Про Keccak и PRP

В российской терминологии, кажется, группы перестановок называют группами подстановок. Поэтому и каша.
Перестановка по-английски, действительно, permutation. Например, в шифре DES есть P-блок для побитововй перестановки. А AES — это т.н. SP-сеть, в которой есть слой перестановки и слой подстановки.

Подстановка — это substitution. А теперь, внимание S-блок, размером 4x4 бита:

0	1	2	3	4	5	6	7	8	9	A	B	C	D	E	F
F	2	0	B	7	4	1	A	C	3	8	6	E	9	D	5

S-блок. Substitutuion, подстановка. А сдругой стороны — перестановка. естественно, если на вход подать одни нули, то на выходе будут в данном случае одни F.

Но блочный шифр — это многораундовая SP-сеть, да ещё с ключевым расписанием. Даже при фиксированном ключе (как в хэш-функциях) на выходе будет рэндом. Если размер входного блока PRP-шифра 128 бит, то можно взять все 2¹²⁸ вариантов входа от {000 … 0} до {FFF … F}, а на выходе получатся все те же 2¹²⁸ вариантов, но переставленных в псевдослучайном порядке (вот это и PRP).

У хэш-функции Keccak во встроенной PRP-функции размер больше (1600 бит, если не ошибаюсь). В отличие от функции сжатия в традиционных хэшах (обычно 2→1), в которой можно добиться внутренней коллизии, в PRP коллизия по определению невозможна.

Это не означает какого-то особого превосходства Keccak. Авторы просто элегантно избавились от ряда атак, сильно упростили доказательство стойкости и открыли путь к универсализации своей конструкции.

Сама PRP в губчатой конструкции м.б. неидеальна и также потенциально уязвима к любым видам криптоанализа. Да, в ней самой нельзя получить коллизию, но можно получить цикл, когда на при определённых данных, поглощаемых в фазе абсорбции между f-функциями на входе (кроме нулей в первом раунде), на выходе можно будет также получить нули или какие-то предопределённые значения, приводящие к появлению цикла. Цикл в таком случае будет также фатален как и внутренняя коллизия в традиционных функциях.

На выходе снимается только часть внутреннего состояния PRP. Если PRP идеальна, то эта часть на выходе будет давать коллизии с такой же вероятностью, как и идеальный случайный оракул (до предела размера внутреннего состояния, которое ограничено у PRP-функции Keccak и бесконечно велико у RO) — хэши вообще без коллизий не бывают, иначе это — не хэши. Итак, Sponge-конструкция доказуемо безопасна, если безопасна (идеальна) лежащая в её основе PRP. А может оказаться, что она и не идеальна, тем более её сильно оптимизировали и здорово на ней экономили.

Спасибо, стало немного яснее ) Получается, безключевая PRP однозначно переводит одно множество фиксированной длины в другое множество фиксированной длины, но не факт что однозначно. Или факт? Для блочных то шифров понятно, что иначе работать не будет, не расшифруется. А тут из-за возможных циклов все может быть гораздо хуже, правильно?

Как же м.б. неоднозначно? Это же биекция, обратимое преобразование. От неё просто отрезают кусок на выходе — получается необратимое преобразование, за счёт потери данных внутреннего состояния. И коллизии в отрезанных кусках естественно будут. Главное, чтобы не чаще, чем в идеальном случае. Но само внутренее состояние в полном виде никуда не девается и идёт на обработку последующих данных (смещивающихся с его частью на входе и выводящихся от его части на выходе).

Я даже предлагал авторам сделать из внутренней PRP-Keccak блочный шифр, приделав ключевое расписание из самого Sponge-Keccak, запущенного параллельного. Они ответили, что разумеется работать будет, т.к. PRP по определению обратима. Только они её проектировали так, что в одну сторону она работает быстро, а в обратную (расшифрование) — медленно, неоптимально и возможен класс атак на прогоне данных взад-вперёд, т.е. это просто неоптимальная для чисто блочного шифра конструкция.

И в обычных шифрах могут быть легче плучены циклы, если бы их использовали для хэширование в Sponge-режиме (или каком-либо ином), где противник может видеть массу промежуточных данных на всех раундах и подгонять вводимый на хэширование текст. При обычном хэшировании у противника же нет секретов — он всё видит.

Кое-что (поверхностно) разбиралось здесь.

Это же биекция, обратимое преобразование

Это я понял, просто я не нашел где указано, что функция f обратима. Это меня и смутило. С Фейстелем я разобрался, там просто делается a ^ b ^ c = d, а потом d ^ с ^ b = a, вот и обратимость. А тут она для меня не очивидна, в т.ч. из за путаницы с подстановками-перестановками (

Рискну и спрошу еще раз. Потому что прочитал опять все доки и не нашел нужной инфы.
То, что функция f обратима, где то доказывается? Потому что по ее этапам я этого, к сожалению, не вижу. И обратной ей функции в доках тоже не видел. Или только предполагается, что она обратима, потому что она визуально хорошо всё перемешивает, лавинный эффект там то сё (в курсе, что куски, из которой она состоит, изучены вроде бы хорошо, но это все равно ничего не объясняет)?

Потому что она делалась по той же стратегии, как в AES, в несколько слоёв: сложение с константами, нелинейная операция (алгебраический S-блок), перестановка, линейное смешивание на умножении полиномов. Каждый слой обратим. Поэтому и сама функция обратима. Фейстель уже не в моде. Используется Wide Trail Strategy.

Сейчас большинство криптоалгоритмов проектируются на функциях, которые обратимы сами по себе, безо всяких сетей Файстеля. Сконструировать их несложно.


Обратимость видна часто невооружённым глазом. Это такая самоочевидная тривиальщина, что доказательство м.б. даже опущено в работе. Или авторы от балды написали, что у них ключевая функция — PRP? Там же куда более сложные вещи доказываются — уровень алгебраической сложности и пр.

Всё, тогда отваливаю ) Пошел писать функцию, обратную f

Кстати, писать ничего не надо, все инверсные функции есть в пакете KeccakTools!