שיטת מרקל-דמגרד

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

בקריפטוגרפיה, בניית מרקל-דמגרד (Merkle-Damgård Construction) היא שיטה לבניית פונקציית גיבוב קריפטוגרפית חסינת-התנגשויות באמצעות פונקציית תמצות חד-כיוונית, שהוצעה לראשונה על ידי רלף מרקל ואיוון דמגרד ב-1979 והוכחה על ידם כבטוחה. דהיינו אם משתמשים בסכמת ריפוד מתאימה ופונקציית הכיווץ הפנימית היא חד-כיוונית וחסינת התנגשויות אזי הבנייה כולה איתנה. בנייה זו נוצלה במספר אלגוריתמים פופולריים כמו MD5, SHA-1 ו-SHA-2.

עקרונות השיטה[עריכת קוד מקור | עריכה]

בשל העובדה שפונקציית התמצות הפנימית f חייבת לקבל בלוק מידע באורך קבוע ומוגדר מראש (512 או 1024 סיביות), בעוד שהמסר המיועד לגיבוב בדרך כלל גדול משמעותית מאורך הבלוק. הפתרון הישיר הוא לחלק את המסר לבלוקים בגודל קבוע אותם לעבד עם הפונקציה הפנימית באופן איטרטיבי. מתחילים עם וקטור אתחול קבוע ידוע מראש, שנקרא גם IV (קיצור של Initialization Vector) ואז בכל סבב פונקציית התמצות הפנימית מקבלת כקלט את הבלוק הבא ואת תמצית הבלוק הקודם ומפיקה תמצית חדשה, כך פלט סבב אחד הופך קלט לסבב הבא וכן הלאה עד לעיבוד כל הבלוקים. אם המסר אינו מתחלק יפה בגודל הבלוק, מרפדים את הבלוק האחרון בשיטת הריפוד של תמצית המסרים (בקיצור MD) של רונלד ריבסט. ההנחה המונחת בבסיס הרעיון היא שאם הפונקציה הפנימית טובה, הפעלתה באופן זה אינו מחליש את ביטחון האלגוריתם בכללותו. הנחה זו אינה אוטומטית ולא תמיד נכונה, כיוון שייתכן שהמתקיף יוכל לנצל פרצות במבנה כדי לשבור את האלגוריתם, מה שלא היה אפשרי כנגד הפונקציה הפנימית באופן נפרד. הרעיון של מרקל ודמגרד אותו הם הוכיחו שאפשר לחזק את המבנה המתואר על ידי הוספת בלוק המייצג את גודל המסר, אותו מעבדים בסוף. באופן זה לא ניתן יהיה לתקוף את האלגוריתם על ידי הוספת בלוקים (מה שקרוי התקפת הרחבה המובאת להלן). ההוכחה שלהם אומרת באופן תמציתי שאם הפונקציה הפנימית עמידה מפני התנגשויות, מבנה מרקל-דמגרד בכללותו גם הוא עמיד מפני התנגשויות.

תרשים מבנה מרקל דמגרד

תיאור המבנה[עריכת קוד מקור | עריכה]

נתונה פונקציה f שממפה קלט באורך r+n סיביות לפלט באורך n סיביות. ממנה אפשר לבנות פונקציית גיבוב כדלהלן:

  1. מחלקים את הקלט M באורך b סיביות ל-t בלוקים M_1,M_2,...,M_t בני r סיביות כל אחד.
  2. אם הבלוק האחרון קטן מ-r סיביות, מוסיפים '1' ומרפדים באפסים עד שמתקבל בלוק בגודל r סיביות.
  3. מוסיפים בלוק M_{t+1} שבו מקודדים את אורך המסר בסיביות ומרפדים באפסים.
  4. מגדירים וקטור אתחול קבוע שערכו תלוי ביישום ספציפי. מציבים H_0=IV.
  5. עבור כל i כאשר 1\le i\le t+1 מחשבים H_i=f(H_{i-1} \ \| \ M_i) כאשר ל-H_i קוראים ערך-ביניים (chaining value).
  6. הפלט הוא h(M)=H_{t+1}.

הסימון \| מייצג שרשור מחרוזות. כדי לחזק את המבנה עוד יותר התוצאה האחרונה היא פלט פונקציה מסיימת (finalisation). הפונקציה האחרונה יכולה לשמש גם לכיווץ נוסף של התוצאה הפנימית לפלט באורך הרצוי כמו גם לחיזוק המבנה ופיזור הסיביות, מה שנקרא אפקט כדור השלג.

ביטחון הבנייה[עריכת קוד מקור | עריכה]

פונקציות גיבוב קריפטוגרפיות מורכבות בדרך כלל מפונקציית דחיסה פנימית איטרטיבית, כשהמטרה היא השגת שלושה מאפיינים עיקריים מהקל אל הכבד: קושי בהיפוך (מקור ראשון), עמידות מפני מציאת מקור שני ועמידות מפני התנגשויות. האיטרציה אפשרית בכמה דרכים כשמבנה מרקל-דמגרד המתואר היה במשך שנים הפופולרי ביותר והוא הבסיס של סדרת פונקציות התמצות MD וכן של SHA. הוכח שהוא משמר את המאפיין האחרון - עמידות בפני התנגשויות והדיעה הרווחת הייתה בעבר שהוא משמר גם את שני המאפיינים האחרים אם כי זה לא הוכח.

בעקבות קריפטואנליזה חדשה הסתבר שההנחה הייתה שגויה. הממצא הראשון היה של ריצ'רד דין שגילה ב-1999 התקפה נגד מבנה מרקל-דמגרד שנקראת התקפת נקודות שבת (להלן), המתמקדת בנקודות השבת של הפונקציה הפנימית ומאפשרת בתנאים מסוימים גילוי מקור שני בסיבוכיות של O(m\cdot 2^{m/2}) זמן ומקום כאשר m הוא אורך התמצית של פונקציית הגיבוב. מאוחר יותר חוקרים שיפרו את ההתקפה בעזרת טכניקה של Joux מ-2004 שנקראת התקפת רב-התנגשויות (multi-collisions attack) המתאורת להלן והראו שעם חישוב מוקדם אפשר להפוך את הפונקציה בסיבוכיות של O(2^{m/2}) עם מסרים יחסית קצרים.

להלן תקציר קריפטואנליזה של מבנה מרקל-דמגרד.

התקפת נקודת שבת[עריכת קוד מקור | עריכה]

מבנה מרקל דמגרד מחוזק בדרך כלל על ידי ריפוד המסר והוספת קידוד האורך שלו בסופו. ללא תוספת זו המתקיף יכול לפעול כדלהלן: בהינתן פונקציית גיבוב של מסר ארוך M=M_1,M_2,M_3,...,M_l והתמצית של המסר H(M) שהיא בעצם ערך הביניים או המצב הפנימי האחרון של הפונקציה. המתקיף מעוניין למצוא מסר אחר M^* כך שיתקיים H(M)=H(M^*). תחילה הוא בוחר אקראית בלוקים שונים M' כלשהם עד שנמצא בלוק כזה שהתמצית שלו זהה לאחד מ-l ערכי הביניים של המסר M. אם נמצא בלוק M_i כזה הוא יכול לחבר ל-M' רק את הבלוקים של M מהנקודה i שבה נמצאה ההתנגשות, כך יתקבל מסר חדש M^* שהתמצית שלו זהה למסר המקורי אך באורך שונה. התקפה זו מסוכלת על ידי תוספת אורך המסר.

אפשר לעקוף את שיטת הריפוד של מרקל דמגרד בהתקפה מתוחכמת שנקראת התקפת נקודות-שבת (fixed-points attack)[1]. אחד הממצאים מהמחקר הוא המאפיין הבא: אפשר להוכיח שאם יהיה קל להפוך את מבנה מרקל דמגרד יהיה אפשר למצוא מקור לפונקציה הפנימית עם התקפת יום הולדת. אך ההיפך אינו נכון, כלומר גם אם ניתן להוכיח שהפיכת מבנה מרקל דמגרד היא בסיבוכיות 2^m פעולות, עדיין פונקציית הגיבוב הפנימית אינה יכולה להציע ביטחון טוב יותר מ-2^{m/2}.

ריצ'רד דין הראה שאם פונקציית הדחיסה הפנימית של פונקציית הגיבוב היא כזו שקל למצוא בה נקודות שבת, דהיינו קל למצוא מסר ותמצית (h,M) כך שמתקיים H(h,M)=h אזי קל יותר לשבור את מבנה מרקל דמגרד. קיומן של נקודות שבת היה ידוע למומחים רבים אך לא נחשב בעבר כאיום ממשי כשלעצמו.

דוגמה לפונקציית גיבוב שקל למצוא בה נקודות שבת היא מבנה דוויס-מאייר שהוא מבנה גנרי של פונקציית גיבוב המבוסס על צופן בלוקים. בהינתן צופן בלוקים E המקבל מסר M באורך m סיביות ומפתח באורך n סיביות, פונקציית הגיבוב מבצעת: h_i=H(h_{i-1}, M_i)=E_{M_i}(h_{i-1})\oplus h_{i-1}.

במקרה כזה נקודת השבת עבור כל M היא h=E_M^{-1}(0) כי מתקיים:

E_M(E_M^{-1}(0))\oplus E_M^{-1}(0)=0\oplus E_M^{-1}(0)=H

כלומר עבור כל בלוק מסר קיים בלוק מיוחד המקיים f(H,M)=H וקל לחשב אותו. פונקציות התמצות SHA-1 ו-SHA-2 פועלות על עיקרון דומה למבנה דוויס-מאייר עם חיבור שלמים במקום XOR.

התקפת נקודות שבת של ג'ון קלסי וברוס שנייר[2] לשבירת מבנה מרקל-דמגרד פועלת בשלושה צעדים בסיסיים:

  1. מוצאים 2^{m/2} נקודות שבת כאלו מסמנים אותם על ידי A=(h,M).
  2. בוחרים 2^{m/2} בלוקים כלשהם ומחשבים את ערך הביניים שלהם. אותם מסמנים על ידי B=(H(IV,\tilde m),\tilde m).
  3. מחפשים התנגשויות בין ערכי הביניים ונקודות השבת. כלומר כניסות זהות ב-A ו-B.

אם נמצא ערך ביניים h ונקודת שבת זהים, נניח שהבלוק המתאים ב-A נקרא m כלומר (h,m)\in A וכן הבלוק המתאים ל-h ב-B הוא \tilde m כלומר (h,\tilde m)\in B. המתקיף חוזר על התקפה זו כשהוא מתחיל משרשור של שני הבלוקים \tilde m\| m כלומר מנסה להוסיף בלוקים שגורמים לערך ביניים להיות זהה למסר המקורי, בונה שוב רשימות כמו בסעיפים 1 ו-2 ומחפש התאמות ביניהן. אם נמצא מסר כזה שערכי הביניים מתאימים לנקודות השבת אזי למתקיף קל להרחיב את המסר לאורכו המקורי על ידי הוספת נקודות שבת לפי הצורך עד שמגיע לאורך הרצוי. ובכך לקבל תוצאת גיבוב זהה ואם אורך המסר זהה קידוד הארוך בסופו מניב תוצאה זהה ובכך למעשה המתקיף הערים על שיטת הריפוד.

כמובן שההתקפה מניחה שקל למצוא נקודת שבת, אולם שנייר וקלסי הראו שאפשר לבצע את ההתקפה גם אם קשה למצוא נקודות שבת על ידי שימוש בטכניקה של Joux שנקראת רב-התנגשויות. הם צמצמו את סיבוכיות ההתקפה האמורה ל-3\cdot 2^{m/2} עם מקום בסדר גודל של 2^{m/2}. ג'ון פיליפ אמסון שיפר את ההתקפה הזו אף יותר[3] עד לסיבוכיות של 2^{m/2} וללא צריכת זיכרון משמעותית.

רב-התנגשויות[עריכת קוד מקור | עריכה]

Joux גילה את העובדה שבפונקציות איטרטיביות מציאת התנגשויות מרובות, כלומר רשימה של מסרים המייצרים תמצית גיבוב זהה קלה כמעט כמו מציאת התנגשות אחת. ההתקפה שלו נקראת התקפת רב-התנגשויות[4]. הרעיון הוא שאמנם במבנה מרקל-דמגרד קשה למצוא התנגשות עבור כל בלוק בנפרד, אבל בהנחה שמוצאים t התנגשויות (כל אחת מתחילה מערך הביניים של ההתנגשות הקודמת) אפשר לבנות 2^t מסרים עם ערך גיבוב זהה על ידי צירופים של בלוקים מתנגשים. לפני התגלית של Joux מומחים היו סבורים שמציאת k התנגשויות בפונקציית גיבוב איטרטיבית עם התקפת יום הולדת היא בסיבוכיות אופטימלית של k!^{1/k}\cdot 2^{m(k-1)/k}, אולם Joux הוכיח שמציאת התנגשויות מרובות אפשרית ב-\lceil\log_2 k\rceil\cdot 2^{n/2} פעולות. המסקנה מההתקפה שלו היא שאם מחברים שתי פונקציות גיבוב אחת אחרי השנייה לא מקבלים ביטחון כפול נגד התנגשויות כפי שעשויים לחשוב. החיבור בטוח רק כמו הפונקציה החזקה מבין השתים.

באופן כללי התקפת רב-התנגשויות פועלת כדלהלן. כדי לחשב 2^k התנגשויות מתוך k התנגשויות בודדות, תחילה מחשבים את הזוג (M_1,M_1') כך שמתקיים f(H_0,M_1)=f(H_0,M_1')=H_1, כאשר H_0 הוא וקטור האתחול. לאחר מכן מוצאים זוג נוסף (M_2, M_2') עם התכונה הבאה: f(H_1,M_2)=f(H_1,M_2')=H_2. כך ממשיכים כאשר כל תוצאה מהווה וקטור אתחול לחישוב הבא, עד שמגיעים ל-(M_k,M_k') כאשר H_{k-1} הוא וקטור האתחול. משנמצאו k ערכים כאלו ניתן לבנות מהם 2^k מסרים שונים שלהם תמצית זהה. אם נקרא למסר אחד X\in(M,M') אזי לכל אחד מ-2^k המסרים X_1,...,X_k שניתן לבנות יש ערכי ביניים H_1,...,H_k מרשימת ההתנגשויות ומהם אפשר ליצור 2^k מסרים כאלו על ידי צירופים שונים והוספת בלוקים לפי הצורך. העלות של המהלך האמור היא k\cdot 2^{m/2} כפול הזמן הדרוש לביצוע פעות גיבוב אחת ועם צריכת זיכרון נמוכה. לדוגמה אם k=2 תחילה מוצאים התנגשות ראשונה f(H_0,M_1)=f(H_0,M_1')=H_1 ואז התנגשות שנייה f(H_1,M_2)=f(H_1,M_2')=H_2 ואז אפשר להכין k^2=4 התנגשויות: (M_1M_2), (M_1M_2'),(M_1',M_2) ו-(M_1'M_2'), כולם מכילים תמצית זהה.

התקפת כינוס[עריכת קוד מקור | עריכה]

ג'ון קלסי וטדיושי קונו פיתחו התקפה נגד מבנה מרקל דמגרד הנקראת "התקפת כינוס" (Herding attack)[5]. בהתקפה זו בהנחה שהמתקיף מסוגל למצוא התנגשויות מרובות בכוח גס הוא יכול תחילה להציג ערך גיבוב של מסר כלשהו ולאחר מכן "לכנס" כל התחלה של מסר נתון אחר כך שיתקבל ערך הגיבוב שהתחייב לו על ידי בחירת סיומת מתאימה. כלומר המתקיף מראה שהוא מצליח לייצר מסר עם תוספת כלשהי שהגיבוב שלו מתאים לערך הגיבוב הראשוני ובכך הוא הפר למעשה את ההנחה היסודית שלא ניתן למצוא מקור. הרעיון שלהם מסתמך על בחירת ערך גיבוב בצורה כזו שתקל על המתקיף במציאת מקור וההתקפה היא שיפור של הרעיון של Joux על ידי איזון בין זמן וזיכרון. בשלב הראשון המתקיף בוחר 2^t ערכי ביניים אפשריים h_i וכן בוחר 2^{m/2-t/2} בלוקים בודדים של מסרים כלשהם כאשר m הוא אורך הבלוק בסיביות. הוא מחשב את הפלטים של כל אחד מהבלוקים עם כל אחד מערכי הביניים, מתוך הרשימה הגדולה שקיבל הוא צפוי למצוא מספר התנגשויות. הוא שומר את כל הבלוקים שגרמו להתנגשות וחוזר על התהליך מספר פעמים עם ערכי הביניים שנמצאו. לאחר שהוא נשאר עם ערך ביניים אחד הוא משתמש איתו כדי לחשב את ערך הגיבוב שהוא מתחייב אליו. בשלב המקוון המתקיף צריך לבצע 2^{m-t} פעולות גיבוב עד שהוא מוצא מסר שערך הביניים שלו תואם אחד כזה שנמצא ברשימה של 2^t ערכים שהכין קודם. אם הוא נמצא ברשימה הוא יכול לקחת את הבלוק המתאים לו שאמור להוביל לערך הגיבוב שהתחייב. סיבוכיות ההתקפה כולה היא 2^{m/2+t/2} פעולות הכנה באוף ליין וכן 2^{m-t} פעולות און ליין והיא עשויה להיות פרקטית.

שיפורים[עריכת קוד מקור | עריכה]

ההתפתחויות האחרונות במציאת התנגשויות בפונקציות ממשפחת SHA הניעו חוקרים לחפש גישות שונות לפתרון הבעיה. נראה שקיימת חולשה מובנית בסגנון האיטרטיבי של הפונקציה. קיימות כמה אסטרטגיות לשיפור מבנה מרקל דמגרד ביניהן:

  • צמצום דרישות הביטחון מהפונקציה הפנימית או הפחתת התלות בהגדרות ביטחון מחמירות.
  • שימוש במצב פנימי מורחב (wide pipe).
  • שיפור מבנה מרקל דמגרד באופן שישמר טוב יותר את תכונות הפונקציה הפנימית.

השיטה הראשונה אפשרית בין היתר על ידי הפיכת פונקציית הגיבוב לפונקציית גיבוב אקראית[6] בכך פוחתת התלות בביטחון הפונקציה הפנימית בעיקר בעמידות מפני התנגשויות. הרעיון הוא להפוך את הקלט לראנדומלי לפני העיבוד בפונקציית הגיבוב על ידי ערבוב עם ערך אקראי כלשהו שאינו סודי אך חייב להיות שונה עבור כל מסר, כך שהתנגשויות, אם יהיו, יוסתרו היטב על ידי הערך האקראי ויאלצו את המתקיף לעבוד קשה יותר למציאת התנגשויות, כי כעת הוא צריך להביא בחשבון את המיסוך בערך האקראי הנוסף. השיטה הזו שימושית במיוחד לחיזוק אלגוריתם חתימה דיגיטלית שמסתמך בין היתר על העמידות מפני התנגשויות של פונקציית הגיבוב הנלווית.

הרחבת הזיכרון או המצב הפנימי (internal state) של פונקציית הדחיסה מתגבר על החיסרון של המבנה האיטרטיבי של מרקל-דמגרד. במקרה זה מציאת התנגשויות פנימיות בערכי הביניים תהיה קשה כמו הפיכת הפונקציה כולה בהנחה שפונקציית הדחיסה טובה. שיטה זו שולבה באלגוריתם LAKE המהווה בסיס לפונקציית הגיבוב BLAKE.

להלן תקציר מספר שיטות מתקדמות של מבנה מרקל דמגרד שנועדו להתמודד עם הקריפטואנליזה המתוארת.

eMD[עריכת קוד מקור | עריכה]

שיטת eMD שהיא קיצור של enveloped Merkle-Damgard[7] הוצעה ב-2006 על ידי מיהיר בלייר ואחרים. והיא נועדה לחיזוק מבנה מרקל דמגרד על ידי שימור הפסאודו-אקראיות של הפונקציה הפנימית. eMD מורכב משני מנגנונים שמטרתם לשמר את תכונות הפונקציה הפנימית. הראשון ריפוד המסר הכולל שילוב קידוד אורך המסר בסופו המבטיח עמידות מפני התנגשויות והשני עטיפת הפונקציה הפנימית בפונקציה פנימית נוספת. המבנה פועל כדלהלן:

הפונקציה הפנימית היא מהצורה:

c:\{0,1\}^{d+n}\rightarrow\{0,1\}^n פונקציה כאשר d\ge n+64.

פונקציית המעטפת היא מהצורה:

c^{\circ}:\{0,1\}^{2n}\times D^{\circ}\rightarrow\{0,1\}^n כאשר D^{\circ}=\cup_{i\ge1}\{0,1\}^{(i+1)d-n}.

היא פועלת על c כדלהלן:

c^{\circ}(I_1, I_2, M):
M_1,...,M_k \ \  \overset{\underset{\mathrm{def}}{}}{\leftarrow}\ \ \ M
P\leftarrow M_1,...,M_{k-1}
\text{Return }c(c^+(I_1,P)\ \| \ M_k \ \| \ I_2)

כאשר c^+ היא מבנה מרקל דמגרד הרגיל. בנוסף צריכה להיות פונקציית ריפוד מתאימה:

\text{padEMD}:\{0,1\}^{\le 2^{64}}\rightarrow D^{\circ}.

הפונקציה מקודדת את אורכו של M המסומן |M| בתוך 64 הסיביות האחרונות של המסר המרופד \text{padEMD}(M). וכן דרושים שני וקטורי אתחול I_1 ו-I_2 שונים וקבועים. כעת מבנה eMD הוא:

\mathbf{eMD}[c]=c^{\circ}(I_1,I_2,\text{padEMD(M))}.

ROX[עריכת קוד מקור | עריכה]

ב-2004 פרסמו פיליפ רוגווי ותומס שרימפטון מאמר חשוב[8] לגבי הגדרות ותכונות של פונקציות גיבוב קריפטוגרפיות וציינו שבע תכונות יסודיות שפונקציית גיבוב כזו צריכה לעמוד בהן שהן וריאציות של עמידות מפני התנגשויות, מציאת מקור ראשון ומציאת מקור שני. על בסיס רעיונות אילו פותח המבנה ROX[9] קיצור של Random Oracle XOR שמציע ביטחון טוב יותר ממבנה מרקל דמגרד. הרעיון הוא אם נתונה פונקציית דחיסה מהצורה F:\{0,1\}^k\times \{0,1\}^{b+n}\rightarrow \{0,1\}^n. כאשר 2^l הוא מקסימום אורך המסר בסיביות (למשל l=64 מקובל). k קטן כגון k=80 ו-n יכול להיות 160. ונתונים שני אורקלים אקראיים RO_1:\{0,1\}^k\times \{0,1\}^x\times \{0,1\}^{\lceil \log l\rceil}\rightarrow\{0,1\}^n וכן RO_2:\{0,1\}^k\times \{0,1\}^l\times \{0,1\}^{\lceil \log b\rceil}\rightarrow\{0,1\}^{2n}. אותם אפשר לבנות מצופן בלוקים עם קלט שונה בסיבית אחת. פונקציית הריפוד מקבלת את המסר M ומפיקה בלוקים של מסר מרופד כך:

m_1\| ...\| m_l=M \| RO_2(m',\gamma, 1)\| RO_2(m',\gamma,2)\| ...,

הריפוד מוסיף למסר סיביות המיוצרות על ידי האורקל האקראי RO_2 כך שהבלוק האחרון יכיל לפחות 2n סיביות. ייתכן שייתווסף בלוק ריק בסוף המסר המכיל רק ריפוד. נתונה פונקציה \nu(i) שמחזירה את השלם הגדול ביותר j כך שמתקיים 2^j מחלק את i. וכן הסימן m' מייצג את k הסיביות הראשונות של m. מבנה ROX מומחש בפסאודו קוד הבא:

\mathbf{ROX}_F^{RO_1,RO_2}(K,M)
m_1\| ...\| m_l\leftarrow \text{roxpad}^{RO_2}(M)
h_0=IV.
\text{For }i=0\text{ to }\lfloor\log_2(l)\rfloor\text{ do: }
\mu\leftarrow RO_1(K,\mathfrak{m},i)
\text{For }i=1\text{ to }l \text{ do: }
g_i\leftarrow h_{i-1}\oplus \mu_{\nu(i)},
h_i\leftarrow F(K,m_i \| g_i)
\text{Return }h_l

מבנה ROX נחשב לבטוח ומשמר את כל התכונות הטובות שצויינו, במסגרת מודל אורקל אקראי.

HAIFA[עריכת קוד מקור | עריכה]

HAsh Iterative FrAmework בקיצור HAIFA[10] הוצע ב-2009 על ידי אלי ביהם ואור דונקלמן כשיפור של מבנה מרקל-דמגרד. HAIFA משמר את התכונות הטובות של מבנה מרקל דמגרד תוך הוספה בביטחון וסקלביליות. הוא פשוט וגמיש, משמר את העמידות מפני התנגשויות של פונקציית הדחיסה, משפר את העמידות שלה נגד התקפת מקור שני ומקשה על התקפת נקדות שבת והתקפות מתקדמות אחרות. אפשר לראות ב-HAIFA כמודל פשוט המשלב יחד כמה מהרעיונות שהוצעו כמו eMD, ROX ו-RMC וניצול התכונות הטובות שלהם.

הרעיון הכללי של HAIFA הוא תוספת מונה וגיוון (salt) לתוך פונקציית הדחיסה. המונה מייצג את מספר הסיביות המצטבר שנקלטו עד כה בכל סבב של האיטרציה. וה-\text{salt} הוא ערך אקראי כלשהו לא סודי. בשיטה זו פונקציית הדחיסה תראה כך:

H:\{0,1\}^m\times \{0,1\}^n\times \{0,1\}^b\times \{0,1\}^s \rightarrow \{0,1\}^m.

ערך הביניים מחושב על ידי:

h_i=H(h_{i-1},M_i,\text{nbits}, \text{salt}).

כאשר \text{nbits} מייצג את מספר הסיביות שנקלטו עד עכשיו. כדי לגבב את המסר M והגיוון s יש לבצע את המהלכים הבאים:

  1. תחילה מרפדים את M לפי שיטת הריפוד להלן.
  2. מחשבים את וקטור האתחול IV באורך m סיביות בשיטה המתוארת להלן.
  3. באופן איטרטיבי מעבדים את המסר המרופד בפונקציה H עם הערך ההתחלתי IV והגיוון s. במקרה שהבלוק האחרון שנוסף למסר בעקבות הריפוד אינו מכיל סיביות מהמסר עצמו אלא רק את הריפוד הערך \text{nbits}=0.
  4. חותכים במידת הצורך ומחזירים את ערך הביניים האחרון.

ריפוד המסר של HAIFA דומה לשיטת הריפוד של מרקל דמגרד.

  1. מוסיפים '1' בסוף המסר.
  2. מרפדים באפסים לפי הצורך כך שאורך המסר יהיה שקול ל-n-(t+r) מודולו n כאשר t הוא מספר הסיביות הדרוש לקידוד אורך המסר ו-r מספר הסיביות הדרוש לקידוד אורך התמצית.
  3. מוסיפים את אורך המסר ב-t הסיביות הבאות.
  4. מוסיפים את אורך התמצית בסיביות ב-r הסיביות הבאות.

הכנת ה-IV דורשת עבודה נוספת כדי לתמוך בתמצית מסר באורכים שונים כפי שתקן SHA דורש. תחילה יש לעבד את וקטור האתחול. כלומר בהינתן IV שנבחר על ידי המשתמש יש לחשב את:

IV = H(IV,m,0,0)

את m מקודדים ב-r הסיביות הראשונות, מוסיפים '1' ולאחר מכן n-r-1 אפסים. לאחר קריאה זו אפשר להמשיך ליתר הבלוקים של המסר. הקריאה הזו שונה מיתר הקריאות לפונקציה H והיא ייחודית בכך שבשיטה זו אפשר לחתוך את פלט פונקציית הגיבוב לכל אורך רצוי. בנוסף במקרים כאשר ידוע מראש שפלט קבוע באורכו אפשר לחשב מראש את הקריאה הזו ולקודד את התוצאה בתוך הפונקציה.

הוספת אורך תמצית המסר נועדה למנוע מצב שבו שני מסרים עם שני וקטורי אתחול שונים יפיקו ערך ביניים זהה. כמו כן שיטת HAIFA מסתמכת על כך שניתן להבחין בבלוק האחרון. זה אפשרי בשיטה זו כיוון שיש מונה. אם \text{nbits} < n-(t+r)\text{ mod }n וכן \text{nbits} > 0 אז זהו הבלוק האחרון של המסר וכן לא קיים אחריו בלוק ריפוד. אחרת קיימות שתי אפשרויות אם \text{nbits}\ne 0\text{ mod }n אזי המשמעות היא שקיים בלוק נוסף שמכיל ריפוד, אחרת אם \text{nbits}=0\text{ mod }n זהו בלוק הריפוד עצמו שבמקרה אינו מכיל סיביות מהמסר כלל. למשל אם m=512 ו-n=1536 ונניח ש-t+r=64. היות ש-n מתחלק ב-512 נוסף בלוק ריפוד באורך 512 ובתחילתו תוספת 1 לאחריו 447 אפסים ובסופו קידוד האורך ב-64 ביט ומתקבל בסך הכול 2048. במקרה זה בבלוק האחרון \text{nbits}=0.

מבנה HAIFA שולב בפונקציית הגיבוב BLAKE שהייתה מועמדת לתחרות פונקציות הגיבוב SHA-3 שהתקיימה ב-2008 ונוהלה על ידי NIST. וכן מהווה בסיס לגרסה המתקדמת BLAKE2.

בדומה למבנה מרקל דמגרד אפשר להוכיח שמבנה HAIFA משמר את עמידות הפונקציה הפנימית מפני התנגשויות. כאשר שיטת הריפוד ותוספת המונה יחד עם ה-\text{salt} מקשים מאוד על מספר התקפות מתקדמות כמו התקפת נקודת שבת, התקפת רב-התנגשויות וכדומה. ה-\text{salt} למעשה מקנה לפונקציה פסאודו-אקראיות. זה מאפשר להגדיר את ביטחון הפונקציה במודלים תאורטיים, זה מעביר את כל ההתקפות שהיו אפשריות במצב אוף ליין למצב און ליין כיוון שה-\text{salt} אינו ידוע למתקיף מראש. ה-\text{salt} אינו סודי והוא יכול להיות למעשה כל דבר תלוי יישום כמו נומרטור, מחרוזת זיהוי, חותם זמן או סתם מחרוזת אקראית. וכן הוא לא חייב להיות כאורך המסר אלא כאורך הבלוק בלבד.


הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ Richared D. Dean, Formal Aspects of Mobile Code Security., Ph.D. dissertation, Princeton University, 1999.
  2. ^ John Kelsey, Bruce Schneier, Second Preimages on n-Bit Hash Functions for Much Less than 2n, Advances in Cryptology, proceedings of EUROCRYPT 2005, Lecture Notes in Computer Science 3494, pp. 474–490, Springer-Verlag, 2005.
  3. ^ Faster Multicollisions
  4. ^ Antoine Joux, Multicollisions in Iterated Hash Functions, Advances in Cryptology, proceedings of CRYPTO 2004, Lecture Notes in Computer Science 3152, pp. 306– 316, Springer-Verlag, 2004.
  5. ^ John Kelsey, Tadayoshi Kohno, Herding Hash Functions and the Nostradamus Attack, preproceedings of Cryptographic Hash Workshop, held in NIST, Gaithersburg, Maryland, 2005.
  6. ^ Shai Halevei, Hugo Krawczyk, Strengthening Digital Signatures via Randomized Hashing, Advances in Cryptology, proceedings of CRYPTO 2006, Lecture Notes in Computer Science 4117, pp. 41–59, Springer-Verlag, 2006.
  7. ^ Mihir Bellare, Thomas Ristenpart, Multi-Property-Preserving Hash Domain Extension: The EMD Transform, NIST 2nd hash function workshop, Santa Barbara, August 2006.
  8. ^ Phillip Rogaway and Thomas Shrimpton. Cryptographic hash-function basics: Definitions, implications, and separations for preimage resistance, second-preimage resistance, and collision resistance. In Bimal K. Roy and Willi Meier, editors, Fast Software Encryption 2004, volume 3017 of Lecture Notes in Computer Science, pages 371–388. Springer-Verlag, Berlin, Germany, 2004.
  9. ^ Elena Andreeva, Gregory Neven, Bart Preneel, Thomas Shrimpton, SevenProperties-Preserving Iterated Hashing: ROX, ECRYPT document STVL4KUL15-ROX-2.0, private communications, 2007
  10. ^ A Framework for Iterative Hash Functions - HAIFA