Функция хэширования

а) Перемешивающее преобразование

Download 73,78 Kb.

bet	3/4
Sana	07.06.2023
Hajmi	73,78 Kb.
	#949451

1 2 3 4

Bog'liq
GOSTR34.11-94Pub

2. Функция сжатия финальной итерации

а) Перемешивающее преобразование

Здесь использована модифицированная для хэширования перестановка Фейстеля, где n -
битный вход разделяется на k блоков по r бит, так чтобы kl = n :

, ,

p
^F^:{⁰¹}r ^×^⋯^×{⁰¹}r ^→{⁰¹}r ^×^⋯^×{⁰¹}r ^,
l l

где p - входное сообщение. Пусть вход
^A⁼( ^A^,^…^,^A) ^∈{⁰¹}n ^,^а^выход

1 l
^B⁼(^B^,^…^,^B) ^∈{⁰¹}n ^,^тогда^F( ^A) ^{описывается}^{следующим}^{образом:}
1 l p
_^^B^l^←^A¹^⊕^f^p( ^A²^,^…^,^A^l)^,

__B
← A , … , B
← A .

^^l⁻¹^l¹²
Схематически модифицированная функция Фейстеля представлена на Рис. 5 (без претензий на общность).

^Bl ^B^l⁻¹^B¹
Рис. 5 Модифицированная схема Фейстеля для хэширования

i i−1
Перемешивающее преобразование имеет вид

^hi⁼^χ(^mi^,^hi⁻¹
^,^s) ⁼^ψ⁶¹₍^h
^⊕^ψ(^m^⊕^ψ¹²(^s))₎^,

i i
где ψ ^j - j -я степень преобразования ψ . Схематически данное преобразование представлено на Рис. 6.
m_i
s_i

^hi−1 ^hi
Рис. 6 Перемешивающее преобразование ГОСТ Р 34.11 – 94
Заметим (см. Рис. 6), что s_iвыводится из h_i₋₁(см. Рис. 4). Функция

^ψ^:{⁰¹}256 ^→{⁰¹}256 ^{преобразует}^слово^η^||^⋯^||^η^,^η^∈{⁰¹}16 ^,ⁱ⁼^1,16
в слово

16 1 i

...
η₁⊕ η₂⊕ η₃⊕ η₄⊕ η₁₃⊕ η₁₆|| η₁₆|| η₁₅|| ⋯ || η₂
(см. Рис. 7).

^η16
^η15
η₄^η³
η₂η₁

Рис. 7 Функция ψ перемешивающего преобразования
Замечание 3 Функция ^ψперемешивающего преобразования не удовлетворяет следующим локальным критериям:

0-1 сбалансированности (гарантирует, что выходы функции будут 0 или 1 с вероятностью 0,5 когда вход функции выбирается случайно и равновероятно над всеми возможными векторами);
большой нелинейности (Функция f называется линейной функцией, если f имеет

вид
^f(^xn^,^xn⁻^1,^…^,^x¹) ⁼^an^xn^⊕^an⁻¹^xn⁻¹^⊕^…^⊕^a¹^x¹^⊕^a⁰^,^где
^ai^∈^GF(²)^;^Если

обратить внимание на вид функции ^ψ, то очевидно, что это линейная функция);

строгому лавинному критерию (Strict Avalanche Criterion, SAC) (говорят, что f

удовлетворяет строгому лавинному критерию, если для каждого 1≤ i ≤ n,

дополнение x_i
даст в результате выход f являющийся дополнением для 50% всех

возможных входных векторов).
Кроме этого в перемешивающем преобразовании применяется только одна функция ^ψ, а следовательно оно не обладает следующими общими свойствами:

линейной неэквивалентности структуры (две функции f и g линейно эквивалентны по структуре, если f можно преобразовать в g линейным преобразованием координат и дополнениями функций, т.е имеется неособенная

ⁿ^×ⁿ^{матрица}^A^над^GF(²) ^а^также^вектор
B ∈ V_nтакой что
^f(^xA^⊕^B) ⁼^g(^x)^,

или
^f(^xA^⊕^B)^⊕¹⁼^g(^x) ^,^где
^x⁼(^xn^,^xn⁻^1,^…^,^x¹) ^;^этот^{критерий}^{гарантирует,}^что

функции используемые криптографическим алгоритмом не обладают схожестью структуры);

взаимной некоррелированности выходов (функции f и взаимно некоррелированы

по выходу, если f , g и f ⊕ g - 0-1 сбалансированные нелинейные функции;
гарантирует, что последовательности функций не будут взаимно коррелированны или через линейные функции, или через смещение в выходных битах).
Остается вопрос, из каких критериев исходили конструктора?

б) Подпрограмма генерирования ключей

Данная подпрограмма использует следующие функции и константы:

Константы

2 4 3
^C^,^C⁼{⁰}256 ^,^C⁼⁰^xf⁰^ff⁰⁰⁰^ff⁰⁰^f⁰^ff⁰⁰^f⁰^f⁰^f⁰^ff⁰^f⁰^f⁰^f^0.

Функции

256 256

^o^P^:{⁰¹} ^→{⁰¹}
. Пусть
X = ξ₃₂|| ξ₃₁|| ⋯|| ξ₁, тогда

P( X ) = ξ_ϕ₍₃₂₎|| ξ_ϕ₍₃₁₎|| ⋯ || ξ_ϕ₍₁₎, где ϕ₍i +1+ 4(k −1)₎= 8i + k, i = 0, 3, k = 1,8.
256 256
o A : {01} → {01} . Пусть _X= x₄|| x₃|| x₂|| x₁, тогда
_A( _X) =(x₁⊕ x₂)|| x₄|| x₃|| x₂.

Алгоритм 1 Подпрограмма генерирования ключей
^1.^U^←^mi^,^V^←^hi⁻^1,^W^←^U^⊕^V^,^K¹^←^P(^W)

Для j от 2 от 4 выполняем следующее:

2.1. U ← A(U )⊕ C_j, V ← A₍A(V )₎, W ← U ⊕V , K _j← P(W )

^Выход(^K^1,^K²^,^K^3,^K⁴)

в) Шифрующее преобразование

Основным функциональным предназначением является получение s_i

из h_i₋₁. Пусть

h = h⁴
|| h³
|| h²
|| h¹
, где h ^j
^∈{⁰¹}64 ^,

j = 1, 4, а s
= s⁴ || s³ || s² || s¹, где

i−1
i−1
i−1
i−1
i−1
i−1
i i i i i

i

j

₍h
^s^j^∈{⁰¹}64 ^,
j = 1, 4 . Тогда

i K
s ^j ← E
j

i−1 ⁾^,

где
j = 1, 4 , E_K
- шифрование по ГОСТ 28147 – 89 в режиме простой замены.

Схематически это изображено на Рис. 8.

h
4
i−1
3

h
i−1
2

h
i−1
1

h
i−1

^K⁴^K3 ^K2 ^K1

s

s

s

s
^{4 3 2}1
^{i i i}i
Рис. 8 Шифрующее преобразование

Замечание 4 Как видно s = s⁴ || s³ || s² || s¹ - конкатенация 64 битных слов, полученных в
i i i i i
результате шифрования. Следовательно, в свете замечания 3, s_iможно было бы атаковать
по частям, но это предотвращается казуальным генерированием ключей (в данном случае
m_iи h_i₋₁выступают в роли ключа для выведения ключей).
Замечание 5 (S-блоки при шифровании в режиме простой замены) Согласно стандарта ГОСТ 28147 – 89 S-блоки не определены, но указано, что они должны назначаться вышестоящим органом. Следовательно они должны учитываться как данные инициализации функции хэширования, и в определенной степени влияют на ее свойства.

2. Функция сжатия финальной итерации

Функция сжатия финальной итерации производит итоговую хэш величину, зависящую от результата хэширования последовательным методом, контрольной суммы по mod 2 и длины сообщения в битах приведенной по mod 2²⁵⁶ :
m_l^′×h_l₋₁×Σ_l×L_l→ h_итог,

где m_l^′, h_l₋₁
^,^Σ^,^L^∈{⁰¹}256 ^,
m_l^′- последний набитый нулями блок (если необходимо, см.

l l
Рис. 3). Сначала вычисляется битовая длина последнего (ненабитого) блока сообщения
m_l≤ 256 бит. Если m_l< 256 , то производится его набивка справа нулями до

l
^{достижения}^длины²⁵⁶^бит^и^{получается}^новый^блок^m^′^←{⁰}256− ml
m_l. Вычисляются

итоговая контрольная сумма Σ_l← Σ_l₋₁⊗ m_l^′и длина всего сообщения
L ← L + m^′₍mod 2²⁵⁶ ₎. Параллельно выполняется последняя итерация
l l−1
^hl^←^χ(^m^′^,^hl⁻¹)^.^Затем^{вычисляются}^{перемешивающие}^{преобразования}^hl⁺¹^←^χ⁽^Ll^,^hl⁾
^и^hитог^←^χ(^Σ^l^,^hl⁺¹) ^{, давая}^{в результате итоговую}^{хэш величину}^hитог^.
Теперь дадим формальное описание алгоритма:

Download 73,78 Kb.

Do'stlaringiz bilan baham:

1 2 3 4