Хеш на основе быстрого синдрома - Википедия - Fast syndrome-based hash
Общий | |
---|---|
Дизайнеров | Даниэль Аугот, Матье Финиас, Николя Сендриер |
Впервые опубликовано | 2003 |
Происходит от | Криптосистема Мак-Элиса и Криптосистема Нидеррайтера |
Преемники | Улучшенная хеш-функция на основе быстрых синдромов |
Относится к | Хеш-функция на основе синдрома |
Деталь | |
Размеры дайджеста | Масштабируемый |
В криптография, то быстрые синдромные хеш-функции (FSB) семья криптографические хеш-функции представленный в 2003 году Даниэлем Ого, Матье Финиасом и Николя Сендрье.[1]В отличие от большинства других криптографических хеш-функций, используемых сегодня, FSB в определенной степени может быть доказана как безопасная. Точнее, можно доказать, что взлом FSB не менее сложен, чем решение определенного НП-полный проблема известна как расшифровка обычного синдрома так что ФСБ доказуемо безопасный. Хотя неизвестно, НП-полный проблемы решаются в полиномиальное время, часто предполагается, что это не так.
Было предложено несколько версий ФСБ, последняя из которых была передана в Конкурс криптографии SHA-3 но был отклонен в первом туре. Хотя все версии ФСБ заявляют о доказуемой безопасности, некоторые предварительные версии в конечном итоге были сломаны. [2] Однако конструкция последней версии FSB учла эту атаку и остается защищенной от всех известных на данный момент атак.
Как обычно, за доказуемую безопасность приходится платить. FSB работает медленнее, чем традиционные хеш-функции, и использует довольно много памяти, что делает ее непрактичной в средах с ограниченным объемом памяти. Кроме того, функция сжатия, используемая в FSB, требует большого размера вывода, чтобы гарантировать безопасность. Эта последняя проблема была решена в последних версиях путем простого сжатия вывода другой функцией сжатия, называемой Водоворот. Однако, хотя авторы утверждают, что добавление этого последнего сжатия не снижает безопасность, оно делает невозможным формальное доказательство безопасности. [3]
Описание хеш-функции
Начнем с функции сжатия с параметрами такой, что и . Эта функция будет работать только с сообщениями длиной ; будет размер вывода. Кроме того, мы хотим и быть натуральными числами, где обозначает двоичный логарифм. Причина для это то, что мы хотим чтобы быть функцией сжатия, поэтому входные данные должны быть больше, чем выходные. Позже мы будем использовать Строительство Меркле-Дамгарда расширить область до входов произвольной длины.
Основа этой функции состоит из (случайно выбранной) двоичной матрица который действует на сообщение биты матричное умножение. Здесь мы кодируем -битовое сообщение как вектор в , то -размерный векторное пространство над поле из двух элементов, поэтому на выходе будет сообщение биты.
В целях безопасности, а также для увеличения скорости хеширования мы хотим использовать только «обычные слова веса. ”В качестве входных данных для нашей матрицы.
Определения
- Сообщение называется слово веса и длина если он состоит из биты и ровно из тех бит - единицы.
- Слово веса и длина называется обычный если в каждом интервале он содержит ровно одну ненулевую запись для всех . Более интуитивно это означает, что если мы разрежем сообщение на ш равные части, то каждая часть содержит ровно одну ненулевую запись.
Функция сжатия
Есть ровно разные обычные слова веса и длина , поэтому нам нужно именно биты данных для кодирования этих обычных слов. Зафиксируем биекцию из набора битовых строк длины к множеству правильных слов веса и длина и тогда функция сжатия FSB определяется следующим образом:
- ввод: сообщение размера
- преобразовать в обычное слово длины а вес
- умножить на матрицу
- вывод: хеш размера
Эта версия обычно называется синдромное сжатие. Это очень медленно и на практике выполняется другим и более быстрым способом, что приводит к быстрое синдромное сжатие. Мы разделились в субматрицы размера и фиксируем биекцию из битовых строк длины к набору последовательностей числа от 1 до . Это эквивалентно биекции на множество правильных слов длины а вес , поскольку мы можем видеть такое слово как последовательность чисел от 1 до . Функция сжатия выглядит следующим образом:
- Ввод: сообщение размера
- Конвертировать к последовательности числа от 1 до
- Добавьте соответствующие столбцы матриц чтобы получить двоичную строку длиной
- Вывод: хеш размера
Теперь мы можем использовать Строительство Меркле-Дамгарда чтобы обобщить функцию сжатия для приема входных данных произвольной длины.
Пример сжатия
Ситуация и инициализация: Хешировать сообщение с помощью матрица H
который разделен на подблоки , , .
Алгоритм:
- Разделяем ввод в части длины и мы получаем , , .
- Мы конвертируем каждый в целое число и получить , , .
- Из первой подматрицы , мы выбираем столбец 2 из второй подматрицы столбец 1 и из третьей подматрицы столбец 4.
- Добавляем выбранные столбцы и получаем результат .
Доказательство безопасности ФСБ
В Строительство Меркле-Дамгарда доказано, что его безопасность основывается только на безопасности используемой функции сжатия. Итак, нам нужно только показать, что функция сжатия безопасно.
Криптографическая хеш-функция должна быть защищена в трех различных аспектах:
- Сопротивление прообразу: учитывая хэш час должно быть трудно найти сообщение м такой, что Hash (м)=час
- Сопротивление второму прообразу: данное сообщение м1 должно быть трудно найти сообщение м2 такой, что Hash (м1) = Хеш (м2)
- Устойчивость к столкновениям: должно быть сложно найти два разных сообщения м1 и м2 такой, что Hash (м1) = Хеш (м2)
Обратите внимание, что если злоумышленник может найти второй прообраз, он обязательно найдет коллизию. Это означает, что если мы докажем, что наша система устойчива к столкновениям, она, безусловно, будет устойчивой к второму предварительному изображению.
Обычно в криптографии жесткий означает что-то вроде «почти наверняка вне досягаемости любого злоумышленника, которому необходимо предотвратить взлом системы». Однако нам понадобится более точное значение слова «жесткий». Нам будет трудно иметь в виду: «Время выполнения любого алгоритма, который обнаруживает коллизию или прообраз, будет экспоненциально зависеть от размера хеш-значения». Это означает, что за счет относительно небольших добавлений к размеру хэша мы можем быстро достичь высокой безопасности.
Сопротивление прообразу и декодирование регулярного синдрома (RSD)
Как было сказано ранее, безопасность ФСБ зависит от проблемы, называемой расшифровка обычного синдрома (RSD). Расшифровка синдрома изначально возникла из-за теория кодирования но его NP-полнота делает его прекрасным приложением для криптографии. Расшифровка обычного синдрома - частный случай расшифровка синдрома и определяется следующим образом:
Определение ОСБ: дано матрицы измерения и битовая строка длины такой, что существует набор столбцы, по одному в каждом , подводя итог . Найдите такой набор столбцов.
Доказано, что эта проблема НП-полный сокращением от 3-мерное соответствие. Опять же, хотя неизвестно, существуют ли полиномиальное время Алгоритмы для решения NP-полных задач неизвестны, и их обнаружение было бы огромным открытием.
Легко видеть, что поиск прообраза данного хеша в точности эквивалентна этой задаче, поэтому задача поиска прообразов в FSB также должна быть NP-полной.
Нам еще нужно доказать устойчивость к столкновениям. Для этого нам понадобится еще один NP-полный вариант RSD: 2-регулярное декодирование нулевого синдрома.
Устойчивость к столкновениям и декодирование 2-регулярного нулевого синдрома (2-RNSD)
Определение 2-RNSD: Дано матрицы измерения и битовая строка длины такой, что существует набор столбцы, по два или ноль в каждом , суммируя до нуля. . Найдите такой набор столбцов.
2-RNSD также оказался НП-полный сокращением от 3-мерное соответствие.
Так же, как RSD по сути эквивалентен поиску обычного слова такой, что , 2-RNSD эквивалентно поиску 2-правильного слова такой, что . 2-правильное слово длины а вес это битовая строка длины такое, что в каждом интервале ровно два или ноль элементов равны 1. Обратите внимание, что 2-правильное слово - это просто сумма двух правильных слов.
Предположим, что мы обнаружили коллизию, поэтому у нас есть Hash (м1) = Хеш (м2) с . Тогда мы можем найти два обычных слова и такой, что . Тогда у нас есть ; представляет собой сумму двух разных обычных слов и, следовательно, должно быть 2-регулярным словом с нулевым хешем, поэтому мы решили экземпляр 2-RNSD. Мы пришли к выводу, что обнаружение коллизий в FSB не менее сложно, чем решение 2-RNSD, и поэтому должно быть NP-полным.
Последние версии FSB используют функцию сжатия Водоворот для дальнейшего сжатия хеш-вывода. Хотя это не может быть доказано, авторы утверждают, что это последнее сжатие не снижает безопасность. Обратите внимание, что даже если бы можно было найти коллизии в Whirlpool, все равно нужно было бы найти предварительные изображения коллизий в исходной функции сжатия FSB, чтобы найти коллизию в FSB.
Примеры
Решая RSD, мы оказываемся в ситуации, противоположной тому, что и при хешировании. Используя те же значения, что и в предыдущем примере, мы получаем разделены на подблоки и строка . Нас просят найти в каждом подблоке ровно один столбец, чтобы все они в сумме составляли . Ожидаемый ответ таким образом , , . Известно, что это сложно вычислить для больших матриц.
В 2-RNSD мы хотим найти в каждом подблоке не один столбец, а два или ноль, чтобы их сумма составляла 0000 (а не до ). В этом примере мы можем использовать столбец (считая от 0) 2 и 3 от , нет столбца из столбец 0 и 2 из . Возможны другие решения, например, можно не использовать столбцы из .
Линейный криптоанализ
В доказуемая безопасность FSB означает, что обнаружение коллизий является NP-полным. Но доказательство сводится к задаче с асимптотически жестким сложность наихудшего случая. Это предлагает лишь ограниченную гарантию безопасности, поскольку все еще может существовать алгоритм, который легко решает проблему для подмножества проблемного пространства. Например, существует линеаризация Метод, который можно использовать для создания коллизий за считанные секунды на настольном ПК для ранних вариантов FSB с заявленной безопасностью 2 ^ 128. Показано, что хеш-функция обеспечивает минимальную стойкость к предварительному изображению или столкновению, когда пространство сообщений выбирается определенным образом.
Практические результаты безопасности
В следующей таблице показана сложность наиболее известных атак на ФСБ.
Размер вывода (бит) | Сложность поиска коллизии | Сложность инверсии |
---|---|---|
160 | 2100.3 | 2163.6 |
224 | 2135.3 | 2229.0 |
256 | 2190.0 | 2261.0 |
384 | 2215.5 | 2391.5 |
512 | 2285.6 | 2527.4 |
Бытие
FSB - это ускоренная версия синдромальной хеш-функции (SB). В случае SB функция сжатия очень похожа на функцию кодирования Версия Нидеррайтера из Криптосистема Мак-Элиса. Вместо использования матрицы проверки четности переставленного Код гоппы, SB использует случайную матрицу . С точки зрения безопасности это может только укрепить систему.
Другие свойства
- И размер блока хеш-функции, и размер вывода полностью масштабируемы.
- Скорость можно регулировать, регулируя количество побитовых операций, используемых FSB на входной бит.
- Безопасность можно регулировать, регулируя размер вывода.
- Плохие экземпляры существуют, и нужно проявлять осторожность при выборе матрицы .
- Матрица, используемая в функции сжатия, в определенных ситуациях может увеличиваться. Это может быть ограничением при попытке использовать FSB на устройствах с ограниченным объемом памяти. Эта проблема была решена в связанной хеш-функции под названием Improved FSB, которая все еще доказуемо безопасный, но полагается на несколько более сильные предположения.
Варианты
В 2007 году IFSB был опубликован.[4] В 2010 году вышла S-FSB, которая на 30% быстрее оригинала.[5]
В 2011, Д. Дж. Бернштейн и Таня Ланге опубликовал RFSB, который в 10 раз быстрее оригинальной FSB-256.[6] RFSB показал очень быструю работу на Спартанский 6 FPGA с пропускной способностью около 5 Гбит / с.[7]
Рекомендации
- ^ Augot, D .; Finiasz, M .; Сендриер, Н. (2003), Быстрая доказуемо безопасная криптографическая хеш-функция (PDF)
- ^ Сааринен, Маркку-Юхани О. (2007), Атаки линеаризации против хэшей на основе синдромов, Прогресс в криптологии - INDOCRYPT 2007
- ^ Finiasz, M .; Gaborit, P .; Сендриер, Н. (2007), Улучшенные функции криптографического хеширования на основе быстрых синдромов (PDF), ECRYPT Hash Workshop 2007
- ^ https://www.rocq.inria.fr/secret/Matthieu.Finiasz/research/2007/finiasz-gaborit-sendrier-ecrypt-hash-workshop07.pdf
- ^ «Архивная копия» (PDF). Архивировано из оригинал (PDF) на 2015-12-22. Получено 2014-12-10.CS1 maint: заархивированная копия как заголовок (связь)
- ^ http://cr.yp.to/codes/rfsb-20110214.pdf
- ^ https://www.ei.rub.de/media/sh/veroeffentlichungen/2012/12/10/embedded_syndrome-based_hashing.pdf