SHA-3 - SHA-3

SHA-3 (Алгоритм безопасного хеширования 3) является последним членом Алгоритм безопасного хеширования семейство стандартов, выпущенных NIST 5 августа 2015 года.^[4][5] Хотя SHA-3 является частью той же серии стандартов, он внутренне отличается от MD5 -подобно структура из SHA-1 и SHA-2.

SHA-3 - это подмножество более широкого семейства криптографических примитивов. Кечак (/ˈkɛtʃæk/ или же /ˈkɛtʃɑːk/),^[6][7] разработано Гвидо Бертони, Джоан Дэмен, Микаэль Петерс и Жиль Ван Аше, опираясь на RadioGatún. Авторы Кеккака предложили дополнительные варианты использования функции, не стандартизированные (пока) в NIST, включая потоковый шифр, аутентифицированное шифрование система, "древовидная" схема хеширования для более быстрого хеширования на определенных архитектурах,^[8][9] и AEAD шифры Keyak и Ketje.^[10][11]

Keccak основан на новом подходе под названием конструкция из губки.^[12] Конструкция губки основана на широкой случайной функции или случайном перестановка, и позволяет вводить («поглощать» в терминологии губки) любой объем данных и выводить («сжимать») любой объем данных, действуя как псевдослучайная функция по отношению ко всем предыдущим входам. Это приводит к большой гибкости.

NIST в настоящее время не планирует отменять SHA-2 или удалять его из пересмотренного стандарта Secure Hash Standard. Назначение SHA-3 состоит в том, что он может быть напрямую заменен на SHA-2 в текущих приложениях, если это необходимо, и значительно повысить надежность общего набора инструментов хэш-алгоритма NIST.^[13]

Создатели алгоритмов Keccak и функций SHA-3 предлагают использовать более быструю функцию. КенгуруДвенадцать с настроенными параметрами и новым режимом хеширования дерева без дополнительных накладных расходов для сообщений небольшого размера.

История

Алгоритм Keccak - это работа Гвидо Бертони, Джоан Дэмен (который также является соавтором Rijndael шифр с Винсент Реймен ), Майкл Питерс и Жиль Ван Аше. Он основан на более ранних разработках хэш-функций. ПАНАМА и RadioGatún. PANAMA была разработана Daemen и Craig Clapp в 1998 году. RadioGatún, преемник PANAMA, была разработана Daemen, Peeters и Van Assche и была представлена ​​на NIST Hash Workshop в 2006 году.^[14] В эталонная реализация исходный код был посвящен всеобщее достояние через CC0 отказ.^[15]

В 2006 г. NIST начал организовывать Конкурс хеш-функций NIST для создания нового стандарта хеширования SHA-3. SHA-3 не предназначен для замены SHA-2, поскольку не было продемонстрировано никаких серьезных атак на SHA-2. Из-за успешных атак на MD5, SHA-0 и SHA-1,^[16][17]В NIST возникла потребность в альтернативном, непохожем на криптографический хэш, который стал SHA-3.

После периода подготовки заявки на участие должны были быть поданы до конца 2008 года. Кечак был принят в качестве одного из 51 кандидата. В июле 2009 года для второго тура было отобрано 14 алгоритмов. Кечак прошел в последний раунд в декабре 2010 года.^[18]

Во время конкурса участникам разрешалось «настраивать» свои алгоритмы для решения обнаруженных проблем. В Keccak внесены следующие изменения:^[19][20]

• Количество раундов увеличено с 12 + ℓ к 12 + 2ℓ быть более консервативным в отношении безопасности.
• Заполнение сообщений было изменено с более сложной схемы на простую 10^*1 шаблон, описанный ниже.
• Оценка р было увеличено до предела безопасности, а не до ближайшей степени 2.

2 октября 2012 года Кечак был выбран победителем конкурса.^[6]

В 2014 году NIST опубликовал черновик FIPS 202 «Стандарт SHA-3: хеширование на основе перестановок и функции расширяемого вывода».^[21] FIPS 202 был утвержден 5 августа 2015 года.^[22]

5 августа 2015 года NIST объявил, что SHA-3 стал стандартом хеширования.^[23]

Дизайн

Конструкция губки для хэш-функций. п_я вводятся, Z_я - хешированный вывод. Неиспользованная «емкость» c должно быть вдвое больше желаемого сопротивления столкновение или же атака на прообраз.

SHA-3 использует конструкция из губки,^[12] в котором данные «впитываются» в губку, то результат «выдавливается». В фазе поглощения блоки сообщений XORed в подмножество состояния, которое затем преобразуется как целое с помощью функции перестановки ${displaystyle f}$. В фазе «сжатия» выходные блоки считываются из одного и того же подмножества состояния, чередующегося с функцией преобразования состояния. ${displaystyle f}$. Размер записываемой и читаемой части состояния называется "скоростью" (обозначается ${displaystyle r}$), а размер части, не затрагиваемой вводом / выводом, называется «емкостью» (обозначается ${displaystyle c}$). Емкость определяет безопасность схемы. Максимум уровень безопасности составляет половину емкости.

Учитывая входную битовую строку ${displaystyle N}$, функция заполнения ${displaystyle pad}$, функция перестановки ${displaystyle f}$ который работает с битовыми блоками шириной ${displaystyle b}$, ставка ${displaystyle r}$ и выходная длина ${displaystyle d}$, у нас есть емкость ${displaystyle c = b-r}$ и конструкция из губки ${displaystyle Z = {ext {sponge}} [f, pad, r] (N, d)}$, давая битовую строку ${displaystyle Z}$ длины ${displaystyle d}$, работает следующим образом:^[24]:18

• дополнить ввод N используя функцию заполнения, в результате получается заполненная битовая строка п с длиной, кратной ${displaystyle r}$ (такой, что ${displaystyle n = {ext {len}} (P) / r}$ целое число)
• перемена п в п последовательный р-битные части п₀, ..., п_п−1
• инициализировать состояние S к цепочке б нулевые биты
• поглощают ввод в состояние: для каждого блока п_я:
  • продлевать п_я в конце цепочкой c нулевые биты, дающие длину б
  • XOR это с S
  • применить перестановку блоков ж к результату, давая новое состояние S
• инициализировать Z быть пустой строкой
• в то время как длина Z меньше чем d:
  • добавить первый р кусочки S к Z
  • если Z все еще меньше чем d биты длинные, применить ж к S, давая новое состояние S
• обрезать Z к d биты

Дело в том, что внутреннее состояние S содержит c дополнительные биты информации в дополнение к тому, что выводится в Z предотвращает атаки удлинения длины что SHA-2, SHA-1, MD5 и другие хеши на основе Строительство Меркле-Дамгарда восприимчивы к.

В SHA-3 состояние S состоит из 5 × 5 массив ш-битные слова (с ш = 64), б = 5 × 5 × ш = 5 × 5 × 64 = всего 1600 бит. Keccak также определен для меньших размеров слова, равного степени двойки. ш до 1 бита (общее состояние 25 бит). Небольшие размеры состояний могут использоваться для тестирования криптоаналитических атак, а промежуточные размеры состояний (от ш = 8, 200 бит, в ш = 32, 800 бит) можно использовать в практических, легких приложениях.^[10][11]

Для экземпляров SHA-3-224, SHA-3-256, SHA-3-384 и SHA-3-512, р больше, чем d, поэтому нет необходимости в дополнительных перестановках блоков в фазе сжатия; ведущий d биты состояния являются желаемым хешем. Однако SHAKE-128 и SHAKE-256 допускают произвольную длину вывода, что полезно в таких приложениях, как оптимальное асимметричное шифрование заполнения.

Прокладка

Чтобы сообщение можно было равномерно разделить на р-битовые блоки, требуется заполнение. SHA-3 использует шаблон 10^*1 в своей функции заполнения: 1 бит, за которым следует ноль или более 0 бит (максимум р − 1) и последний 1 бит.

Максимум р − 1 нулевые биты появляются, когда последний блок сообщения р − 1 биты длинные. Затем после начального 1 бита добавляется еще один блок, содержащий р − 1 нулевые биты перед последним 1 битом.

Два бита 1 будут добавлены, даже если длина сообщения уже делится на р.^[24]:5.1 В этом случае к сообщению добавляется еще один блок, содержащий 1 бит, за которым следует блок р − 2 нулевые биты и еще 1 бит. Это необходимо для того, чтобы сообщение длиной кратно р заканчивающийся чем-то, похожим на заполнение, не дает такой же хеш, как сообщение с удаленными битами.

Требуется начальный 1 бит, поэтому сообщения, различающиеся только несколькими дополнительными 0 битами в конце, не создают одинаковый хэш.

Положение последнего 1 бита указывает, какая скорость р (многоскоростное заполнение), что необходимо для работы доказательства безопасности для разных вариантов хеширования. Без него разные варианты хеширования одного и того же короткого сообщения были бы одинаковыми до усечения.

Блок перестановки

Преобразование блока ж, который является Keccak-f [1600] для SHA-3, представляет собой перестановку, которая использует XOR, И и НЕТ операций и разработан для простой реализации как в программном, так и в аппаратном обеспечении.

Он определен для любой степени двойки. слово размер, ш = 2^ℓ биты. В основной передаче SHA-3 используются 64-битные слова, ℓ = 6.

Государство можно рассматривать как 5 × 5 × ш массив бит. Позволять а[я][ j][k] быть немного (5я + j) × ш + k входа, используя прямой порядок байтов соглашение о нумерации битов и рядовой индексация. Т.е. я выбирает строку, j столбец и k бит.

Индексная арифметика выполняется по модулю 5 для первых двух измерений и по модулю ш для третьего.

Основная функция перестановки блоков состоит из 12 + 2ℓ раундов из пяти шагов:

θ (тета)

Вычислить паритет каждого из 5ш (320, когда ш = 64) 5-битные столбцы и исключающее-ИЛИ на два соседних столбца в обычном шаблоне. Точнее, а[я][ j][k] ← а[я][ j][k] ⊕ четность (a [0 ... 4] [ j−1][k]) ⊕ четность (a [0 ... 4] [ j+1][k−1])

ρ (ро)

Побитовое вращение каждое из 25 слов разными треугольное число 0, 1, 3, 6, 10, 15, .... Если быть точным, а[0] [0] не поворачивается, и для всех 0 ≤ т < 24, а[я][ j][k] ← а[я][ j][k−(т+1)(т+2)/2], куда ${displaystyle {egin {pmatrix} i jend {pmatrix}} = {egin {pmatrix} 3 & 2 1 & 0end {pmatrix}} ^ {t} {egin {pmatrix} 0 1end {pmatrix}}}$.

π (число Пи)

Переставьте 25 слов в фиксированном порядке. а[3я+2j][я] ← а[ я][j].

χ (чи)

Побитовое объединение по строкам, используя Икс ← Икс ⊕ (¬у & z). Точнее, а[я][ j][k] ← а[я][ j][k] ⊕ (¬а[я][ j+1][k] & а[я][ j+2][k]). Это единственная нелинейная операция в SHA-3.

ι (йота)

Эксклюзивная или округленная константа в одно слово состояния. Если быть точным, то в раунде п, за 0 ≤ м ≤ ℓ, а[0][0][2^м−1] выполняется XOR с битом м + 7п степени-8 LFSR последовательность. Это нарушает симметрию, сохраняемую на других этапах.

Скорость

Скорость хеширования длинных сообщений SHA-3 определяется вычислением ж = Keccak-f [1600] и XORing S с расширенным п_я, операция на б = 1600 бит. Однако с момента последнего c кусочки расширенного п_я в любом случае равны 0, а XOR с 0 - NOP, операции XOR достаточно выполнять только для р биты (р = 1600 - 2 × 224 = 1152 бит для SHA3-224, 1088 бит для SHA3-256, 832 бит для SHA3-384 и 576 бит для SHA3-512). Нижний р есть (и, наоборот, чем выше c = б − р = 1600 − р), тем менее эффективным, но более безопасным становится хеширование, поскольку меньшее количество битов сообщения может быть преобразовано в состояние XOR (быстрая операция) перед каждым применением дорогостоящего в вычислительном отношении жАвторы сообщают о следующих скоростях программных реализаций Keccak-f [1600] плюс XORing 1024 бита,^[1] что примерно соответствует SHA3-256:

• 57.4 cpb на IA-32, Intel Pentium 3^[25]
• 41 cpb на IA-32 + MMX, Intel Pentium 3
• 20 cpb на IA-32 + SSE, Intel Core 2 Duo или AMD Athlon 64
• 12,6 cpb на типичной машине на базе x86-64
• 6–7 CPB на IA-64^[26]

Для точного SHA3-256 на x86-64 Бернштейн измеряет 11,7–12,25 cpb в зависимости от процессора.^[27]:7 SHA-3 критиковали за медлительность в архитектурах с набором команд (ЦП), которые не имеют инструкций, специально предназначенных для более быстрого вычисления функций Keccak - SHA2-512 более чем в два раза быстрее, чем SHA3-512, а SHA-1 более чем в три раза быстрее на процессоре Intel Skylake с тактовой частотой 3,2 ГГц.^[28] Авторы отреагировали на эту критику, предложив использовать SHAKE128 и SHAKE256 вместо SHA3-256 и SHA3-512 за счет сокращения вдвое сопротивления прообраза (но при сохранении сопротивления столкновению). При этом производительность находится на уровне SHA2-256 и SHA2-512.

Однако в аппаратные реализации, SHA-3 заметно быстрее всех других финалистов,^[29] а также быстрее, чем SHA-2 и SHA-1.^[28]

ARMv8 от ARM^[30] и архитектуры IBM s390x уже (по состоянию на 2018 год) включают специальные инструкции, которые позволяют алгоритмам Keccak выполняться быстрее.

Экземпляры

Стандарт NIST определяет следующие экземпляры для сообщения M и длина вывода d:^[24]:20,23

Со следующими определениями

• Кечак [c](N, d) = губка [Keccak-f [1600], pad10^*1, р](N, d)^[24]:20
• Keccak-f [1600] = Keccak-p [1600, 24]^[24]:17
• c это емкость
• р это ставка = 1600 - c
• N это входная битовая строка

Обратите внимание, что добавленные постфиксы записываются как битовые строки, а не шестнадцатеричные цифры.

Экземпляры SHA-3 являются заменой для SHA-2 с идентичными требованиями безопасности. Экземпляры SHAKE - это так называемые XOF, расширяемые функции вывода. Например, SHAKE128 (M, 256) может использоваться как хэш-функция с длиной 256 бит и общей безопасностью 128 бит.

Обратите внимание, что все экземпляры добавляют к сообщению некоторые биты, крайний правый из которых представляет суффикс разделения домена. Это сделано для того, чтобы гарантировать невозможность создания сообщений, которые производят один и тот же хеш-вывод для разных приложений хеш-функции Keccak. Существуют следующие суффиксы разделения домена:^[24][31]

RawSHAKE - это основа кода Sakura для хеширования дерева, которая еще не стандартизирована. Однако суффикс SHAKE был тщательно выбран, чтобы прямая совместимость с Сакурой. Сакура добавляет 0 для перехода в цепочку или 1 для сообщения, затем 10^*0 для неокончательного (внутреннего) узла или 1 для конечного узла, прежде чем он применит RawSHAKE. Последовательное хеширование соответствует дереву переходов с одним узлом сообщения, что означает, что 11 добавляется к сообщению до применения RawSHAKE. Таким образом, SHAKE XOF добавляют 1111 к сообщению, то есть 1 для сообщения, 1 для конечного узла и 11 для суффикса разделения домена RawSHAKE.^[31]:16

С 10^*1 заполнение всегда добавляет как минимум два бита, в библиотеках с байтовым выравниванием всегда есть шесть неиспользуемых нулевых битов. Следовательно, эти добавленные дополнительные биты никогда не увеличивают длину дополненного сообщения.^{[нужна цитата ]}

Дополнительные экземпляры

В декабре 2016 г. NIST опубликовал новый документ, NIST SP.800-185,^[32] описание дополнительных производных функций SHA-3:

• X - основная входная битовая строка. Он может быть любой длины, в том числе нулевой.

• L - целое число, представляющее запрошенную длину вывода в битах.

• N - битовая строка имени функции, используемая NIST для определения функций на основе cSHAKE. Когда не требуется никакой другой функции, кроме cSHAKE, N устанавливается в пустую строку.

• S - строка битов настройки. Пользователь выбирает эту строку, чтобы определить вариант функции. Если настройка не требуется, S устанавливается в пустую строку.

• K - строка ключей любой длины, включая ноль.

• B - размер блока в байтах для параллельного хеширования. Это может быть любое целое число, такое что 0 2040.

Более поздние разработки

SHA3-224 ("")6b4e03423667dbb73b6e15454f0eb1abd4597f9a1b078e3f5b5a6bc7SHA3-256 ("")a7ffc6f8bf1ed76651c14756a061d662f580ff4de43b49fa82d80a4b80f8434aSHA3-384 ("")0c63a75b845e4f7d01107d852e4c2485c51a50aaaa94fc61995e71bbee983a2ac3713831264adb47fb6bd1e058d5f004SHA3-512 ("")a69f73cca23a9ac5c8b567dc185a756e97c982164fe25859e0d1dcc1475c80a615b2123af1f5f94c11e3e9402c3ac558f500199d95b6d3e301758586281dcd26SHAKE128 ("", 256)7f9c2ba4e88f827d616045507605853ed73b8093f6efbc88eb1a6eacfa66ef26SHAKE256 ("", 512)46b9dd2b0ba88d13233b3feb743eeb243fcd52ea62b81b82b50c27646ed5762fd75dc4ddd8c0f200cb05019d67b592f6fc821c49479ab48640292eacb3b7c4be

SHAKE128 («Быстрая коричневая лиса перепрыгивает через ленивого пса», 256)f4202e3c5852f9182a0430fd8144f0a74b95e7417ecae17db0f8cfeed0e3e66eSHAKE128 («Быстрая коричневая лисица перепрыгивает через ленивуюж", 256)853f4538be0db9621a6cea659a06c1107b1f83f02b13d18297bd39d7411cf10c