Криптография 2е издание Протоколы, алгоритмы и исходные тексты на языке С

блоками. H - это последние m битов выхода E, объединенные посредством XOR с первыми m битами входа E.
Безопасность Snefru опирается на функцию E, которая рандомизирует данные за несколько проходов . Каж- дый проход состоит из 64 рандомизирующих этапов. В каждом этапе в качестве входа S-блока используется другой байт данных. Выходное слово подвергается операции XOR с двумя соседними словами сообщения. По- строение S-блоков аналогично построению S-блоков в Khafre (см. раздел 13.7). Кроме того, выполняется ряд циклических сдвигов. Оригинальный Snefru состоял из двух проходов.
Криптоанализ Snefru
Используя дифференциальный криптоанализ, Бихам и Шамир показали небезопасность двухпроходного
Snefru (с 128-битовым хэш-значением) [172]. Их способ вскрытия за несколько минут обнаруживает пару соо б- щений с одинаковым хэш-значением.
Для 128-битового Snefru их вскрытия работают лучше, чем вскрытие грубой силой для четырех и менее пр о- ходов. Вскрытие Snefru методом дня рождения требует 2 64
операций; дифференциальный криптоанализ может найти пару сообщений с одинаковым хэш-значением за 2 28.5 операций для трехпроходного Snefru и за 2 44.5 опе- раций для четырехпроходного Snefru. Нахождение сообщения, хэш-значение которого совпадает с заданным,
при использовании грубой силы требует 2 128
операций, при дифференциальном криптоанализе для этого нужно
2 56
операций для трехпроходного и 2 88 операций для четырехпроходного Snefru.
Хотя Бихам и Шамир не анализировали 256-битовые хэш-значения, они провели анализ вплоть до 224- битовых хэш-значений. В сравнении с вскрытием методом дня рождения, требующим 2 112
операций они могут найти сообщения с одинаковым хэш-значением за 2 12.5
операций для двухпроходного Snefru, за 2 33
операций для трехпроходного Snefru и за для 2 81 операций для четырехпроходного Snefru.
В настоящее время Меркл рекомендует использовать Snefru по крайней мере с восемью проходами [1073].
Однако с таким количеством проходов алгоритм становится намного медленнее, чем MD5 или SHA.
18.3 N-хэш
N-хэш - это алгоритм, придуманный в 1990 году исследователями Nippon Telephone and Telegraph, теми же людьми, которые изобрели FEAL [1105, 1106]. N-хэш использует 128-битовые блоки сообщения, сложную ра н- домизирующую функцию, похожую на FEAL, и выдает 128-битовое хэш-значение.
Хэш-значение каждого 128-битового блока является функцией блока и хэш-значения предыдущего блока .
H
0
= I, где I - случайное начальное значение
H
i
= g(M
i
, H
i-1
) ? M
i
? H
i-1
Хэш-значение всего сообщения представляет собой хэш-значение последнего блока сообщения . Случайное начальное значение I может быть любым числом, определенным пользователем (даже одними нулями).
Функция g достаточно сложна. Схема алгоритма приведена на 16-й. Сначала переставляются левая и правая
64-битовые половины 128-битового хэш-значения предыдущего блока H
i-1
, а затем выполняется XOR с повто- ряющимся шаблоном (128-битовым) и XOR с текущим блоком сообщения M
i
. Далее это значение каскадно пре- образуется в N (на рисунках N= 8) стадий обработки. Другим входом стадии обработки является предыдущее хэш-значение, подвергнутое XOR с одной из восьми двоичных констант.

PS
n
128 битов
128 битов
128 битов
||: конкатенация
PS: стадия обработки (processing stage)
n: 1010 ... 1010 (двоичное, 128 битов)
EXG: перестановка левой и правой частей
V
j
=х||A
j1
х||A
j2
х||A
j3
х||A
j4
H
i
= g(M
i
, H
i-1
) ? M
i
? H
i-1
A
jk
=4*(j-1)+k(k=1,2,3,4, A
jk
- 8 битов в длину)
х: 000 ... 0 (двоичное, 24 бит)
V
3
V
2
EXG
h i=1
h i
M
i
V
1
PS
PS
V
4
PS
V
5
PS
V
6
PS
V
7
PS
V
8
PS
g
Рис. 18-2. Схема N-хэш.
Одна стадия обработки показана на 15-й. Блок сообщения разбивается на четыре 32-битовых значения . Пре- дыдущее хэш-значение также разбивается на четыре 32-битовых значения . Функция f представлена на 14th.
Функции S
0
и S
1
те же самые, что и в FEAL.
S
0
(a,b) = циклический сдвиг влево на два бита (( a + b) mod 256)
S
1
(a,b) = циклический сдвиг влево на два бита(( a + b + 1) mod 256)

B
B
32 бита
32 бита
32 бита
32 бита
32 бита
32 бита
32 бита
32 бита
P= P
1
||P
2
||P
3
||P
4
Вход: X= X
1
||X
2
||X
3
||X
4
X
2
P
4
P
3
P
2
P
2
P
1
P
1
X
1
X
4
X
3
B
B
P
4
P
3
Y
2
Y
1
Y
4
Y
3
Y=PS(X,P)
Выход: Y= Y
1
||Y
2
||Y
3
||Y
4
Рис. 18-3. Одна стадия обработки N-хэш.
Выход одной стадии обработки становится входом следующей стадии обработки . После последней стадии обработки выполняется XOR выхода с M
i и H
i-1
, а затем к хэшированию готов следующий блок .
S
1
S
0
S
1
P
S
0 8 битов
8 битов
8 битов
8 битов
32 бита
32 бита
32 бита
N
f (N,2)
Y=S
0
(X
1
,X
2
)=Rot2((X
1
+X
2
) mod 256)
Y=S
1
(X
1
,X
2
)=Rot2((X
1
+X
2
+1) mod 256)
Y: выходные 8 битов, X
1
,X
2
(8 битов): входы
Rot2(Y): циклический сдвиг влево на 2 бита
8-битовых данных Y
Рис. 18-4. Функция f.

Криптоанализ N-хэш
Берт ден Боер (Bert den Boer) открыл способ создавать столкновения в функции этапа N-хэш [1262]. Бихам и
Шамир применили дифференциальный криптоанализ для вскрытия 6-этапной N-хэш [169, 172]. Конкретное выполненное ими вскрытие (конечно же, могли быть и другие) работает для любого N, делящегося на 3, и эф- фективнее вскрытия методом дня рождения для любого N, меньшего 15.
То же самое вскрытие может обнаруживать пары сообщений с одинаковым хэш-значением для 12-этапной
N-хэш за 2 56
операций (для вскрытия грубой силой нужно 2 64
операций). N-хэш с 15 этапами безопасна по от- ношению к дифференциальному криптоанализу : для вскрытия потребуется 2 72
операций.
Разработчики алгоритма рекомендуют использовать N-хэш не меньше, чем с 8 этапами [1106]. С учетом до- казанной небезопасности N-хэш и FEAL (и ее скорости при 8 этапах) я рекомендую полностью отказаться от этого алгоритма.
18.4 MD4
MD4 - это однонаправленная хэш-функция, изобретенная Роном Ривестом [1318, 1319, 1321]. MD обознача- ет Message Digest (краткое изложение сообщения), алгоритм для входного сообщения выдает 128-битовое хэш- значение, или краткое изложение сообщения.
В [1319] Ривест описал цели, преследуемые им при разработке алгоритма :
Безопасность. Вычислительно невозможно найти два сообщения с одинаковым хэш-значением . Вскрытие грубой силой является самым эффективным .
Прямая безопасность. Безопасность MD4 не основывается на каких-либо допущениях, например, предп о- ложении о трудности разложения на множители .
Скорость. MD4 подходит для высокоскоростных программных реализаций . Она основана на простом набо- ре битовых манипуляций с 32-битовыми операндами.
Простота и компактность. MD4 проста, насколько это возможна, и не содержит больших структур данных или сложных программных модулей.
Удачна архитектура. MD4 оптимизирована для микропроцессорной архитектуры (особенно для микропро- цессоров Intel), для более крупных и быстрых компьютеров можно выполнить любые необходимые изменения .
После первого появления алгоритма Берт ден Боер и Антон Босселаерс (Antoon Bosselaers) достигли успеха при криптоанализе последних двух из трех этапов алгоритма [202]. Ральфу Мерклу совершенно независимо удалось вскрыть первые два этапа [202]. Эли Бихам рассмотрел использование дифференциального криптоан а- лиза против первых двух этапов MD4 [159]. Хотя все эти вскрытия не были распространены на полный алг о- ритм, Ривест усилил свою разработку. В результате появилась MD5.
18.5 MD5
MD5 - это улучшенная версия MD4 [1386, 1322]. Хотя она сложнее MD4, их схемы похожи, и результатом
MD5 также является 128-битовое хэш-значение .
Описание MD5
После некоторой первоначальной обработки MD5 обрабатывает входной текст 512-битовыми блоками, раз- битыми на 16 32-битовых подблоков. Выходом алгоритма является набор из четырех 32-битовых блоков, кото- рые объединяются в единое 128-битовое хэш-значение .
Во первых, сообщение дополняется так, чтобы его длина была на 64 бита короче числа, кратного 512. Этим дополнением является 1, за которой вплоть до конца сообщения следует столько нулей, сколько нужно . Затем, к результату добавляется 64-битовое представление длины сообщения (истинной, до дополнения). Эти два дейст- вия служат для того, чтобы длина сообщения была кратна 512 битам (что требуется для оставшейся части алго- ритма), и чтобы гарантировать, что разные сообщения не будут выглядеть одинаково после дополнения . Ини- циализируются четыре переменных:
A = 0x01234567
B = 0x89abcdef
C = 0xfedcba98
D = 0x76543210
Они называются переменными сцепления.

Теперь перейдем к основному циклу алгоритма . Этот цикл продолжается, пока не исчерпаются 512-битовые блоки сообщения.
Четыре переменных копируются в другие переменные : A в a, B в b, C в c и D в d.
Главный цикл состоит из четырех очень похожих этапов (у MD4 было только три этапа). На каждом этапе
16 раз используются различные операции . Каждая операция представляет собой нелинейную функцию над тр е- мя из a, b, c и d. Затем она добавляет этот результат к четвертой переменной, подблоку текста и константе. Д а- лее результат циклически сдвигается вправо на переменное число битов и добавляет результат к одной из пер е- менных a, b, c и d. Наконец результат заменяет одну из переменных a, b, c и d. См. 13-й и 12-й. Существуют четыре нелинейных функции, используемые по одной в каждой операции (для каждого этапа - другая фун кция).
B
A
Этап 2
Этап 1
Этап 3
Этап 4
D
С
B
Блок сообщения
A
D
С
Рис. 18-5. Главный цикл MD5.
<<t i
M
j
Нелинейная функция
=
>
?
@
Рис. 18-6. Одна операция MD5.
F(X,Y,Z) = (X ? Y) ? ((¬X) ? Z)
G(X,Y,Z) = (X ? Z) ? (Y ? (¬Z))
H(X,Y,Z) = X ? Y ? Z
I(X,Y,Z) = Y ? (X ? (¬Z))
(? - это XOR, ? - AND, ? - OR, а ¬ - NOT.)
Эти функции спроектированы так, чтобы, если соответствующие биты X, Y и Z независимы и несмещены,
каждый бит результата также был бы независимым и несмещенным . Функция F - это побитовое условие: если
X, то Y, иначе Z. Функция H - побитовая операция четности.
Если M
j обозначает j-ый подблок сообщения (от 0 до 15), а <<