توابع درهم ساز (چکيده ساز)
DESCRIPTION
توابع درهم ساز (چکيده ساز). نصور باقري [email protected]. كارگاه علمي آشنايي با رمزنگاري، شاخه دانشجويي دانشگاه دانشگاه گیلان ، دی ماه 1390. فهرست مطالب. 1. فصل اول : توابع درهم ساز. 2. فصل دوم : امضاي ديجيتال. 3. فصل سوم : انواع توابع درهم ساز. 4. - PowerPoint PPT PresentationTRANSCRIPT
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 1
توابع درهم ساز )چکيده ساز(
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي كارگاهگیلان 1390ماه دی، دانشگاه
نصور باقري
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 2
1
2
4
5
فصل دوم : امضاي ديجيتال
فصل سوم : انواع توابع درهم ساز
فصل چهارم : تحليل توابع درهم ساز
فصل پنجم : گذشته، حال ، آينده
فصل اول : توابع درهم سازفهرست
مطالب
3
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 3
Hash functions, most notably MD5 and SHA-1, initially crafted for use in a handful of cryptographic schemes with specific security requirements, have become standard fare for many developers and protocol designers who treat them as black boxes withmagic properties. This practice had not been seriously challenged until 2004, sinceboth functions appeared to have withstood the test of time and intense scrutiny ofcryptanalysts. Starting last year, we have seen an explosive growth in the number andpower of attacks on the standard hash functions. In this note we discuss the extent towhich the hash functions can be thought of as black boxes, review some recent attacks,and, most importantly, revisit common applications of hash functions in programmingpractice.
b34d0fcefef36b3ff420b
چكيده پيام
پيام طوالني
تابع درهم ساز چيست ؟
H: {0,1}* {0,1}n
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 4
تابع درهم ساز طول ورودي :دلخواه
مقدار ثابت:طول خروجي
ساده بودن محاسبات
بودنيک طرفه
فايل يا پيام
تابع درهم ساز
توابع درهم ساز = توابع بدون بازگشتتوابع درهم ساز = توابع بدون بازگشت
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 5
توابع درهم ساز
بدون كليدكليد دار
MACMDC
OWHF
UOWHF
CRHF
طبقه بندي عمومي توابع درهم ساز
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 6
تفاوت توابع درهم ساز با DESالگوريتم
بيتيnمتن رمز شده
متن رمز شده با طول ثابت
متن رمز نشده n بيتي
متن رمز نشده باطول دلخواه
ال*گوريتمDES
الگوريتم
درهم
ساز
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 7
ويژگيهاي تابع مقاومت در مقابل پيش درهم ساز
تصويرH
H(x)
failurereturn
forend
xreturnthenyxhif
doXxallfor
qXXXchoose
5
4
)(3
2
,1
0
00
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 8
ويژگيهاي تابع درهم ساز
مقاومت در برابر پيش تصوير دوم
H
H(X)
H
H(X)
X
=
failurereturn
forend
xreturnthenyxhif
doXxallfor
qXxXXchoose
xhy
6
5
)(4
3
1,2
)(1
00
00
00
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 9
ويژگيهاي تابع درهم ساز
H H
=
مقاومت در برابر برخورد)عدم برخورد(
failurereturnelse
xxreturnthenxxsomeforyyif
xhydoXxallfor
qXXXchoose
xx
x
4
),(,3
)(2
,1
0
00
ناپذيري اين ويژگي به امضاء جعلالكترونيكي كمك مي كند.
H(X) H(X)
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 10
ويژگيهاي تابع درهم ساز
ويژگي اوراكل تصادفي
بعنوان تابعي كه به صورت تصادفي رفتار مي )(hتابع .كند ، انتخاب مي گردد
.هر حمله اي ممكن است ويژگي اوراكل تصادفي را غير معتبر مي سازد
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 11
كاربردهاي توابع سازيدرهم
ديجيتالامضاي
كد احراز اصالت پيام
)رمزهاي توابع شبه تصادفي دنباله اي(
رمزهاي قطعهاي
پروتکلهاي تصديق هويت
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، خواجه صنعتي دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي كارگاهطوسي نصيرالدين
12
كاربرد در طرح هاي امضاي ديجيتال
Alice
Alice
Alice
Alice
آيا امضاي ديجيتال
صحيح است؟
?=
h h
آليس باب
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 13
ليسآ
AliceAlice
?=
Eve
€ 10k € 50k
h h
اينآليس لطفا پيام را امضاء كن
€ 10k
پيام را اين باب،آليس امضاء كرده
.است
€ 50k
Alice
h h
باشه.من اين پيام را امضاء مي
..كنم
آليس اين پيام را امضاء كرده
است
امضاء صحيح !است
تصادم !
باب
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 14
پيام+
امضاء
پيام+
امضاء
درهم سازيدرهم سازي
تشخيص صحت امضابا استفاده از كليدعمومي فرستنده
تشخيص صحت امضابا استفاده از كليدعمومي فرستنده
امضاي مقدار درهمشده با استفاده از كليد
خصوصي فرستنده
امضاي مقدار درهمشده با استفاده از كليد
خصوصي فرستنده
پيام+
امضاء
پيام+
امضاء
مقايسهمقايسه
مقدار درهم شدهمقدار درهم شده
پيامپيام
فرستنده
گيرنده
مقدار درهم شدهمقدار درهم شده
با اعمال تابع درهم سازي روي پيام
Signed Message
رمز گشايي پيامرمز گشايي پيام با استفاده ازبا استفاده ازكليد خصوصيكليد خصوصي
گيرندهگيرنده
رمز گشايي پيامرمز گشايي پيام با استفاده ازبا استفاده ازكليد خصوصيكليد خصوصي
گيرندهگيرنده
رمز نمودن پيامرمز نمودن پيام با استفادهبا استفاده
از كليد عمومياز كليد عمومي گيرندهگيرنده
رمز نمودن پيامرمز نمودن پيام با استفادهبا استفاده
از كليد عمومياز كليد عمومي گيرندهگيرنده
پيام رمزشده
ارسال از طريق اينترنت
ايجاد يك امضاي ديجيتالي
زبا استفاده از تابع درهم سا
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن،
هويت تصديق پروتکلهاي
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 16
ساز درهم تابع يك طراحي
طول • با ساز فشرده تابع يك از استفادهتكرار ساختار يك در ثابت خروجي و ورودي
شونده.
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 17
توابع درهم ساز تكراري )مركل-دمگارد(
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 18
(HAIFAتوابع درهم ساز تكراري )
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 19
Wideتوابع درهم ساز تكراري )Pipe MD)
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 20
(Spongeتوابع درهم ساز تكراري )
يک جايگشت fدر اينجا تابع است
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 21
يت توابع درهم ساز تکراريامن
ر ي وجود دارد که تأثيف تابع درهم ساز تکراريدو عنصر در تعرت آن دارندي امني رويمهم :
IV هينتخاب مقدار اولا
يه گذاريانتخاب روش ال
.
ثابت باشد و فرآيند اليي گذاري IVاگر مقدار اوليه مشتمل بر قرار دادن طول ورودي در بيتهاي اليي
، مقاوم در برابر برخورد است اگر hگذاري باشد، آنگاه .، مقاوم در برابر برخورد باشدfوتنها اگر
ه مرکل – دمگارديقض
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 22
شونده تكرار ساز درهم توابع در خواص حفظ
واصcظ خcارت حفcژگي از عبcه اين ويcبيcكc سcاختار cدرهcم سcاز اطالق cمcي شcوcد كcه بتcوانcد cخcواcصc تcابعc فcشcردcه سcاز رcا بcه
كcل تابعc درهمc ساز گسcترشc دهcد.
اردccccل-دمگcازي مركccccساختار درهم سخاصcccيت مقcccاوcمت درc برابcccر تالقيc را
حفظ مي كند.
وانccه مي تccواص چccاير خccارة سccدر بگفت؟
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 23
طول گسترش حمله
:ضعف گسcترش طcول در سcاختار مركcل- دمگارد–
بيIابيم ’m و m اگIر بتIوانيم دو پيIام متفIاوت•IهIك=f(IV,m’) f(IV,m) وانIتI ورت ميIدر اين ص
سIاخت كIه ’Mو M IبينهIايت زوج IپيIام متفIاوIت =H(M’) H(M) ودIاهده مي شIا مشIدر . در اينج
I دادIIعIه تIIبI وانIIتI ميI قي Iك تالIIتن يIIشIدا IاIIه بIIكI .يدIدلخواه تالقي رس
Mو بIدون داشIتن MطIول و H(M)با داشIتن •مي دلخIواIه را ’mبIراIي هIر H(M||m’) IمقIداIر
. حساب كردتوان
☒
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 24
M1
M’1
h0 h1
M2
M’2
h2
Mk
M’k
hk-1 hk
چندگانه تالقي حمله
عمليات زير ار تكرار كن:k تا 1 از iبراي •را M’i و Mi متنهاي Cبا فراخواني ماشين تالقي ياب –
:به گونه اي پيدا كن كه
:قرار بده–
متن متفاوت 2kبعد از عمليات اليي گذاري تعداد •بعنوان متنهايي كه به يك مقدار خروجي مي
رسند، تحويل بده.
iiiiii MMandMhfMhf ,, 11
iii Mhfh ,1
☒
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 25
دوم تصوير پيش زياد حمله طول با
ساختن يك پيام قابل گسترش:•f(h,M)=hبا استفاده از نقاط ثابت «با استفاده از تالقي چند گانه«
استفاده از پيام قابل گسترش براي رسيدن •.به پيش تصوير دوم
براي پيامهاي با طول خيلي بلند پيچيدگي آن •بسيار كمتر از مقدار مورد انتظار از حملة
روز تولد است. مثال: / 2 / 22 2n nM The Complexity of attack O
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 26
گو غيب حمله
نتيجة يك مي تواند حمله كننده مدعي مي شود كه •اتفاقي كه قرار است در آينده رخ دهد را پيشگويي
كند. او اين كار را با منتشر كردن يك مقدار قبل از رخ دادن اتفاق انجام مي دهد. Tدرهم سازي
، كه حاوي Mبعد از اينكه اتفاق رخ داد، او يك پيام اطالعات كافي براي اثبات اينكه او از نتيجه آگاه
بوده است، و نتيجة درهم سازي متناظر با آن، به . را ارائه مي كند، H(M)=Tگونه اي كه
☒
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 27
حمالت با مقابله كار راه
مياني • سازي درهم مقدار طول افزايش( لوكس(
جديد • ساختارهاي اكثر در شده استفاده
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 28
انواع توابع فشرده ساز
ساز اختصاصي فشردهتوابع
ساز مبتني بر حساب پيمانه اي فشردهتوابع
توابع فشرده ساز مبتني بر رمزهاي قطعه اي
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 86خرداد 29
مبتني برساز توابع درهمرمزهاي قطعه اي
م شده به قطعات(يواضح )تقس متن
يقطعات خروج
طرح توسط پرنيل و ديگران مورد 64•بررسي قرار گرفت
طرح امنيت مناسب12 •
طرح ديگر نسبتاs ايمن8•
طرح 44بقيه •
طراحي تابع درهم ساز با استفاده از رمز هاي
قطعه اي
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 30
با دوگان دو تابع درهم ساز ک طول قطعهي
EE
ZHi
Xi
Xi
Hi
iiziii XXEXHfHiH
)(),()(1 iiXiii HHEXHfH
i )(),(1
ار متساخت
ييس - م
س- اس
ر
ساختار د
ويي
س - مري
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 31
Eg
xi
Hi-1
طرح مياگوشي -پرينل
iiiHZiii HXXEXHfHi
)(),( )(1
لين
پر- ي
شگو
يام
Hi
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 32
حساب مبتني بر فشرده سازتوابع ايپيمانه
دشواري حل مسائل تئوري اعداد =امنيت سيستم تغير بودن طول خالصه پيامم
ElGamal و سيستم رمز RSA، مثال:
طراحي تابع درهم ساز با استفاده از حساب پيمانه اي
هاي موجود سازيامكان استفاده از پياده Mآساني تنظيم کردن سطح امنيت با انتخاب پيمانه
مشكل اساسي: كند بودن در مقايسه با ساير طرح ها
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، خواجه صنعتي دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي كارگاهطوسي نصيرالدين
33
MD4خانواده
•MD4, MD5•RIPEMD-{0,128,160,256,320}•SHA-{0,1,224,256,384,512}•HAVAL•Tiger•Whirlpool
توابع فشرده ساز اختصاصي
طراحي توابع درهم ساز به صورت اختصاصي
يساز طراحي شدن با هدف مخصوص درهميا مانهيا حساب پي يا قطعهي موجود مانند رمزهايعدم نياز به استفاده از اجزا
ن توجه را در عمل به خود جلب نموده،مبتنييشترين نوع که بيساز از ا تابع درهم هستندMD4 تمي بر الگور
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، خواجه صنعتي دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي كارگاهطوسي نصيرالدين
34
يپم
ا1
6ه ا
مكل
ي
دور1
دور 2
دور 3
دور 4
A0
B0
C0
D0
A1
B1
C1
D1
MD5ي الگوريتم شما
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 35
يپم
ا1
6ه ا
مكل
ي
Round 1
Round 2
Round 3
Round 4
A0
B0
C0
D0
A1
B1
C1
D1
E0
E1
SHA-1ي الگوريتم شما
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 36
طول خروجي )حمله روز تولد)
خروجي
H تابع درهمساز
ورودي
نفر روز تولد يكسان 2 نفر، احتمال اينكه 40براي مثال در ميان . درصد89داشته باشند برابر است با
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 37
يطول خروجازيمورد ن
بيتي امن بايد:nدر يك تابع درهم ساز ر دوم به حدود يش تصويا پير يش تصويک پيد ي- تول12nاز داشته باشد.يات ني عملاز داشته يات نيعمل 2n/2ک برخورد به حدود يد ي- تول2
.باشد
22n
160802 nn
. مي باشديتي ب160ک تابع درهم ساز مقاوم در برابر برخورد امروزه، حداقل ي
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 38
آينده حال، گذشته،
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 39
1989 MD2
1990 MD4
1991 MD5
1992 HAVAL
1993 SHA0,RIPEMD
1994
1995 SHA1
1996
1997
1998
1999
2000
2001
2002 SHA-256,384,512
2003
2004 SHA-224
2005
2006
SHA1MD5
MD4
SHA1MD4شكسته شد
SHA-0حمله تئوري روي
MD5 و SHA0 شكسته شدند و حمله تئوري روي SHA1
گدشته
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 40
گذشته
SHA-224SHA-256SHA-384SHA-512 (NIST, ’02/04)
SHA-0 (NIST, ’93)
MD4 (Rivest ‚‘90)Ext. MD4
(Rivest ‚‘90)
RIPEMD-0 (RIPE, ‘92) MD5
(Rivest ‚‘92)
RIPEMD-128RIPEMD-160RIPEMD-256RIPEMD-320 (Dobbertin, Bosselaers, Preneel ‘96)
SHA-1 (NIST, ’95)HAVAL
(Zheng, Pieprzyk, Seberry ‚‘93)
Dobbertin ‚’95/96Kasselman/ Penzhorn‚ 2000
Chabaud/Joux‚ ‘98
van Rompay/ Preneel/???‚ 2003
Biham/Chen‚ 2004
Joux‚ 2004
Wang/Feng/ Lai/Yu‚ 2004
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 41
.
موسسه 2007در سال •NISTد را ي فراخوان طرح جد
در قالب مسابقه طراحي يك االگوريتم درهم ساز پيشرفته
. ارائه كردSHA-3با نام
مسابقه الگوريتم اکنون : استاندارد جديد
•64. كردند نام ثبت الگوريتمپذيرفته 51• اول دور براي الگوريتم
شدند.•14. كردند پيدا راه دوم دور به الگوريتمکاندايداهاي 5• عنوان به الگوريتم
. شدند معرفي نهايي؟؟؟؟. •
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن،
روند انتخاب استاندارد جديد 01/23/07 Draft submission criteria published 11/02/07 Federal Register announcement of SHA-3 Competition 08/31/08 Preliminary submissions due 10/31/08 Submissions due – 64 received 12/09/08 Announced 51 First round candidates 02/25/09 First SHA-3 Candidate Conference, Leuven Belgium 07/24/09 Announced 14 second round candidates 09/15/09 Tweaks accepted, second round began 08/23/10 – 08/24/10 Second SHA-3 Candidate Conference, UCSB 4Q10 Announce finalist candidates 1Q11 Final tweaks of candidates• 1Q12 Last SHA-3 Candidate Conference• 2Q12 Announce winner• 4Q12 FIPS package to Secretary of Commerce
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 43
.
BLAKESwiss, HAIFA
GrøstlEuropean, WideP MD JHSingapore, novel construction
KeccakEuropean, SpongeSkeinSKEINUS, WideP MD (more or less)
کانديداهاي نهايي استاندارد جديد درهم سازي
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن،
مقايسه ساختاري کانديداها
S-box Logic
Mode AES Bit-slice ARX Bitwise
Block sponge
Keccak
Wide MD Grøstl JH Skein
Haifa BLAKE
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 45
.
تحليل توابع درهم ساز، با تمركز بر •توابع شركت كننده در مسابقه استاندارد
جديد.
به • رسيدن براي ساز درهم توابع سازي پياده. افزار نرم در باال سرعت
درهم • توابع براي خاص افزارهاي سخت طراحيساز.
توابع • بر تمركز با جديد ساز درهم توابع طراحيدر بكارگيري براي وزن سبك درهمساز
مانند منابع محدوديت داراي RFIDسيستمهاي•...
آينده : زمنيه هاي كاري موجود
دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 46
با تشكر از ?توجه شما