëÿ 7 èç 12 èòåðàöèé ôóíêöèè ñæàòèÿ
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR V G IV

Êîðîòêîå ðåçþìå
Êîëëèçèè è ðàçëè÷èòåëè äëÿ óñå÷åííîé ôóíêöèè ñæàòèÿ
k-êîëëèçèè â ñîîòâåòñòâèè ñ ìåòîäîì ïîèñêà ìóëüòèêîëëèçèé +
êîíòðîëüíàÿ ñóììà (ïðîòèâîäåéñòâèå wide-pipe ⇒, ÷òî ïðèâîäèò
ê óõóäøåíèþ ýêñïëóàòàöèîííûõ ñâîéñòâ)
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR W G IV

ƒpongeEêîíñòðóêöèÿ
Ïðåäëîæåíà â 2007 ã. è âîïëîùåíà â àëãîðèòìå Keccak
Ýâîëþöèÿ: Panama (1998 ã.) → RadioGatun (2006 ã.) → Keccak
(2007 ã.)
Îñíîâàíà íà èòåðàòèâíîì èñïîëüçîâàíèè ïîäñòàíîâêè
(îòîáðàæåíèÿ) áîëüøîé ðàçìåðíîñòè ≈ àíàëîã wide-pipe
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR IH G IV

ƒpongeEêîíñòðóêöèÿ
Ðàçìåð ïîäñòàíîâêè b = r + c
Ñêîðîñòü r äëèíà î÷åðåäíîãî õýøèðóåìîãî áëîêà, êîòîðûé
ïîñòóïàåò íà âõîä ôóíêöèè ñæàòèÿ (äëèíà âûõîäíîãî áëîêà
ôóíêöèè ñæàòèÿ)
Åìêîñòü c äëèíà íåçàäåéñòâîâàííîãî âõîäà ïîäñòàíîâêè
Äîïîëíåíèå: 100.....
Äëèíà õýø-êîäà n
Äâå ôàçû ôóíêöèîíèðîâàíèÿ
Âïèòûâàíèå ïîäìåøèâàíèå âõîäíîãî ñîîáùåíèÿ ê âíóòðåííåìó
ñîñòîÿíèþ õýø-ôóíêöèè
Âûæèìàíèå âûðàáîòêà õýø-êîäà
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR II G IV

Àíàëèç ƒpongeEêîíñòðóêöèè
G. Bertoni, J. Daemen, M. Peeters, G. Van Assche. Cryptographic
Sponge functions. sponge.noekeon.org
Äîêàçàòåëüñòâî ñòîéêîñòè â ôîðìàëüíîé ìîäåëè (îòëè÷èìîñòü îò
ñëó÷àéíîãî îðàêóëà)
Îòëè÷èå îò ñëó÷àéíîãî îðàêóëà íàëè÷èå âíóòðåííèõ êîëëèçèé
Àâòîðû ïðåäëàãàþò èçìåíèòü ïàðàäèãìó èäåàëüíîé õýø-ôóíêöèè
âìåñòî ïîâñåìåñòíî èñïîëüçóåìîãî ñëó÷àéíîãî îðàêóëà
èñïîëüçîâàòü ñëó÷àéíóþ ãóáêó òîíêèé ìîìåíò!
Ñòðàòåãèÿ ãåðìåòè÷íîé ãóáêè íåîòëè÷èìîñòü ðåàëüíîãî
àëãîðèòìà
Ñòîéêîñòü îòíîñèòåëüíî êëàññè÷åñêèõ àòàê íà îñíîâå áîëüøîé
ðàçìåðíîñòè ïîäñòàíîâêè
E. Andreeva, B. Mennink, B. Preneel. The Parazoa Family:
Generalizing the Sponge Hash Functions. Cryptology ePrint Archive,
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR IP G IV

Ñòîéêîñòü ƒpongeEêîíñòðóêöèè
Îáðàùåíèå õýø-ôóíêöèè. Ñëîæíîñòü
≈ min 2min{n,b}, max 2min{n,b}−r , 2
c
2 .
Ïîñòðîåíèå êîëëèçèè. Ñëîæíîñòü ≈ min 2
n
2 , 2
c
2 .
Ïîñòðîåíèå âòîðîãî ïðîîáðàçà. Ñëîæíîñòü ≈ min 2n, 2
c
2 .
Îñòàëüíûå àòàêè òî÷��ûõ îöåíîê íåò, àâòîðû îáîñíîâûâàþò
ñòîéêîñòü íà êà÷åñòâåííîì óðîâíå (ñ ó÷åòîì áîëüøîé äëèíû
ïîäñòàíîâêè)
Ñïåöèôè÷åñêîå ñâîéñòâî äëÿ îáåñïå÷åíèÿ ñòîéêîñòè çíà÷åíèå
åìêîñòè c äîëæíî ïðèíèìàòü äîñòàòî÷íî áîëüøèå çíà÷åíèÿ (ïîïûòêà
NIST óìåíüøèòü åìêîñòü áûëà âñòðå÷åíà ìåæäóíàðîäíûì
êðèïòîãðàôè÷åñêèì ñîîáùåñòâîì êðàéíå íåãàòèâíî)
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR IQ G IV

ÕýøEôóíêöèÿ Keccak
Ðàçìåð ïîäñòàíîâêè b = 1600 áèò
Åìêîñòü (?) áèò â çàâèñèìîñòè îò äëèíû õýø-êîäà
5 òèïîâ ïðåîáðàçîâàíèé âíóòðåííåãî ñîñòîÿíèÿ
Äîáàâëåíèå êîíñòàíò
Íåëèíåéíîå ïðåîáðàçîâàíèå ñòåïåíè 2
Òðè ëèíåéíûõ ïåðåìåøèâàþùèõ ïðåîáðàçîâàíèÿ
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR IR G IV

Íåêîòîðûå ðåçóëüòàòû àíàëèçà õýøEôóíêöèè Keccak
C. Boura, A. Canteaut, A zero-sum property for the Keccak-f
permutation with 18 rounds, comment on the NIST Hash
Competition, 2010 Ðàçëè÷èòåëü, èñïîëüçóþùèé ìàëóþ ñòåïåíü
íåëèíåéíîñòè èòåðàöèîííîãî ïðåîáðàçîâàíèÿ, àâòîðû Keccak
óâåëè÷èâàþò ÷èñëî èòåðàöèé ñ 18 äî 24
M. Duan, X. Lai, Improved zero-sum distinguisher for full round
Keccak-f permutation, Cryptology ePrint Archive Report
Àíàëîãè÷íûé ðàçëè÷èòåëü óæå íà 24 èòåðàöèè îäíàêî àâòîðû
Keccak â óãîäó ïðîèçâîäèòåëüíîñòè îòêàçàëèñü îò ñòðàòåãèè
ãåðìåòè÷íîé ãóáêèè íå óâåëè÷èâàþò ÷èñëî èòåðàöèé
D. J. Bernstein, Second preimages for 6 (7? (8??)) rounds of Keccak?,
NIST hash forum mailing list âòîðîé ïðîîáðàç äëÿ 8 èòåðàöèé
I. Dinur, O. Dunkelman, A. Shamir, New attacks on Keccak-224 and
Keccak-256, FSE 2012 êîëëèçèè çà ðåàëüíîå âðåìÿ äëÿ 4
èòåðàöèé
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR IS G IV

Êîðîòêîå ðåçþìå
Êîëëèçèè è ïðîîáðàçû òîëüêî äëÿ óñå÷åííîé ôóíêöèè ñæàòèÿ
Ðàçëè÷èòåëü äëÿ ïîëíîé ôóíêöèè ñæàòèÿ ñâîéñòâî íåëèíåéíîãî
ïðåîáðàçîâàíèÿ (ïðîòèâîäåéñòâèå óâåëè÷åíèå ÷èñëà èòåðàöèé
⇒ óõóäøåíèå ýêñïëóàòàöèîííûõ ñâîéñòâ. Ó÷èòûâàÿ òî, ÷òî ïîêà
ýòè ðåçóëüòàòû íå ïðèâîäÿò ê ïîñòðîåíèþ êîëëèçèé è ïðîîáðàçîâ,
ñìûñëà íåò)
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR IT G IV

Ñðàâíåíèå ƒpongeE è ÌÄEêîíñòðóêöèé
Äâå ðàçëè÷íûå êîíñòðóêöèè: ðàçíûå ïîäõîäû ê îáîñíîâàíèþ
ñòîéêîñòè è àíàëèçó
Äëÿ ÌÄ-êîíñòðóêöèè çà 25 ëåò ïîëó÷åíû ñóùåñòâåííûå ðåçóëüòàòû
àíàëèçà, èñïîëüçóþùèå ñïåöèôè÷åñêèå ñâîéñòâà êîíñòðóêöèè
Íîâàÿ Sponge-êîíñòðóêöèÿ ñðàâíèòåëüíî ìàëî àíàëèçèðîâàëàñü
íåçàâèñèìûìè èññëåäîâàòåëÿìè
Íåîáõîäèìî èñïîëüçîâàòü ðàçíûå ìàòåìàòè÷åñêèå ìîäåëè ïðè
îáîñíîâàíèè ñòîéêîñòè (õîòÿ èñïîëüçóþòñÿ îäèíàêîâûå)
ÌÄ-êîíñòðóêöèÿ èñïîëüçîâàíèå áëî÷íîãî øèôðà â ôóíêöèè
ñæàòèÿ ïîçâîëÿåò ìîäåëèðîâàòü åå ñ ïîìîùüþ ñëó÷àéíîãî
îòîáðàæåíèÿ
Sponge-êîíñòðóêöèÿ ôóíêöèÿ ñæàòèÿ ôèêñèðîâàííàÿ
ïîäñòàíîâêà (òðåáóåò, ïî âñåé âèäèìîñòè, íîâûõ ïîäõîäîâ ê
îáîñíîâàíèþ ñòîéêîñòè)
Ðàçëè÷íûå ïîäõîäû ê ñèíòåçó ôóíêöèè ñæàòèÿ
ÌÄ-êîíñòðóêöèÿ ïîíÿòíûå, óñòîÿâøèåñÿ ïîäõîäû íà îñíîâå
áëî÷íûõ øèôðîâ
Sponge-êîíñòðóêöèÿ ðåçóëüòàòû ïîêàçûâàþò, ÷òî íóæíû íîâûå
ñïîñîáû ñèíòåçà áîëüøèõ ïîäñòàíîâîê
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR IU G IV

Âûâîäû
Äâà ðàçëè÷íûõ ïîäõîäà ê ñèíòåçó õýø-ôóíêöèé
Â êàæäîì ñëó÷à�� ñïåöèôè÷åñêèå ýêñïëóàòàöèîííûå è
êðèïòîãðàôè÷åñêèå ñâîéñòâà
Ðàññìîòðåííûå â äîêëàäå ïðèìåðû õýø-ôóíêöèé ïðåâîñõîäÿò
ñóùåñòâóþùèå ñòàíäàðòèçèðîâàííûå (ìåæäóíàðîäíûìè è
íàöèîíàëüíûìè îðãàíèçàöèÿìè) àíàëîãè ïî ñòîéêîñòè
îòíîñèòåëüíî èçâåñòíûõ ìåòîäîâ àíàëèçà
ÃFÁF ÌàðøàëêîD ÂFÀF Øèøêèí @ÔÑÁA werkleEh—mg¦—rd vs ƒponge PT ìàðòà PHIR IV G IV

Merkle-Damgård vs Sponge: сравнительный анализ двух конструкций функций хеширования

More Related Content

Merkle-Damgård vs Sponge: сравнительный анализ двух конструкций функций хеширования