Kupyna

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 16. srpna 2017; kontroly vyžadují 10 úprav .

Kupyna
Vývojáři	PJSC "Institut informačních technologií" ( Charkov )
Vytvořeno	2014
zveřejněno	2. prosince 2014
Předchůdce	GOST 34.311-95
Normy	DSTU 7564:2014
Velikost hash	proměnná, 8–512 bitů (doporučené hodnoty 256, 384, 512)
Počet kol	10 s délkou hash 8-256 bitů; 14 s délkou hash 264-512 bitů
Typ	hashovací funkce

Kupyna ( ukrajinsky: Kupina ) je iterativní kryptografická hašovací funkce . Přijata jako národní norma Ukrajiny DSTU 7564:2014 [1] jako náhrada za zastaralou hashovací funkci GOST 34.311-95 . Kupynova kontrakce se skládá ze dvou pevných 2n-bitových permutací T ⊕ a T + , jejichž struktura je vypůjčena z Kalynovy šifry . Konkrétně se používají čtyři stejné S-boxy . Výsledek hashovací funkce může mít délku 8 až 512 bitů. Varianta, která vrací n bitů, se nazývá " Kupyna-n " [2] .

Původ jména

Kupena lékárna - rostlina z čeledi Ruscaceae , rostoucí po celé Ukrajině v jehličnatých a smíšených lesích, je uvedena v Červené knize Ukrajiny . [3]

Algoritmus

Nejprve je zpráva doplněna na délku násobkem velikosti bloku. K tomu se ke zprávě přidá 1 bit , poté nula bitů, kde a 96 bitů, obsahujících délku zprávy v bitech. Maximální délka zprávy je tedy bitů. $M$ $jeden$ $d$ $d=(-N-97)\ mod\ l$ $2^{96}-1$

Poté je zpráva rozdělena do bloků bitů . U variant funkcí vracejících až 256 bitů = 512. U variant vracejících velké hodnoty = 1024. $t$ $m_1, m_2, ..., m_t$ $l$ $l$ $l$

Dále je vytvořena hašovací funkce pomocí následujícího iteračního algoritmu.

$h_0 = IV$

$h_\nu = T_l^\oplus$ $($ $h_{\nu-1}\oplus$ $m_\nu)\oplus$ $T_l^+(m_\nu){\oplus}h_{\nu-1}$

$H(IV,M) = R_{l,n}(T_l^\oplus(h_k){\oplus}h_k)$

kde

$\nu = 1, 2, ..., k$

$IV=1<<510$ , pokud l = 512, nebo pokud l = 1024 $1 << 1023$

$R_{l,n}(X)$ - funkce, která vrací nejvýznamnější bity velikosti bloku $n$ $l$

Permutace T ⊕ a T +

Tyto transformace řídí stav, který je reprezentován maticí G obsahující 1 bajt informace v každé buňce. Matice má velikost 8X8 (s ) nebo 8X16 (s ). $l = 512$ $l = 1024$

Nejprve je matice G vyplněna posloupností bajtů. Například pro posloupnost 00 01 02 ... 3f vypadá matice G takto.

${\begin{bmatrix}00&08&10&18&20&28&30&38\\01&09&11&19&21&29&31&39\\02&0a&12&1a&22&2a&32&3a\\03&0b&13&1b&23&2b&33&3b\\04&0c&14&1c&24&2c&34&3c\\05&0d&15&1d&25&2d&35&3d\\06&0e&16&1e&26&2e&36&3e\\07&0f&17&1f&27&2f&37&3f\end{bmatrix}}$

Matice 8 X 16 je vyplněna stejným způsobem.

Permutace a jsou definovány jako: $T_l^\oplus$ $T_l^+$

$T_l^\oplus$ $=$ $\prod _{\nu =0}^{t-1}(\psi \circ \tau ^{(l)}\circ \pi '\circ \kappa _{\nu }^{(l) })$

$T_l^+$ $=$ $\prod _{\nu =0}^{t-1}(\psi \circ \tau ^{(l)}\circ \pi '\circ \eta _{\nu }^{(l) })$

Funkce modulo 2 přidává vektor $\kappa_\nu^{(l)}$

$\omega_j^{(\nu)} = ((j<<4)\oplus\nu,0,0,0,0,0,0,0)^T$

do každého sloupce matice stavu ( - číslo zaokrouhlení). $\nu$

Funkce přidá modulo 64 vektor $\eta_\nu^{(l)}$

$\varsigma_j^{(\nu)} = (0xF3, 0xF0, 0xF0, 0xF0, 0xF0, 0xF0, 0xF0 (c-1-j)<<4)^T$

do každého sloupce matice stavu ( - číslo zaokrouhlení). $\nu$

Funkce nahradí prvky stavové matice substitucí z jednoho ze čtyř S-boxů (číslo S-boxu je definováno jako ). $\pi'$ $g_{{i,j}}$ $i\mod\4$

Funkce provádí cyklický posun vpravo od prvků stavové matice. Řádky s čísly jsou posunuty o prvky a řádek 7 je posunut o 7 prvků v nebo o 11 prvků v . $\tau_l$ $i = 0,1,2,3,4,5,6$ $i$ $l=512$ $l=1024$

Pro provedení funkce je každý prvek stavové matice reprezentován jako prvek konečného pole tvořeného neredukovatelným polynomem . Každý prvek výsledné stavové matice se vypočítá podle vzorce: $\psi$ $GF(2^{8})$ $x^8+x^4+x^3+x^2+1$ $u_{i,j}$

${\displaystyle u_{i,j}=(v>>>i)\bigotimes G_{j))$

kde je vektor (0x01, 0x01, 0x05, 0x01, 0x08, 0x06, 0x07, 0x04) a je číslo sloupce matice stavu . $proti$ $j$ $G$

Zabezpečení

Tvůrci tvrdí, že diferenciální útoky a rebound útoky jsou po 4 iteracích permutačních funkcí neúčinné. Tabulka ukazuje indikátory kryptografické odolnosti deklarované tvůrci.

Typ útoku	Kupyna-256	Kupyna-512
kolize	2128 _	2256 _
prototyp	2256 _	2512 _
Druhý prototyp	2256 _	2512 _
pevné body	2256 _	2512 _

V důsledku nezávislé kryptoanalýzy bylo možné zaútočit pouze na prvních 5 kol; složitost nalezení kolize pro funkci Kupyna-256 snížená na 5 ran je 2 120 . [4] [5]

S-bloky

Substituce π 0

patnáct

INZERÁT

před naším letopočtem

D.B.

čtrnáct

F.E.

osmnáct

5 D

třicet

jedenáct

BÝT

Facebook

dvacet

padesáti

deset

Substituce π 1

patnáct

D.F.

5 D

čtrnáct

deset

před naším letopočtem

dvacet

třicet

jedenáct

F.E.

osmnáct

padesáti

INZERÁT

BÝT

Facebook

D.B.

Substituce π 2

INZERÁT

jedenáct

deset

osmnáct

patnáct

čtrnáct

5 D

padesáti

třicet

před naším letopočtem

dvacet

Facebook

F.E.

BÝT

D.B.

Substituce π 3

jedenáct

5 D

D.F.

čtrnáct

třicet

osmnáct

patnáct

BÝT

před naším letopočtem

dvacet

D.B.

deset

Facebook

padesáti

F.E.

INZERÁT

Příklady hashů Kupyna

Hodnoty různých variant hash z prázdného řetězce.

Kupyna-256("") 0x cd5101d1ccdf0d1d1f4ada56e888cd724ca1a0838a3521e7131d4fb78d0f5eb6 Kupyna-512("") 0x 656b2f4cd71462388b64a37043ea55dbe445d452aecd46c3298343314ef04019 bcfa3f04265a9857f91be91fce197096187ceda78c9c1c021c294a0689198538

Malá změna ve zprávě pravděpodobně povede k velké změně hodnoty hash v důsledku lavinového efektu , jak ukazuje následující příklad:

Kupyna-256 („Rychlá hnědá liška skáče přes líného psa“) 0x 996899f2d7422ceaf552475036b2dc120607eff538abf2b8dff471a98a4740c6 Kupyna-256("Rychlá hnědá liška skáče přes líného psa.") 0x 88ea8ce988fe67eb83968cdc0f6f3ca693baa502612086c0dcec761a98e2fb1f

Poznámky

↑ http://csm.kiev.ua/index.php?view=article&id=3022 Archivní kopie ze dne 21. listopadu 2021 na Wayback Machine Na Ukrajině se zavádějí nové standardy ochrany kryptografických informací
↑ http://eprint.iacr.org/2015/885.pdf Archivováno 25. září 2015 na Wayback Machine Nový standard Ukrajiny: Funkce Kupyna Hash
↑ http://www.slideshare.net/oliynykov/kupyna Archivováno 25. září 2015 na Wayback Machine Hlavní vlastnosti nového ukrajinského národního standardu o kryptografické hašovací funkci
↑ Christoph Dobraunig, Maria Eichlseder a Florian Mendel. Analýza hashovací funkce Kupyna-256 (anglicky) (2015). Datum přístupu: 1. října 2015. Archivováno z originálu 4. března 2016.
↑ Jian Zou, Le Dong. Cryptanalysis of the Round-Reduced Kupyna Hash Function (anglicky) (2015). Získáno 2. října 2015. Archivováno z originálu dne 4. března 2016.

Hashovací funkce
obecný účel	Adler-32 CRC Fletcherův kontrolní součet FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH - Hash Tree jenkins hash hash sum
Kryptografický	Stribog GOST R 34.11-94 Pás BLAKE bmw CubeHash ECHO edonkey2k FSB Fuga Grostl HAVAL Hamsi JH Kupyna LM hash Luffa MD2 MD4 MD5 MD6 N-hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 keccak (SHA-3) SHABAL SHAvite-3 SIMD SWIFFT Kůže Snefru Tygr vířivá vana
Funkce generování klíčů	bcrypt PBKDF2 scrypt Argon2 Lyra2
Kontrolní číslo ( srovnání )	Kontrolní součet Verhouffův algoritmus Algoritmus Měsíce Sakra algoritmus čárový kód bankovní účty bankovních karet ISIN SNILS OKPO CÍN OKATO ISBN OGRN a OGRNIP VIN
Hashe	Porovnání kontrolních čísel Autentizační protokoly Porovnání čárových kódů Kryptografie Magnetický odkaz Merkle podpis ed2k URNA