24.01 // Крипто // НИСТ объявляет требования к конкурсу на новый стандарт хэширования
В связи с криптографической нестойкостью и выводом функции хэширования SHA-1 из текущих стандартов, после предварительных конференций и совещаний, Национальный Институт Стандартов и Технологий США (NIST) объявляет конкурс на стандарт хэширования. Представители NIST надеются, что конкурс привлечёт внимание криптографического сообщества и в нём примут участие специалисты со всего мира на условиях полной открытости, так же, как это было при проведении конкурса на стандарт блочного шифрования AES.
На текущий момент опубликованы требования к новому стандарту, комментарии к которым необходимо направить не позднее 27 апреля 2007 года.
Итак, представленные на конкурс хэш-функции:
- Должны быть открытыми, свободными для повсеместного публичного использования без каких-либо требований денежных отчислений, эксклюзивных прав или патентных претензий.
- Должны иметь возможность реализации на широком спектре аппаратных и программных платформ.
- Должны иметь выходное значение 224, 256, 384 и 512 бит при максимально допустимой длине входного сообщения не менее 264 бит.
На конкурсе будут рассматриваться такие параметры как:
- Безопасность. Традиционные требования включают в себя устойчивость к коллизиям, нахождение второго прообраза, неинвертируемость, но также и устойчивость к внутренним и специфическим атакам; все они не должны понижать стойкость функции ниже заявленного уровня. Требуется представить доказательства стойкости, основанные на серьёзном математическом базисе и сравнении функции с её аналогами и конкурентами. Требуется доказательство неотличимости в определённых условиях выхода хэш-функции от случайного оракула.
- Цена реализации в требованиях вычислительных ресурсов и памяти.
- Особенности реализации: гибкость, возможность выбора параметров.
- Простота и ясность алгоритма.
Возможно, позднее часть требований будет уточнена или пересмотрена, а введение нового стандарта планируется лишь к 2012 году.
Источник: http://www.nist.gov/hash-function
комментариев: 1060 документов: 16 редакций: 32
А вообще существуют на сегодняшний день функции кроме семейства SHA-2, удовлетворяющие таким требованиям?
комментариев: 9796 документов: 488 редакций: 5664
Кто еще не знает про WHIRLPOOL?
Основана на схеме Миагучи-Пренеляи и внутреннем шифре "W" (512-битный аналог Rijndael)
Только она очень медленная, NIST её может и не выбрать.
В остальном лучший кандидат из всех реально существующих, но не идеальный.
Например процедура разворачивание S-блока 8x8 <– 4x4 оказалась дефектной в шифрах Khazad от тех же авторов.
Дефектна она и в шифре Twofish. Это потенциально опасная оптимизация, фактически разменивание памяти на безопасность.
Это всё понятно. Но должна быть также и информация о том, куда отправлять конкурсные работы.
Не обнаружил, извините. Или ещё рано об этом говорить?
комментариев: 11558 документов: 1036 редакций: 4118
Конкурс будет открыт, когда утвердятся точные требования к кандидатам.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
"Мы не понимаем что мы делаем и мы не можем знать чего мы на самом деле хотим".
Так можно вкратце сформулировать требования НИСТ.
ссылка
Вообще, я думаю, что из известных хэш-функций, наибольшие шансы у RIPE-MD и WHIRLPOOL.
комментариев: 9796 документов: 488 редакций: 5664
На шифре "W", у которого похожий дизайн, но есть и отличия от AES.
См. табл. 1.
Некоторые исследователи вообще утверждают, что любой блочный шифр не подходит для создания хэш-функций нового поколения. Нужны принципиально новые схемы.
комментариев: 1060 документов: 16 редакций: 32
А вот с этого места по подробнее можно?
ПОчему не подходят, по стойкости или по производительности?
комментариев: 9796 документов: 488 редакций: 5664
Хотя бы потому, что устойчивость к атакам со связанным ключём, атакам типа "rectangular" и др. для большинства блочных шифров исследуется довольно поверхностно. И используются шифры с относительно слабым ключевым расписанием (3DES, ГОСТ, AES) А при использовании шифра с таким ключевым расписанием в качестве рабочего блока хэш-функции такие атаки дают возможность искать коллизии.
Есть и более сложные причины, по которым блочный шифр для хэш-функции должен конструироваться специально, а не использоваться из числа общеприменяемых. WHIRLPOOL – частичная попытка такого подхода. Пока считается, что удачная.