SHA-3 - SHA-3

SHA-3 (Xashsiz algoritm 3) ning eng so'nggi a'zosi Xash algoritmi xavfsizligi tomonidan chiqarilgan standartlar oilasi NIST 2015 yil 5-avgustda.^[4][5] SHA-3 bir xil standartlarning bir qismi bo'lsa-da, ichki standartlardan farq qiladi MD5 o'xshash tuzilishi ning SHA-1 va SHA-2.

SHA-3 - kengroq kriptografik ibtidoiy oilaning bir qismidir Kechcak (/ˈkɛtʃæk/ yoki /ˈkɛtʃɑːk/),^[6][7] tomonidan ishlab chiqilgan Gvido Bertoni, Joan Daemen, Michael Peeters va Gilles Van Assche, ustiga qurish RadioGatun. Keccak mualliflari NIST tomonidan standartlashtirilmagan (hali) funktsiya uchun qo'shimcha foydalanishni taklif qilishdi, shu jumladan a oqim shifri, an tasdiqlangan shifrlash tizim, ba'zi arxitekturalarda tezroq xeshlash uchun "daraxt" xeshlash sxemasi,^[8][9] va AEAD shifrlari Keyak va Ketje.^[10][11]

Kechcak, yangi yondashuvga asoslangan shimgichni qurish.^[12] Shimgichni qurish keng tasodifiy yoki tasodifiy funktsiyaga asoslangan almashtirish va istalgan miqdordagi ma'lumotlarni kiritishga (shimgich terminologiyasida "singdirish") va istalgan hajmdagi ma'lumotlarni chiqarishga ("siqish") imkon beradi, shu bilan birga barcha oldingi yozuvlar bo'yicha psevdodandom funktsiyasini bajaradi. Bu katta moslashuvchanlikka olib keladi.

NIST hozirda SHA-2-ni olib tashlashni yoki qayta ko'rib chiqilgan Secure Hash Standard-dan o'chirishni rejalashtirmayapti. SHA-3-ning maqsadi, agar kerak bo'lsa, u mavjud dasturlarda SHA-2 o'rnini to'g'ridan-to'g'ri almashtirishi va NIST-ning umumiy xash algoritmi vositalarining mustahkamligini sezilarli darajada yaxshilashdir.^[13]

Keccak algoritmlari va SHA-3 funktsiyalari yaratuvchilari tezroq funksiyadan foydalanishni taklif qilishadi KanguruO'n ikki sozlangan parametrlar va kichik daraxt o'lchamlari uchun qo'shimcha xarajatlarsiz yangi daraxtlarni xeshlash rejimi bilan.

Tarix

Keccak algoritmi Gvido Bertoni ishidir, Joan Daemen (kim ham hamkorlik qilgan Rijdael bilan shifrlash Vinsent Raymen ), Maykl Peeters va Gilles Van Assche. U avvalgi xash funktsiyalari dizayniga asoslangan PANAMA va RadioGatun. PANAMA 1998 yilda Daemen va Kreyg Klapp tomonidan ishlab chiqilgan. PANAMA o'rnini egallagan RadioGatun Daemen, Peeters va Van Assche tomonidan ishlab chiqilgan va 2006 yilda NIST Hash seminarida namoyish etilgan.^[14] The ma'lumotnomani amalga oshirish manba kodi bag'ishlangan edi jamoat mulki orqali CC0 voz kechish.^[15]

2006 yilda NIST tashkil qilishni boshladi NIST xash funktsiyalari raqobati yangi xash standartini yaratish uchun SHA-3. SHA-3 almashtirish uchun mo'ljallanmagan SHA-2, chunki SHA-2 ga hech qanday jiddiy hujum namoyish etilmagan. Muvaffaqiyatli hujumlar tufayli MD5, SHA-0 va SHA-1,^[16][17]NIST SHA-3 ga aylangan muqobil, o'xshash bo'lmagan kriptografik xashga ehtiyoj sezdi.

O'rnatish davridan so'ng, qabul 2008 yil oxiriga qadar topshirilishi kerak edi. Kechcak 51 nomzoddan biri sifatida qabul qilindi. 2009 yil iyul oyida ikkinchi bosqich uchun 14 ta algoritm tanlandi. Kechcak so'nggi turga 2010 yilning dekabrida yo'l oldi.^[18]

Tanlov davomida abituriyentlarga kashf etilgan muammolarni hal qilish uchun o'zlarining algoritmlarini "sozlash" ga ruxsat berildi. Keccak-ga kiritilgan o'zgartirishlar:^[19][20]

• Davralar soni oshirildi 12 + ℓ ga 12 + 2ℓ xavfsizlik to'g'risida ko'proq konservativ bo'lish.
• Xabarlarni to'ldirish murakkab sxemadan oddiy 10 ga o'zgartirildi^*Quyida tavsiflangan 1 naqsh.
• Narx r 2 ning eng yaqin kuchiga yaxlitlash o'rniga xavfsizlik chegarasiga oshirildi.

2012 yil 2 oktyabrda Kechcak tanlov g'olibi sifatida tanlandi.^[6]

2014 yilda NIST loyihasini nashr etdi FIPS 202 "SHA-3 standarti: Permutatsiyaga asoslangan aralashma va kengaytiriladigan chiqish funktsiyalari".^[21] FIPS 202 2015 yil 5-avgustda tasdiqlangan.^[22]

2015 yil 5-avgustda NIST SHA-3 xeshlash standartiga aylanganini e'lon qildi.^[23]

Dizayn

Xash funktsiyalari uchun shimgichni qurish. P_men kirish, Z_men xeshli chiqishlar. Foydalanilmayotgan "imkoniyatlar" v kerakli qarshilikdan ikki baravar yuqori bo'lishi kerak to'qnashuv yoki oldindan hujumlar.

SHA-3 dan foydalaniladi shimgichni qurish,^[12] unda ma'lumotlar shimgichga "singib ketadi", keyin natija "siqib olinadi". Yutish bosqichida xabarlar bloklari mavjud XORed holatning pastki qismiga aylantirilib, keyinchalik uni almashtirish funktsiyasi yordamida bir butunga aylantiradi ${displaystyle f}$. "Siqish" bosqichida chiqish bloklari holatning bir xil pastki qismidan o'qiladi, holat o'zgarishi funktsiyasi bilan almashtiriladi ${displaystyle f}$. Yozilgan va o'qilgan holat qismining kattaligi "stavka" (belgilanadi) deb nomlanadi ${displaystyle r}$), va kirish / chiqish bilan tegmagan qismning kattaligi "sig'im" (belgilanadi) deb nomlanadi ${displaystyle c}$). Imkoniyatlar sxemaning xavfsizligini aniqlaydi. Maksimal xavfsizlik darajasi quvvatning yarmi.

Kiritilgan bit qatori berilgan ${displaystyle N}$, to'ldirish funktsiyasi ${displaystyle pad}$, almashtirish funktsiyasi ${displaystyle f}$ u kenglikdagi bit bloklarida ishlaydi ${displaystyle b}$, stavka ${displaystyle r}$ va chiqish uzunligi ${displaystyle d}$, bizning imkoniyatlarimiz bor ${displaystyle c = b-r}$ va shimgichni qurish ${displaystyle Z = {ext {shimgich}} [f, pad, r] (N, d)}$, bir oz mag'lubiyatga olib keladi ${displaystyle Z}$ uzunlik ${displaystyle d}$, quyidagicha ishlaydi:^[24]:18

• kirishni to'ldiring N pad funktsiyasidan foydalanib, to'ldirilgan bitli qatorni beradi P ga bo'linadigan uzunlik bilan ${displaystyle r}$ (shu kabi ${displaystyle n = {ext {len}} (P) / r}$ butun son)
• tanaffus P ichiga n ketma-ket r-bit dona P₀, ..., P_n−1
• davlatni boshlash S qatoriga b nol bit
• kirishni holatga singdirish: har bir blok uchun P_men:
  • uzaytirmoq P_men oxirida bir qator bilan v uzunligi bittasini beradigan nol bit b
  • Bilan XOR S
  • blokni almashtirishni qo'llang f natijada yangi holatni keltirib chiqaradi S
• boshlash Z bo'sh satr bo'lish
• uzunligi esa Z dan kam d:
  • birinchisini ilova qiling r bit S ga Z
  • agar Z hali ham kamroq d bit uzun, qo'llang f ga S, yangi davlatni yaratish S
• qisqartirish Z ga d bitlar

Ichki davlat S o'z ichiga oladi v chiqarilgan narsalarga qo'shimcha ravishda qo'shimcha ma'lumotlar Z oldini oladi uzunlikni kengaytirish hujumlari ga asoslangan SHA-2, SHA-1, MD5 va boshqa xeshlar Merkle-Damgård qurilishi sezgir.

SHA-3da davlat S dan iborat 5 × 5 qator w-bit so'zlar (bilan w = 64), b = 5 × 5 × w = 5 × 5 × 64 = jami 1600 bit. Keccak, shuningdek, 2 so'zdan kichikroq hajm uchun ham aniqlanadi w 1 bitgacha (umumiy holat 25 bit). Kriptanalitik hujumlarni sinash uchun kichik holat kattaliklaridan va oraliq holat kattaliklaridan (dan.) Foydalanish mumkin w = 8, 200 bit, to w = 32, 800 bit) amaliy, engil dasturlarda ishlatilishi mumkin.^[10][11]

SHA-3-224, SHA-3-256, SHA-3-384 va SHA-3-512 misollari uchun r dan katta d, shuning uchun siqish bosqichida qo'shimcha bloklarni almashtirishga ehtiyoj yo'q; etakchi d davlatning bitlari kerakli xashdir. Biroq, SHAKE-128 va SHAKE-256 o'zboshimchalik bilan chiqish uzunligiga imkon beradi, bu kabi dasturlarda foydali bo'ladi optimal assimetrik shifrlashni to'ldirish.

To'ldirish

Xabarni teng ravishda bo'lishini ta'minlash uchun r-bitli bloklar, to'ldirish kerak. SHA-3 10 naqshidan foydalanadi^*To'ldirish funktsiyasida 1: 1 bit, so'ngra nol yoki undan ko'p 0 bit (maksimal) r − 1) va yakuniy 1 bit.

Maksimal r − 1 nol bitlar oxirgi xabar bloki bo'lganda paydo bo'ladi r − 1 bit uzun. Keyin yana 1 ta blok 1 boshidan so'ng qo'shiladi r − 1 oxirgi 1 bitgacha nol bit.

Xabar uzunligi allaqachon bo'linadigan bo'lsa ham, ikkita 1 bit qo'shiladi r.^[24]:5.1 Bunday holda, xabarga 1 bitni o'z ichiga olgan yana bir blok qo'shiladi, so'ngra of r − 2 nol bit va yana 1 bit. Buning uchun uzunlikdagi xabar ikkiga bo'linishi kerak r To'ldirishga o'xshash narsada tugash, ushbu bitlar o'chirilgan xabar bilan bir xil xeshni keltirib chiqarmaydi.

Dastlabki 1 bit talab qilinadi, shuning uchun faqat bir nechta qo'shimcha 0 bit bilan farq qiladigan xabarlar bir xil xashni hosil qilmaydi.

Oxirgi 1 bitning pozitsiyasi qaysi stavkani ko'rsatadi r ishlatilgan (ko'p stavkali to'ldirish), bu xavfsizlikni isbotlash uchun har xil xash variantlari uchun ishlashi kerak. U holda, bir xil qisqa xabarning turli xil xesh variantlari qisqartirishga qadar bir xil bo'ladi.

Blokni almashtirish

Blokni o'zgartirish f, SHA-3 uchun Keccak-f [1600], foydalanadigan almashtirishdir XOR, VA va YO'Q operatsiyalarni bajaradi va dasturiy ta'minotda ham, qo'shimcha qurilmalarda ham oson bajarilishi uchun mo'ljallangan.

Ikkala kuch uchun belgilanadi so'z hajmi, w = 2^ℓ bitlar. Asosiy SHA-3 taqdimoti 64 bitli so'zlardan foydalanadi, ℓ = 6.

Davlatni a deb hisoblash mumkin 5 × 5 × w bitlar qatori. Ruxsat bering a[men][ j][k] bir oz bo'ling (5men + j) × w + k a yordamida kirishning ozgina endian bit raqamlash konvensiyasi va katta-mayor indeksatsiya. Ya'ni. men qatorni tanlaydi, j ustun va k bit.

Indeks arifmetikasi dastlabki ikkita o'lchov va modul uchun 5 modulida bajariladi w uchinchisi uchun.

Asosiy blokni almashtirish funktsiyasi quyidagilardan iborat 12 + 2ℓ besh qadam tur:

θ (teta)

Hisoblang tenglik har birining 5w (320, qachon w = 64) 5-bitli ustunlar va eksklyuziv - yoki odatdagi tartibda ikkita yaqin ustunlarga. Aniqroq aytganda, a[men][ j][k] ← a[men][ j][k] ⊕ paritet (a [0 ... 4] [ j−1][k]) ⊕ paritet (a [0 ... 4] [ j+1][k−1])

r (rho)

Bitta aylantirish 25 ta so'zning har biri boshqacha uchburchak raqam 0, 1, 3, 6, 10, 15, .... Aniqrog'i, a[0] [0] burilmagan va hamma uchun 0 ≤ t < 24, a[men][ j][k] ← a[men][ j][k−(t+1)(t+2)/2], qayerda ${displaystyle {egin {pmatrix} i jend {pmatrix}} = {egin {pmatrix} 3 & 2 1 & 0end {pmatrix}} ^ {t} {egin {pmatrix} 0 1end {pmatrix}}}$.

π (pi)

25 ta so'zni belgilangan tartibda joylashtiring. a[3men+2j][men] ← a[ men][j].

χ (chi)

Qatorlar bo'ylab bitli kombinatsiyani qo'llang x ← x ⊕ (¬y & z). Aniqroq aytganda, a[men][ j][k] ← a[men][ j][k] ⊕ (¬a[men][ j+1][k] & a[men][ j+2][k]). Bu SHA-3-dagi yagona chiziqli operatsiya.

i (zarra)

Davlatning bitta so'ziga eksklyuziv yoki dumaloq doimiy. Aniqrog'i, dumaloq n, uchun 0 ≤ m ≤ ℓ, a[0][0][2^m−1] bit bilan XORed m + 7n daraja-8 LFSR ketma-ketlik. Bu boshqa qadamlar bilan saqlanib qolgan simmetriyani buzadi.

Tezlik

Uzoq xabarlarni SHA-3 xeshlash tezligi hisoblash orqali ustunlik qiladi f = Keccak-f [1600] va XORing S kengaytirilgan bilan P_men, operatsiya b = 1600 bit. Biroq, oxirgisidan beri v kengaytirilgan bitlar P_men baribir 0 ga teng, 0 bilan XOR NOP bo'lsa, XOR operatsiyalarini faqat uchun bajarish kifoya r bit (r = 1600 - 2 × 224 = SHA3-224 uchun 1152 bit, SHA3-256 uchun 1088 bit, SHA3-384 uchun 832 bit va SHA3-512 uchun 576 bit). Pastki r (va, aksincha, yuqoriroq) v = b − r = 1600 − r), xeshlash samaraliroq, ammo xavfsizroq bo'ladi, chunki xabarning kamroq bitlari XORed holatiga o'tishi mumkin (tezkor operatsiya) hisoblashning har bir qo'llanilishidan oldin. f.Mualliflar Keccak-f [1600] va XORing 1024 bit dasturiy ta'minotini amalga oshirish uchun quyidagi tezliklar haqida xabar berishadi,^[1] taxminan SHA3-256 ga mos keladi:

• 57.4 cpb IA-32, Intel Pentium 3-da^[25]
• IA-32 + MMX, Intel Pentium 3 da 41 cpb
• IA-32 + SSE, Intel Core 2 Duo yoki AMD Athlon 64 da 20 cpb
• Odatda x86-64 asosidagi mashinada 12,6 cpb
• 6-7 cpb yoqilgan IA-64^[26]

X86-64 da aniq SHA3-256 uchun, Bernshteyn protsessorga qarab 11,7-12,25 kb / s ni tashkil qiladi.^[27]:7 SHA-3 Keccak funktsiyalarini tezroq hisoblash uchun mo'ljallangan ko'rsatmalarga ega bo'lmagan ko'rsatmalar to'plamining arxitekturalarida (CPU) sustligi tanqid qilindi - SHA2-512 SHA3-512 dan ikki baravar tezroq, SHA-1 esa 3,2 gigagerts chastotali Intel Skylake protsessorida uch baravar tezroq ishlaydi.^[28] Mualliflar ushbu tanqidga javoban SHA3-256 va SHA3-512 o'rniga SHAKE128 va SHAKE256 dan foydalanishni taklif qilishdi, bu esa preimage qarshiligini yarmiga qisqartirish hisobiga (lekin to'qnashuv qarshiligini saqlagan holda). Shu bilan ishlash SHA2-256 va SHA2-512 bilan tenglashadi.

Biroq, ichida apparat dasturlari, SHA-3 boshqa barcha finalchilarga qaraganda tezroq,^[29] SHA-2 va SHA-1 ga qaraganda tezroq.^[28]

ARM ning ARMv8^[30] va IBM ning s390x arxitekturasi allaqachon (2018 yilga kelib) Keccak algoritmlarini tezroq bajarishga imkon beradigan maxsus ko'rsatmalarni o'z ichiga oladi.

Mavzular

NIST standarti xabar uchun quyidagi misollarni belgilaydi M va chiqish uzunligi d:^[24]:20,23

Quyidagi ta'riflar bilan

• Kechcak [v](N, d) = shimgich [Keccak-f [1600], pad10^*1, r](N, d)^[24]:20
• Keccak-f [1600] = Keccak-p [1600, 24]^[24]:17
• v bu imkoniyat
• r stavka = 1600 - v
• N Kiritilgan bit qatori

E'tibor bering, qo'shilgan postfikslar o'n oltinchi raqam emas, bit qatorlari sifatida yozilgan.

SHA-3 nusxalari SHA-2 uchun bir xil xavfsizlik da'volari bilan tushadigan almashtirishlardir. SHAKE misollari XOF, kengaytiriladigan chiqish funktsiyalari deb nomlanadi. Masalan, SHAKE128 (M, 256) 256-bit uzunlikdagi va 128-bitli umumiy xavfsizlikka ega xesh funktsiyasi sifatida ishlatilishi mumkin.

E'tibor bering, barcha misollar xabarga ba'zi bitlarni qo'shadi, ularning o'ng tomoni domenni ajratish qo'shimchasini aks ettiradi. Buning maqsadi Keccak xash funktsiyasining turli xil ilovalari uchun bir xil xash chiqaradigan xabarlarni qurish mumkin emasligini ta'minlashdir. Quyidagi domenni ajratish qo'shimchalari mavjud:^[24][31]

RawSHAKE - bu daraxtlarni hashar qilish uchun Sakura kodlash uchun asos bo'lib, u hali standartlashtirilmagan. Shu bilan birga, SHAKE qo'shimchasi shu tarzda ehtiyotkorlik bilan tanlangan oldinga mos Sakura bilan. Sakura zanjirli hop uchun 0 ga yoki xabar uchun 1 ga, so'ngra 10 ga qo'shiladi^*RawSHAKE dasturidan oldin yakuniy bo'lmagan (ichki) tugun uchun 0 yoki yakuniy tugun uchun 1. Ketma-ket xeshlash bitta xabar tuguniga ega bo'lgan hop daraxtiga to'g'ri keladi, ya'ni RawSHAKE qo'llanilishidan oldin xabarga 11 qo'shiladi. Shunday qilib, SHAKE XOF-lar xabarga 1111 ni qo'shadi, ya'ni xabar uchun 1, yakuniy tugun uchun 1 va RawSHAKE domenini ajratish qo'shimchasi uchun 11.^[31]:16

10 yildan beri^*1 plomba har doim kamida ikkita bitni qo'shadi, baytga moslashtirilgan kutubxonalarda har doim oltita foydalanilmagan nol bit mavjud. Shuning uchun, ushbu qo'shimcha bitlar hech qachon to'ldirilgan xabarni uzoqroq qilmaydi.^{[iqtibos kerak ]}

Qo'shimcha misollar

2016 yil dekabrda NIST yangi hujjatni nashr etdi, NIST SP.800-185,^[32] qo'shimcha SHA-3 funktsiyalarini tavsiflovchi:

• X - bu asosiy kirish bitli qator. U har qanday uzunlikda, shu jumladan nolga teng bo'lishi mumkin.

• L - so'ralgan chiqish uzunligini bit bilan ifodalaydigan butun son.

• N - funktsiya nomining bit qatori, NIST tomonidan cSHAKE asosida funktsiyalarni aniqlash uchun ishlatiladi. CSHAKE dan boshqa funktsiya kerak bo'lmaganda, bo'sh satrga N o'rnatiladi.

• S - bu sozlash bitli satr. Foydalanuvchi ushbu satrni funktsiya variantini aniqlash uchun tanlaydi. Hech qanday sozlash talab qilinmasa, S bo'sh satrga o'rnatiladi.

• K - har qanday uzunlikdagi, shu jumladan nolning bit bitli qatori.

• B - parallel xeshlash uchun baytdagi blok kattaligi. 0 2040.

Keyinchalik rivojlanish

SHA3-224 ("")6b4e03423667dbb73b6e15454f0eb1abd4597f9a1b078e3f5b5a6bc7SHA3-256 ("")a7ffc6f8bf1ed76651c14756a061d662f580ff4de43b49fa82d80a4b80f8434aSHA3-384 ("")0c63a75b845e4f7d01107d852e4c2485c51a50aaaa94fc61995e71bbee983a2ac3713831264adb47fb6bd1e058d5f004SHA3-512 ("")a69f73cca23a9ac5c8b567dc185a756e97c982164fe25859e0d1dcc1475c80a615b2123af1f5f94c11e3e9402c3ac558f500199d95b6d3e301758586281dcd26SHAKE128 ("", 256)7f9c2ba4e88f827d616045507605853ed73b8093f6efbc88eb1a6eacfa66ef26SHAKE256 ("", 512)46b9dd2b0ba88d13233b3feb743eeb243fcd52ea62b81b82b50c27646ed5762fd75dc4ddd8c0f200cb05019d67b592f6fc821c49479ab48640292eacb3b7c4be

SHAKE128 ("Tez jigarrang tulki dangasa it ustidan sakrab chiqadi", 256)f4202e3c5852f9182a0430fd8144f0a74b95e7417ecae17db0f8cfeed0e3e66eSHAKE128 ("Tez jigarrang tulki dangasa do ustidan sakrab chiqadif", 256)853f4538be0db9621a6cea659a06c1107b1f83f02b13d18297bd39d7411cf10c