Snefru

Входное сообщение разбивается на блоки длиной ${\displaystyle 512-<!--\; -\; -->m}$  битов. Основой алгоритма является функция ${\displaystyle H}$ , принимающая на входе ${\displaystyle 512}$  — разрядное значение и вычисляющая ${\displaystyle m}$  — разрядное значение. Каждый новый блок сообщения конкатенируется с хешем, вычисленным для предыдущего блока, и поступает на вход функции ${\displaystyle H}$ . Первый блок объединяется со строкой нулей. Хеш последнего блока конкатенируется с двоичным представлением длины сообщения (MD – усиление), и полученная конкатенация хешируется последний раз.

Функция ${\displaystyle H}$  основана на (обратимой) функции блочного шифрования ${\displaystyle E}$ , принимающей и вычисляющей ${\displaystyle 512}$  — битные значения. ${\displaystyle H}$  возвращает XOR — комбинацию первых ${\displaystyle m}$  битов входа функции ${\displaystyle E}$  и последних ${\displaystyle m}$  битов выхода функции ${\displaystyle E}$ . Функция ${\displaystyle E}$  смешивает входные данные в несколько шагов. Каждый шаг состоит из 64 раундов. В ходе одного раунда берется слово сообщения и младший значащий байт этого слова подается на ${\displaystyle S}$  блок, выходом которого также является слово. Далее выполняется операция XOR полученного слова с двумя соседними словами в сообщении. Таким образом, в одном раунде, используя один байт слова, изменяются два соседних с ним слова в сообщении. В конце раунда байты используемого слова перемешиваются так, чтобы в следующий раз на вход ${\displaystyle S}$  блока попал другой байт (происходит ряд циклических сдвигов на 8, 16 или 24 разряда). Так как раундов 64, а слов 16, то каждое слово используется четыре раза, следовательно, каждый байт сообщения используется в качестве входа ${\displaystyle S}$  блока. Построение ${\displaystyle S}$  блока аналогично построению в алгоритме Khafre.

Если число шагов в функции ${\displaystyle E}$  равно ${\displaystyle 2}$  (${\displaystyle 128}$  раундов), то функция Snefru называется двухпроходной, если число шагов равно ${\displaystyle 3}$  (${\displaystyle 192}$  раунда) то Snefru трехпроходная, и так далее.

В марте 1990 года была назначена награда в 1000$ первому, кто сможет взломать двухпроходный вариант Snefru, найдя два сообщения с одинаковым хеш-кодом (то есть показать, что Snefru не является стойкой к коллизиям 2-го рода). Аналогичная награда была объявлена позже за взлом четырехпроходного варианта Snefru.

Используя средства дифференциального анализа, Эли Бихам и Ади Шамир показали, что двухпроходная функция Snefru (с ${\displaystyle 128}$  — разрядным хешем) не является стойкой к коллизиям 1-го рода и 2-го рода.

Описание атакиПравить

Стандартная атака на хеш-функции основана на парадоксе «дней рождения». Если подвергнуть хешированию ${\displaystyle 2^{m/2}}$  (${\displaystyle 2^{64}}$ , когда ${\displaystyle m=128}$ ) различных сообщений, то с высокой вероятностью получится найти пару с одинаковым хешем. Такая атака применима к любой хеш-функции, вне зависимости от её реализации.

Для Snefru Бихам и Шамир разработали метод дифференциального криптоанализа, который не зависит от выбора ${\displaystyle S}$  блоков и даже может быть использован в том случае, когда ${\displaystyle S}$  блоки не известны криптоаналитику.

При длине хеша ${\displaystyle m=128}$  длина блоков, на которые делится входное сообщение равно ${\displaystyle 512-<!--\; -\; -->m=384}$ . В данной атаке был применен алгоритм, отыскивающий два входных значения функции ${\displaystyle H}$  (${\displaystyle 512}$  — разрядные значения), отличающиеся только в первых ${\displaystyle 384}$  разрядах, формируемых из блоков входного сообщения, но при этом, имеющих один и тот же хеш.

Шаги алгоритма:

1. Выбирается произвольный блок длиной ${\displaystyle 384}$  бита. К нему приписывается строка нулей (или любой другой ${\displaystyle 128}$  — битный вектор, например, хеш предыдущего блока), формируя ${\displaystyle 512}$  — разрядный входной блок для функции ${\displaystyle H}$ . Вычисляется ${\displaystyle H}$ .
2. Создается второй входной блок для функции ${\displaystyle H}$  путём изменения по одному байту в ${\displaystyle 8}$  и ${\displaystyle 9}$  словах первого блока. При этом меняется именно часть, содержащаяся в первых ${\displaystyle 384}$  битах, приписанная строка не меняется. Изменяемые байты в ${\displaystyle 8}$  и ${\displaystyle 9}$  словах — те, которые будут использованы в качестве входных значениях ${\displaystyle S}$  блока в ${\displaystyle 56}$  и ${\displaystyle 57}$  раундах соответственно. Вычисляется ${\displaystyle H}$ .
3. Сравниваются значения функции ${\displaystyle H}$  от входных блоков, полученных в шагах 1) и 2). С вероятностью ${\displaystyle 2^{-<!--\; -\; -->40}}$  будет найдена пара с одинаковым хешем.

Таким образом, вычисляя функцию ${\displaystyle H}$  от приблизительно ${\displaystyle 2^{41}}$  пар блоков, можно найти коллизию 2-го рода для Snefru.

Пояснение алгоритма атакиПравить

Так как изменения, применяемые на шаге ${\displaystyle 2}$ , касаются только байтов, которые используются в ${\displaystyle 56}$  и ${\displaystyle 57}$  раундах, то значения блоков после раундов с номером < ${\displaystyle 56}$  на шагах ${\displaystyle 1}$  и ${\displaystyle 2}$  будут одинаковы.

В ${\displaystyle 56}$ -м раунде байт из ${\displaystyle 8}$ -го слова используется для изменения ${\displaystyle 7}$ -го и ${\displaystyle 9}$ -го слов. Байт подается на вход ${\displaystyle S}$  блока, на выходе которого — слово. Далее выполняется операция XOR с ${\displaystyle 7}$ -м и ${\displaystyle 9}$ -м словами. При изменении этого байта (в шаге ${\displaystyle 2}$ ), а также байта ${\displaystyle 9}$ -го слова, который используется как вход ${\displaystyle S}$  блока в ${\displaystyle 57}$ -м раунде, с вероятностью ${\displaystyle 1/256}$  после выполнения операции XOR байт в ${\displaystyle 9}$ -м слове окажется таким же, как этот же байт в блоке в шаге ${\displaystyle 1}$  после ${\displaystyle 56}$ -и раундов. Тогда, подавая этот байт в ${\displaystyle 57}$ -м раунде на вход ${\displaystyle S}$  блока, на выходе получим то же значение, что и в ${\displaystyle 57}$ -м раунде, осуществляемом над блоком из шага ${\displaystyle 1}$ . Следовательно, ${\displaystyle 10}$ -е слово будет одинаково после ${\displaystyle 57}$  раунда для обоих шагов. Одинаковым окажется также и ${\displaystyle 11}$ -е слово после ${\displaystyle 58}$  раунда, ${\displaystyle 12}$ -е слово после ${\displaystyle 59}$  раунда, …, ${\displaystyle 16}$ -е слово после ${\displaystyle 64}$  раунда, ${\displaystyle 1}$ -е слово после ${\displaystyle 65}$  раунда, …, ${\displaystyle 6}$ -е слово после ${\displaystyle 69}$  раунда, так как вход ${\displaystyle S}$  блока для обоих шагов в этих раундах один и тот же.

${\displaystyle 7}$ -е слово разное для шагов уже после ${\displaystyle 56}$ -го раунда. Поэтому на ${\displaystyle 71}$ -м раунде оно станет причиной того, что станут различными для двух этапов значения ${\displaystyle 6}$ -го и ${\displaystyle 8}$ -го слов. То же самое произойдет и на ${\displaystyle 72}$ -м раунде для слов ${\displaystyle 7}$  и ${\displaystyle 9}$ . И снова, с вероятностью ${\displaystyle 1/256}$ , байт в ${\displaystyle 9}$ -м слове, который будет использоваться в качестве входа ${\displaystyle S}$  блока в ${\displaystyle 73}$ -м раунде, будет одинаков для шагов ${\displaystyle 1}$  и ${\displaystyle 2}$ . А значит, одинаковыми будут ${\displaystyle 10}$ -е, …, ${\displaystyle 16}$ -е, ${\displaystyle 1}$ -е, …, ${\displaystyle 5}$ -е слова. Изменения начнутся, когда будет использовано ${\displaystyle 6}$ -е слово в ${\displaystyle 86}$ -м раунде.

Таким образом, если после ${\displaystyle 56}$ , ${\displaystyle 72}$ , ${\displaystyle 88}$ , ${\displaystyle 104}$  и ${\displaystyle 120}$ -го раундов байт в ${\displaystyle 9}$ -м слове, который будет использоваться в качестве входа для ${\displaystyle S}$  блока в следующих за указанными раундах, будет одинаков для обоих шагов, то одинаковы после полных ${\displaystyle 128}$  раундов окажутся слова ${\displaystyle 10}$ , ${\displaystyle 11}$ , …, ${\displaystyle 16}$ . Вероятность этого события ${\displaystyle (1/256{)}^5=2^{-<!--\; -\; -->40}}$ . Так как в качестве хеша блока берется значение операции XOR от первых 4-х слов входного блока функции ${\displaystyle E}$  и первых 4-х слов выходного блока функции ${\displaystyle E}$ , то хеши, вычисленные на обоих шагах окажутся одинаковыми.

Сравнение атаки с известными методами криптоанализаПравить

Метод был применен также к трехпроходной и четырехпроходной функции Snefru, показав лучшие результаты по сравнению с методом «дней рождения».

Сравнение атаки Шамира и Бихама с атакой «дней рождения»

Количество проходов функции Snefru	Длина хеша, ${\displaystyle m}$	Сложность атаки	Метод «дней рождения»
2	128 — 192	${\displaystyle 2^{12.5}}$	${\displaystyle 2^{64}}$  — ${\displaystyle 2^{96}}$
224	${\displaystyle 2^{12.5}}$	${\displaystyle 2^{112}}$
3	128 — 192	${\displaystyle 2^{28.5}}$	${\displaystyle 2^{64}}$  — ${\displaystyle 2^{96}}$
224	${\displaystyle 2^{33}}$	${\displaystyle 2^{112}}$
4	128 — 192	${\displaystyle 2^{44.5}}$	${\displaystyle 2^{64}}$  — ${\displaystyle 2^{96}}$
224	${\displaystyle 2^{81}}$	${\displaystyle 2^{112}}$

С помощью этой атаки можно найти множество пар, у которых одинаковый хеш, и, кроме того, разыскать несколько сообщений, хеш которых равен хешу данного сообщения (коллизия 1-го рода). Количество операций, требующееся для отыскания коллизии 1-го рода, в данной атаке меньше, чем в методе «грубой силы».

Сравнение атаки Шамира и Бихама с методом «грубой силы»

Количество проходов функции Snefru	Длина хеша, ${\displaystyle m}$	Сложность атаки	Метод «грубой силы»
2	128 — 224	${\displaystyle 2^{24}}$	${\displaystyle 2^{128}}$  — ${\displaystyle 2^{224}}$
3	128 — 224	${\displaystyle 2^{56}}$	${\displaystyle 2^{128}}$  — ${\displaystyle 2^{224}}$
4	128 — 192	${\displaystyle 2^{88}}$	${\displaystyle 2^{128}}$  — ${\displaystyle 2^{192}}$

В данное время Меркл советует применять функцию Snefru с не менее чем восемью проходами. Однако с таким количеством проходов вычисление функции Snefru в значительной степени замедляется, сравнительно с функциями MD5 или SHA.

• Eli Biham, Adi Shamir. Differential cryptanalysis of Snefru, Khafre, REDOC-II, LOKI and Lucifer (Extended Abstract).
• Брюс Шнайер. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. — М.: ТРИУМФ, 2003. — 816 с. — ISBN 5-89392-055-4.