Очень гладкий хеш

В криптографии изобретенная Very Smooth Hash (VSH) — это доказуемо безопасная криптографическая хеш-функция, в 2005 году Скоттом Контини, Арьеном Ленстра и Роном Стейнфельдом. ^[1] Доказуемость означает, что обнаружение столкновений так же сложно, как известная сложная математическая задача. В отличие от других доказуемо безопасных и устойчивых к коллизиям хэшей, VSH эффективен и пригоден для использования на практике. Асимптотически ) бита сообщения требуется только одно умножение для каждого log( n и используется арифметика типа RSA. Таким образом, VSH может быть полезен во встроенных средах, где пространство кода ограничено.

Было предложено два основных варианта VSH. Во-первых, обнаружить столкновение так же сложно, как найти нетривиальный модульный квадратный корень из очень гладкого числа по модулю n . Другой использует простой модуль p (без лазейки ), и его доказательство безопасности основано на сложности нахождения дискретных логарифмов очень гладких чисел по модулю p . Обе версии имеют одинаковую эффективность.

VSH не подходит в качестве замены случайного оракула , но может использоваться для создания доказуемо безопасной рандомизированной хэш-функции с лазейкой. Эта функция может заменить функцию лазейки, используемую в схеме подписи Крамера-Шоупа , сохраняя ее доказуемую безопасность и одновременно ускоряя время проверки примерно на 50%.

ВСН и ВССР [ править ]

Все широко используемые сейчас криптографические хеш-функции не основаны на сложных математических задачах. Те немногие функции, которые построены на сложных математических задачах, называются доказуемо безопасными . найти столкновения Известно, что так же сложно, как решить сложную математическую задачу. Для базовой версии функции Very Smooth Hash эта сложная задача состоит в нахождении модульных квадратных корней (VSSR) из определенных специальных чисел (VSN). ^[1] Предполагается, что это так же сложно, как и факторизация целых чисел .

Для фиксированных констант c и n целое число m является очень гладким числом (VSN), если наибольший простой делитель m не превышает (log n ). ^с .

Целое число b является очень гладким квадратичным вычетом по модулю n, если наибольшее простое число в факторизации b не превышает (log n ) ^с и существует целое число x такое, что ${\displaystyle b\equiv x^{2}\mod n}$. Говорят, что целое число x является модульным квадратным корнем из b .

Нас интересуют только нетривиальные квадратные корни, те, где x ² ≥ п . Если х ² < n корень можно легко вычислить с помощью алгоритмов из полей с характеристиками 0, таких как реальное поле. Поэтому они не подходят для криптографических примитивов.

Нетривиальный модульный квадратный корень очень гладкого числа (VSSR) — это следующая задача: пусть n — произведение двух неизвестных простых чисел примерно одинакового размера, и пусть ${\displaystyle k\leq (\log n)^{c}}$. Позволять ${\displaystyle p_{1}=2,p_{2}=3,p_{3}=5,\dots }$ быть последовательностью простых чисел. VSSR — это следующая задача: по заданному n найти ${\displaystyle x\in \mathbb {Z} _{n}^{*}}$ такой, что ${\displaystyle \textstyle x^{2}\equiv \prod _{i=0}^{k}p_{i}^{e_{i}}}$ хотя бы одно из e0 _ek ,..., нечетно _и .

Предположение VSSR состоит в том, что не существует вероятностного полинома (в ${\displaystyle \log n}$) временной алгоритм, который решает VSSR с немалой вероятностью. Это считается бесполезным для практики предположением, поскольку оно не говорит о том, для какого размера модулей VSSR является вычислительно трудным. Вместо этого вычислительное предположение VSSR используется . В нем говорится, что решение VSSR считается таким же сложным, как и факторизация трудно поддающегося факторингу фактора. ${\displaystyle s}$ битовый модуль, где ${\displaystyle s}$ несколько меньше размера ${\displaystyle n}$.

Примеры VSN и VSSR [ править ]

Пусть параметры зафиксированы следующим образом: ${\displaystyle c=5}$ и ${\displaystyle n=31}$.

Затем ${\displaystyle m_{1}=35=5\cdot 7}$ является очень гладким числом по отношению к этим параметрам, потому что ${\displaystyle (\log 31)^{5}~{\dot {=}}~7.37}$ больше всех ${\displaystyle m_{1}}$основные факторы. С другой стороны, ${\displaystyle m_{2}=55=5\cdot 11}$ это не VSN под ${\displaystyle c=5}$ и ${\displaystyle n=31}$.

Целое число ${\displaystyle b_{1}=9}$ очень гладкий квадратичный вычет по модулю ${\displaystyle n}$ потому что это очень гладкое число (под ${\displaystyle c,n}$) и у нас есть ${\displaystyle x_{1}=3}$ такой, что ${\displaystyle x_{1}^{2}=b_{1}}$ (против ${\displaystyle n}$). Это тривиальный модульный квадратный корень, потому что ${\displaystyle 3^{2}\not \geq n}$ и поэтому модуль не участвует при возведении в квадрат.

Целое число ${\displaystyle b_{2}=15}$ также является очень гладким квадратичным вычетом по модулю ${\displaystyle n}$. Все простые множители меньше 7,37, а модульный квадратный корень равен ${\displaystyle x_{2}=20}$ с ${\displaystyle 20^{2}=400\equiv 15}$ (против ${\displaystyle n}$). Таким образом, это нетривиальный корень. Задача ВССР состоит в том, чтобы найти ${\displaystyle x_{2}}$ данный ${\displaystyle b_{2}}$ и ${\displaystyle n}$. И мы предполагаем, что в вычислительном отношении это так же сложно, как факторинг ${\displaystyle n}$.

Алгоритм VSH, базовые версии [ править ]

Позволять ${\displaystyle n}$ быть большим составным RSA и пусть ${\displaystyle p_{1}=2,p_{2}=3,\ldots }$ последовательность простых чисел. Позволять ${\displaystyle k}$, длина блока, является наибольшим целым числом таким, что ${\displaystyle \textstyle \prod _{i=1}^{k}p_{i}<n}$. Позволять ${\displaystyle m}$ быть ${\displaystyle \ell }$-битовое сообщение, которое нужно хешировать, состоящее из битов ${\displaystyle (m_{1},\ldots ,m_{\ell })}$ и предположим, что ${\displaystyle \ell <2^{k}}$. Чтобы вычислить хэш ${\displaystyle m}$:

1. х ₀ = 1
2. Позволять ${\displaystyle L}$, наименьшее целое число, большее или равное ${\displaystyle l/k}$, — количество блоков. Позволять ${\displaystyle m_{i}=0}$ для ${\displaystyle l<i\leq Lk}$ (дополнение)
3. Позволять ${\displaystyle \textstyle \ell =\sum _{i=1}^{k}l_{i}2^{i-1}}$ с ${\displaystyle \ell _{i}\in \{0,1\}}$ быть двоичным представлением длины сообщения ${\displaystyle \ell }$ и определить ${\displaystyle m_{Lk+i}=\ell _{i}}$ для ${\displaystyle 1\leq i\leq k}$.
4. для j = 0, 1,..., L последовательно вычислить ${\displaystyle x_{j+1}=x_{j}^{2}\prod _{i=1}^{k}p_{i}^{m_{jk+i}}\mod n}$
5. вернуть х _{L + 1} .

Функция на шаге 4 называется функцией сжатия.

Свойства VSH [ править ]

• Длина сообщения не обязательно должна быть известна заранее.
• Найти коллизию в VSH так же сложно, как решить VSSR. Таким образом, VSH (сильно) устойчив к столкновениям , что также подразумевает устойчивость ко второму прообразу. Устойчивость VSH к прообразу не доказана.
• Функция сжатия не является устойчивой к столкновениям. Тем не менее, хеш-функция VSH устойчива к коллизиям, исходя из предположения VSSR. Измененная версия VSH, называемая VSH* , использует функцию сжатия, устойчивую к коллизиям, и примерно в 5 раз быстрее хэширует короткие сообщения.
• Поскольку выходная длина VSH равна длине безопасного модуля RSA, VSH на практике кажется вполне подходящим для создания подписей RSA «хеш-затем-подпись» для сообщений произвольной длины. Однако такая подпись должна быть тщательно разработана, чтобы обеспечить ее безопасность. Наивный подход можно легко сломать с помощью CPA (атака с выбранным открытым текстом) .
• Эффективность : стоимость каждой итерации меньше стоимости трех модульных умножений. Базовая версия VSH вообще требует однократного умножения на каждый ${\displaystyle \Omega (\log n/\log \log n)}$ биты сообщения.

Варианты ВШ [ править ]

Было предложено несколько улучшений, ускорений и более эффективных вариантов VSH. ^[1] Ни один из них не меняет основную концепцию функции. Эти улучшения называются:

• Возведение ВШ в куб (вместо возведения в квадрат).
• VSH с увеличенным количеством маленьких простых чисел.
• VSH с заранее вычисленными произведениями простых чисел.
• Быстрый ВШ.
• Быстрый VSH с увеличенной длиной блока.

Вариант VSDL и VSH-DL [ править ]

VSH -DL — это вариант VSH с дискретным логарифмом, у которого нет лазейки , его безопасность зависит от сложности нахождения дискретного логарифма по модулю простого числа p . ^[1]

Дискретный логарифм очень гладких чисел (VSDL) — это задача, в которой для очень гладкого числа мы хотим найти его дискретный логарифм по модулю некоторого числа n .

Как и в предыдущем разделе, по ${\displaystyle p_{i}}$ мы обозначаем ${\displaystyle i}$-е простое число. Пусть, кроме того, ${\displaystyle c}$ быть фиксированной константой и ${\displaystyle p}$, ${\displaystyle q}$ быть простым с ${\displaystyle p=2q+1}$ и пусть ${\displaystyle k\leq (\log p)^{c}}$. VSDL представляет собой следующую проблему: учитывая ${\displaystyle p}$, найти целые числа ${\displaystyle e_{1},...,e_{k}}$ такой, что ${\displaystyle 2^{e_{1}}\equiv \prod _{i=2}^{k}p_{i}^{e_{i}}\mod p}$ с ${\displaystyle |e_{i}|<q}$ для ${\displaystyle i=1,...,k}$ и хотя бы один из ${\displaystyle e_{1},...,e_{k}}$ ненулевой.

Предположение VSDL состоит в том, что не существует вероятностного полинома (в ${\displaystyle \log p}$) временной алгоритм, который решает VSDL с немалой вероятностью. Существует сильная связь между сложностью VSDL и сложностью вычисления дискретного логарифма по модулю. ${\displaystyle p}$, что напоминает, но несколько слабее, связь между VSSR и целочисленной факторизацией.

Безопасность VSH [ править ]

Сильная устойчивость к столкновениям — единственное проверенное свойство VSH. Это не подразумевает устойчивость к прообразу или другиеважные свойства хэш-функции, а авторы заявляют, что «VSH не следует использовать для моделирования случайных оракулов », и его нельзя подставлять в конструкции, которые от них зависят ( сигнатуры RSA , некоторые MAC ). ^[1] VSH не следует рассматривать как хэш-функцию общего назначения, как ее обычно понимают в технике безопасности .

Мультипликативное свойство [ править ]

VSH мультипликативен: пусть x , y и z — три битовые строки одинаковой длины, где z состоит только из нулевых битов, а строки удовлетворяют условиям x AND y = z . Это легко увидеть H(z)H(x OR y) ≡ H(x)H(y) (mod n) . В результате VSH подчиняется классической памяти времени. компромиссная атака, применимая к мультипликативным и аддитивным хешам.

Этот факт можно использовать для построения атаки на прообраз VSH ${\displaystyle \ell }$ биты, которые имеют ${\displaystyle 2^{\ell /2}}$ сложность, а не ${\displaystyle 2^{\ell }}$ как и ожидалось.

Атака на усеченную версию [ править ]

VSH создает очень длинный хэш (обычно 1024 бита). Нет никаких указаний на то, чтоусеченный хэш VSH обеспечивает безопасность, соизмеримую с длиной хеша.

Существует атака частичной коллизии на VSH, усеченная до l младших битов. ^[2]

Сложность этой атаки на VSH заключается в следующем:

• Предварительный расчет таблицы в автономном режиме: ${\displaystyle 2^{\ell /3}}$ время и пространство.
• Нахождение коллизий: ${\displaystyle 2^{\ell /3}}$ итерации.
• Общая стоимость: примерно ${\displaystyle 2^{\ell /3}}$, скорее, чем ${\displaystyle 2^{\ell /2}}$ как и ожидалось от хеш-функции с хорошими свойствами псевдослучайности .

Это, вероятно, исключает применимость VSH в схемах цифровых подписей, которые создают подписи короче, чем результат хеширования VSH, таких как схемы подписи с эллиптической кривой.

См. также [ править ]

• Криптографические хэш-функции
• Доказуемо безопасная криптографическая хэш-функция

Ссылки [ править ]