Введение в современную криптографию



Pdf көрінісі
бет191/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   187   188   189   190   191   192   193   194   ...   249
Криптография Катц

6.3.3 SHA-0, SHA-1 и SHA-2
Безопасный хэш-алгоритм (Secure Hash Algorithm (SHA)) относится к серии 
криптографических хэш-функций, стандартизованных NIST. Пожалуй, наиболее 
известен из них SHA-1, который был введен в 1995 г. Этот алгоритм имеет выход 
длиной 160 битов и вытеснил предшественника, называемого SHA-0, от которого 
отказались из-за неуказанных недостатков, обнаруженных в этом алгоритме.
На момент написания этой книги явную коллизию еще предстоит найти в 
SHA-1. Однако теоретический анализ в течение последних нескольких лет ука-
зывает на то, что коллизии можно обнаружить, используя существенно меньше, 
чем 280 оценок хэш-функции, которые потребовались бы при использовании 
криптоанализа на основе парадокса дней рождения, и он позволил предполо-
жить, что коллизия будет найдена в ближайшее время. Поэтому рекомендуется 
перейти на SHA-2, который, по всей видимости, в настоящий момент не име-
ет тех же недостатков. SHA-2 состоит из двух связанных функций: SHA-256 и 
SHA-512 с длиной выходных данных 256 и 512 битов соответственно.
Все хэш-функции в семействе SHA построены с использованием той же базовой 
конструкции, которая содержит компоненты, которые мы уже видели: Сначала 
определяют функцию сжатия, применяя конструкцию Дэвиса-Мейера к блочно-
му фильтру, а затем ее расширяют для поддержки произвольной длины входных 
данных, используя преобразования Меркле-Дамгорда (Merkle–Damg˚ard). Од-
ним интересным фактом здесь является то, что блочный шифр в каждом случае 
был разработан специально для создания функции сжатия. На самом деле лишь 
задним числом основные компоненты в функциях сжатия были выделены и проа-
нализированы в качестве блочных шифров SHACAL-1 (для SHA-1) и SHACAL-2 
(для SHA-2). Эти шифры интригующие сами по себе, поскольку имеют большую 
длину блока (160 и 256 битов соответственно) и 512-битные ключи.
6.3.4 SHA-3 (Keccak)
В период после атаки коллизии на MD5 и теоретических недостатков, обнару-
женных в SHA-1, NIST в конце 2007 г. объявил открытый конкурс на разработку 
новой криптографической хэш-функции, которая будет названа SHA-3. Пред-
ставленные алгоритмы были необходимы для поддержки, как минимум, длины 
выходных данных 256 и 512 битов. Как и в случае AES приблизительно 10 лет 
назад, конкурс был полностью открытым и прозрачным; любой мог представить 
алгоритм для рассмотрения, и общественности было предложено выразить свое 
мнение по любому из вариантов. В первом туре количество кандидатов сократи-
лось с 51 до 14 в декабре 2008 г. и далее их круг сузился до пяти финалистов в 
2010 г. Оставшиеся кандидаты были объектом пристального изучения со сторо-
ны криптографического сообщества в течение следующих двух лет. В октябре 


259
2012 г. NIST объявил о выборе Кеццака (Keccak) в качестве победителя конкурса. 
По состоянию на момент написания этой работы данный алгоритм подвергается 
стандартизации в качестве следующего поколения для замены SHA-2.
Кеццак необычен в нескольких отношениях. (Интересно отметить, что одной 
из причин, по которой Кеццак был выбран, является то, что его структура силь-
но отличается от структуры SHA-1 и SHA-2). По своей сути она основана на 
бесключевой перестановке f с большой длиной блока 1600 битов; это радикаль-
но отличается, например, от конструкции Дэвиса-Мейера, которая основана на 
ключевой перестановке. Кроме того, Кеццак не использует преобразование 
Меркле-Дамгорда, чтобы поддерживать произвольную длину входных данных.
Вместо этого он использует новый подход, называемый губчатой конструкцией. 
Кеццак и губчатая конструкция могут быть проанализированы в более общем 
плане в модели случайной перестановки, в которой мы постулируем, что сторо-
ны имеют доступ к прогнозу для случайной перестановки f : {0, 1}A → {0, 1}
A (и, возможно, к ее инверсии). Это менее строго, чем для модели идеального 
шифра; на самом деле мы можем легко получить случайную перестановку в 
модели идеального шифра посредством простой фиксации ключа для шифра, 
чтобы было любое постоянное значение.
Будет интересно наблюдать, как развивается новый хэш-стандарт и видеть, на-
сколько быстро разработчики адаптируются от SHA-1/SHA-2 к новому SHA-3.


Достарыңызбен бөлісу:
1   ...   187   188   189   190   191   192   193   194   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет