Хеш функции на основе блочных шифров

В хеш конструкциях на основе блочных шифров, кроме собственно обработки данных, часто применяется входное и выходное преобразование. Например, в SKEIN есть Configuration Block и Output Block. Какова роль этих преобразований?

Комментарии

—	unknown (25/10/2014 23:43) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Чтобы достичь большего критерия неразличимости по Мауреру, пофиксив некоторые возможности манипулировать паддингом на входе и атакам удлинения сообщения на выходе. В качестве примера удобно рассматривать обобщение Sponge-конструкций до конструкций Parazoa. См. работу и file

слайды.

—	ZAS (18/11/2014 23:48) <#>

Cм. описание Skein 1.1:

8.

5 Optional Argument System

The best way to think of the conﬁguration block is as a method of computing the starting value for the chaining state. Rather than deﬁne a large number of random-looking starting values, we compute them using the conﬁguration block.
Originally we applied the output transformation only if the output size was larger than the state size. Unfortunately, without the output transform, you can construct two messages M and M0 such that H(M) ⊕ H(M0) is the same as the XOR of the last blocks of M and M0. This violates the requirement that the hash function behave like a random mapping. We chose the simplest solution to this problem: always apply the output transformation.

Проще говоря, входное преобразование делает хорошее псевдослучайное IV для вычисления хеша, а выходное преобразование избавляет от нежелательных свойств примененной схемы хеширования. И то, и другое улучшает рандомность, но не повышает стойкость. Т.е. наличие этих преобразований не является обязательным.

http://www.zas-comm.ru

—	unknown (19/11/2014 09:35) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

>И то, и другое улучшает рандомность, но не повышает стойкость.

Неразличимость от рэндома (при ограничениях, заданных определённой моделью) — самый надёжный и универсальный критерий стойкости. Иначе придёться каждый раз уточнять, какая именно подразумевается разновидность стойкости.

—	ZAS (19/11/2014 22:54) <#>

Неразличимость от рэндома (при ограничениях, заданных определённой моделью) — самый надёжный и универсальный критерий стойкости.

В вышеприведенном случае речь идет о косметических хаках, которые не является ни необходимыми, ни достаточными для конкретной хеш процедуры.

//

Однажды Вы упомянули, что делали свой IDEA-подобный шифр. Опубликуйте пожалуйста. Было бы интересно посмотреть, какую выбрали конструкцию, чем руководствовались, как решили key schedule, число раундов и некоторые другие моменты.
Откуда получился различитель, как его исправить.

Ваша оценка документа [показать результаты]