2.4.2 Конструкция хф

ИСО/МЭК 10118-1 задается общая конструкция ХФ. |m|=L_m, |H(m)|=L_h.

1) дополнить структуру m до длины, кратной длине L₁(длина блока n) для того, чтобы после «резать» равными частями;

2) Разбить дополненную последовательность на блоки m=m₁||m₂||…||m_q;

3) определяем стартовой значение H₀=IV – строка длины L₂, H₁…H_q:|H_i|=L₂, H_i=φ(m_i; H_i-1);

4) H(m)=T(H_q), T:

Для определения ХФ, определенной стандартом, необходимы условия:

1. выбрать L₁, L₂, L_h;

2. метод дополнения L₁;

3. стартовый вектор IV;

4. определение φ-шаговая функция;

5. Финальные преобразования T;

6. Padding – методы дополнения

L₁ и L₂ выбираются равными, и часто это значение равно L_h.

IV выбирается либо нулевой, либо заранее оговоренное значение.

Методы дополнения описаны в 10118-1, самый простой «Метод нуля».

Дополнение нулями при отсутствии финального преобразования приводит к тому, что значение ХФ без дополнения равно ХФ с дополнением до кратности.

Для того, чтобы противостоять этой атаки необходимо подать на вход длину сообщения.

Финальное преобразование часто опускаются, что приводит к атаке добавления сообщения.

ISO/IEC 10118-2 посвящен использованию построения алгоритма шифрования φ.

k_i зависит от H_i-1, m_i добавляется для того, чтобы избежать атаки на ХФ.

Этот вариант применим, когда уже есть реализация схемы шифрования.

В ISO/IEC 10118-3 сформулировано изготовление φ, т.е. специально для этой цели. «Заказные» ХФ. Приведены ХФ для следующих стандартов: SHA – 1(160бит), SHA – 256, SHA – 512, SHA – 384, RIPEMD – 128, RIPEMD – 160.

В ISO/IEC 10118-4 предлагается использовать в значениях ХФ модулярную арифметику. Предлагает вычислять φ следующим образом

(1), где A=const.

- m_i расшифровывается в два раза – B_i;

- каждый полубайт m_i дополняется полубайтом, состоящим из единиц (1111)₂;

- N произведение 2-х больших;

- е рекомендуется выбирать е или 257

Единственное достойинство модулярной арифметики в том, что она может быть удобной.

Идея: - отказались и перешли к (1) из-за того, что для «идеи» нашли много атак.

(1) – окончательный вариант.

2.4.3 Хф гост р 34.10-94

L_k=256, L₁=L₂=256; .

Шаговая функция хэширования χ(М,Н):

- генерация ключей, которые зависят от М и Н;

- перемешивание.

Шифрование: (М, Н, К_i(i=1,…,4)). H=h₁||h₂||h₃||h₄, |h_i|=64

- шифруется в режиме простой замены, блочным шифром ГОСТ 28147.

S=s₁||s₂||s₃||s₄, || - конотенация.

Перемешивание: . , где , . 16 битовых регистров сдвига

, где 12 и 61 показывают сколько раз повторить каждую операцию.

Описание самой ХФ

М – сообщение;

M_r – остаток - оставшаяся необраотанная часть сообщения М;

М_р – префикс – остаток на очередном этапе;

М_s – суффикс – буфер, который обрабатывается на очередном этапе;

Н – текущее значение ХФ(накопитель результата);

- контрольная сумма;

L – длина сообщения.

|Н|=256, | |=256, |L|=256.

На каждом шаге алгоритм работает с M_r от предыдущего. В Н записывается некоторое стартовое значение, заранее неоговоренное.

1. M_r=M, H=IV, =0, L=0;

2. Пока M_r>256 => выполняются 3)-7);

3. М_r=M_p||M_s;

4. H=χ(M_s,H);

5. L=L+256(mod2²⁵⁶);

6. ;

7. M_r=M_p;

8. Иначе выполняются 9)-14);

9. Модификация длины L=L+|M_r|;

10. Дополняются нулевыми битами до 256 бит, M’=0…0||M_r, |M’|=256;

11. - изменение контрольной суммы;

12. H=χ(M’,H);

13. H=χ(L,H) – учет длины;

14. H=χ( ,H) – учет контрольной суммы.

Н(М)=Н