03.10 // Победителем конкурса SHA-3 стал алгоритм KeccaK
После кризиса хэш-функций SHA-1 и потенциального устаревания SHA-2, Национальный Институт Стандартов и Технологий США в 2007 году объявил конкурс на новый безопасный стандарт хэширования SHS SHA-3. Команды криптографов со всего мира предлагали свои варианты и совместно анализировали дизайн разработок, выявляя уязвимости.
Алгоритмы хэширования используются для создания уникальных цифровых отпечатков документов, в качестве элементов цифровых подписей, кодов аутентификации сообщений и как составные элементы многих других протоколов.
2 октября из пяти финалистов (BLAKE, Gr0stl, JH, KECCAK, Skein) был объявлен победитель Keccak (произносится как ketch-ack), разработанный командой авторов:
- Guido Bertoni (Italy) of STMicroelectronics,
- Joan Daemen (Belgium) of STMicroelectronics,
- Michaлl Peeters (Belgium) of NXP Semiconductors,
- Gilles Van Assche (Belgium) of STMicroelectronics.
NIST выбрал KeccaK за множество удивительных качеств, включая элегантный дизайн и возможность эффективной реализации на большом количестве аппаратных платформ. Ясная конструкция KeccaK облегчает проведение его анализа. Алгоритм особенно удачно показывает себя в специализированном исполнении на аппаратных платформах, превосходя в этом плане всех других финалистов и алгоритмы SHA-2.
Эксперт по комьютерной безопасности НИСТ Тим Полк отмечает: "KeccaK имеет преимущество в том, что атаки, рассчитанные против SHA-2 не действуют против него, поскольку эти два алгоритма устроены на совершенно разных принципах".
Полк предполагает, что новые полезные свойства Keccak найдут применение спустя годы, после его принятия. Так, он может быть использован в миниатюрных встраиваемых устройствах, которые не являются полноценными устройствами.
SHA-3 открывает новые возможности перед создателями безопасных протоколов, которых они не имели раньше. И это не пустые слова.
Вслед за экспертами НИСТ следует отметить, что уникальные возможности в универсализации помогают использовать KeccaK в качестве хэш-функции с произвольным размером выхода, в качестве потокового шифра, в качестве функции выработки ключей из пароля, в качестве кодов аутентификации сообщений, в качестве криптостойкого генератора псевдослучайных чисел с подкачкой энтропии из внешнего источника и с затиранием внутреннего состояния, в качестве возможного нового режима дополнения цифровых подписей.
Позднее авторы представили дуплексный режим работы KeccaK — потоковое шифрование с аутентификацией за один проход, что может составить альтернативу использовавшимся ранее блочным шифрам в шифровании пакетной связи.
Благодаря конструкции "Sponge" (губка) — бесключевой перестановки, лежащей в основе алгоритма, открывается масса способов дальнейшей универсализации алгоритма без его изменения. Это потребует более глубокого изучения свойств Sponge-хэшей, пришедших на замену конструкциям Дамгарда-Меркла и их аналогам и окажет стимулирующие влияние как на теоретические, так и на практические направления современной криптографии.
Интересно, что все эти универсальные возможности не являются отдельными нагромождаемыми модулями, как это пытались реализовать в других алгоритмах. Смена режимов использования также не требует каких-либо переключателей предопределённого формата и никак не ухудшает простоту конструкции. На вход могут быть поданы вместе с обрабатываемыми данными и служебные управляющие данные любого формата (например XML), что позволит управлять режимом использования, получая каждый раз новый выход гаммы.
Можно присоединиться к поздравлениям разработчиков этого смелого и достойного алгоритма и пожелать им дальнейших успехов.
Более подробно ознакомиться с новым алгоритмом и посмотреть некоторые предварительные обсуждения можно в статье Хэш-функция Keccak и конструкция Sponge как универсальный криптопримитив.
Источник: Национальный Институт Стандартов и Технологий США
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 1515 документов: 44 редакций: 5786
А в Бельгии по весне просыпается Keccak. Тут программа праздничных мероприятий на следующую среду, приуроченных к дню Кеччака, где перед публикой выступят 3/4 его авторов. Событие обещает быть интересным, многие собираются прийти
с детьми, семьями и надувными шариками.Кто не успеет, тот опоздает.
комментариев: 9796 документов: 488 редакций: 5664
Там ещё и вход свободный/бесплатный (по записи), в отличие от большинства подобных мероприятий.
комментариев: 1515 документов: 44 редакций: 5786
Я не видел конференций, где на входе бы стоял охранник и проверял пропуск,* хотя конференционный взнос есть всегда, это общепринятая практика. Тут, конечно, не конференция, но по формату похоже. Организатор — наш коллега с другого факультета, вовлечённый в классическую криптографическую деятельность близкую к хэш-функциям. В пятницу видели человека с его отдела, который сказал, что причина регистрации — нерезиновость аудитории. Мест всего 120, и 60 человек уже зарегистрировались. Изначально планировалось выступление для более-менее внутреннего семинара, но потом решили его существенно укрупнить и пригласить больше людей/докладчиков. Понятно, что люди такого масштаба, как авторы Rijndael/Keccak, достаточно занятые, и приглашают их выступить с докладом постоянно и многие, но, тем не менее, как-то удалось организовать, выбить финансирование с фондов и оплатить приезд всех этих звёзд.
P.S.
Все подъездыдвери обклеены вот такой наружной рекламой. :)*Это касается конференций по «открытой» науке. Любой может зайти в аудиторию, сидеть и слушать доклады, а в перерывах есть печенюшки с coffee break'ов и даже сходить на банкет. Цель регистрации и оплаты взносов — официально числиться в списках, просидингсах и т.д. Если же такой цели у кого-то нет, а работает он рядом с местом проведения мероприятия, он обычно просто приходит послушать (но на банкеты не идёт, совесть не позволяет). Это стандартная практика, многие ей следуют.
комментариев: 9796 документов: 488 редакций: 5664
Странно, что NIST так до сих пор и не выпустил официальный Secure Hash Standard (SHS) для SHA-3. Т.е. алгоритм есть — стандарта нет. Rijndael, кажется тоже, где-то полгода утверждали. Интересно, есть ли у NIST какие-то планы по стандартизации расширенных возможностей Keccak, которые к требованиям SHS вообще не относятся? Хотя это надо у НИСТа спрашивать, а не у авторов.
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 1515 документов: 44 редакций: 5786
Постараюсь по возможности, но времени мало. К 1-ому апреля требуют черновую версию статьи на эту тему, и это не шутка. :( Времени остаётся очень мало. Возможно, отпишусь не сразу.
комментариев: 9796 документов: 488 редакций: 5664
Тогда, конечно, занимайтесь в первую очередь подготовкой публикации. Продолжение этой темы тоже м.б. интересно для обсуждения здесь.
Советую обратить внимание на NLOS QC/QKD на UV-фотонах. Совсем нерабочая экзотика, но жутко интересно.
комментариев: 1515 документов: 44 редакций: 5786
Спросил у Рэймона, но он перенаправил вопрос Даемену. Сказали, что кеччак и саму функцию НИСТ стандартизирует независимо. Про сроки утверждения стандаратов они не знают, но грубые оценки таковы: не ранее года с момента финала конкурса, и не позже, чем через два года.
Прежде, чем начинать репортаж, загадка: отгадайте, кто есть кто на картинке. Официальный репортаж висит на сайте. Для тех, у кого нет Flash-плеера, даю прямые ссылки:
К счастью, на сайт выложили практически все слайды. Исключением оказалась только Андреева, поэтому я восполняю сей пробел.
Кто зашёл в этот топик чисто поржатьКому лень качать и смотреть всё, можно скачать официальные смехучки2 отдельно. Помимо неофициальных смехучек, я не удержался сделать ещё немного кустарных. Наконец, живое неофициальное видео никогда не заменит бездушных картинок. Порядок следования лиц на видео соответствует порядку программы за исключением того, что севшая батарейка не дала туда попасть Dinur'у, Peeters'у и Wenzel-Benner'у.По поводу остального, что показалось интересным и запомнилось:
мозги были отключены. Вообще, доклады по криптоанализу тяжело слушать, хотя докладчики старались рассказывать понятно. Отметил для себя, что все очень часто говорили про Merkle-Damgård'а3 (MD). По-видимому, это одно из самых базовых понятий. В тексте новости про них unknown тоже упомянул.1Там есть неплохое введение в QKD для классических криптографов.
2Что касается смехучек официальных, про танец (стр. 2) не мы первые заметили. На стр. 3 показано, кто откуда посылал заявки на приём своего алгоритма в качестве SHA-3. На стр. 4 стрелки показывано, как отправившие заявки исследователи начали ломать чужие хэши. Прям взрыв такой получился. :)
3Движок совсем не хочет вставлять ссылку на вики на MD-construction, ни один костыль не срабатывает. :(
4Подумал, что послышалось. Подошёл после доклада, уточнил. Нет, не послышалось.
комментариев: 9796 документов: 488 редакций: 5664
На его вариантах построены предыдущие SHA, MD5 и куча всего. Хотя эту конструкцию в практическом смысле можно хоронить, она ещё имеет теоретическое значение как для сравнительного, так и для оценочного анализа новых хэшей и даже блочных шифров. Грубо говоря, можно не ломать какой-то новый блочный шифр непосредственно, а загнать в Дамгарда-Меркла и посмотреть по различителям, насколько кривой хэш из него получится.
Матрёшка упоминалась в работах про Keccak. Не помню, что это за понятие, надо будет пересмотреть.
Это потому что вам ещё «ша-уан» все уши не прожужжал :)
Также как и до Rijndael были сначала 3-Way и BaseKing, затем Square. Конструкцию Sponge вроде вообще, кажется, не эти авторы изобрели и многие её сначала критиковали, как неэффективный и непрактичный способ криптопреобразования (типа "не взлетит").
Круто. Они могут сделать стандарт на SHA-3 по условиям конкурса, а затем стандартизировать все дополнительные возможности по универсализации Keccak, как я и предполагал.
Для этой цели специально ещё наизобретали облегчённые варианты губчатых хэшей: QUARK, PHOTON, SPONGENT, облегчённый вариант самого KeccaK.
А также в анонимности, стеганографии, теоретической и прикладной математике… Причём те, у кого реально сильные и новаторские работы. Скоро придёться вводить слово "основоположница" :)
Спасибо за обзор. Событие получилось даже интереснее, чем ожидалось. Есть повод поразбираться в материалах.
комментариев: 11558 документов: 1036 редакций: 4118
Присоединяюсь к благодарностям нашему внештатному корреспонденту (к слову, это не он ли там на заключительном фото задавал вопросы?). :)
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 1060 документов: 16 редакций: 32
Инетересно бы глянуть на производительность в режиме потокового шифра.
комментариев: 9796 документов: 488 редакций: 5664
Производительность — как у медленных блочных шифров. Т.е. скорее всего — не очень. Например, медленнее, чем AES-CTR.
© Keccak sponge function family main document. Guido Bertoni, Joan Daemen, MichaeЁl Peeters, Gilles Van Assche.
А матрёшка — это способ масштабирования (задания разных размеров) перестановок для внутреннего состояния.