11.05 // Крипто // NIST опубликовал комментарии к требованиям на конкурс SHS
В ответ на объявленные[link1] в начале этого года требования к кандидатам на звание нового стандарта хэширования Secure Hash Standard, NIST получил ряд комментариев[link2] от криптологов, инженеров, научных учреждений и крупных компаний. Большую часть высказанных замечаний и дополнений (в том числе, и к самому порядку проведения конкурса) можно свести к следующим тезисам:
- Необходимо формально закрепить роль Агентства национальной безопасности (АНБ) США в проводимом конкурсе. Поскольку в Агентстве работают одни из лучших мировых криптологов, желательно его участие на этапе криптоаналитической оценки алгоритмов (вероятно, без раскрытия методов, если они являются государственными секретами).
- Следует оценивать не только математические модели алгоритмов на абстрактном уровне, но и их реальные реализации в условиях реального оборудования.
- Вынося уроки из пост-конкурсной истории AES, кандидаты на SHS должны обладать защитой от атак через побочные каналы. Поскольку данный класс атак относится в основном к способам реализации, каждый кандидат должен быть представлен в нескольких вариантах, от "быстрой" до "защищенной", а наибольшие баллы получит тот, который будет более быстрым в своей "защищенной" модификации.
- Каждый кандидат должен обладать равными показателями эффективности/защищенности как в режиме простого, так и ключевого хэширования (HMAC), а также в специальных режимах работы (PRNG, KDF и др.).
- Кандидат должен быть защищен от предколлизий (near-collisions) и атак на второй прообраз (second preimage resistance).
- В целях недопущения возможных потайных ходов, кандидат не должен использовать случайных параметров (ВИ и других) или, при необходимости их использования, должен иметь простой обоснованный аппарат для выбора этих параметров. Группа разработчиков должна сообщить, может ли параметризация хэш-функции внести в нее потайной ход (например, для быстрого нахождения коллизий).
И, наконец, один неотвеченный вопрос: каковы будут действия NIST, если ни один из кандидатов не доживет до завершения конкурса?
Источник: http://www.csrc.nist.gov/pki/H.....mments/2007_May.html[link2]
[link2] http://www.csrc.nist.gov/pki/HashWorkshop/Public_Comments/2007_May.html