Хеш только для эллиптической кривой - Elliptic curve only hash

Хеш только эллиптической кривой (ECOH)
Общий
ДизайнеровДэниел Р. Л. Браун, Мэтт Кампанья, Рене Струик
Впервые опубликовано2008
Происходит отМУХАШ
Деталь
Размеры дайджеста224, 256, 384 или 512
Лучшая публика криптоанализ
Второй предварительный образ

Только хэш эллиптической кривой (ECOH) алгоритм был представлен как кандидат на SHA-3 в Конкурс хеш-функций NIST. Однако он был отклонен в начале конкурса, так как вторая атака на прообраз был найден.

ECOH основан на МУХАШ алгоритм хеширования, что еще не было успешно атаковали. Однако MuHASH слишком неэффективен для практического использования, и пришлось внести изменения. Основное отличие состоит в том, что там, где MuHASH применяет случайный оракул[требуется разъяснение ], ECOH применяет набивка функция. Предполагая случайные оракулы, находя столкновение в MuHASH подразумевает решение задача дискретного логарифмирования. Таким образом, MuHASH является доказуемо безопасный хеш, т.е. мы знаем, что нахождение столкновения не менее так же сложно как некую известную математическую задачу.

ECOH не использует случайные оракулы, и его безопасность не связана напрямую с проблемой дискретного логарифмирования, но все же основывается на математических функциях. ECOH связана с проблемой Семаева о нахождении решений низкой степени для полиномиальных уравнений суммирования над бинарным полем, называемых Полиномиальная задача суммирования. Эффективный алгоритм решения этой проблемы до сих пор не приведен. Хотя проблема не была доказана NP-жесткий, предполагается, что такого алгоритма не существует. При определенных предположениях обнаружение столкновения в ECOH можно также рассматривать как случай проблема суммы подмножества. Помимо решения задачи полинома суммирования, существует еще один способ найти вторые прообразы и, следовательно, коллизии, Обобщенная атака в день рождения Вагнера.

ECOH - хороший пример хеш-функции, основанной на математических функциях (с доказуемая безопасность подход), а не классическое специальное смешивание битов для получения хеша.

Алгоритм

Данный , ECOH разделяет сообщение в блоки . Если последний блок неполный, он дополняется одной единицей, а затем соответствующим числом 0. Пусть, кроме того, быть функцией, которая отображает блок сообщения и целое число в точку эллиптической кривой. Затем, используя отображение , каждый блок преобразуется в эллиптическая кривая точка , и эти точки добавлен вместе с еще двумя точками. Еще один балл содержит заполнение и зависит только от длины сообщения. Второй дополнительный момент зависит от длины сообщения и XOR всех блоков сообщений. Результат усеченный получить хеш .

Две дополнительные точки рассчитываются следующим образом: и . складывает вместе все точки эллиптической кривой и две дополнительные точки. Наконец, результат передается через функцию преобразования вывода f, чтобы получить результат хеширования. . Чтобы узнать больше об этом алгоритме, см. "ECOH: хэш только для эллиптической кривой".

Примеры

Было предложено четыре алгоритма ECOH: ECOH-224, ECOH-256, ECOH-384 и ECOH-512. Число представляет размер дайджеста сообщения. Они различаются длиной параметров, размером блока и используемой эллиптической кривой. Первые два используют эллиптическую кривую B-283: , с параметрами (128, 64, 64). ECOH-384 использует кривую B-409: , с параметрами (192, 64, 64). ECOH-512 использует кривую B-571: , с параметрами (256, 128, 128). Он может хэшировать сообщения длиной до .

Характеристики

  • Инкрементальность: ECOH сообщения можно быстро обновить, учитывая небольшое изменение в сообщении и промежуточное значение в вычислении ECOH.
  • Возможность распараллеливания: Это означает вычисление может выполняться в параллельных системах.
  • Скорость: Алгоритм ECOH примерно в тысячу раз медленнее, чем SHA-1. Однако, учитывая развитие настольного оборудования в направлении распараллеливание и безвозвратное умножение, Через несколько лет ECOH может быть таким же быстрым, как SHA-1 для длинных сообщений. Для коротких сообщений ECOH работает относительно медленно, если не используются обширные таблицы.

Безопасность ECOH

Хеш-функции ECOH основаны на конкретных математических функциях. Они были спроектированы таким образом, что проблема обнаружения столкновений должна быть сводимый к известной и сложной математической задаче ( проблема суммы подмножества ). Это означает, что если бы можно было найти коллизии, можно было бы решить лежащую в основе математическую проблему, которая считается трудной и неразрешимой в полиномиальное время. Функции с этими свойствами известны доказуемо безопасный и совершенно уникальны среди остальных хэш-функций. Тем не менее, второй прообраз (и, следовательно, коллизия) был позже обнаружен, потому что предположения, данные в доказательстве, были слишком сильными.

Суммирующий многочлен Семаева

Один из способов поиска коллизий или вторых предварительных изображений - решение Суммирующие многочлены Семаева.. Для данной эллиптической кривой E существуют многочлены которые симметричны по переменные и которые исчезают точно при вычислении на абсциссах точек, сумма которых равна 0 в . До сих пор не существует эффективного алгоритма для решения этой проблемы, и предполагается, что он сложен (но не доказал свою эффективность). NP-жесткий ).

Более формально: пусть конечное поле, быть эллиптической кривой с Уравнение Вейерштрасса имея коэффициенты в и быть точкой бесконечности. Известно, что существует многомерный многочлен тогда и только тогда, когда существует < такой, что . Этот многочлен имеет степень в каждой переменной. Проблема в том, чтобы найти этот многочлен.

Возможное обсуждение безопасности

Проблема поиска коллизий в ECOH аналогична проблеме проблема суммы подмножества. Решение проблемы суммы подмножества почти так же сложно, как дискретный логарифм проблема. Обычно считается, что это невозможно в полиномиальное время. Однако следует предположить, что эвристика весьма свободна, а именно, один из задействованных в вычислениях параметров не обязательно является случайным, но имеет определенную структуру. Если принять эту свободную эвристику, то обнаружение внутренней коллизии ECOH можно рассматривать как пример проблема суммы подмножества.

Вторая атака прообраза существует в форме обобщенной атаки дня рождения.

Вторая атака на прообраз

Описание атаки: Это обобщенный Вагнер День Рождения Атака. Требуется 2143 время для ECOH-224 и ECOH-256, 2206 время для ECOH-384 и 2287 время для ECOH-512. Атака устанавливает блок контрольной суммы на фиксированное значение и использует поиск коллизий в точках эллиптической кривой. Для этой атаки у нас есть сообщение M и попробуй найти M ' хеширует одно и то же сообщение. Сначала мы разбиваем длину сообщения на шесть блоков. Так . Позволять K быть натуральным числом. Мы выбрали K разные числа для и определить к . Мы вычисляем K соответствующие точки эллиптической кривой и сохраните их в списке. Затем мы выбираем K разные случайные значения для , определять , мы вычисляем и сохраните их во втором списке. Обратите внимание, что цель Q известен. зависит только от длины зафиксированного нами сообщения. зависит от длины и XOR всех блоков сообщений, но мы выбираем блоки сообщений так, чтобы они всегда были равны нулю. Таким образом, фиксируется для всех наших попыток.

Если K больше квадратного корня из числа точек на эллиптической кривой, то мы ожидаем, что одна столкновение между двумя списками. Это дает нам сообщение с:Это означает, что это сообщение приводит к целевому значению Q и, таким образом, ко второму прообразу, о котором и был вопрос. Объем работы, который мы должны сделать здесь, составляет два раза K частичные хеш-вычисления. Для получения дополнительной информации см. «Вторая атака предварительного изображения только на хэш эллиптической кривой (ECOH)».

Фактические параметры:

  • ECOH-224 и ECOH-256 используют эллиптическую кривую B-283 с приблизительно точки на кривой. Мы выбрали и получить атаку сложности .
  • ECOH-384 использует эллиптическую кривую B-409 с приблизительно точки на кривой. Выбор дает атаку со сложностью
  • ECOH-512 использует эллиптическую кривую B-571 с приблизительно точки на кривой. Выбор дает атаку со сложностью

ECOH2

Официальный Комментарии на ECOH было включено предложение под названием ECOH2, которое удваивает размер эллиптической кривой, чтобы остановить атаку второго прообраза Халкроу-Фергюсона с предсказанием улучшенной или аналогичной производительности.

Рекомендации