Floyd’s Algorithmus

(1)

Folgerung

Seih:X→Zeine Hashfunktion mit#Z= 2^k.

Im Zufallsorakelmodell kann man also eine Kollision nach ca.s=√ n Anfragen an das Hashorakel mit guter Wahrscheinlichkeit finden.

Auf der anderen Seite ist diese Wahrscheinlichkeit durchs²/nnach oben beschr ¨ankt. Benutzt man weniger Orakelanfragen, nimmt die Wahrscheinlichkeit einer Kollision z ¨ugig ab.

Ein inkpolynomieller Angreifer kann folglich auf eine Kollision nur mit vernachl ¨assigbarer Wahrscheinlichkeit poly(k)/2^khoffen. Seine Erfolgswahrscheinlichkeit ist damit insgesamt ebenfalls

vernachl ¨assigbar.

3 4. Mai 2004

Folgerung

Damit sind Hashfunktionen im Zufallsorakelmodell auch kollisionsresistent, wenn gleich der Aufwand zum Finden einer Kollision wesentlich geringer ist als der, Urbilder zu berechnen.

Im Zufallsorakelmodell ergibt sich zusammenfassend:

•kBit Sicherheit bez ¨uglich der Einweg-Eigenschaft.

•Nurk/2Bit Sicherheit bez ¨uglich Kollisionsresistenz.

Von einer

”guten“ Hashfunktion fordert man daher im Standardmodell (d.h. nicht im Zufallsorakelmodell), daß Urbilder und Kollisionen nur mit Aufwand ungef ¨ahr2^kbzw.2^k/2berechnet werden k ¨onnen sollen.

In der Praxis fordert man zur Zeitk≥160.

4 4. Mai 2004

Floyd’s Algorithmus

Speicherbedarf sehr groß. K ¨onnen auch noch besser vorgehen:

Floyd’s Algorithmus zum Finden von Zykeln.

h:X→ZHashfunktion.

AnnahmeZ⊆X,x0∈X\Z.

Berechnex_i+1=h(x_i).

Es gibt minimaleα<βmitx_α=x_βundx_α₋16=x_β₋1.

Dann auchx_α+i=x_β+if ¨ur allei, damit Zykell ¨angeδ=β−α.

Alsox_i+_δ=x_if ¨uri≥αundx_i=x_2i⇔i=rδ≥α.

F ¨urx_α₋1giltx_α₋16=x_α₋_1+rδundx_α=x_α+rδ.

1 4. Mai 2004

Floyd’s Algorithmus

Daraus ergibt sich folgendes Vorgehen:

•Berechne(x1,x2),(x2,x4), . . . bisx_i=x_2i. Setzeδ⁰←i.

•Berechne(x0,x_δ0),(x1,x_δ0+1), . . . bisxi=x_i+δ⁰.

•Dannx_i₋16=x_i+δ0−1undh(x_i₋1) =h(x_i+δ0−1).

Im Zufallsorakelmodell erfolgt eine Kollision nach1.18√

nvielen Hashwertenx_imit Wahrscheinlichkeit≥1/2.

Folglichα,δ≤1.18√

n. Außerdemδ⁰≤2αwegen der Minimalit ¨at von δ⁰=rδ≥α. Daher ergeben sich ungef ¨ahr3.54√

nOrakelaufrufe und konstanter Speicherbedarf.

2 4. Mai 2004

(2)

Konstruktion von Hashfunktionen

Neben Einwegeigenschaft und Kollisionsresistenz sollen Hashwerte von langen Nachrichten effizient ohne großen Speicheraufwand berechnet werden k ¨onnen (Magnetband, ...).

Allgemeines Prinzip: Iterierung.

Nachricht mit Bitstring0^d oder10^d⁻¹und Nachrichtenl ¨ange padden, dann in geeignete Bl ¨ockem_iaufteilen.

Bei der Berechnung des Hashwerts eine Zustandsvariablehi

mitf ¨uhren. Erster Zustand isth0=IV, letzter Zustandhnist Hashwert.

In jedem Schritt eine Kompressionsfunktion aufm_iundh_ianwenden, lieferthi+1.

Ahnlich wie im CBC Mode f ¨ur Blockchiffren.¨

7 4. Mai 2004

Davies-Meyer Kompressionsfunktion

Man benutzt einen Blockchiffre, um eine Kompressionsfunktion zu erhalten.

BlockchiffreE_:_{_0,₁_}^k_{× {}_0,₁_}^b_{→ {}_0,₁_}^b_mit Schl üssell ängekund Blockl ängeb.

Liefert:

Kompressionsfunktion f :{0,1}^k+b→ {0,1}^b mit f(K||m) =E_(K,_m)_⊕_m.

Ist nicht sehr effizient (E bietet zuviel Funktionalit ¨at). Man verwendet daher meist andere Kompressionsfunktionen.

Ansonsten gibt es noch andere Varianten. Man kann auch die Blockl ¨ange verdoppeln etc.

8 4. Mai 2004

Vergleich der Sicherheitseigenschaften

Die folgenden zwei Reduktionen sind im Standardmodell g ¨ultig.

Seih:X→Zeine Hashfunktion.

K ¨onnen wir zweite Urbilder berechnen, so k ¨onnen wir Kollisionen berechnen:

•W ¨ahlex∈X zuf ¨allig.

•Berechne ein zweites Urbildx⁰6=xmith(x⁰) =h(x).

•Ausgabe vonx,x⁰.

Resistenz gegen Kollisionen impliziert also Resistenz gegen schwache Kollisionen.

5 4. Mai 2004

Vergleich der Sicherheitseigenschaften

Seih:X→Y eine Kompressionsfunktion mit#X≥2#Y.

K ¨onnen wir Urbilder berechnen, so k ¨onnen wir Kollisionen berechnen:

•W ¨ahlex∈X zuf ¨allig.

•Berechne ein Urbildx⁰vonh(x).

•Ausgabe vonx,x⁰, wennx6=x⁰. Sonst Fehler.

SeiC={h⁻¹({h(x)})|x∈X}. Die (mittlere) Erfolgswahrscheinlichkeit ist P= (1/#X)

∑

x∈X

(#h⁻¹({h(x)})−1)/#h⁻¹({h(x)})

= (1/#X)

∑

c∈C

∑

x∈c

(#c−1)/#c= (1/#X)

∑

c∈C

(#c−1)

≥(#X−#Y)/#X≥(#X−#X/2)/#X≥1/2.

Resistenz gegen Kollisionen impliziert also die Einweg-Eigenschaft.

6 4. Mai 2004

(3)

Effiziente Hashfunktionen

MD5 (Message Digest 5):

•Von Ron Rivest, 1992. Recht weit verbreitet.

•128 Bit Hashwerte, daher nicht sehr sicher.

•Dar ¨uberhinaus wurden Kollisionen der drunterliegenden Kompressionsfunktion gefunden ...

SHA-1 (Secure Hash Algorithm):

•Von der NSA.

•160 Bit Hashwerte (interne Blockgr ¨oße 512 Bit).

•Am weitesten verbreitete Hashfunktion.

•Im ISO/IEC 10118-3 und FIPS180-1 standardisiert.

11 4. Mai 2004

Effiziente Hashfunktionen

RIPEMD-160:

•Europ ¨aisches Design (K. U. Leven und BSI).

•160 Bit Hashwerte (interne Blockgr ¨oße 512 Bit).

•Im ISO/IEC 10118-3 standardisiert.

SHA-256, SHA-384, SHA-512:

•Im FIPS180-2.

•256, 384 und 512 Bit Hashwerte.

•Recht neu (2001).

12 4. Mai 2004

Merkle-Damgard Konstruktion

Hashfunktionh:{0,1}^∗→ {0,1}ⁿaus Kompressionsfunktion bauen.

Sei f :{0,1}^m→ {0,1}ⁿeine Kompressionsfunktion undr=m−n≥2.

Der Hashwert vonx∈ {0,1}^∗ wird dann wie folgt ausgerechnet:

•xhinten mit Nullen und der Bitl änge vonxbin är geschrieben padden und insBl öckexi∈ {0,1}^rmit0≤i≤s−1aufteilen.

•h0=IV f ¨ur einen festen Initialwert.

•h_i+1=f(h_i||x_i)f ¨ur0≤i≤s−1.

•Der Hashwert isth_s.

Sollte das Padding mehrere Bl öcke beanspruchen, so f ügen wir ein weiteres Padding an, welches die Anzahl der im vorhergehenden Padding verwendeten Bl öcke enth ält usw., bis das letzte Padding in einen Block paßt. Es existieren hier auch andere Varianten.

9 4. Mai 2004

Merkle-Damgard Konstruktion

Thm: F ¨ur eine kollisionsresistente Kompressionsfunktion f ist auch die durch die Merkle-Damgard erhaltene Hashfunktionh

kollisionsresistent.

Bew: Seih(x) =h(x⁰)mitx6=x⁰. Definierex_i,x⁰_i,s,s⁰,h_i,h⁰_iwie in der Konstruktion. Wir k ¨onnens≤s⁰annehmen. Es gilths=h⁰_s₀. Gilt (hs−j,xs−j) = (h⁰_s0−j,x⁰_s0−j)f ¨ur alle1≤ j≤s, so folgts=s⁰wegen dem Padding und dannx=x⁰im Widerspruch zur Annahme. Sei also j minimal mit1≤ j≤sund(h_s₋_j,x_s₋_j)6= (h⁰_s₀₋_j,x⁰_s₀₋_j). Dann gilt h_s₋_j+1=h⁰_s₀₋_j₊₁und eine Kollision ist gefunden.

10 4. Mai 2004

(4)

SHA-1

•F ¨urt←0, . . . ,79:

y←ROTL⁵(A) +f_t(B,C,D) +E+W_t+K_t. E←D,D←C,C←ROTL³⁰(B).

B←A,A←y.

•H0←H0+A,. . .,H4←H4+E.

•AusgabeH0||. . .||H4. SHA-1:

•Eingabex∈ {0,1}^∗.

•x←SHA-1 Padding(x).

•Schreibex=M1||. . .||M_nmitM_i∈ {0,1}⁵¹².

•H←67452301 EFCDAB89 98BADCFE 10325476 C3D2E1F0.

•F ¨uri←1, . . . ,n:H←f(M_i,H).

•Ausgabe vonH.

15 4. Mai 2004

SHA-1

Eingabexmuß Bitl ¨ange|x| ≤2⁶⁴−1haben.

SHA-1 Padding:

•Eingabex. Setzed←(447− |x|) mod 512.

•l←Bin ¨ardarstellung von|x|, wobei|l|= 64.

•y←x||1||0^d||l. Ausgabey.

∨logisches Oder,∧logisches Und,¯·Negation.

80Funktionen:

f_i(B,C,D) =











(B∧C)∨( ¯B∧D) f ür0≤i≤19 B⊕C⊕D f ür20≤i≤39 (B∧C)∨(B∧D)∨(C∧D) f ür40≤i≤59 B⊕C⊕D f ür60≤i≤79.

13 4. Mai 2004

SHA-1

80Konstanten:

K_i=











5A827999 f ür0≤i≤19 6ED9EBA1 f ür20≤i≤39 8F1BBCDC f ür40≤i≤59 CA62C1D6 f ür60≤i≤79.

ROTL^x=zyklischer Shift umxBits nach Links.+Addition modulo2³². Kompressionsfunktion f :{0,1}⁵¹²× {0,1}¹⁶⁰→ {0,1}¹⁶⁰:

•EingabeM∈ {0,1}⁵¹²,H∈ {0,1}¹⁶⁰.

•SchreibeM=W0||. . .||W15mitW_i∈ {0,1}³².

•SchreibeH=H0||. . .||H4mitHi∈ {0,1}³².

•F ¨urt←16, . . . ,79:Wt←ROTL¹(Wt−3⊕Wt−8⊕Wt−14⊕Wt−16).

•A←H0,. . .,E←H4.

14 4. Mai 2004