БЛЕЙК (хеш-функция) - BLAKE (hash function)
Общий | |
---|---|
Дизайнеров | Жан-Филипп Аумассон, Лука Хензен, Вилли Мейер, Рафаэль К.-В. Фан |
Преемники | BLAKE2 |
Сертификация | Финалист SHA-3 |
Деталь | |
Размеры дайджеста | 224, 256, 384 или 512 бит |
Структура | Строительство HAIFA |
Раундов | 14 или 16 |
Скорость | 8.4 cpb на Ядро 2 для BLAKE-256; 7,8 бит / бит для BLAKE-512 |
БЛЕЙК это криптографическая хеш-функция на основе Дэн Бернштейн с ЧаЧа потоковый шифр, но переставленная копия входного блока, XORed с круглыми константами, добавляется перед каждым раундом ChaCha. Нравиться SHA-2, есть два варианта, различающиеся слово размер. ChaCha работает с массивом слов 4 × 4. BLAKE многократно комбинирует хэш-значение из 8 слов с 16 словами сообщения, усекая результат ChaCha для получения следующего хеш-значения. БЛЕЙК-256 и BLAKE-224 использовать 32-битные слова и производить дайджест размером 256 бит и 224 бит соответственно, в то время как БЛЕЙК-512 и BLAKE-384 использовать 64-битные слова и производить дайджест размером 512 и 384 бит соответственно.
В BLAKE2 хэш-функция, основанная на BLAKE, была анонсирована в 2012 году. BLAKE3 Хеш-функция, основанная на BLAKE2, была анонсирована в 2020 году.
История
BLAKE был отправлен в Конкурс хеш-функций NIST Жан-Филипп Аумассон, Лука Хензен, Вилли Мейер и Рафаэль К.-В. Фан. В 2008 году было 51 запись. BLAKE прошли в финальный раунд, состоящий из пяти кандидатов, но проиграли Кечак в 2012 году, который был выбран для SHA-3 алгоритм.
Алгоритм
Нравиться SHA-2, BLAKE существует в двух вариантах: в одном используются 32-битные слова, используемые для вычисления хэшей длиной до 256 бит, и в другом используются 64-битные слова, используемые для вычисления хэшей длиной до 512 бит. Преобразование основного блока объединяет 16 слов ввода с 16 рабочими переменными, но только 8 слов (256 или 512 бит) сохраняются между блоками.
Он использует таблицу из 16 постоянных слов (ведущие 512 или 1024 бит дробной части π ), и таблица из 10 перестановок из 16 элементов:
σ [0] = 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 σ [1] = 14 10 4 8 9 15 13 6 1 12 0 2 11 7 5 3σ [2] = 11 8 12 0 5 2 15 13 10 14 3 6 7 1 9 4σ [3] = 7 9 3 1 13 12 11 14 2 6 5 10 4 0 15 8σ [4] = 9 0 5 7 2 4 10 15 14 1 11 12 6 8 3 13σ [5] = 2 12 6 10 0 11 8 3 4 13 7 5 15 14 1 9σ [6] = 12 5 1 15 14 13 4 10 0 7 6 3 9 2 8 11σ [7] = 13 11 7 14 12 1 3 9 5 0 15 4 8 6 2 10σ [8] = 6 15 14 9 11 3 0 8 12 2 13 7 1 4 10 5σ [9] = 10 2 8 4 7 6 1 5 15 11 9 14 3 12 13 0
Основная операция, эквивалентная четверть-раунду ChaCha, работает с столбцом из 4 слов или диагональю. а б в г
, который сочетается с 2 словами сообщения м []
и два постоянных слова n []
. Выполняется 8 раз за полный раунд:
j ← σ [r% 10] [2 × i] // Вычисления индексаk ← σ [r% 10] [2 × i + 1] a ← a + b + (m [j] ⊕ n [k]) // Шаг 1 (с вводом)d ← (d ⊕ a) >>> 16c ← c + d // Шаг 2 (без ввода)b ← (b ⊕ c) >>> 12a ← a + b + (m [k] ⊕ n [j]) // Шаг 3 (с вводом)d ← (d ⊕ a) >>> 8c ← c + d // Шаг 4 (без ввода)b ← (b ⊕ c) >>> 7
В приведенном выше описании р
- круглое число (0–13), а я
варьируется от 0 до 7.
Отличия от четверть-раундовой функции ChaCha:
- Добавлено добавление слов сообщения.
- Направление вращения было обратным.
64-битная версия (которой нет в ChaCha) идентична, но значения вращения равны 32, 25, 16 и 11 соответственно, а количество раундов увеличено до 16.
Твики
На протяжении всего конкурса хэш-функций NIST участникам разрешается «настраивать» свои алгоритмы для решения обнаруженных проблем. В BLAKE внесены следующие изменения: количество раундов увеличено с 10/14 до 14/16. Это должно быть более консервативным в отношении безопасности, но при этом быть быстрым.
Примеры дайджестов
Хеш-значения пустой строки:
БЛЕЙК-224 ("") = 7dc5313b1c04512a174bd6503b89607aecbee0903d40a8a569c94eedБЛЕЙК-256 ("") = 716f6e863f744b9ac22c97ec7b76ea5f5908bc5b2f67c61510bfc4751384ea7aБЛЕЙК-384 ("") = c6cbd89c926ab525c242e6621f2f5fa73aa4afe3d9e24aed727faaadd6af38b620bdb623dd2b4788b1c8086984af8706БЛЕЙК-512 ("") = a8cfbbd73726062df0c6864dda65defe58ef0cc52a5625090fa17601e1eecd1b628e94f396ae402a00acc9eab77b4d4c2e852aaaa25a636d80af3fc7913ef5b8
Изменение одного бита приводит к тому, что каждый бит на выходе изменяется с вероятностью 50%, демонстрируя лавинный эффект:
БЛЕЙК-512 («Быстрая коричневая лиса перепрыгивает через ленивого пса») = 1f7e26f63b6ad25a0896fd978fd050a1766391d2fd0471a77afb975e5034b7ad2d9ccf8dfb47abbbe656e1b82fbc634ba42ce186e8dc5e1ce09a885d41f43451БЛЕЙК-512 («Быстрая коричневая лисица перепрыгивает через ленивуюж") = a701c2a1f9baabd8b1db6b75aee096900276f0b86dc15d247ecc03937b370324a16a4ffc0c3a85cd63229cfa15c15f4ba6d46ae2e849ed6335e9ff43b764198a
BLAKE2
Общий | |
---|---|
Дизайнеров | Жан-Филипп Аумассон, Самуэль Невес, Зуко Уилкокс-О'Хирн, Кристиан Виннерлейн |
Происходит от | БЛЕЙК |
Деталь | |
Размеры дайджеста | до 64 байт (BLAKE2b); до 32 байт (BLAKE2s); произвольный (BLAKE2X) |
Раундов | 10 или 12 |
Скорость | 3.5 cpb на Core i5 (Ivy Bridge) для BLAKE2b[1] |
BLAKE2 - это криптографическая хеш-функция на основе BLAKE, созданная Жан-Филиппом Аумассоном, Сэмюэлем Невесом, Зуко Уилкокс-О'Хирн, и Кристиан Виннерлейн. Целью дизайна было заменить широко используемые, но сломанные, MD5 и SHA-1 алгоритмы в приложениях, требующих высокой производительности программного обеспечения. BLAKE2 был анонсирован 21 декабря 2012 года.[2] А эталонная реализация доступно под CC0, то Лицензия OpenSSL, а Общественная лицензия Apache 2.0.[3][4]
BLAKE2b быстрее, чем MD5, SHA-1, SHA-2 и SHA-3, на 64-битных архитектурах x86-64 и ARM.[3] BLAKE2 обеспечивает лучшую безопасность, чем SHA-2, и аналогичен SHA-3: невосприимчивость к увеличению длины, неотличимость от случайного оракула и т. Д.[5]
BLAKE2 удаляет добавление констант к словам сообщения из функции раунда BLAKE, изменяет две константы вращения, упрощает заполнение, добавляет блок параметров, который подвергается операции XOR с векторами инициализации, и уменьшает количество раундов с 16 до 12 для BLAKE2b (преемник BLAKE-512) и с 14 до 10 для BLAKE2s (преемник BLAKE-256).
BLAKE2 поддерживает режимы ключей, обработки, персонализации и хеш-дерева и может выводить дайджесты от 1 до 64 байтов для BLAKE2b или до 32 байтов для BLAKE2. Существуют также параллельные версии, предназначенные для повышения производительности на многоядерные процессоры; BLAKE2bp (4-сторонняя параллель) и BLAKE2sp (8-сторонняя параллель).
BLAKE2X представляет собой семейство функций расширяемого вывода (XOF). В то время как BLAKE2 ограничен 64-байтовыми дайджестами, BLAKE2X позволяет дайджесты размером до 256 ГиБ. BLAKE2X сам по себе не является экземпляром хэш-функции и должен быть основан на фактическом экземпляре BLAKE2. Примером экземпляра BLAKE2X может быть BLAKE2Xb16MiB, который будет версией BLAKE2X, основанной на BLAKE2b, производящей 16 777 216 байт дайджестов (или ровно 16 МиБ, отсюда и название такого экземпляра).[6]
BLAKE2b и BLAKE2 указаны в RFC 7693. Необязательные функции, использующие блок параметров (солирование, персонализированные хэши, хеширование дерева и т. Д.), Не указаны, и, следовательно, также не поддерживаются BLAKE2bp, BLAKE2sp или BLAKE2X.[7]
Вектор инициализации
BLAKE2b использует вектор инициализации, который совпадает с IV, используемый SHA-512. Эти ценности прозрачно полученный взяв первые 64 бита из дробных частей положительных квадратных корней из первых восьми простых чисел.
IV0 = 0x6a09e667f3bcc908 // Frac (sqrt (2))IV1 = 0xbb67ae8584caa73b // Frac (sqrt (3))IV2 = 0x3c6ef372fe94f82b // Frac (sqrt (5))IV3 = 0xa54ff53a5f1d36f1 // Frac (sqrt (7))IV4 = 0x510e527fade682d1 // Frac (sqrt (11))IV5 = 0x9b05688c2b3e6c1f // Frac (sqrt (13))IV6 = 0x1f83d9abfb41bd6b // Frac (sqrt (17))IV7 = 0x5be0cd19137e2179 // Frac (sqrt (19))
Алгоритм BLAKE2b
Псевдокод для алгоритма BLAKE2b. Алгоритм BLAKE2b использует 8-байтовые (UInt64) слова и 128-байтовые блоки.
Алгоритм BLAKE2b Вход: M Сообщение для хеширования cbMessageLen: Число, (0..2128) Длина сообщения в байтах Ключ Необязательный 0..64 байтовый ключ cbKeyLen: Число, (0..64) Длина необязательного ключа в байтах cbHashLen: Число, (1..64) Желаемая длина хэша в байтах Выход: Хеш Хеш байтов cbHashLen Инициализировать вектор состояния час с IV час0..7 ← IV0..7 Смешайте размер ключа (cbKeyLen) и желаемую длину хэша (cbHashLen) в h0 час0 ← ч0 xor 0x0101kknn куда кк длина ключа (в байтах) nn желаемая длина хэша (в байтах) Каждый раз, когда мы сжимаем, мы записываем, сколько байтов было сжато cBytesCompressed ← 0 cBytesRemaining ← cbMessageLen Если был предоставлен ключ (т.е. cbKeyLen> 0) затем добавьте завершающие нули, чтобы сделать его 128 байтов (т.е. 16 слов) и добавить его к сообщению M если (cbKeyLen> 0) тогда M ← Pad (Key, 128) || M cBytesRemaining ← cBytesRemaining + 128 конец, если Сжать целые 128-байтовые фрагменты сообщения, кроме последнего фрагмента пока (cBytesRemaining> 128) делать чанк ← получить следующие 128 байт сообщения M cBytesCompressed ← cBytesCompressed + 128 увеличить количество сжатых байтов cBytesRemaining ← cBytesRemaining - 128 уменьшить количество байтов в M осталось обработать h ← Сжать (h, фрагмент, cBytesCompressed, ложь) false ⇒ это не последний чанк конец пока Сжать последние байты из M чанк ← получить следующие 128 байт сообщения M Мы получим cBytesRemaining байт (т.е. 0..128 байт) cBytesCompressed ← cBytesCompressed + cBytesRemaining Фактическое количество байтов, оставшихся в M кусок ← Pad (кусок, 128) Если M было пусто, то мы все равно сжимаем последний кусок нулей h ← Сжать (h, фрагмент, cBytesCompressed, истина) истина ⇒ это последний чанк Результат ← первые cbHashLen байтов вектора состояния с прямым порядком байтов hКонец алгоритма BLAKE2b
Компресс
В Компресс функция принимает полный 128-байтовый фрагмент входного сообщения и смешивает его с текущим массивом состояний:
Функция Компресс Вход: час Вектор постоянного состояния кусок 128-байтовый (16 двойных слов) фрагмент сообщения для сжатия t: Число, 0..2128 Количество байтов, переданных на сжатие IsLastBlock: Boolean Указывает, является ли это последний этап сжатия Выход: час Обновленный постоянный вектор состояния Установить локальный рабочий вектор V V0..7 ← ч0..7 Первые восемь элементов копируются из постоянного вектора состояния час V8..15 ← IV0..7 Остальные восемь элементов инициализируются из IV Смешайте 128-битный счетчик т в V12: V13 V12 ← V12 xor Много) Lo 64-битный UInt128 т V13 ← V13 xor Ударить) Привет 64-битный UInt128 т Если это последний блок, то инвертируйте все биты в V14 если IsLastBlock тогда V14 ← V14 xor 0xFFFFFFFFFFFFFFFF Обрабатывать каждое 128-байтовое сообщение кусок как шестнадцать 8-байтовых (64-битных) слов м м0..15 ← кусок Двенадцать раундов криптографического микширования сообщений за я из 0 к 11 делать Выберите график микширования сообщений для этого раунда. BLAKE2b использует 12 раундов, тогда как SIGMA имеет только 10 записей. S0..15 ← СИГМА [i мод 10] Раунды 10 и 11 используют SIGMA [0] и SIGMA [1] соответственно. Смешайте (V0, V4, V8, V12, РС0], РС1]) Mix (V1, V5, V9, V13, РС2], РС3]) Mix (V2, V6, V10, V14, РС4], РС5]) Mix (V3, V7, V11, V15, РС6], РС7]) Mix (V0, V5, V10, V15, РС8], РС9]) Mix (V1, V6, V11, V12, РС10], РС11]) Mix (V2, V7, V8, V13, РС12], РС13]) Mix (V3, V4, V9, V14, РС14], РС15]) конец для Смешайте верхнюю и нижнюю половины V в текущий вектор состояния h час0..7 ← ч0..7 xor V0..7 час0..7 ← ч0..7 xor V8..15 Результат ← чКонечная функция Компресс
Смешивание
В Смешивание функция вызывается Компресс функция и смешивает два 8-байтовых слова из сообщения в хэш-состояние. В большинстве реализаций эта функция может быть написана встроенной или встроенной функцией.
Функция Смешивание Входы: Vа, Vб, Vc, Vd четыре 8-байтовых словарных статей из рабочего вектора V х, у две 8-байтовые записи слова из дополненного сообщения m Выход: Vа, Vб, Vc, Vd модифицированные версии Vа, Vб, Vc, Vd Vа ← Vа + Vб + х с вводом Vd ← (Vd xor Vа) вращение 32 Вc ← Vc + Vd нет ввода Vб ← (Vб xor Vc) вращение 24 Ва ← Vа + Vб + y с вводом Vd ← (Vd xor Vа) вращение 16 Вc ← Vc + Vd нет ввода Vб ← (Vб xor Vc) вращение 63 Результат ← Vа, Vб, Vc, VdКонечная функция Смешивание
Примеры дайджестов
Хеш-значения пустой строки:
BLAKE2s-224 ("") = 1fa1291e65248b37b3433475b2a0dd63d54a11ecc4e3e034e7bc1ef4БЛЕЙК2с-256 ("") = 69217a3079908094e11121d042354a7c1f55b6482ca1a51e1b250dfd1ed0eef9BLAKE2b-384 ("") = b32811423377f52d7862286ee1a72ee540524380fda1724a6f25d7978c6fd3244a6caf0498812673c5e05ef583825100BLAKE2b-512 ("") = 786a02f742015903c6c6fd852552d272912f4740e15847618a86e217f71f5419d25e1031afee585313896444934eb04b903a685b1448b755d56f701afe9be2ce
Изменение одного бита приводит к тому, что каждый бит на выходе изменяется с вероятностью 50%, демонстрируя лавинный эффект:
BLAKE2b-512 («Быстрая коричневая лиса перепрыгивает через ленивого пса») = a8add4bdddfd93e4877d2746e62817b116364a1fa7bc148d95090bc7333b3673f82401cf7aa2e4cb1ecd90296e3f14cb5413f8ed77be73045b13914cdcd6a918BLAKE2b-512 ("Быстрая коричневая лисица перепрыгивает через ленивого самца"ж") = ab6b007747d8068c02e25a6008db8a77c218d94f3b40d2291a7dc8a62090a744c082ea27af01521a102e42f480a31e9844053f456b4b41e8aa78bbe5c12957bb
Пользователи BLAKE2
- Аргон2, победитель Конкурс по хешированию паролей использует BLAKE2b
- Повар Система развертывания Habitat использует BLAKE2b для подписи пакетов[8]
- Порты FreeBSD инструмент управления пакетами использует BLAKE2b
- Основные утилиты GNU реализует BLAKE2b в своей команде b2sum[9]
- IPFS позволяет использовать BLAKE2b для хеширования дерева
- librsync использует BLAKE2b[10]
- Шум (криптографический протокол), который используется в WhatsApp включает BLAKE2 в качестве опции.[11][нужна цитата ]
- RAR Формат файлового архива версии 5 поддерживает дополнительную 256-битную контрольную сумму файла BLAKE2sp вместо 32-битной по умолчанию. CRC32; это было реализовано в WinRAR v5 +[12]
- rmlint использует BLAKE2b для обнаружения дубликатов файлов[13]
- WireGuard использует BLAKE2 для хеширования[14]
- Zcash, криптовалюта, использует BLAKE2b в Equihash доказательство работы, и как функция деривации ключа
- НАНО, криптовалюта, использует BLAKE2b в доказательстве работы, для хеширования цифровых подписей и в качестве функция деривации ключа[15] [16] [17]
Реализации
Помимо эталонной реализации,[4] следующие криптографические библиотеки предоставляют реализации BLAKE2:
BLAKE3
Общий | |
---|---|
Дизайнеров | Джек О'Коннор, Сэмюэл Невес, Жан-Филипп Омассон, Зуко Уилкокс-О'Хирн |
Впервые опубликовано | 9 января 2020 г. |
Происходит от | Бао, BLAKE2 |
Деталь | |
Размеры дайджеста | 256 бит, произвольно расширяемый |
Структура | Дерево Меркла |
Раундов | 7 |
Скорость | 0.49 cpb на Каскад Лейк-СП с AVX-512[18] |
BLAKE3 - это криптографическая хеш-функция на основе Bao и BLAKE2, созданная Джеком О'Коннором, Жан-Филиппом Аумассоном, Сэмюэлем Невесом и Зуко Уилкокс-О'Хирн. Об этом было объявлено 9 января 2020 г. Крипто в реальном мире.[19]
BLAKE3 - это единый алгоритм со многими желательными функциями (параллелизм, XOF, KDF, PRF и MAC), в отличие от BLAKE и BLAKE2, которые представляют собой семейства алгоритмов с несколькими вариантами. BLAKE3 - это Дерево Меркла, поэтому он поддерживает практически неограниченную степень параллелизма (как SIMD, так и многопоточность). Официальный Ржавчина и C реализации[20] находятся с двойной лицензией как общественное достояние (CC0 ) и Лицензия Apache.[21]
BLAKE3 разработан, чтобы быть максимально быстрым. Он постоянно в несколько раз быстрее, чем BLAKE2. Функция сжатия BLAKE3 во многом основана на функции сжатия BLAKE2, с самой большой разницей в том, что количество раундов сокращено с 10 до 7, изменение основано на предположении, что текущая криптография слишком консервативна.[22] Помимо обеспечения параллелизма, формат дерева Меркла также позволяет проверять потоковую передачу (проверка на лету) и инкрементные обновления.[20]
Рекомендации
- ^ «BLAKE2 - альтернатива MD5 / SHA-1».
- ^ О'Виелакронкс, Зуко (21 декабря 2012 г.). «Представляем BLAKE2 - альтернативу SHA-3, SHA-2 и MD5».
- ^ а б "БЛЕЙК2". blake2.net.
- ^ а б "Официальные реализации BLAKE2". Получено 7 июля 2019.
- ^ Оумассон, Жан-Филипп; Невес, Самуэль; Уилкокс-О’Хирн, Зуко; Виннерлейн, Кристиан (2013). «BLAKE2: проще, меньше, быстрее, как MD5» (PDF). Архив криптологии ePrint. МАКР.
- ^ "BLAKE2X" (PDF).
- ^ Сааринен, М-Дж; Оумассон, Джеймс (ноябрь 2015 г.). Криптографический хэш-код BLAKE2 и код аутентификации сообщения (MAC). IETF. Дои:10.17487 / RFC7693. RFC 7693. Получено 4 декабря 2015.
- ^ Внутреннее устройство среды обитания: криптография
- ^ "coreutils / src / blake2 /". github.com.
- ^ "librsync / src / blake2 /". github.com.
- ^ «Технический документ по безопасности WhatsApp» (PDF).
- ^ «Архиватор WinRAR, мощный инструмент для обработки файлов RAR и ZIP». rarsoft.com.
- ^ "rmlint - документация rmlint".
- ^ "WireGuard: туннель сети ядра нового поколения" (PDF).
- ^ "работай". docs.nano.org.
- ^ "подписи". docs.nano.org.
- ^ "ключевой вывод". docs.nano.org.
- ^ «BLAKE3 - одна функция, везде быстро» (PDF).
- ^ «В более ранней версии Bao был указан свой собственный режим дерева, который в конечном итоге превратился в BLAKE3».
- ^ а б "Официальные реализации BLAKE3". Получено 12 января 2020.
- ^ «Эта работа выпущена в общественное достояние с CC0 1.0. В качестве альтернативы она находится под лицензией Apache License 2.0».
- ^ Оумассон, Жан-Филипп. «Слишком много криптографии» (PDF).
внешняя ссылка
- Веб-сайт BLAKE
- Веб-сайт BLAKE2
- Веб-сайт BLAKE3
- VHDL имплантация BLAKE, разработанный группой Cryptographic Engineering Research Group (CERG) в Университет Джорджа Мейсона