Hash založený na rychlém syndromu

Hash založený na rychlém syndromu
Vývojáři	Daniel Ogot, Matthew Finiash, Nicolas Sandrier
Vytvořeno	2003
zveřejněno	2008
Velikost hash	160, 224, 256, 384, 512
Typ	hashovací funkce

FSB (Fast Syndrome-Based Hash Function) je sada kryptografických hašovacích funkcí vytvořená v roce 2003 a přihlášená v roce 2008 jako kandidát do soutěže SHA-3 [1] . Na rozdíl od mnoha v současnosti používaných hašovacích funkcí lze do určité míry prokázat kryptografickou sílu FSB. Síla FSB dokazuje, že prolomit FSB je stejně obtížné jako vyřešit nějaký NP-úplný problém známý jako dekódování regulárního syndromu. Ačkoli stále není známo, zda jsou NP-úplné problémy řešitelné v polynomiálním čase , obecně se předpokládá, že nejsou.

Během procesu vývoje bylo navrženo několik verzí FSB, z nichž poslední byla předložena v soutěži SHA-3, ale byla zamítnuta v prvním kole. Zatímco všechny verze FSB tvrdí, že jsou bezpečné , některé předběžné verze byly nakonec prolomeny [2] . Při vývoji nejnovější verze FSB byly zohledněny všechny zranitelnosti a v tuto chvíli zůstává algoritmus kryptograficky odolný vůči všem aktuálně známým útokům.

Na druhou stranu odolnost něco stojí. FSB je pomalejší než tradiční hashovací funkce a využívá poměrně hodně paměti RAM, takže je nepraktický v prostředích, kde je omezený. Navíc kompresní funkce používaná v FSB vyžaduje velkou velikost výstupní zprávy, aby byla zaručena šifrovací síla. Tento problém byl vyřešen v posledních verzích, kde je výstup komprimován funkcí Whirlpool . Ačkoli však autoři tvrdí, že přidání této poslední kontrakce nesníží stabilitu, znemožňuje ji formálně prokázat [3] .

Popis hashovací funkce

Kompresní funkce má parametry jako a . Tato funkce bude fungovat pouze se zprávami o délce . - výstupní velikost. Navíc a musí být přirozená čísla - binární logaritmus). Důvodem je , že chceme, aby to byla kompresní funkce, takže vstup musí být větší než výstup. Později použijeme Merkle-Damgardovu konstrukci k rozšíření vstupní domény pro zprávy libovolné délky. $\phi$ ${n,r,w}$ $n>w$ $w\log(n/w)>r$ $s=w\log(n/w)$ $r$ $n,r,w,s$ $\log(n/w)$ $\log$ $w\cdot \log(n/w)>r$ $\phi$

Základem této funkce je (náhodně vybraná) binární matice , která interaguje se zprávou bitů násobením matice . Zde zakódujeme -bitovou zprávu jako vektor v -rozměrném vektorovém prostoru přes pole dvou prvků, takže výstupem bude zpráva o bitech. $r\times n$ $H$ $n$ $w\log(n/w)$ $(\mathbf {F} _{2})^{n}$ $n$ $r$

Z bezpečnostních důvodů a také z důvodu rychlé hašovací frekvence se jako vstup do naší matice používají pouze „váha pravidelných slov“. $w$

Definice

Zpráva se nazývá slovo o hmotnosti a délce , pokud se skládá z bitů a právě z těchto bitů jsou nenulové. $w$ $n$ $n$ $w$

Slovo o hmotnosti a délce se nazývá pravidelné, pokud každý interval obsahuje právě jeden nenulový prvek pro všechny . To znamená, že pokud zprávu rozdělíme na w stejných částí, pak každá část obsahuje právě jeden nenulový prvek. $w$ $n$ $[(i-1)w,iw)$ $0<i<n/w+1$

Funkce komprese

Existují přesně odlišná běžná slova o hmotnosti a délce , takže potřebujeme přesně ty bity dat, abychom tato běžná slova zakódovali. Opravte vzájemnou korespondenci mezi sadou dlouhých bitových řetězců a sadou běžných slov hmotnosti a délky a poté definujte funkci komprese FSB takto: ${\displaystyle (n/w)^{w))$ $w$ $n$ $\log((n/w)^{w})=w\log(n/w)=s$ $s$ $w$ $n$

Vstupem je zpráva velikosti $s$
Převod na běžné slovo hmotnosti a délky $w$ $n$
Maticové násobení $H$
Na výstupu získáme hash velikosti $r$

Tato verze je obecně označována jako syndromická komprese. To je poměrně pomalé a v praxi se to provádí jiným a rychlejším způsobem, který se nazývá rychlá syndromická komprese. Rozdělíme na podmatice velikosti a stanovíme korespondenci jedna ku jedné mezi bitovými řetězci délky a sadou sekvencí čísel od 1 do . To je ekvivalentní korespondenci jedna ku jedné se sadou pravidelných slov délky a váhy , protože toto slovo můžeme vidět jako posloupnost čísel od 1 do . Kompresní funkce vypadá takto: $H$ $Ahoj$ $r\times n/w$ $w\log(n/w)$ $w$ $n/w$ $n$ $w$ $n/w$

Vstupem je zpráva velikosti $s$
Převede se na posloupnost čísel od 1 do $w$ ${\displaystyle s_{1},\tečky ,s_{w))$ $n/w$
Přidáním příslušných sloupců matic získáte binární řetězec délky $Ahoj$ $r$
Na výstupu získáme hash velikosti $r$

Nyní můžeme použít Merkle-Damgardovu strukturu ke zobecnění kompresní funkce, takže vstup může mít libovolnou délku.

Příklad komprese

Počáteční podmínky :

Zprávu hašujeme pomocí matice , která je rozdělena na podmatice , , . $s=010011$ $4\times 12$ $H$
${\displaystyle H=\left({\begin{array}{llllcllllclll}1&0&1&1&~&0&1&0&0&~&1&0&1&1\\0&1&0&0&~&0&1&1&1&~&0&1&0&0\\0&1&1&1&1&~&0}&0)&0) vpravo$
$w=3$ $H_1$ $H_2$ $H_3$

Algoritmus :

Příchozí zprávu rozdělíme na části délky a získáme , , . $s$ $w=3$ $\log _{2}(12/3)=2$ $s_{1}=01$ $s_{2}=00$ $s_{3}=11$
Převedeme každý řetězec na číslo a dostaneme , , . $s_{i}$ $s_{1}=1$ $s_{2}=0$ $s_{3}=3$
Z první podmatice vezmeme druhý sloupec, z druhého vezmeme první, ze třetího - čtvrtý. $H_1$ $H_2$ $H_3$
Přidejte vybrané sloupce a získejte výsledek: . $r=0111\oplus 0001\oplus 1001=1111$

Bezpečnostní důkaz FSB

Konstrukce Merkle-Damgard zakládá své zabezpečení pouze na bezpečnosti použité kompresní funkce. Musíme tedy pouze ukázat, že kompresní funkce je odolná vůči kryptoanalýze . $\phi$

Kryptografická hašovací funkce musí být zabezpečena třemi různými způsoby:

Odolnost prvního předobrazu: Vzhledem k hash h by mělo být těžké najít zprávu m takovou, že Hash( m )= h .
Druhý předobrazový odpor je: když dostaneme zprávu m 1 , mělo by být těžké najít zprávu m 2 takovou, že Hash ( m 1 ) = Hash ( m 2 ).
Odolnost proti kolizi: Mělo by být těžké najít dvě odlišné zprávy m 1 a m 2 takové, že Hash( m 1 )=Hash( m 2 ).

Stojí za zmínku, že pokud najdete druhý předobraz, můžete samozřejmě najít kolizi . To znamená, že pokud dokážeme, že náš systém je odolný proti kolizi, bude jistě zabezpečen proti nalezení druhého předobrazu.

Obtížné obvykle v kryptografii znamená něco jako „téměř jistě mimo dosah jakéhokoli protivníka, jehož narušení systému je třeba zabránit“, ale pojďme si tento pojem definovat přesněji. Budeme předpokládat: "doba provádění jakéhokoli algoritmu, který najde kolizi nebo předobraz, závisí exponenciálně na velikosti hodnoty hash." To znamená, že s relativně malými přírůstky k velikosti hashe se můžeme rychle dostat na vysokou úroveň kryptografické síly.

Odolnost předobrazu

Jak již bylo zmíněno dříve, kryptografická síla FSB závisí na úloze zvané pravidelné syndromické dekódování. Původně problém v teorii kódování , ale jeho NP-úplnost z něj udělala šikovnou aplikaci pro kryptografii. Je to speciální případ dekódování syndromu a je definován takto:

Dané matice dimenze a bitový řetězec délky tak, že existuje sada sloupců, jeden pro každý , které tvoří . Potřebujeme najít takovou sadu sloupců. $w$ $Ahoj$ $r\times (n/w)$ $S$ $r$ $w$ $Ahoj$ $S$

Ukázalo se, že tento problém je NP-úplný tím, že se vyhneme 3D shodě. Opět, ačkoli není známo, zda existují polynomiální algoritmy pro řešení časových NP-úplných problémů, žádný z nich není znám a nalezení jednoho by bylo obrovským objevem.

Je snadné vidět, že nalezení předobrazu daného hashe je přesně ekvivalentní tomuto problému, takže problém s předobrazem FSB musí být také NP-úplný. $S$

Ještě musíme prokázat odolnost proti kolizi. K tomu potřebujeme další NP-úplnou variaci pravidelného syndromického kódování, nazývanou „biregular zero syndromic decoding“.

Odolnost proti kolizi

Jsou uvedeny matice rozměrů a bitový řetězec délky . Pak je zde sada sloupců, buď dva nebo žádný v každém , tvořící 0, kde . Potřebujeme najít takovou sadu sloupců. Ukázalo se, že tato metoda je NP-úplná, protože se vyhýbá 3D párování. $w$ $Ahoj$ $r\times (n/w)$ $S$ $r$ $w'$ $Ahoj$ $(0<w'<2w)$

Stejně jako pravidelné syndromické dekódování je v podstatě ekvivalentní hledání regulárního slova tak, že , biregulární nulové syndromické dekódování je ekvivalentní hledání biregulárního slova , jako je . Biregulární slovo délky a váhy je bitový řetězec délky takový, že v každém intervalu jsou buď přesně dva záznamy 1, nebo žádný. Všimněte si, že 2-běžné slovo je prostě součet dvou běžných slov. $w$ $Hw=S$ $w'$ $hw'=0$ $n$ $w$ $n$ $[(i-1)w,iw)$

Předpokládejme, že jsme našli kolizi: Hash( m 1 ) = Hash ( m 2 ) pro . Pak můžeme najít dvě pravidelná slova a taková, že . Pak dostaneme , kde je součet dvou různých regulárních slov a musí to být bi-regulární slovo, jehož hash je nula, takže jsme vyřešili problém dekódování bi-regular null syndromu. Došli jsme k závěru, že nalezení kolizí v FSB je přinejmenším stejně obtížné jako řešení problému dekódování biregulárního nulového syndromu, a proto je algoritmus NP-úplný. $m_{1}\neq m_{2}$ $w_{1}$ ${\displaystyle w_{2))$ $Hw_{1}=Hw_{2}$ $H(w_{1}+w_{2})=Hw_{1}+Hw_{2}=2Hw_{1}=0$ $(w_{1}+w_{2})$

Nedávné verze FSB používaly kompresní funkci Whirlpool k další kompresi výstupu hašovací funkce. Přestože kryptografickou sílu v tomto případě nelze prokázat, autoři tvrdí, že tato poslední komprese ji nesnižuje. Všimněte si, že i kdyby bylo možné najít kolize ve Whirpoolu, stále by bylo nutné najít kolize předobrazu v původní funkci komprese FSB, aby bylo možné najít kolize ve FSB.

Příklady

Při řešení problému pravidelného syndromického dekódování jsme s ohledem na hašování jakoby v opačném směru. Pomocí stejných hodnot jako v předchozím příkladu dostaneme podblok a řetězec . V každém podbloku musíme najít jeden sloupec, takže budou . Očekávaná odpověď by tedy byla , , . To je notoricky obtížné vypočítat pro velké matice. Při biregulárním dekódování nulového syndromu chceme v každém podbloku najít ne jeden sloupec, ale buď dva, nebo žádný, aby vedly k (a ne k ). V příkladu bychom mohli použít druhý a třetí sloupec (počítáno od 0) z , žádný ze sloupců , nula a druhý z . Je možných více řešení, například bez použití některého ze sloupců z . $H$ $w=3$ $r=1111$ $r$ $s_{1}=1$ $s_{2}=0$ $s_{3}=3$ $0000$ $r$ $H_1$ $H_2$ $H_3$ $H_3$

Lineární kryptoanalýza

Prokazatelné zabezpečení FSB znamená, že nalezení kolizí je NP-úplné. Důkazem je ale redukce na složitější problém. To však poskytuje pouze omezené záruky bezpečnosti, protože stále může existovat algoritmus, který snadno vyřeší problém pro podmnožinu daného prostoru. Například existuje metoda linearizace , kterou lze použít k získání kolizí během několika sekund na stolním počítači pro starší verze FSB s nárokovaným hodnocením bezpečnosti 2128 . Je ukázáno, že když je prostor zpráv zvolen určitým způsobem, hashovací funkce poskytuje minimální předobraz nebo odolnost proti kolizi.

Výsledky bezpečnosti v praxi

Tabulka ukazuje složitost nejznámějších útoků proti FSB:

Výstupní velikost (bity)	Obtížnost při hledání kolizí	Složitost inverze
160	2 100,3	2 163,6
224	2 135,3	2229,0 _
256	2 190,0	2 261,0
384	2 215,5	2 391,5
512	2 285,6	2527,4 _

Další vlastnosti

Velikost vstupního a výstupního bloku hashovací funkce je plně škálovatelná.
Rychlost lze upravit změnou počtu bitových operací používaných FSB na vstupní bit.
Bezpečnost lze upravit úpravou výstupní velikosti.
Špatné případy existují a při výběru matice je třeba postupovat opatrně . $H$
Matice použitá ve funkci smršťování může být v určitých případech obrovská.

Možnosti

To druhé může být problematické při použití FSB na zařízeních s relativně malou pamětí.

Tento problém byl vyřešen v roce 2007 v související hashovací funkci zvané IFSB (Improved Fast Syndrome Based Hash) [4] , která je stále prokazatelně bezpečná, ale spoléhá na poněkud silnější předpoklady.

V roce 2010 byl představen S-FSB, který má rychlost o 30 % rychlejší než FSB [5] .

V roce 2011 představili Daniel Julius Bernstein a Tanya Lange RFSB, která byla 10krát rychlejší než FSB-256 [6] . RFSB při běhu na stroji Spartan 6 FPGA dosahoval propustnosti až 5 Gbps [7] .

Poznámky

↑ Augot, D.; Finiasz, M.; Sendrier, N. A Fast Provably Secure Cryptographic Hash Function (2003). Datum přístupu: 10. prosince 2015. Archivováno z originálu 3. března 2016. (neurčitý)
↑ Saarinen, Markku-Juhani O. Linearization Attacks Against Syndrome Based Hashes (2007). Získáno 10. prosince 2015. Archivováno z originálu 4. března 2016. (neurčitý)
↑ Finiasz, M.; Gaborit, P.; Sendrier, N. Vylepšené kryptografické hašovací funkce založené na rychlém syndromu (nepřístupný odkaz) (2007). Datum přístupu: 10. prosince 2015. Archivováno z originálu 3. března 2016. (neurčitý)
↑ Finiasz, M.; Gaborit, P.; Sendrier, N. Vylepšené kryptografické hašovací funkce založené na rychlém syndromu (2007). Datum přístupu: 12. prosince 2015. Archivováno z originálu 22. prosince 2015. (neurčitý)
↑ Meziani M.; Dagdelen O.; CayrelPL; El Yousfi Alaoui SM S-FSB: Vylepšená varianta rodiny FSB Hash (nedostupný odkaz) (2010). Datum přístupu: 12. prosince 2015. Archivováno z originálu 22. prosince 2015. (neurčitý)
↑ Bernstein, DJ, Lange, T.; Peters C.; Schwabe P.;. Opravdu rychlé hašování založené na syndromu (2011). Získáno 12. prosince 2015. Archivováno z originálu 14. prosince 2014. (neurčitý)
↑ Von Maurich, I.; Guneysu, T.;. Embedded Syndrome-Based Hashing (nedostupný odkaz) (2011). Datum přístupu: 12. prosince 2015. Archivováno z originálu 2. května 2015. (neurčitý)

Hashovací funkce
obecný účel	Adler-32 CRC Fletcherův kontrolní součet FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH - Hash Tree jenkins hash hash sum
Kryptografický	Stribog GOST R 34.11-94 Pás BLAKE bmw CubeHash ECHO edonkey2k FSB Fuga Grostl HAVAL Hamsi JH Kupyna LM hash Luffa MD2 MD4 MD5 MD6 N-hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 keccak (SHA-3) SHABAL SHAvite-3 SIMD SWIFFT Kůže Snefru Tygr vířivá vana
Funkce generování klíčů	bcrypt PBKDF2 scrypt Argon2 Lyra2
Kontrolní číslo ( srovnání )	Kontrolní součet Verhouffův algoritmus Algoritmus Měsíce Sakra algoritmus čárový kód bankovní účty bankovních karet ISIN SNILS OKPO CÍN OKATO ISBN OGRN a OGRNIP VIN
Hashe	Porovnání kontrolních čísel Autentizační protokoly Porovnání čárových kódů Kryptografie Magnetický odkaz Merkle podpis ed2k URNA