02.07 Авторы алгоритма MD6 отзывают его с конкурса SHA-3

Рон Райвист отозвал алгоритм хэширования MD6 с конкурса SHA-3. он отправил сообщение в список рассылки НИСТ:

"По нашему мнению MD6 не готов к следующему раунду конкурса SHA-3 и мы также предлагаем некоторые пожелания для НИСТ по поводу продолжения конкурса."

Основная причина в том, что для того, чтобы конкурировать с оcтальными по параметру быстродействия, разработчикам пришлось уменьшить количество раундов до 30-40 и на таком количестве раундов алгоритм теряет свои доказательства устойчивости к дифференциальным атакам.

"Таким образом, хотя MD6 представляется стойким и безопасным алгоритмом критографического хэширования и имеет значительные преимущества для многоядерных процессоров, всвязи с нашей невозможностью обеспечить доказательства безопасности для версий MD6 с уменьшенным числом раундов (и с возможными модификациями) против дифференциальных атак, MD6 не готов для рассмотрения в следующем раунде SHA-3."

Комментарий Брюса Шнайера: "Это первоклассный случай самоотвода, который мы могли бы ожидать от Рона Райвиста, особенно учитывая тот факт, что на алгоритм не было никаких атак, в то время как другие алгоритмы подвержены серьёзным атакам, но представляющие их авторы продолжают делать вид, что никто не обращает на это внимание".

После опубликования письма в рассылку НИСТ, авторы дали следующее пояснение на своём сайте:

• Хотя должно быть самоочевидно, но некоторые моменты ничего не стоят: мы не отзывали свою заявку; НИСТ свободен в своём выборе, если он хочет принять MD6 в состав кандидатов следующего раунда конкурса. Но с этого момента MD6 не удовлетворяет нашим собственным стандартам, которым, как мы верим должны соответствовать SHA-3 кандидаты и мы предлагаем, чтобы НИСТ лучше посмотрел на что-нибудь другое. В частности, мы чувствуем, что минимальный "пропускной билет" для рассмотрения в SHA-3 должен включать доказательство стойкости к основным дифференциальным атакам и мы не знаем, как разработать такого рода доказательство для версии MD6 с сокращённым числом раундов.

• Кроме того, мы можем "воскресить" MD6 через какие-либо хитрые инновации в нашей методологии докзательств, или с помощью какого-то ловкого "подкручивания", которое позволило бы пройти нашему доказателсьтву. Мы оповестим НИСТ, если мы что-либо сможем найти. Но мы не особенно оптимистичны.

• Мы не знаем никакой эффективной атаки против MD6, включая MD6 со значительным сокращением числа раундов. Но отсутствие доказательства уязвимости не означает доказательства отсутствия уязвимости; это то из-за чего мы чувствуем, что доказуемая безопасность по крайней мере к основным дифференциальным атакам должна быть решительным требованием к SHA-3 кандидатам.

Источник: Schneier on Security