03.10 // Победителем конкурса SHA-3 стал алгоритм KeccaK
После кризиса хэш-функций SHA-1 и потенциального устаревания SHA-2, Национальный Институт Стандартов и Технологий США в 2007 году объявил конкурс на новый безопасный стандарт хэширования SHS SHA-3. Команды криптографов со всего мира предлагали свои варианты и совместно анализировали дизайн разработок, выявляя уязвимости.
Алгоритмы хэширования используются для создания уникальных цифровых отпечатков документов, в качестве элементов цифровых подписей, кодов аутентификации сообщений и как составные элементы многих других протоколов.
2 октября из пяти финалистов (BLAKE, Gr0stl, JH, KECCAK, Skein) был объявлен победитель Keccak (произносится как ketch-ack), разработанный командой авторов:
- Guido Bertoni (Italy) of STMicroelectronics,
- Joan Daemen (Belgium) of STMicroelectronics,
- Michaлl Peeters (Belgium) of NXP Semiconductors,
- Gilles Van Assche (Belgium) of STMicroelectronics.
NIST выбрал KeccaK за множество удивительных качеств, включая элегантный дизайн и возможность эффективной реализации на большом количестве аппаратных платформ. Ясная конструкция KeccaK облегчает проведение его анализа. Алгоритм особенно удачно показывает себя в специализированном исполнении на аппаратных платформах, превосходя в этом плане всех других финалистов и алгоритмы SHA-2.
Эксперт по комьютерной безопасности НИСТ Тим Полк отмечает: "KeccaK имеет преимущество в том, что атаки, рассчитанные против SHA-2 не действуют против него, поскольку эти два алгоритма устроены на совершенно разных принципах".
Полк предполагает, что новые полезные свойства Keccak найдут применение спустя годы, после его принятия. Так, он может быть использован в миниатюрных встраиваемых устройствах, которые не являются полноценными устройствами.
SHA-3 открывает новые возможности перед создателями безопасных протоколов, которых они не имели раньше. И это не пустые слова.
Вслед за экспертами НИСТ следует отметить, что уникальные возможности в универсализации помогают использовать KeccaK в качестве хэш-функции с произвольным размером выхода, в качестве потокового шифра, в качестве функции выработки ключей из пароля, в качестве кодов аутентификации сообщений, в качестве криптостойкого генератора псевдослучайных чисел с подкачкой энтропии из внешнего источника и с затиранием внутреннего состояния, в качестве возможного нового режима дополнения цифровых подписей.
Позднее авторы представили дуплексный режим работы KeccaK — потоковое шифрование с аутентификацией за один проход, что может составить альтернативу использовавшимся ранее блочным шифрам в шифровании пакетной связи.
Благодаря конструкции "Sponge" (губка) — бесключевой перестановки, лежащей в основе алгоритма, открывается масса способов дальнейшей универсализации алгоритма без его изменения. Это потребует более глубокого изучения свойств Sponge-хэшей, пришедших на замену конструкциям Дамгарда-Меркла и их аналогам и окажет стимулирующие влияние как на теоретические, так и на практические направления современной криптографии.
Интересно, что все эти универсальные возможности не являются отдельными нагромождаемыми модулями, как это пытались реализовать в других алгоритмах. Смена режимов использования также не требует каких-либо переключателей предопределённого формата и никак не ухудшает простоту конструкции. На вход могут быть поданы вместе с обрабатываемыми данными и служебные управляющие данные любого формата (например XML), что позволит управлять режимом использования, получая каждый раз новый выход гаммы.
Можно присоединиться к поздравлениям разработчиков этого смелого и достойного алгоритма и пожелать им дальнейших успехов.
Более подробно ознакомиться с новым алгоритмом и посмотреть некоторые предварительные обсуждения можно в статье Хэш-функция Keccak и конструкция Sponge как универсальный криптопримитив.
Источник: Национальный Институт Стандартов и Технологий США
комментариев: 9796 документов: 488 редакций: 5664
Неудивительно, ведь, разговор был явно про это исследование. С некоторыми подвижками в сторону улучшения результатов.
комментариев: 1515 документов: 44 редакций: 5786
Если KeccaK — первый примитив, использующий губку, то судить ещё рано. Вот пройдёт лет 5-10 — тогда и будут видны результаты, нарыли ли что-нибудь. Подумалось: а если бы все атаки на rijndael, которые известны на текущий момент, были бы известны ещё в момент конкурса, его бы выбрали?
Как же так? Кварков 6 штук, а у них всего 3, причём ладно бы они взяли по одному с каждого поколения, так они взяли два с первого (u и d), один со второго (s) и ни одного с третьего, никакой симметрии.
Хороший reference, основательный.
Посмотрел на список фамилий за последние года, ни про одну фамилию не смог ничего сказать/всопмнить. Я не математик, чтобы судить лично, поэтому взял грубую оценку по филдсу, и тут же нашлось:
Epic fail. С физикой и химией у них лучше, а с экономикой вообще замечательно:
Мария Кюри отдулась за всех. По химии всю премию причём в одни руки, а по физике у неё 25% (ещё 25% мужу и 50% Беккерелю).
Мечтайте. :)
Дункельман (Данкельман?) впечатлил? Выглядит молодо, фотогеничен, очень выразительная мимимка и чёткая речь. Можно хоть к каждому кадру (де)мотиватор приклеивать. :)
комментариев: 9796 документов: 488 редакций: 5664
В момент конкурса, если не путаю, было поломано малопрактичными атаками 8 раундов из 10 для Rijndael-128 и это никого не смутило.
Среди 5 финалистов выбирали уже не самого стойкого, а самого практичного.
Там все хороши.
Базовые функции ужимают, упрощают и урезают для простоты аппаратной реализации и для работы на слабом железе вроде смарткарт, при этом стало модно (и в конкурсах требуют) изобретать примитивы на все мыслимые и немыслимые применения. Это плохо кончится, однозначно. Рано или поздно появится атака которая сломает всё. Вообще всё что нашифровали за десятилетия.
На мой взгляд должно быть как минимум три категории шифров: условно-стойкие легковесные шифры (это то что повсеместно применяется сейчас), шифры для основного применения (в качестве такого сойдёт каскад serpent-aes или нечто сравнимое) и шифры обеспечивающие долгосрочную, на столетия стойкость. К последней категории должны быть особые требования, от нее не нужно требовать легкости анализа, высокой производительности и возможности аппаратной реализации, от нее требуется лишь одно – настолько большая стойкость насколько это возможно вообще, при сохранении приемлемой скорости шифрования на топовых процессорах. Предлагаемый мной подход к созданию шифров этой категории: в сотни раз больше раундов чем в обычных шифрах, гетерогенные раунды (должны быть раунды основанные на всех известных концепциях создания блочных шифров, мы не можем знать что сохранит стойкость в будущем, поэтому чем больше разного намешаем – тем лучше), независимые раундовые ключи без ключевого расписания (нет ключевого расписания – неоткуда взяться уязвимостям которые сгубили много шифров, а недостатки такого режима мы переживём, они некритичны для типичных применений). Криптопримитивы третьей категории должны быть избавлены от требований универсальности, лучше иметь по одному примитиву узкой специализации для каждого назначения, чем один универсальный но нестойкий. По скорости следует ориентироваться на 1-2 мегабайт в секунду на топовом на момент создания шифра процессоре (шифровать переписку, аудио/видео связь и небольшие файлы можно сразу, а дальше рост вычислительных мощностей откроет другие применения). Это практический подход, но к сожалению теоретики которые правят конкурсами в не подпустят такого франкенштейна на пушечный выстрел.
комментариев: 1515 документов: 44 редакций: 5786
Уязвимость дизайна — залог следующей движухи с SHA-4.
А то так сделают один универсальный хэш, и чем потом 50 лет заниматься?Если серьёзно, то, как вы и сами говорили, долговременная секретность в современной криптографии мало кого интересует. Гость (18/04/2013 17:28) выше написал примерно о том же. У организаторов конкурса, по-видимому, другие задачи: выработка стандарта для (преимущественно) коммерческих/государственных пользователей, а не для одиноких анонимов, требующих 100-летней неломаемости.
В этом плане мне импонируют попытки создать абсолютно безопасные протоколы и примитивы на основе квантовой информатики. Т.е. есть какой-то идеал, и стремятся к нему, а не к тому, что «и так хватит» (в классическом крипто).
комментариев: 9796 документов: 488 редакций: 5664
(это то что повсеместно применяется сейчас),Это отдельное, пока ещё больше экспериментальное направление в криптографии, вот оно то как раз отделилось. Речь о создании алгоритмов, более слабых, чем AES, SHA и др. Для работы даже не на смарт-картах, а на RFID-чипах и совсем миниатюрных девайсах — для проездных билетов, автосигнализаций, медицинских приборов. Возможно вам названия этих алгоритмов даже особо и не встречались: Trivium, Present, Spongent.
Против другой крайности — сверхнавороченных алгоритмов тоже могут быть выдвинуты рациональные аргументы, касающиеся сомнений именно в их стойкости:
Если хотите, чтобы отделилось некое "тяжеловесное" направление в крипто, то под него надо будет подводить теоретическую базу: как спроектировать сложный алгоритм, не растеряв простоты доказуемости его безопасности.
Не нужно подбирать преобразования. Делаем шифр из раундов других шифров, добавляем свои конструкции только как независимые дополнения. Думаю, для такой конструкции можно будет доказать что она как минимум не хуже чего угодно другого.
Да, нужно, что я и пытаюсь сделать на уровне примитивной логики. Скажите, кто-нибудь вообще этим серьезно занимается?
комментариев: 9796 документов: 488 редакций: 5664
Изучение каскадов маловостребовано и малопопулярно. И для теории, и для практики интересно найти минимум или оптимум затрат для обеспечения безопасности. Это не только в криптографии, а во многих науках. Даже в прикладном инженерном проектировании систем безопасности для критических объектов.
В прикладных целях делалось что-то похожее. Не для усиления стойкости шифра, а для адаптации к каким-то требованиям протокола.
Каких?
криптораяреальной демократии.комментариев: 9796 документов: 488 редакций: 5664
На этом сайте unknoun регулярно публикует сообщения о нахождении всё новых различителей существующих шифров от идеальных, да и сам сам этот топик намекает как бы, что не было б успехов – не было б новых конкурсов, и сторгой теории как не-было, так и нет, да ещё призрак квантовых вычислений маячит не столь отдалённо, однако при этом почему-то по прежнему "изучение каскадов маловостребовано и малопопулярно" – по мне это по меньшей мере странно...