Эллиптическая хеш-функция

Алгоритм эллиптической хеш-функции(ECOH) был представлен в качестве кандидата на SHA-3 в конкурсе хеш-функций NIST. Однако он был отклонен в начале конкурса, так как была обнаружена вторая предварительная атака.

ECOH основан на алгоритме хеширования MuHASH, который еще не был успешно атакован. Основное различие заключается в том, что там, где MuHASH применяет случайного оракула, ECOH применяет функцию заполнения.

ECOH не использует случайных оракулов, и его безопасность не связана напрямую с проблемой дискретного логарифма, но она по-прежнему основана на математических функциях. ECOH связан с задачей Семаева о нахождении решений низкой степени полиномов суммирования над бинарным полем, называемой задачей полинома суммирования. Эффективный алгоритм решения этой проблемы до сих пор не существует. Хотя не была доказано, что задача NP-полная, предполагается, что такого алгоритма не существует. При определенных предположениях нахождение коллизии в ECOH может также рассматриваться как экземпляр задачи о сумме подмножеств. Помимо решения задачи суммирования полиномов, существует еще один способ, как найти вторые предварительные образы и, следовательно, коллизии, обобщенная атака дня рождения Вагнера.

ECOH является хорошим примером хеш-функции, которая основана на математических функциях (с доказуемым подходом к безопасности), а не на перемешивании и арифметических операциях над битами для получения хеша.

Дано ${\displaystyle n}$, ECOH-${\displaystyle m}$ делит сообщение ${\displaystyle M}$ на ${\displaystyle n}$ блоков ${\displaystyle M_0...M_{n-1}}$ длиной ${\displaystyle blen}$. Если последний блок неполный, он выравнивается одной единицей и затем подходящим числом нулей. ${\displaystyle O_i}$ вычисляется для каждого блока с помощью конкатенации блока и ${\displaystyle I_i}$ ${\displaystyle ilen}$-битного представлением индекса сообщения ${\displaystyle i}$. ${\displaystyle x_i}$ вычисляется с помощью двух концентраций и XOR с битовой строкой ${\displaystyle C_i}$, представляющей битовое представление наименьшего неотрицательного числа длиной ${\displaystyle clen}$, представляющего x координату точки эллиптической кривой. Затем каждой ${\displaystyle x_i}$ ставится в соответствие точка эллиптической кривой ${\displaystyle P_i}$ с координатой ${\displaystyle x_i}$. Каждый блок преобразуется в точку эллиптической кривой ${\displaystyle P_i}$ и эти точки складываются.

${\displaystyle O_i=M_i\parallel I_i}$

${\displaystyle x_i:=(0^{m-(blen+ilen+clen)}\parallel O_i\parallel 0^{64})\oplus C_i}$

${\displaystyle P_i:=P(x_i,y_i)}$

${\displaystyle Q:={\sum }_{i=0}^{n-1}{P}_i{\displaystyle }}$

${\displaystyle R:=f(Q)}$

${\displaystyle Q}$ складывает все точки эллиптической кривой. Наконец, результат передается через выходную функцию преобразования ${\displaystyle f=\lfloor x(Q+\lfloor x(Q)/2\rfloor G)/2\rfloor mod{2}^N}$, где ${\displaystyle N}$ выходной размер функции, а ${\displaystyle G}$ фиксированная для кривой точка-генератор, чтобы получить результат ${\displaystyle R}$. подробнее об этом алгоритме см. В разделе «ECOH: Эллиптическая хеш функция».

Было предложено четыре алгоритма ECOH, ECOH-224, ECOH-256, ECOH-384 и ECOH-512. Это число соответствует выходному размеру. Они отличаются по длине параметров, размеру блока и используемой эллиптической кривой. Первые два используют эллиптическую кривую B-283: ${\displaystyle X^{283}+X^{12}+X^7+X^5+1}$, с параметрами (128, 64, 64). ECOH-384 использует кривую B-409: ${\displaystyle X^{409}+X^7+1}$, с параметрами (192, 64, 64). ECOH-512 использует кривую B-571: ${\displaystyle X^{571}+X^{10}+X^5+X^2+1}$, с параметрами (256, 128, 128). Он может хешировать сообщения длиной до ${\displaystyle 2^{128}}$ бит.

• Инкрементальность: ECOH сообщение может быть быстро обновлено, учитывая небольшое изменение в сообщении и промежуточное значение в вычислении ECOH.
• Параллелезуемость: это означает, что вычисление ${\displaystyle P{\text{'}}_{i}s}$ может быть выполнено на параллельных системах.
• Скорость: Алгоритм ECOH примерно в тысячу раз медленнее, чем SHA-1. Однако, учитывая развитие настольного оборудования в сторону распараллеливания и умножения без переноса, ECOH может через несколько лет быть таким же быстрым, как SHA-1 для длинных сообщений. Для коротких сообщений ECOH является относительно медленным, если не используются расширенные таблицы.

Хеш-функции ECOH основаны на конкретных математических функциях. Они были разработаны таким образом, что задача нахождения коллизий должна быть сведена к известной и NP-полной задаче (задача суммы подмножеств). Это означает, что для того чтобы найти коллизию, нужно решить основную математическую задачу, которая считается и неразрешимой за полиномиальное время. Доказано, что функции с этими свойствами безопасны и совершенно уникальны среди остальных хеш-функций. Тем не менее, второй прообраз (и, следовательно, коллизия) был позже найден, потому что предположения, приведенные в доказательстве, были слишком сильными.

Одним из способов нахождения коллизий или вторых прообразов является решение многочленов суммирования Семаева. Для данной эллиптической кривой E, существует полиномы ${\displaystyle f_n}$ симметричные в ${\displaystyle n}$ переменных и которые исчезают, когда сумма точек, оцененных на абсциссе, равна 0 в ${\displaystyle E}$. До сих пор эффективного алгоритма для решения этой проблемы не существует, и предполагается, что он труден (но не доказано, что он NP-полный).

Более формально: пусть ${\displaystyle F}$ конечное поле, ${\displaystyle E}$ эллиптическая кривая с уравнением Вейерштрасса, имеющая коэффициенты в ${\displaystyle F}$ и ${\displaystyle O}$ точка бесконечности. Известно, что существует полиномы от многих переменных ${\displaystyle f_n(X_1,\dots ,X_N)}$ тогда и только тогда, если они существуют < ${\displaystyle y_1,\dots ,y_n}$ такие, что ${\displaystyle (x_1,y_1)+\dots +(x_n,y_n)=O}$. Этот многочлен имеет степень ${\displaystyle 2^{n-2}}$ по каждой переменной. Задача состоит в том, чтобы найти этот многочлен.

Задача нахождения коллизий в ECOH аналогична задаче суммирования подмножеств. Решение задачи о сумме подмножеств почти так же сложно, как задача о дискретном логарифме. Обычно предполагается, что это невозможно сделать за полиномиальное время. Однако следует учитывать, что координата ${\displaystyle x(Q)}$ может является неслучайной, и иметь определенную структуру. Если учесть это предположение, то нахождение коллизий ECOH можно рассматривать как пример задачи о сумме подмножеств.

Вторая атака прообраза существует в форме обобщенной атаки на день рождения.

Описание атаки: это общий случай атаки Дня Рождения Вагнера. Это требует 2¹⁴³ времени для ECON-224 и ECON-256, 2²⁰⁶ времени для ECOH-384 и 2²⁸⁷ времени для ECOH-512. Атака устанавливает блок контрольной суммы в фиксированное значение и использует поиск коллизий в точках эллиптической кривой. Для этой атаки у нас есть сообщение M и попробуйте найти M', которое хеширует одно и то же сообщение. Сначала мы разделили длину сообщения на шесть блоков.${\displaystyle M^{\prime }=(M_1,M_2,M_3,M_4,M_5,M_6)}$. Пусть K-натуральное число. Мы выбираем K различных чисел для ${\displaystyle (M_0,M_1)}$ и определим ${\displaystyle M_2}$ как ${\displaystyle M_2:=M_0+M_1}$.Мы вычисляем K, соответствующее точкам на эллиптических кривых ${\displaystyle P(M_0,0)+P(M_1,1)+P(M_2,2)}$и храним их в списке. Затем мы выбираем K различных случайных значений для ${\displaystyle (M_3,M_4)}$, определим ${\displaystyle M_5:=M_3+M_4}$, вычисляем ${\displaystyle Q-X_1-X_2-P(M_3,3)-P(M_4,4)-P(M_5,5)}$, и храним их во втором списке. Обратите внимание, что цель Q известна. ${\displaystyle X_1}$ зависит только от длины сообщения, которое мы зафиксировали. ${\displaystyle X_2}$ зависит от длины и XOR всех блоков сообщений, но мы выбираем блоки сообщений таким образом, что это всегда равно нулю. Таким образом, ${\displaystyle X_2}$ фиксировано для всех наших попыток.

Если K больше квадратного корня из числа точек на эллиптической кривой, то мы ожидаем одну коллизию между двумя списками. Это дает нам сообщение ${\displaystyle (M_1,M_2,M_3,M_4,M_5,M_6)}$ с ${\displaystyle Q={\displaystyle \sum _{i=0}^5}P(M_i,i)+X_1+X_2}$ Это означает, что это сообщение ведет к целевому значению Q и, следовательно, ко второму прообразу, о котором шла речь. Рабочая нагрузка, которую мы должны сделать здесь, — это два раза K частичных хеш-вычислений. Для получения дополнительной информации см. «A Second Pre-image Attack Against Elliptic Curve Only Hash (ECOH)».

Фактически параметры:

• ECON-224 и ECOH-256 используют эллиптическую кривую B-283 с приблизительно ${\displaystyle 2^{283}}$ точек на кривой. Мы выбираем ${\displaystyle K=2^{142}}$ и получаем атаку со сложностью ${\displaystyle 2^{143}}$.
• ECOH-384 использует эллиптическую кривую B-409 с приблизительно ${\displaystyle 2^{409}}$ точек на кривой. Выбрав ${\displaystyle K=2^{205}}$ дает атаку со сложностью ${\displaystyle 2^{206}}$.

• ECOH-384 использует эллиптическую кривую B-409 с приблизительно ${\displaystyle 2^{571}}$ точек на кривой. Выбрав ${\displaystyle K=2^{286}}$ дает атаку со сложностью ${\displaystyle 2^{287}}$.

Официальные комментарии по ECOH включали предложение под названием ECOH2, которое удваивает размер эллиптической кривой в попытке остановить вторую атаку прообраза Халкроу-Фергюсона с предсказанием улучшенной или аналогичной производительности.

• Daniel R. L. Brown, Matt Campagna, Rene Struik (2008). «ECOH: the Elliptic Curve Only Hash».
• Michael A. Halcrow, Niels Ferguson (2009). «A Second Pre-image Attack Against Elliptic Curve Only Hash (ECOH)».

Шаблон:Изолированная статья