SWIFFT - SWIFFT

SWIFFT
Общий
ДизайнеровВадим Любашевский, Даниэле Миччансио, Крис Пайкерт, Алон Розен
Впервые опубликовано2008
Относится кАлгоритмы на основе БПФ

В криптография, SWIFFT это собрание доказуемо безопасный хэш-функции. Он основан на концепции быстрое преобразование Фурье (БПФ). SWIFFT - не первая хэш-функция, основанная на БПФ, но она выделяется, предоставляя математическое доказательство своей безопасности. Он также использует Алгоритм редукции базиса LLL. Можно показать, что поиск коллизий в SWIFFT не менее сложен, чем поиск коротких векторов в циклических /идеальные решетки в худший случай. Предоставляя снижение безопасности наихудшему сценарию сложной математической задачи, SWIFFT дает гораздо более надежную гарантию безопасности, чем большинство других криптографические хеш-функции.

В отличие от многих других доказуемо безопасных хэш-функций, алгоритм довольно быстр, обеспечивая пропускную способность 40 Мбит / с на процессоре Intel Pentium 4 с тактовой частотой 3,2 ГГц. Хотя SWIFFT удовлетворяет многим желательным криптографическим и статистическим свойствам, он не был разработан как универсальный «криптографическая хеш-функция. Например, это не псевдослучайная функция, и не может быть подходящим экземпляром случайный оракул. Алгоритм менее эффективен, чем большинство традиционных хеш-функций, которые не доказывают свою стойкость к коллизиям. Следовательно, его практическое использование будет в основном в приложениях, где доказательство устойчивости к столкновениям особенно ценно, таких как цифровые подписи, которые должны оставаться надежными в течение длительного времени.

Модификация SWIFFT называется SWIFFTX был предложен в качестве кандидата на функцию SHA-3 в Конкурс хеш-функций NIST[1] и был отклонен в первом туре.[2]

Алгоритм

Алгоритм следующий:[3]

  1. Пусть многочлен переменная называться
  2. Вход: сообщение длины
  3. Конвертировать к коллекции многочлены в определенном кольцо многочленов с двоичными коэффициентами.
  4. Вычислите коэффициенты Фурье каждого с помощью SWIFFT.
  5. Определите коэффициенты Фурье , поэтому они являются фиксированными и зависят от семейства SWIFFT.
  6. Поточечное умножение коэффициентов Фурье с коэффициентами Фурье для каждого .
  7. Используйте обратное БПФ, чтобы получить многочлены степени .
  8. Вычислить по модулю и .
  9. Конвертировать к биты и выход Это.
  • В БПФ операцию на шаге 4 легко инвертировать, и она выполняется для достижения распространение, то есть смешивать входные биты.
  • В линейная комбинация на шаге 6 достигается путаница, поскольку он сжимает ввод.
  • Это просто высокоуровневое описание того, что делает алгоритм, некоторые более продвинутые оптимизации используются для того, чтобы наконец получить высокопроизводительный алгоритм.

Пример

Подбираем конкретные значения параметров п, м, и п следующее: п = 64, м= 16, п= 257. Для этих параметров любая фиксированная функция сжатия в семействе принимает двоичный ввод длины мин = 1024 бита (128 байт) для вывода в диапазоне , который имеет размер . Выход в может быть легко представлен с использованием 528 бит (66 байтов).

Алгебраическое описание

Функции SWIFFT можно описать как простое алгебраическое выражение над некоторыми кольцо многочленов . Семейство этих функций зависит от трех основных параметров: пусть быть степенью двойки, пусть - небольшое целое число, и пусть быть модулем (не обязательно основной, но удобно выбирать простое). Определять быть кольцом , т.е. кольцо многочленов от с целыми коэффициентами по модулю и . Элемент можно записать в виде полинома степени имея коэффициенты в . Определенная функция в семействе SWIFFT определяется фиксированные элементы кольца , которые называются множителями. Функция соответствует следующему уравнению над кольцом р:

В являются полиномами с двоичными коэффициентами и соответствуют двоичному входу длины .

Вычисление полиномиального произведения

Чтобы вычислить приведенное выше выражение, основная проблема состоит в вычислении полиномиальных произведений . Быстрый способ вычисления этих продуктов дается теорема свертки. Это говорит о том, что при определенных ограничениях выполняется следующее:

Здесь обозначает преобразование Фурье и обозначает поточечное произведение. В общем случае теоремы о свертке не означает умножение, но свертка. Однако можно показать, что умножение полиномов - это свертка.

Быстрое преобразование Фурье

Для нахождения преобразования Фурье воспользуемся БПФ (быстрое преобразование Фурье ) который находит преобразование в время. Алгоритм умножения теперь выглядит следующим образом: мы используем БПФ, чтобы вычислить (все сразу) Коэффициенты Фурье каждого полинома. Затем мы точечно умножаем соответствующие коэффициенты Фурье двух многочленов, и, наконец, мы используем обратное БПФ, чтобы вернуть многочлен степени .

Теоретико-числовое преобразование

Вместо обычного преобразования Фурье SWIFFT использует теоретико-числовое преобразование. Теоретико-числовое преобразование использует корни из единицы в вместо сложных корней единства. Чтобы это сработало, нам нужно убедиться, что это конечное поле, и этот примитив 2пth корни единства существуют в этой области. Это можно сделать, взяв премьер такой, что разделяет .

Выбор параметра

Параметры м,п,п подпадают под следующие ограничения:

  • п должно быть степенью 2
  • п должен быть главным
  • п-1 должно быть кратно 2п
  • должен быть меньше чем м (иначе вывод не будет меньше ввода)

Возможный выбор п=64, м=16, п= 257. Получаем пропускную способность около 40Мбит / с, безопасность около операции для поиска коллизий и размер дайджеста 512 бит.

Статистические свойства

  • (Универсальное хеширование). Семейство функций SWIFFT: универсальный. Это означает, что для любого фиксированного отличного , вероятность (по случайному выбору из семьи), что - величина, обратная размеру диапазона.
  • (Регулярность). Семейство функций сжатия SWIFFT является обычным. Функция называется регулярным, если для входа выбирается равномерно случайным образом из области, на выходе распределяется равномерно по диапазону.
  • (Экстрактор случайности). SWIFFT - это экстрактор случайности. Для хеш-таблиц и связанных приложений обычно желательно, чтобы выходные данные хеш-функции были распределены равномерно (или как можно ближе к равномерному), даже если входные данные не являются однородными. Хеш-функции, дающие такие гарантии, известны как экстракторы случайности, потому что они дистиллировать неоднородная случайность входа вплоть до (почти) равномерно распределенного выхода. Формально извлечение случайности на самом деле является свойством семейства функций, из которого одна функция выбирается случайным образом (и не обращает внимания на входные данные).

Криптографические свойства и безопасность

  • SWIFFT не псевдослучайный, из-за линейности. Для любой функции из нашей семьи и любых двух входов , такой, что также допустимый ввод, у нас есть это . Это соотношение очень маловероятно для случайной функции, поэтому злоумышленник может легко отличить наши функции от случайной функции.
  • Авторы не утверждают, что функции SWIFFT ведут себя как случайный оракул. Говорят, что функция ведет себя как случайный оракул, если действует как действительно случайная функция. Это отличается от псевдослучайности тем, что функция является фиксированной и общедоступной.
  • Семейство SWIFFT - это доказуемо устойчивость к столкновениям (в асимптотическом смысле) при относительно мягком предположении о худший случай трудность нахождения коротких векторов в циклических / идеальных решетках. Это означает, что семейство также устойчиво ко второму прообразу.

Теоретическая безопасность

SWIFFT - это пример доказуемо безопасная криптографическая хеш-функция. Как и в случае с большинством доказательств безопасности, доказательство безопасности SWIFFT опирается на снижение к некой сложной математической задаче. Обратите внимание, что это означает, что безопасность SWIFFT сильно зависит от сложности этой математической задачи.

Сведение в случае SWIFFT сводится к проблеме поиска коротких векторов в циклических /идеальные решетки. Можно доказать, что выполняется следующее: Предположим, у нас есть алгоритм, который для случайной версии SWIFFT задан можно найти столкновения в в течение некоторого времени , и с вероятностью . Допускается, что алгоритм работает только в небольшой, но заметной части семейства SWIFFT. Тогда мы можем найти также алгоритм которые могут всегда найти короткий вектор в любой идеальная решетка над кольцом в какое-то возможное время , в зависимости от и Это означает, что обнаружение коллизий в SWIFFT не менее сложно, чем наихудший сценарий нахождения коротких векторов в решетке над . На данный момент все самые быстрые алгоритмы поиска коротких векторов экспоненциальны в . Обратите внимание, что это гарантирует отсутствие значительного набора «слабых экземпляров», где безопасность SWIFFT является слабой. Эта гарантия не предоставляется большинством других хэш-функций с доказанной безопасностью.

Практическая безопасность

Известные рабочие атаки - это генерализованная атака на день рождения, что занимает 2106 операции и инверсионные атаки что занимает 2448 операции для стандартного выбора параметра. Обычно считается, что этого достаточно, чтобы сделать атаку противника невозможной.

Рекомендации

  1. ^ Даниэле Миччансио; Юрий Арбитман; Гил Догон; Вадим Любашевский; Крис Пайкерт; Алон Розен (30.10.2008). «SWIFFTX: Предложение по стандарту SHA-3» (PDF). Получено 2017-03-03.
  2. ^ «Кандидаты во второй тур». Национальный институт стандартов и технологий. 2009-07-16. Архивировано 4 июня 2017 года.. Получено 2017-03-03.CS1 maint: BOT: статус исходного URL-адреса неизвестен (связь)
  3. ^ Вадим Любашевский; Даниэле Миччансио; Крис Пайкерт; Алон Розен (21 февраля 2008 г.). «SWIFFT: скромное предложение по хешированию FFT» (PDF). Получено 2017-03-03.