SM3 (хеш-функция)

Шаблон:О SM3 — криптографическая хэш-функция, являющаяся частью национального криптографического стандарта Китая. Она была опубликована Государственным управлением криптографии 17 декабря 2010 под названием «GM/T 0004-2012: криптографический хэш алгоритм SM3»^[1][2]. SM3 в основном используется в электронных подписях, имитовставках и генераторах псевдослучайных чисел^[3].

Функция SM3 определена в стандарте «GM/T 0004-2012: криптографический хэш алгоритм SM3».

Приказом от 2016 года Национальное управление криптографии утвердило SM3 как один из отраслевых стандартов^[1].

SM3 — 256-битный хэш алгоритм. Он является модификацией SHA-2. Создательница алгоритма — Шаблон:Iw, которая известна открытием новых способов атак для разных криптографических хэш-функций (MD5 и SHA-1). SM3 был опубликован в 2010 году. SM3 использует структуру Меркла — Дамгора^[4].

Алгоритм принимает на вход сообщение ${\displaystyle m}$ длины ${\displaystyle l}$. После процедуры пэддинга и нескольких итераций компрессии на выходе получится 256-битное значение хэш-функции.

Значения для инициализации следующие:

• ${\displaystyle V_0^{(0)}=7380166f}$
• ${\displaystyle V_1^{(0)}=4914b2b9}$
• ${\displaystyle V_2^{(0)}=172442d7}$
• ${\displaystyle V_3^{(0)}=da8a0600}$
• ${\displaystyle V_4^{(0)}=a96f30bc}$
• ${\displaystyle V_5^{(0)}=163138aa}$
• ${\displaystyle V_6^{(0)}=e38dee4d}$
• ${\displaystyle V_7^{(0)}=b0fb0e4e}$

${\displaystyle T_j=\{\begin{array}{cc}79cc4519,& \text{if }0\le j\le 15\\ 7a879d8a,& \text{if }16\le j\le 63\end{array}}$

${\displaystyle F{F}_j=\{\begin{array}{cc}X\oplus Y\oplus Z,& \text{for }0\le j\le 15\\ (X\wedge Y)\vee (Y\wedge Z)\vee (X\wedge Z),& \text{if }16\le j\le 63\end{array}}$
${\displaystyle G{G}_j=\{\begin{array}{cc}X\oplus Y\oplus Z,& \text{for }0\le j\le 15\\ (X\wedge Y)\vee (\mathrm{\neg }X\wedge Z),& \text{if }16\le j\le 63\end{array}}$

${\displaystyle P_0(X)=X\oplus (X<<<9)\oplus (X<<<17)}$

${\displaystyle P_1(X)=X\oplus (X<<<15)\oplus (X<<<23)}$

Сообщение ${\displaystyle m}$ cосостоит из ${\displaystyle l}$ бит. Добавим бит 1 к концу сообщения, а также ${\displaystyle k}$ нулевых бит, где ${\displaystyle k}$ — наименьшее неотрицательное число, удовлетворяющее соотношению ${\displaystyle l+k+1\equiv 488\text{ mod }512}$. Затем к полученному сообщению необходимо добавить 64-битную строку, являющуюся двоичным представлением числа ${\displaystyle l}$, изначальной длины сообщения. В результате будет получена строка ${\displaystyle m^{\prime }}$, длина которой кратна 512.

Сообщение ${\displaystyle m^{\prime }}$, уже прошедшее пэддинг, разделяется на 512-битные блоки (в обозначениях ${\displaystyle m^{\prime }=B^{(0)}{B}^{(1)}\dots B^{(n-1)}}$, где ${\displaystyle n=\frac{l+k+65}{512}}$).

Далее алгоритм следующий:

${\displaystyle \text{FOR }i=0\text{ to }n-1:}$

${\displaystyle V(i+1)=CF(V(i),B(i))}$

${\displaystyle ENDFOR}$

Здесь ${\displaystyle CF}$ — функция компрессии, ${\displaystyle V^{(0)}}$ — 256-битный вектор инициализации. Результат после итерации есть ${\displaystyle V^{(n)}}$.

Блок сообщения ${\displaystyle B^{(i)}}$ расширяется до 132 слов ${\displaystyle W_0,W_1\dots W_{67},W{\text{'}}_1\dots W{\text{'}}_{63}}$, которые добавлены к компрессионной функции ${\displaystyle CF}$:

Делим блок ${\displaystyle B^{(i)}}$ на 16 слов.

${\displaystyle \text{FOR }j=16\text{ to }j=67:}$

${\displaystyle W_j\leftarrow P_1(W_{j-16}\oplus W_{j-9}\oplus (W_{j-3}<<<15))\oplus (W_{j-13}<<<7)\oplus W_{j-6}}$

${\displaystyle ENDFOR}$

${\displaystyle \text{FOR }j=0\text{ to }j=63:}$

${\displaystyle W_j=W_j\oplus W_{j+4}}$

${\displaystyle ENDFOR}$

Пусть ${\displaystyle A\text{, }B\text{, }C\text{, }D\text{, }E\text{, }F\text{, }G\text{, }H}$ — 8 слов регистров, ${\displaystyle SS1\text{, }SS2\text{, }TT1\text{, }TT2}$ — 4 промежуточные переменные. Вычислительная процедура следующая:

${\displaystyle ABCDEFGH\leftarrow V(i)}$
${\displaystyle \text{FOR }j=0\text{ to }63}$
${\displaystyle SS1\leftarrow ((A<<<12)+E+(T_j<<<(j\text{ mod }32)))<<<7}$ ${\displaystyle SS2\leftarrow SS1\oplus (A<<<12)}$
${\displaystyle TT1\leftarrow F{F}_j(A,B,C)+D+SS2+W{\text{'}}_j}$
${\displaystyle TT2\leftarrow G{G}_j(E,F,G)+H+SS1+W{\text{'}}_j}$
${\displaystyle D\leftarrow C}$
${\displaystyle C\leftarrow B<<<9}$
${\displaystyle B\leftarrow A}$
${\displaystyle A\leftarrow TT1}$
${\displaystyle H\leftarrow G}$
${\displaystyle G\leftarrow F<<<19}$
${\displaystyle F\leftarrow E}$
${\displaystyle E\leftarrow P_0(TT2)}$
${\displaystyle ENDFOR}$
${\displaystyle V(i+1)\leftarrow ABCDEFGH\oplus V(i)}$

Итого, ${\displaystyle ABCDEFGH\leftarrow V^{(n)}}$. Отсюда окончательное значение хэш-функции ${\displaystyle y:=ABCDEFGH}$^[3].

Для входного сообщения «abc» (и его ASCII версии 616263 соответственно) значение хэш-функции равно:

66c7f0f4 62eeedd9 d1f2d46b dc10e4e2 4167c487 5cf2f7a2 297da02b 8f4ba8e0

Для входного сообщения с кодом длиной 512 бит:

61626364 61626364 61626364 61626364 61626364 61626364 61626364 61626364
61626364 61626364 61626364 61626364 61626364 61626364 61626364 61626364

Хэш-функция будет равна:

debe9ff9 2275b8a1 38604889 c18e5a4d 6fdb70e5 387e5765 293dcba3 9c0c5732

Результаты сравнения эффективности алгоритма SM3, оригинального и 2 его оптимизаций, а также SHA-256 представлены в таблице ниже^[5]. Эффективность оценивается для параметров, которые указаны в заглавии колонок.

Сравнение эффективности SM3 и его модификаций с алгоритмом SHA-256

Название алгоритма	Девайс	Slices	Максимальная частота (MHz)	Бит/цикл	Пропускная способность (Mbps)	Пропускная способность/slice
Стандартный SM3	Virtex-5	384	214	7.53	1611	4.20
C-SM3	Virtex-5	234	215	7.53	1619	6.92
T-SM3	Virtex-5	328	362	7.53	2726	8.31
SHA-256	Virtex-5	319	221	7.76	1714	5.37

Не существует никаких формальных доказательств относительно качества этого алгоритма, тем не менее, не зарегистрировано успешных атак на SM3^[3].

Криптоаналитические результаты для различных атак на алгоритм SM3 агрегированы в следующей таблице.

Результаты криптоаналитических атак на алгоритм SM3

Тип атаки	Число шагов	Сложность	Ссылка на исследование
Коллизионная атака	20	2^117.1	[6]
Коллизия инициализации	24	2^249	[6]
Атака нахождения прообраза	28	2^241.5	[7]
Атака нахождения прообраза	30	2^249	[7]
Атака нахождения прообраза	29	2^245	[8]
Атака нахождения прообраза	30	2^251.1	[8]
Псевдоатака нахождения прообраза	31	2^245	[8]
Псевдоатака нахождения прообраза	32	2^251.1	[8]
Методом бумеранга	33	2^125	[9]
Методом бумеранга	35	2^117.1	[9]
Методом бумеранга	35	2^33.6	[10]
Методом бумеранга	37	2^192	[10]

Алгоритм является открытым и, по утверждениям Китайского информационного интернет-центра, является аналогом SHA-256 в вопросах безопасности и эффективности^[4].

Так как SM3 является единственной функцией, разрешенной для использования в Китае Национальным управлением криптографии, ее реализация в аппаратуре необходима для применения в китайском оборудовании^[3].

Примеры прикладного применения SM3 указаны в таблице:

Область применения	Детали
X.509	Существует реализация SM3 для создания электронной цифровой подписи сертификата[11]
PGP	SM3 наряду с SM2 и SM4 реализован в расширении PGP для использования на территории Китая[12]
IPSec	Реализация IPSec IKEv1 поддерживает SM3 [13]
Financial IC Card [14]	Одним из методов обеспечивания безопасности банковских карт, основанных на чипах, является SM3 [15].
OpenSSL	В криптографической библиотеке OpenSSL реализован алгоритм SM3[16]
Hash Crypto Engine BA413[17]	BA413 является блоком для проектирования микросхем, который используется для задачи формирования ключа и применения цифровой подписи. Для применения на территории Китая в нем внедрен SM3[17].

• SHA-2

Шаблон:Примечания

Шаблон:Изолированная статья