HAIFA
HAIFA (англ. HAsh Iterative FrAmework) — итеративный метод построения криптографичеких хеш-функций, являющийся усовершенствованием классической структуры Меркла — Дамгора.
Был предложен в 2007 году в целях повышения устойчивость ко многим атакам и поддержки возможности получать хеш-суммы различных длин. На основе алгоритма были разработаны такие хеш-функции, как BLAKE[1] и SHAvite-3[2].
История
Создателями алгоритма являются Эли Бихам и Ор Дункельман — израильские криптографы из Хайфского университета. Бихам — ученик Ади Шамира, разработавшего большое количество новых криптографических алгоритмов, в том числе взлома существующих; Дункельман — коллега Шамира по одному из проектов, а в дальнейшем продолжил свои исследования самостоятельно[3].
Структура Меркла — Дамгора долгое время считалась устойчивой к атаке на нахождение второго прообраза, пока в 1999 году профессор Принстонского университета Ричард Дин не доказал, что это предположение неверно для длинных сообщений, если при данной функции сжатия возможно легко находить фиксированные точки последовательности. Также на структуру Меркла — Дамгора могла быть успешно произведена атака множественный коллизий и хэрдинг-атака (атака по известному префиксу)[4][5].
Алгоритм
Структура Меркла — Дамгора представляет собой следующий алгоритм:
Есть сообщение , разбитое на несколько частей: . Есть некоторое начальное значение — и некоторая функция , которая подсчитывает промежуточное представление хеш-функции определённым образом[5]:
Далее итеративно:
В основу нового алгоритма HAIFA легло добавление количества захешированных бит и некоторого случайного значения. Вместо обычной функции сжатия, которую теперь можно обозначить следующим образом[4]:
- , где — размер , — размер блока, (чаще всего выходной размер совпадает с размером h)
используется:
- , где — длины количества бит и соли,
внутреннее же представление подсчитывается (в соответствии с введенными выше обозначениями):
- , где
- — количество бит, захешированных к этому времени.
Чтобы захешировать сообщение, нужно выполнить следующие шаги:
- Дополнить сообщение в соответствии с нижеописанной схемой.
- Подсчитать начальное значение для внутренней ячейки размера m в соответствии с алгоритмом, описанным ниже.
- Пройти по всем блокам дополненного сообщения, вычисляя на каждом шаге значение функции сжатия от текущего блока , и теперь уже добавляя соль и в качестве аргументов. Если к сообщению добавляется дополнительный блок (в самый конец), то для этого блока выставляем значение равное нулю.
- Обрезать последнее, выходное, значение функции, если необходимо[4].
Дополнение сообщения
В HAIFA сообщение дополняется единицей, необходимым количеством нулей, длиной сообщения в битах и размером выходного блока . Т.е добавляем последовательность (количество нулей в данном случае должно быть таким, чтобы [4] , где , — количество единиц и нулей, — размер блока:
Хеширование сообщения, дополненного размером выходного блока, избавляет от проблемы нахождения коллизий, так как если два сообщения и хешируются с размерами блока и , то от коллизий спасает именно последний блок. В свою очередь, добавлением = 0 в самом последнем блоке, создаётся сигнал для обозначения последнего и дополняющего блока[4].
Возможность дополнения исходного сообщения в данном алгоритме позволяет обрезать захешированное, тем самым изменяя размер конечного хеша[4].
Длина хеша
Часто на практике требуются различные длины итогового хеша (как, например, сделано для SHA-256, у которого существуют две урезанные версии), поэтому в данной структуре также была реализована возможность варьировать его длину с помощью специального алгоритма (чтобы сохранить стойкость к атаке на второй прообраз, нельзя использовать очевидное решение взятия бит из итогового хеша).
- — начальное значение
- — желательная длина выхода
- Считаем преобразованное начальное значение :
- Таким образом получаем «зашитое» в первые бит, за которыми следуют 1 и нули.
- После того, как посчитался последний блок, итоговым значением являются бит последнего значения функции сжатия цепочки[4].
Стойкость алгоритма
Доказательство того, что HAIFA устойчив к коллизиям, если функция сжатия устойчива к коллизиям, проводится аналогично доказательству для Меркла — Дамгора[4].
Количество захешированных бит значительно затрудняет поиск и использование фиксированных точек. Даже найдя такие и , для которых выполняется , нельзя бесконечно размножать эти значения в данном алгоритме, потому что количество битов будет все время меняться[4].
Соль (), как и , тоже вносит свой вклад в стойкость алгоритма[4]:
- Дает возможность устанавливать безопасность хеш-функций в теоретической модели.
- Заставляет атаки, базирующиеся на предварительных расчетах, переносить все свои вычисления в онлайн-режим, так как значение соли неизвестно заранее.
- Повышает безопасность электронных подписей (так как каждый раз приходится учитывать то, что есть некоторое случайное значение).
Ниже приведены оценки стойкости HAIFA к различным типам атак.
Атаки, основанные на фиксированных точках
В атаке на второй прообраз ищется такое значение , для которого , то есть хеш от равен какому-либо промежуточному значению в итерациях, и далее соединить часть оставшегося сообщения (находящуюся справа от ) с нашим угаданным . Однако алгоритм был признан устойчивым к этой атаке, так как в усовершенствованном варианте в конец сообщения дописывался его размер. Ричард Дин же в своей работе указал совершенно новый способ атаки, основанный на предположении о том, что для данной функции легко найти фиксированные точки (по определению фиксированная точка — та, для которой выполняется соотношение ). В его алгоритме недостающая длина сообщения восполнялась добавлением множества фиксированных точек, то есть мы могли достаточным количеством повторений значения дополнить нашу длину до нужной.
В данном случае HAIFA защищает от атаки, основанной на фиксированных точках, так как наличие соли и поля, содержащего количество захешированных бит сводит к минимуму вероятность появления повторения значений сжимающей функции[4].
Атака множественных коллизий
Для множественных коллизий французский криптограф Антуан Жу описал возможность нахождения сообщений, имеющих один и тот же хеш. Его работа базируется на факте, что возможно найти таких одноблочных коллизий, в которых , и далее конструировать различные сообщения, всего вариантов, выбирая на каждом из шагов либо сообщение , либо .
HAIFA, несмотря на сложную структуру, не гарантирует нулевой вероятности удачного прохождения атаки на множественные коллизии. После вышеописанных модификаций, сделанных над алгоритмом Меркла — Дамгора, сложность нахождения коллизий для каждого блока не изменилась, но так как появилось случайное подмешанное значение, атакующий не может заранее перебирать варианты этих коллизий, не зная случайного значения. Расчеты переходят в онлайн-режим[4].
Хэрдинг-атака
Хэрдинг-атака основана на том, что атакующий пытается найти такой суффикс по заданному префиксу, который будет давать нужное значение хеша.
- Изначально строится дерево из различных внутренних значений, ищутся сообщения Mj, которые приводят к коллизиям среди этих состояний. То есть в узлах дерева находятся различные значения , на ребрах — значения .
- Строим коллизии по вновь полученным значениям (с предыдущего уровня дерева) до тех пор, пока не дойдем до конечного значения .
- Затем атакующий получает информацию о префиксе.
- Получив эту информацию, он пытается подобрать связующее сообщение между эти префиксом и желаемым суффиксом. Связующее сообщение должно удовлетворять условию, что значение сжимающей функции от него равен одному из внутренних значений на первом уровне дерева. Далее суффикс строится обычным проходом по дереву (так как на его ребрах уже находятся сообщения, которые приведут к необходимому результату). Ключевым моментом является возможность производить предварительные вычисления, в онлайн-режиме останется подобрать только нужное промежуточное значение и .
Доказано, что на HAIFA невозможно провести первую фазу хэрдинг-атаки (построение дерева решений), пока неизвестно значение соли. То есть тот brute-force, который излагался выше, уже провести нельзя. Условие успешного отражения атаки — длина подмешиваемого сообщения, если желаемая сложность атаки ставится на уровне , должна быть не менее символов. Если этого правила не придерживаться, то возможны некоторые предварительные расчеты, приводящие к взлому алгоритма. Если значение соли все же было найдено, то потребуется некоторое время для поиска нужного места в сообщении в силу наличия поля [4].
Сложность атак на алгоритмы Меркла — Дамгора и HAIFA
Тип атаки | Идеальная хеш-функция | MD | HAIFA
(фиксированное значение соли) |
HAIFA
(с различными значениями соли) |
---|---|---|---|---|
Атака на первый прообраз
( целей) |
||||
Атака на один из первых прообразов | ||||
Атака на второй прообраз | ||||
Атака на один из вторых прообразов
( блоков, сообщений) |
||||
Коллизии | ||||
Множественные коллизии
( — количество коллизий)[9] |
||||
Herding[11][12] | - | Offline:
Online: |
Offline:
Online: |
Offline:
Online: |
Приложения
HAIFA, по мнению разработчиков, может являться основой для множества криптографических алгоритмов, так как представляет cобой новую усовершенствованную базовую конструкцию. Доказано, что с её использованием могут быть разработаны функции рандомизированного хеширования[13], обёрнутая функция Меркла — Дамгора (англ. Enveloped Merkle-Damgard, RMC[14][15], ширококонвейрного хеша[16].
Ширококонвейерный хеш
Получить конструкцию ширококонвейерного (англ. wild-pipe) хеша с помощью HAIFA достаточно легко; в самом алгоритме для повышения сложности длина внутренних блоков была сделана в два раза больше, чем длина конечного блока (поэтому есть две функции сжатия и ). Можно непосредственно вывести формулу для широконвейерного хеша, с учётом того, что находить в HAIFA последний блок тривиально, так как там выставлены ноль[4].
Формула для перевода из HAIFA в ширококонвейрный хеш:
где
— второй вектор инициализации[16].
Прикладное значение
Способ, предложенный учёными в HAIFA, имеет важное прикладное значение для реализации алгоритмов электронной подписи: с введением количества бит и соли стало сложнее добавлять префиксы и суффиксы к сообщению (herd attack), а следовательно подменять сообщения для подписи[8].
Примечания
- Jean-Philippe Aumasson, Luca Henzen, Willi Meier, Raphael C.-W. Phan. SHA-3 proposal BLAKE (англ.) // SHA-3 Conference. — 2010. — 16 декабря. — С. 8—15.
- Eli Biham, Orr Dunkelman. The SHAvite-3 Hash Function (англ.) // Encrypt II. — 2009. — С. 8—17.
- Eli Biham. Publications . The list of authors' publications (since 1991).
- Eli Biham, Orr Dunkelman. A Framework for Iterative Hash Functions —HAIFA (англ.) // ePrint. — 2007. — С. 6—12.
- Jean-Sebastien Coron, Yevgeniy Dodis, Cecile Malinaud, Prashant Puniya. Merkle Damgard Revisited: how to Construct a hash Function (A new Design Criteria for Hash-Functions) (англ.) // NIST. — С. 3—6.
- Gregory Bard. The Fixed-Point Attack . The explanation of fixed-point attack. ResearchGate (январь 2009).
- Antoine Joux. Multicollisions in iterated hash functions. Application to cascaded constructions (англ.) // Iacr. — 2004. — Август.
- Orr Dunkelman, Bart Preneel. Generalizing the Herding Attack to Concatenated Hashing Schemes (англ.) // IAIK. — 2007. — С. 6—7.
- Kelsey J., Schneier B. Second Preimages on n-Bit Hash Functions for Much Less than 2ⁿ Work (англ.) // Advances in Cryptology — EUROCRYPT 2005: 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques, Aarhus, Denmark, May 22-26, 2005. Proceedings / R. Cramer — Springer Science+Business Media, 2005. — P. 474—490. — 578 p. — ISBN 978-3-540-25910-7 — doi:10.1007/11426639_28
- Charles Bouillaguet, Pierre-Alain Fouque. Practical Hash Functions Constructions Resistant to Generic Second Preimage Attacks Beyond the Birthday Bound (англ.) // PSL. — 2011. — С. 2.
- Simon R. Blackburn. On the Complexity of the Herding Attack and Some Related Attacks on Hash Functions (англ.) // ePrint. — 2010. — С. 3.
- Elena Andreeva, Charles Bouillaguet, Orr Dunkelman, and John Kelsey. Herding, Second Preimage and Trojan Message Attacks Beyond Merkle-Damgard (англ.) // NIST. — С. 5, 10, 14.
- Halevi S., Krawczyk H. Strengthening Digital Signatures Via Randomized Hashing (англ.) // Advances in Cryptology — CRYPTO 2006: 26th Annual International Cryptology Conference, Santa Barbara, California, USA, August 20-24, 2006, Proceedings / C. Dwork — Berlin, Heidelberg, New York, NY, London [etc.]: Springer Science+Business Media, 2006. — P. 41—59. — 622 p. — (Lecture Notes in Computer Science; Vol. 4117) — ISBN 978-3-540-37432-9 — ISSN 0302-9743; 1611-3349 — doi:10.1007/11818175_3
- Itai Dinur. New Attacks on the Concatenation and XOR Hash Combiners // ePrint. — 2016.
- Elena Andreeva, Gregory Neven, Bart Preneel, Thomas Shrimpton. Seven-Properties-Preserving Iterated Hashing: The RMC Construction (англ.) // ePrint. — 2007. — С. 10—14.
- Dustin Moody. Indifferentiability Security of the Fast Wide Pipe Hash: Breaking the Birthday Barrier (англ.) // ePrint. — 2011.
Литература
- Eli Biham and Orr Dunkelman. A framework for iterative hash functions - HAIFA. — ePrint, 2007. — С. 3—12, 15. — 20 с.
- Orr Dunkelman. Re-visiting HAIFA. Talk at the workshop Hash functions in cryptology: theory and practice. — 2008. — 207 с.
- B. Denton and R. Adhami. Modern Hash Function Construction. — 5 с.
- John Kelsey, Tadayoshi Kohno. Herding Hash Functions and the Nostradamus Attack. — ePrint, 2005. — С. 4—8. — 17 с.
- Marjan Skrobot. Provable Security Analysis of SHA-3 Candidates. — 2012. — С. 31—33. — 72 с.
Ссылки
- Mihir Bellare, Thomas Ristenpart. Multi-Property-Preserving Hash Domain Extension and the EMD Transform (Enveloped Merkle-Damgard) : [англ.] // ePrint : presentation. — University of California at San Diego Security and Cryptography Lab, 2006.
- Сайт конкурса SHA-3 (англ.) (2007-2012). — Описание предложенных на конкурсе хеш-функций, результаты раундов.
- Eli Biham. Страница Эли Бихама (англ.). — Основная информация, перечень публикаций.