Hash WorkShop – много размышлений, мало результатов
Hash WorkShop – много размышлений, мало результатов.
На прошедшей конференции "CRYPTOGRAPHIC HASH WORKSHOP", организованной под эгидой NIST была проведена попытка представить перспективы исследований в области функций хэширования.
http://www.csrc.nist.gov/pki/HashWorkshop/index.html
Брюс Шнайер сделал несколько заметок в своем блоге:
http://www.schneier.com/blog/a.....st_hash_works_4.html[link1]
Резюмировать его впечатления можно так:
1) Всего понемногу и ничего конкретного. Индустрия ждет конкретных ответов или сроков, а их пока нет.
2) SHA1 безопасна (пока еще) для протоколов, где несущественны коллизии (например HMAC).
3) Необходимо забыть про md5, переходить с SHA1 на SHA2, оставляя возможность перейти еще на что-то новое.
4) Исследователи ни в чем толком не уверены.
5) Надо проводить такие мероприятия ежегодно, пока не созреет потребность в конкурсе на стандарт хэш-функции.
6) Теоретических прорывов, достаточных для создания новых надежных хэшей еще нет.
Интересна теоретическая работа, связанная с атаками Нострадамуса.
http://eprint.iacr.org/2005/281
В практических разработках Шнайер указывает два направления – VSH: http://eprint.iacr.org/2005/193 и не созданную еще хэш-функцию на основе потокового шифра phelix: http://www.schneier.com/phelix.html
P.S.
Впрочем, конструкции потоковых шифров типа helix/phelix у многих криптографов тоже вызывают сомнения.
Ссылки
[link1] http://www.schneier.com/blog/archives/2005/11/nist_hash_works_4.html
А говорилось ли на конференции о хеш-функции – Whirlpool? Насколько мне известно, ее ввели в новую версию TrueCrypt, как и один из самых мощных шрифтов Serpent (который хотелось бы видеть и в PGP).
Насколько можно судить по официальной программе конференции – нет:
http://www.csrc.nist.gov/pki/HashWorkshop/program.htm
Так что если только обсуждали в кулуарах :-)
WHIRLPOOL была разработана до событий 2004 года, эта возможно одна из причин по которой ее не рассматривали.
Раундов много, а S-блоки маленькие. Его "сила" лишь в оптимизации "bit-slice", простоте операций и реализации в железе (что-то вроде российского ГОСТ). Так ли он нужен в PGP?