Очень гладкий хеш - Very smooth hash

Очень гладкий хеш (VSH)
Общий
ДизайнеровСкотт Контини, Арьен К. Ленстра, Рон Стейнфельд
Впервые опубликовано2005
ПреемникиVSH *
Деталь
Размеры дайджеста1024 бит и выше

В криптография, Очень гладкий хеш (VSH) доказуемо безопасный криптографическая хеш-функция изобретен в 2005 году Скоттом Контини, Арьеном Ленстра и Роном Стейнфельдом.[1]Доказанно безопасный означает, что обнаружение столкновений так же сложно, как и некоторые известные сложные математические задачи. В отличие от других доказуемо безопасных стойкий к столкновениям хешей, VSH эффективен и применим на практике. Асимптотически, требуется только одно умножение на журнал (п) биты сообщения и использует арифметику типа RSA. Следовательно, VSH может быть полезен во встроенных средах, где пространство кода ограничено.

Было предложено два основных варианта VSH. Во-первых, найти столкновение доказуемо так же сложно, как найти нетривиальный модульный квадратный корень из очень гладкого числа по модулюп. Другой использует простой модуль п (без люк ), и его доказательство безопасности опирается на трудность нахождения дискретных логарифмов очень гладких чисел по модулюп. Обе версии имеют одинаковую эффективность.

VSH не подходит в качестве замены случайный оракул, но может быть использован для создания доказуемо безопасной случайной хеш-функции. Эта функция может заменить функция люка используется в Схема подписи Крамера – Шупа, сохраняя доказуемую безопасность и сокращая время проверки примерно на 50%.

ВСН и ВССР

Все широко используемые криптографические хеш-функции не основаны на сложных математических задачах. Те немногие функции, которые построены на сложных математических задачах, называются доказуемо безопасный. Обнаружение столкновений тогда, как известно, так же сложно, как решить сложную математическую задачу. Для базовой версии функции Very Smooth Hash эта сложная проблема состоит в том, чтобы найти модульные квадратные корни (VSSR) из определенных специальных чисел (VSN).[1] Предполагается, что это так сложно, как факторинг целых чисел.

Для фиксированной постоянной c и п целое число м это Очень гладкое число (VSN) если наибольший простой фактор м не больше (журналп)c.

Целое число б это Очень гладкий квадратичный остаток ' по модулю п если наибольшее простое число в бs факторизация не более (logп)c и существует целое число Икс такой, что . Целое число Икс считается Модульный квадратный корень изб.

Нас интересуют только нетривиальные квадратные корни, у которых Икс2п. Если Икс2 < п, корень можно легко вычислить с помощью алгоритмов из полей характеристики 0, например реальное поле. Следовательно, они не подходят для криптографических примитивов.

Нетривиальный модульный квадратный корень для очень гладких чисел (VSSR) следующая проблема: Пусть п быть произведением двух неизвестных простых чисел примерно одинакового размера, и пусть . Позволять - последовательность простых чисел. ВССР - это следующая проблема: Учитывая п, найти такой, что и хотя бы один из е0,...,еk странно.

В Допущение ВССР это то, что нет вероятностный полином) временной алгоритм, который решает VSSR с неотъемлемый вероятность. Это считается бесполезным для практики предположением, поскольку оно не говорит о том, для какого размера модулей VSSR является вычислительно трудным. Вместо Расчетное предположение VSSR используется. В нем говорится, что решить VSSR так же сложно, как факторинг труднодоступный битовый модуль, где несколько меньше размера .

Примеры ВСН и ВССР

Пусть параметры фиксируются следующим образом: и .

потом является очень гладким числом по отношению к этим параметрам, потому что больше чем все основные факторы. С другой стороны, не является VSN под и .

Целое число очень гладкий квадратичный остаток по модулю потому что это очень гладкое число (под ) и у нас есть такой, что (мод ). Это тривиальный модульный квадратный корень, потому что и поэтому модуль не участвует при возведении в квадрат.

Целое число также является очень гладким квадратичным остатком по модулю . Все простые множители меньше 7,37, а модульный квадратный корень равен поскольку (мод ). Таким образом, это нетривиальный корень. Задача ВССР - найти данный и . И мы предполагаем, что это вычислительно так же сложно, как разложение на множители .

Алгоритм VSH, базовые версии

Позволять быть большим составным RSA и пусть последовательность простых чисел. Позволять , длина блока - наибольшее целое число, такое что . Позволять быть -битовое сообщение для хеширования, состоящее из битов и предположим, что . Чтобы вычислить хэш :

  1. Икс0 = 1
  2. Позволять , наименьшее целое число, большее или равное , - количество блоков. Позволять за (обивка)
  3. Позволять с быть двоичным представлением длины сообщения и определить за .
  4. за j = 0, 1,..., L последовательно вычислить
  5. возвращаться ИксL + 1.

Функция на шаге 4 называется функцией сжатия.

Свойства VSH

  • Длину сообщения не нужно знать заранее.
  • Найти коллизию в VSH так же сложно, как и решить VSSR. Таким образом, VSH (сильно) стойкий к столкновениям, что также подразумевает сопротивление второму прообразу. Устойчивость к прообразу VSH не доказана.
  • Функция сжатия не устойчива к столкновениям. Тем не менее, хэш-функция VSH устойчива к коллизиям на основе предположения VSSR. Измененная версия VSH, называемая VSH *, использует функцию сжатия, устойчивую к коллизиям, и примерно в 5 раз быстрее при хешировании коротких сообщений.
  • Поскольку длина вывода VSH - это длина защищенного модуля RSA, VSH кажется вполне подходящим на практике для создания подписей RSA «хэш-затем-знак» для сообщений произвольной длины. Однако такая подпись должна быть тщательно разработана, чтобы обеспечить ее безопасность. Наивный подход легко сломать CPA (атака по выбранному открытому тексту).
  • Эффективность: Стоимость каждой итерации меньше стоимости 3 модульных умножений. Базовая версия VSH вообще требует однократного умножения на биты сообщения.

Варианты ВШ

Было предложено несколько улучшений, ускорений и более эффективных вариантов VSH.[1] Ни один из них не меняет основную концепцию функции. Эти улучшения называются:

  • Кубинг ВСХ (вместо возведения в квадрат).
  • VSH с увеличенным количеством малых простых чисел.
  • VSH с предварительно вычисленными произведениями простых чисел.
  • Быстрый ВШ.
  • Быстрый VSH с увеличенной длиной блока.

Вариант VSDL и VSH-DL

В ВШ-ДЛ представляет собой вариант VSH с дискретным логарифмом, не имеющий люк, его надежность зависит от сложности нахождения дискретного логарифма по простому модулю п.[1]

Очень гладкий дискретный логарифм чисел (VSDL) это проблема, при которой для очень гладкого числа мы хотим найти его дискретный логарифм по модулю некоторого числа п.

Как и в предыдущем разделе, мы обозначаем -е простое число. Пусть кроме того фиксированная константа и , быть простым с и разреши . VSDL - это следующая проблема: учитывая найти целые числа такой, что с за и хотя бы один из ненулевой.

В Предположение VSDL это то, что нет вероятностный полином) временной алгоритм, который решает VSDL с неотъемлемый вероятность. Существует тесная связь между твердостью VSDL и трудностью вычисления дискретного логарифма по модулю , который напоминает, но несколько слабее, чем связь между VSSR и целочисленной факторизацией.

Безопасность VSH

Сильный сопротивление столкновению - единственное доказанное свойство VSH. Это не подразумевает сопротивление прообразу или другие важные свойства хэш-функции, и авторы заявляют, что «VSH не следует использовать для моделирования случайные оракулы, "и не могут быть заменены на конструкции, которые от них зависят (Подписи RSA, немного MAC ).[1] VSH не следует рассматривать как хеш-функцию общего назначения, как это обычно понимается в техника безопасности.

Мультипликативное свойство

VSH мультипликативен: пусть Икс, y, и z быть тремя битовыми строками одинаковой длины, где zсостоит только из нулевых битов, и строки удовлетворяют х И у = г. Легко заметить, чтоH (z) H (x OR y) ≡ H (x) H (y) (mod n). В результате VSH уступает классической атаке компромисса времени и памяти, которая применяется к мультипликативным и аддитивным хешам.

Этот факт может быть использован для построения прообраза атаки против VSH биты, которые имеют сложность, а не как и ожидалось.

Атака на усеченную версию

VSH производит очень длинный хэш (обычно 1024 бита). Нет никаких указаний на то, что усеченный хэш VSH обеспечивает безопасность, соизмеримую с длиной хеша.

Существует частичная атака на VSH, усеченная до наименее значимой. л биты.[2]

Сложность этой атаки против VSH:

  • Предварительное вычисление таблицы в автономном режиме: время и место.
  • Обнаружение столкновений: итераций.
  • Общая стоимость: примерно , скорее, чем как и ожидалось от хеш-функции с хорошими свойствами псевдослучайности.

Это, вероятно, исключает применимость VSH в схемах цифровой подписи, которые создают подписи короче, чем результат хеширования VSH, таких как схемы подписи с эллиптической кривой.

Смотрите также

Рекомендации

  1. ^ а б c d е Contini, S .; Ленстра, А .; Стейнфельд, Р. (23.06.2005), VSH, эффективная и обеспечиваемая хеш-функция, устойчивая к коллизиям.
  2. ^ Сааринен, М.-Дж. О. (2006), Безопасность VSH в реальном мире (PDF), Дои:10.1007/11941378_8