id: Гость   вход   регистрация
текущее время 21:13 28/03/2024
Владелец: unknown (создано 24/01/2007 10:29), редакция от 26/01/2007 15:26 (автор: SATtva) Печать
Категории: криптография, хэширование, стандарты, разное, события
https://www.pgpru.com/Новости/2007/01-24-НИСТОбъявляетТребованияККонкурсуНаНовыйСтандартХэширования
создать
просмотр
редакции
ссылки

24.01 // Крипто // НИСТ объявляет требования к конкурсу на новый стандарт хэширования


В связи с криптографической нестойкостью и выводом функции хэширования SHA-1 из текущих стандартов, после предварительных конференций и совещаний, Национальный Институт Стандартов и Технологий США (NIST) объявляет конкурс на стандарт хэширования. Представители NIST надеются, что конкурс привлечёт внимание криптографического сообщества и в нём примут участие специалисты со всего мира на условиях полной открытости, так же, как это было при проведении конкурса на стандарт блочного шифрования AES.


На текущий момент опубликованы требования к новому стандарту, комментарии к которым необходимо направить не позднее 27 апреля 2007 года.


Итак, представленные на конкурс хэш-функции:


  • Должны быть открытыми, свободными для повсеместного публичного использования без каких-либо требований денежных отчислений, эксклюзивных прав или патентных претензий.
  • Должны иметь возможность реализации на широком спектре аппаратных и программных платформ.
  • Должны иметь выходное значение 224, 256, 384 и 512 бит при максимально допустимой длине входного сообщения не менее 264 бит.

На конкурсе будут рассматриваться такие параметры как:


  • Безопасность. Традиционные требования включают в себя устойчивость к коллизиям, нахождение второго прообраза, неинвертируемость, но также и устойчивость к внутренним и специфическим атакам; все они не должны понижать стойкость функции ниже заявленного уровня. Требуется представить доказательства стойкости, основанные на серьёзном математическом базисе и сравнении функции с её аналогами и конкурентами. Требуется доказательство неотличимости в определённых условиях выхода хэш-функции от случайного оракула.
  • Цена реализации в требованиях вычислительных ресурсов и памяти.
  • Особенности реализации: гибкость, возможность выбора параметров.
  • Простота и ясность алгоритма.

Возможно, позднее часть требований будет уточнена или пересмотрена, а введение нового стандарта планируется лишь к 2012 году.


Источник: http://www.nist.gov/hash-function


 
— sentaus (28/01/2007 13:45)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32

Должны иметь выходное значение 224, 256, 384 и 512 бит при максимально допустимой длине входного сообщения не менее 264 бит.

А вообще существуют на сегодняшний день функции кроме семейства SHA-2, удовлетворяющие таким требованиям?
— unknown (28/01/2007 19:44, исправлен 28/01/2007 19:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
WHIRLPOOL!
Кто еще не знает про WHIRLPOOL?

Основана на схеме Миагучи-Пренеляи и внутреннем шифре "W" (512-битный аналог Rijndael)
Только она очень медленная, NIST её может и не выбрать.
В остальном лучший кандидат из всех реально существующих, но не идеальный.


Например процедура разворачивание S-блока 8x8 <– 4x4 оказалась дефектной в шифрах Khazad от тех же авторов.
Дефектна она и в шифре Twofish. Это потенциально опасная оптимизация, фактически разменивание памяти на безопасность.
— a_n_m (29/01/2007 13:30)   <#>
Национальный Институт Стандартов и Технологий США (NIST) объявляет конкурс на стандарт хэширования

представленные на конкурс хэш-функции

Это всё понятно. Но должна быть также и информация о том, куда отправлять конкурсные работы.
Не обнаружил, извините. Или ещё рано об этом говорить?
— SATtva (29/01/2007 14:15)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Читаем выше:

На текущий момент опубликованы требования к новому стандарту, комментарии к которым необходимо направить не позднее 27 апреля 2007 года.


Конкурс будет открыт, когда утвердятся точные требования к кандидатам.
— SATtva (07/03/2007 12:49)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Статья Киви Берда из Компьютерры о "событиях последних лет в криптоанализе хэш-функций" и предстоящем конкурсе NIST. (Содержательно, на мой взгляд, сильно смахивает на последнее эссе Шнайера по этой теме, ну да ладно. :-)
— Гость (07/03/2007 12:56)   <#>
А может Киви – это псевдоним Шнайера? :)
— unknown (07/03/2007 13:10)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Фактически, лучшие криптографы в этой области, посли долгих и упорных совещаний и множества предварительных конференций, согласились с тем, что:

"Мы не понимаем что мы делаем и мы не можем знать чего мы на самом деле хотим".

Так можно вкратце сформулировать требования НИСТ.

ссылка
— GuEsT (08/03/2007 00:27)   <#>
А почему бы стандарт хеширования не основать на стандарте шифрования AES? У нас в гостах ведь хэш функция основана на симмитричном шифре.
— Гость (08/03/2007 03:39)   <#>
Ну, условно говоря, WHIRLPOOL как раз и основана на AES.
Вообще, я думаю, что из известных хэш-функций, наибольшие шансы у RIPE-MD и WHIRLPOOL.
— unknown (09/03/2007 08:56, исправлен 09/03/2007 08:57)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Ну, условно говоря, WHIRLPOOL как раз и основана на AES.

На шифре "W", у которого похожий дизайн, но есть и отличия от AES.

См. табл. 1.

Некоторые исследователи вообще утверждают, что любой блочный шифр не подходит для создания хэш-функций нового поколения. Нужны принципиально новые схемы.
— sentaus (09/03/2007 11:27)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Некоторые исследователи вообще утверждают, что любой блочный шифр не подходит для создания хэш-функций нового поколения. Нужны принципиально новые схемы.

А вот с этого места по подробнее можно?
ПОчему не подходят, по стойкости или по производительности?
— unknown (09/03/2007 14:59, исправлен 09/03/2007 15:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
По стойкости. Вот простой пример в одном исследовании.

Хотя бы потому, что устойчивость к атакам со связанным ключём, атакам типа "rectangular" и др. для большинства блочных шифров исследуется довольно поверхностно. И используются шифры с относительно слабым ключевым расписанием (3DES, ГОСТ, AES) А при использовании шифра с таким ключевым расписанием в качестве рабочего блока хэш-функции такие атаки дают возможность искать коллизии.

Есть и более сложные причины, по которым блочный шифр для хэш-функции должен конструироваться специально, а не использоваться из числа общеприменяемых. WHIRLPOOL – частичная попытка такого подхода. Пока считается, что удачная.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3