id: Гость   вход   регистрация
текущее время 15:26 07/12/2019
Владелец: unknown (создано 02/07/2009 10:51), редакция от 13/07/2009 13:57 (автор: unknown) Печать
Категории: криптография, алгоритмы, хэширование
http://www.pgpru.com/Новости/2009/АвторыАлгоритмаMD6ОтзываютЕгоСКонкурсаSHA-3
создать
просмотр
редакции
ссылки

02.07 Авторы алгоритма MD6 отзывают его с конкурса SHA-3


Рон Райвист отозвал алгоритм хэширования MD6 с конкурса SHA-3. он отправил сообщение в список рассылки НИСТ:


"По нашему мнению MD6 не готов к следующему раунду конкурса SHA-3 и мы также предлагаем некоторые пожелания для НИСТ по поводу продолжения конкурса."

Основная причина в том, что для того, чтобы конкурировать с оcтальными по параметру быстродействия, разработчикам пришлось уменьшить количество раундов до 30-40 и на таком количестве раундов алгоритм теряет свои доказательства устойчивости к дифференциальным атакам.


"Таким образом, хотя MD6 представляется стойким и безопасным алгоритмом критографического хэширования и имеет значительные преимущества для многоядерных процессоров, всвязи с нашей невозможностью обеспечить доказательства безопасности для версий MD6 с уменьшенным числом раундов (и с возможными модификациями) против дифференциальных атак, MD6 не готов для рассмотрения в следующем раунде SHA-3."

Комментарий Брюса Шнайера: "Это первоклассный случай самоотвода, который мы могли бы ожидать от Рона Райвиста, особенно учитывая тот факт, что на алгоритм не было никаких атак, в то время как другие алгоритмы подвержены серьёзным атакам, но представляющие их авторы продолжают делать вид, что никто не обращает на это внимание".


После опубликования письма в рассылку НИСТ, авторы дали следующее пояснение на своём сайте:


  • Хотя должно быть самоочевидно, но некоторые моменты ничего не стоят: мы не отзывали свою заявку; НИСТ свободен в своём выборе, если он хочет принять MD6 в состав кандидатов следующего раунда конкурса. Но с этого момента MD6 не удовлетворяет нашим собственным стандартам, которым, как мы верим должны соответствовать SHA-3 кандидаты и мы предлагаем, чтобы НИСТ лучше посмотрел на что-нибудь другое. В частности, мы чувствуем, что минимальный "пропускной билет" для рассмотрения в SHA-3 должен включать доказательство стойкости к основным дифференциальным атакам и мы не знаем, как разработать такого рода доказательство для версии MD6 с сокращённым числом раундов.

  • Кроме того, мы можем "воскресить" MD6 через какие-либо хитрые инновации в нашей методологии докзательств, или с помощью какого-то ловкого "подкручивания", которое позволило бы пройти нашему доказателсьтву. Мы оповестим НИСТ, если мы что-либо сможем найти. Но мы не особенно оптимистичны.

  • Мы не знаем никакой эффективной атаки против MD6, включая MD6 со значительным сокращением числа раундов. Но отсутствие доказательства уязвимости не означает доказательства отсутствия уязвимости; это то из-за чего мы чувствуем, что доказуемая безопасность по крайней мере к основным дифференциальным атакам должна быть решительным требованием к SHA-3 кандидатам.

Источник: Schneier on Security


 
Несколько комментариев (6) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3