Поли1305

Poly1305 — это универсальное семейство хэшей, разработанное Дэниелом Дж. Бернштейном для использования в криптографии . ^[1]

Как и любое универсальное семейство хешей, Poly1305 можно использовать в качестве одноразового кода аутентификации сообщения для аутентификации одного сообщения с использованием секретного ключа, совместно используемого отправителем и получателем. ^[2] аналогично тому, как одноразовый блокнот можно использовать для сокрытия содержимого одного сообщения с использованием секретного ключа, совместно используемого отправителем и получателем.

Первоначально Poly1305 был предложен как часть Poly1305-AES. ^[3] аутентификатор Картера-Вегмана ^{[4] [5] [1]} который сочетает в себе хэш Poly1305 с AES-128 для аутентификации многих сообщений с использованием одного короткого ключа и отдельных номеров сообщений.Позже Poly1305 был применен с одноразовым ключом, сгенерированным для каждого сообщения с использованием XSalsa20 в аутентифицированном шифре NaCl crypto_secretbox_xsalsa20poly1305, ^[6] а затем использовать ChaCha в ChaCha20-Poly1305. аутентифицированном шифре ^{[7] [8] [1]} развернут в TLS в Интернете. ^[9]

Poly1305 принимает 16-байтовый секретный ключ. ${\displaystyle r}$ и ${\displaystyle L}$-байтовое сообщение ${\displaystyle m}$ и возвращает 16-байтовый хэш ${\displaystyle \operatorname {Poly1305} _{r}(m)}$.Для этого Poly1305: ^{[3] [1]}

1. интерпретирует ${\displaystyle r}$ как 16-байтовое целое число с прямым порядком байтов.
2. Разбивает сообщение ${\displaystyle m=(m[0],m[1],m[2],\dotsc ,m[L-1])}$ на последовательные 16-байтовые фрагменты.
3. Интерпретирует 16-байтовые фрагменты как 17-байтовые целые числа с прямым порядком байтов, добавляя 1 байт к каждому 16-байтовому фрагменту, который будет использоваться в качестве коэффициентов полинома.
4. Оценивает полином в точке ${\displaystyle r}$ по модулю простого числа ${\displaystyle 2^{130}-5}$.
5. Уменьшает результат по модулю ${\displaystyle 2^{128}}$ закодированные с прямым порядком байтов, возвращают 16-байтовый хэш.

Коэффициенты ${\displaystyle c_{i}}$ полинома ${\displaystyle c_{1}r^{q}+c_{2}r^{q-1}+\cdots +c_{q}r}$, где ${\displaystyle q=\lceil L/16\rceil }$, являются:

$${\displaystyle c_{i}=m[16i-16]+2^{8}m[16i-15]+2^{16}m[16i-14]+\cdots +2^{120}m[16i-1]+2^{128},}$$

за исключением того, что если ${\displaystyle L\not \equiv 0{\pmod {16}}}$, затем:

$${\displaystyle c_{q}=m[16q-16]+2^{8}m[16q-15]+\cdots +2^{8(L{\bmod {1}}6)-8}m[L-1]+2^{8(L{\bmod {1}}6)}.}$$

Секретный ключ ${\displaystyle r=(r[0],r[1],r[2],\dotsc ,r[15])}$ ограничено наличием байтов ${\displaystyle r[3],r[7],r[11],r[15]\in \{0,1,2,\dotsc ,15\}}$, т. е . очистить четыре старших бита; и иметь байты ${\displaystyle r[4],r[8],r[12]\in \{0,4,8,\dotsc ,252\}}$, т. е . очистить два младших бита.Таким образом, существуют ${\displaystyle 2^{106}}$ различные возможные значения ${\displaystyle r}$.

Если ${\displaystyle s}$ — секретная 16-байтовая строка, интерпретируемая как целое число с прямым порядком байтов, затем

$${\displaystyle a:={\bigl (}\operatorname {Poly1305} _{r}(m)+s{\bigr )}{\bmod {2}}^{128}}$$

называется аутентификатором сообщения ${\displaystyle m}$.Если отправитель и получатель используют общий 32-байтовый секретный ключ ${\displaystyle (r,s)}$ заранее выбран равномерно случайным образом, тогда отправитель может передать аутентифицированное сообщение ${\displaystyle (a,m)}$.Когда получатель получает предполагаемое проверенное сообщение ${\displaystyle (a',m')}$ (который мог быть изменен противником при передаче), они могут проверить его подлинность, проверив, является ли

$${\displaystyle a'\mathrel {\stackrel {?}{=}} {\bigl (}\operatorname {Poly1305} _{r}(m')+s{\bigr )}{\bmod {2}}^{128}.}$$Без знания ${\displaystyle (r,s)}$, у противника есть вероятность ${\displaystyle 8\lceil L/16\rceil /2^{106}}$ найти какой-либо ${\displaystyle (a',m')\neq (a,m)}$ который пройдет проверку.

Однако тот же ключ ${\displaystyle (r,s)}$ не должен использоваться повторно для двух сообщений.Если противник узнает

$${\displaystyle {\begin{aligned}a_{1}&={\bigl (}\operatorname {Poly1305} _{r}(m_{1})+s{\bigr )}{\bmod {2}}^{128},\\a_{2}&={\bigl (}\operatorname {Poly1305} _{r}(m_{2})+s{\bigr )}{\bmod {2}}^{128},\end{aligned}}}$$

для ${\displaystyle m_{1}\neq m_{2}}$, они могут вычесть

$${\displaystyle a_{1}-a_{2}\equiv \operatorname {Poly1305} _{r}(m_{1})-\operatorname {Poly1305} _{r}(m_{2}){\pmod {2^{128}}}}$$

и найдите корень полученного многочлена, чтобы восстановить небольшой список кандидатов на секретную оценочную точку. ${\displaystyle r}$, и оттуда секретный блокнот ${\displaystyle s}$.Затем злоумышленник может использовать это для подделки дополнительных сообщений с высокой вероятностью.

Исходное предложение Poly1305-AES ^[3] использует структуру Картера – Вегмана ^{[4] [5]} для аутентификации многих сообщений, принимая ${\displaystyle a_{i}:=H_{r}(m_{i})+p_{i}}$ быть аутентификатором i- го сообщения ${\displaystyle m_{i}}$, где ${\displaystyle H_{r}}$ является универсальным семейством хешей и ${\displaystyle p_{i}}$ — это независимое однородное случайное значение хеш-функции, которое служит одноразовым блокнотом для его сокрытия.Poly1305-AES использует AES-128 для генерации ${\displaystyle p_{i}:=\operatorname {AES} _{k}(i)}$, где ${\displaystyle i}$ кодируется как 16-байтовое целое число с прямым порядком байтов.

В частности, ключ Poly1305-AES представляет собой 32-байтовую пару. ${\displaystyle (r,k)}$ 16-байтовой оценочной точки ${\displaystyle r}$, как указано выше, и 16-байтовый ключ AES. ${\displaystyle k}$.Аутентификатор Poly1305-AES в сообщении ${\displaystyle m_{i}}$ является

$${\displaystyle a_{i}:={\bigl (}\operatorname {Poly1305} _{r}(m_{i})+\operatorname {AES} _{k}(i){\bigr )}{\bmod {2}}^{128},}$$

где 16-байтовые строки и целые числа идентифицируются с помощью кодировки с прямым порядком байтов.Обратите внимание, что ${\displaystyle r}$ повторно используется между сообщениями.

Без знания ${\displaystyle (r,k)}$, злоумышленник имеет низкую вероятность подделать какие-либо аутентифицированные сообщения, которые получатель примет как подлинные.Предположим, противник видит ${\displaystyle C}$ аутентифицированные сообщения и попытки ${\displaystyle D}$ подделки и может отличить ${\displaystyle \operatorname {AES} _{k}}$ из равномерной случайной перестановки с преимуществом не более ${\displaystyle \delta }$.(Если AES не сломан, ${\displaystyle \delta }$ очень маленький.)Шансы противника на успех при одной подделке не превышают:

$${\displaystyle \delta +{\frac {(1-C/2^{128})^{-(C+1)/2}\cdot 8D\lceil L/16\rceil }{2^{106}}}.}$$

Номер сообщения ${\displaystyle i}$ никогда не должно повторяться с одним и тем же ключом ${\displaystyle (r,k)}$.Если это так, злоумышленник может восстановить небольшой список кандидатов на ${\displaystyle r}$ и ${\displaystyle \operatorname {AES} _{k}(i)}$, как и в случае с одноразовым аутентификатором, и использовать его для подделки сообщений.

Аутентифицированный шифр NaCl crypto_secretbox_xsalsa20poly1305 использует номер сообщения. ${\displaystyle i}$ с помощью потокового шифра XSalsa20 для каждого сообщения для генерации потока ключей , первые 32 байта которого принимаются как одноразовый ключ Poly1305 ${\displaystyle (r_{i},s_{i})}$ а остальная часть используется для шифрования сообщения.Затем он использует Poly1305 в качестве одноразового аутентификатора зашифрованного текста сообщения. ^[6] ChaCha20-Poly1305 делает то же самое, но с ChaCha вместо XSalsa20 . ^[8]

Безопасность Poly1305 и его производных от подделки вытекает из его ограниченной вероятности разности как универсального хеш-семейства :Если ${\displaystyle m_{1}}$ и ${\displaystyle m_{2}}$ являются сообщениями до ${\displaystyle L}$ байт каждый, и ${\displaystyle d}$ любая 16-байтовая строка, интерпретируемая как целое число с прямым порядком байтов, тогда

$${\displaystyle \Pr[\operatorname {Poly1305} _{r}(m_{1})-\operatorname {Poly1305} _{r}(m_{2})\equiv d{\pmod {2^{128}}}]\leq {\frac {8\lceil L/16\rceil }{2^{106}}},}$$

где ${\displaystyle r}$ — это единый случайный ключ Poly1305. ^{[3] : Теорема 3.3, с. 8}

Это свойство иногда называют ${\displaystyle \epsilon }$-почти-Δ-универсальность по ${\displaystyle \mathbb {Z} /2^{128}\mathbb {Z} }$, или ${\displaystyle \epsilon }$-АΔU , ^[10] где ${\displaystyle \epsilon =8\lceil L/16\rceil /2^{106}}$ в этом случае.

С одноразовым аутентификатором ${\displaystyle a={\bigl (}\operatorname {Poly1305} _{r}(m)+s{\bigr )}{\bmod {2}}^{128}}$, вероятность успеха злоумышленника при любой попытке подделки ${\displaystyle (a',m')}$ в сообщении ${\displaystyle m'}$ до ${\displaystyle L}$ байты:

$${\displaystyle {\begin{aligned}\Pr[&a'=\operatorname {Poly1305} _{r}(m')+s\mathrel {\mid } a=\operatorname {Poly1305} _{r}(m)+s]\\&=\Pr[a'=\operatorname {Poly1305} _{r}(m')+a-\operatorname {Poly1305} _{r}(m)]\\&=\Pr[\operatorname {Poly1305} _{r}(m')-\operatorname {Poly1305} _{r}(m)=a'-a]\\&\leq 8\lceil L/16\rceil /2^{106}.\end{aligned}}}$$

Здесь арифметика внутри ${\displaystyle \Pr[\cdots ]}$ считается, что он находится в ${\displaystyle \mathbb {Z} /2^{128}\mathbb {Z} }$ для простоты.

Для NaCl crypto_secretbox_xsalsa20poly1305 и ChaCha20-Poly1305 вероятность успеха злоумышленника при подделке одинакова для каждого сообщения независимо, как и для одноразового аутентификатора, плюс отличительное преимущество злоумышленника. ${\displaystyle \delta }$ против XSalsa20 или ChaCha как псевдослучайных функций, используемых для генерации ключа для каждого сообщения.Другими словами, вероятность того, что злоумышленнику удастся совершить одну подделку после ${\displaystyle D}$ попытки сообщений до ${\displaystyle L}$ байт не более:

$${\displaystyle \delta +{\frac {8D\lceil L/16\rceil }{2^{106}}}.}$$

Безопасность Poly1305-AES от подделки следует из структуры Картера-Вегмана-Шоупа, которая создает экземпляр аутентификатора Картера-Вегмана с перестановкой для создания панели для каждого сообщения. ^[11] Если противник увидит ${\displaystyle C}$ аутентифицированные сообщения и попытки ${\displaystyle D}$ подделки сообщений размером до ${\displaystyle L}$ байт, и если противник имеет отличительное преимущество не более ${\displaystyle \delta }$ против AES-128 как псевдослучайной перестановки , то вероятность того, что противник добьется успеха в любом из ${\displaystyle D}$ подделки – это максимум: ^[3]

$${\displaystyle \delta +{\frac {(1-C/2^{128})^{-(C+1)/2}\cdot 8D\lceil L/16\rceil }{2^{106}}}.}$$

Например, если предположить, что сообщения представляют собой пакеты размером до 1024 байт; что злоумышленник видит 2 ⁶⁴ сообщения, аутентифицированные ключом Poly1305-AES; что злоумышленник пытается совершить колоссальные 2 ⁷⁵ подделки; и что злоумышленник не может взломать AES с вероятностью выше δ; тогда с вероятностью не менее 0,999999 − δ все 2 ⁷⁵ отклонены

- Бернштейн, Дэниел Дж. (2005) ^[3]

Poly1305-AES может вычисляться с высокой скоростью на различных процессорах: для n не более 3,1 n + 780 тактов Athlon, -байтового сообщения необходимо ^[3] например.Автор выпустил оптимизированный исходный код для Athlon , Pentium Pro/II/III/M, PowerPC и UltraSPARC , а также неоптимизированные эталонные реализации на C и C++ в качестве общедоступного программного обеспечения . ^[12]

Ниже приведен список библиотек шифрования, поддерживающих Poly1305:

• Ботан
• Надувной замок
• Крипто++
• Libgcrypt
• либнатрий
• Крапива
• OpenSSL
• LibreSSL
• волкСклеп
• ГнуTLS
• mbed TLS
• МатрицаSSL

• ChaCha20-Poly1305 - схема AEAD, сочетающая поточный шифр ChaCha20 с вариантом Poly1305.

• Эталон Poly1305-AES и оптимизированная реализация автора DJ Bernstein
• Быстрая реализация Poly1305 на C на github.com
• NaCl Одноразовый аутентификатор и шифр с аутентификацией с использованием Poly1305