02.07 Авторы алгоритма MD6 отзывают его с конкурса SHA-3
Рон Райвист отозвал алгоритм хэширования MD6 с конкурса SHA-3. он отправил сообщение в список рассылки НИСТ:
"По нашему мнению MD6 не готов к следующему раунду конкурса SHA-3 и мы также предлагаем некоторые пожелания для НИСТ по поводу продолжения конкурса."
Основная причина в том, что для того, чтобы конкурировать с оcтальными по параметру быстродействия, разработчикам пришлось уменьшить количество раундов до 30-40 и на таком количестве раундов алгоритм теряет свои доказательства устойчивости к дифференциальным атакам.
"Таким образом, хотя MD6 представляется стойким и безопасным алгоритмом критографического хэширования и имеет значительные преимущества для многоядерных процессоров, всвязи с нашей невозможностью обеспечить доказательства безопасности для версий MD6 с уменьшенным числом раундов (и с возможными модификациями) против дифференциальных атак, MD6 не готов для рассмотрения в следующем раунде SHA-3."
Комментарий Брюса Шнайера: "Это первоклассный случай самоотвода, который мы могли бы ожидать от Рона Райвиста, особенно учитывая тот факт, что на алгоритм не было никаких атак, в то время как другие алгоритмы подвержены серьёзным атакам, но представляющие их авторы продолжают делать вид, что никто не обращает на это внимание".
После опубликования письма[link1] в рассылку НИСТ, авторы дали следующее пояснение на своём сайте[link2]:
[quote]
- Хотя должно быть самоочевидно, но некоторые моменты ничего не стоят: мы не отзывали свою заявку; НИСТ свободен в своём выборе, если он хочет принять MD6 в состав кандидатов следующего раунда конкурса. Но с этого момента MD6 не удовлетворяет нашим собственным стандартам, которым, как мы верим должны соответствовать SHA-3 кандидаты и мы предлагаем, чтобы НИСТ лучше посмотрел на что-нибудь другое. В частности, мы чувствуем, что минимальный "пропускной билет" для рассмотрения в SHA-3 должен включать доказательство стойкости к основным дифференциальным атакам и мы не знаем, как разработать такого рода доказательство для версии MD6 с сокращённым числом раундов.
- Кроме того, мы можем "воскресить" MD6 через какие-либо хитрые инновации в нашей методологии докзательств, или с помощью какого-то ловкого "подкручивания", которое позволило бы пройти нашему доказателсьтву. Мы оповестим НИСТ, если мы что-либо сможем найти. Но мы не особенно оптимистичны.
- Мы не знаем никакой эффективной атаки против MD6, включая MD6 со значительным сокращением числа раундов. Но отсутствие доказательства уязвимости не означает доказательства отсутствия уязвимости; это то из-за чего мы чувствуем, что доказуемая безопасность по крайней мере к основным дифференциальным атакам должна быть решительным требованием к SHA-3 кандидатам. [/quote]
Источник: Schneier on Security[link3]
[link2] http://groups.csail.mit.edu/cis/md6/
[link3] http://http://www.schneier.com/blog/archives/2009/07/md6.html