Соревнование по хэш-функциям NIST было открытым соревнованием, проводимым Национальным институтом стандартов и технологий США (NIST) для разработки новой хеш-функции под названием SHA-3, дополняющей старые SHA-1 и SHA-2 . Конкурс был официально объявлен в Федеральном реестре 2 ноября 2007 года [1] «NIST инициирует усилия по разработке одного или несколько дополнительных алгоритмов хэширования посредством публичного конкурса, аналогичен процессу разработки для Advanced Encryption Standard (AES) . " [2]Конкурс закончился 2 октября 2012 года, когда NIST объявил, что Keccak будет новым алгоритмом хеширования SHA-3. [3]
Выигравшая хеш-функция была опубликована как NIST FIPS 202 «Стандарт SHA-3» в дополнение к FIPS 180-4, стандарту безопасного хеширования .
Конкурс NIST вдохновил другие конкурсы, такие как Конкурс хеширования паролей .
Процесс [ править ]
Подача заявок должна была состояться 31 октября 2008 г., а список кандидатов, допущенных к первому раунду, был опубликован 9 декабря 2008 г. [4] NIST провел конференцию в конце февраля 2009 г., на которой заявители представили свои алгоритмы, а официальные лица NIST обсудили критерии для сужения списка. список кандидатов для Раунда 2. [5] Список из 14 кандидатов, допущенных к Раунду 2, был опубликован 24 июля 2009 г. [6] Еще одна конференция прошла 23–24 августа 2010 г. (после CRYPTO 2010) в Университете г. Калифорния, Санта-Барбара , где обсуждались кандидатуры второго тура. [7] Объявление кандидатов в финальный раунд состоялось 10 декабря 2010 г. [8]2 октября 2012 года NIST объявил своего победителя, выбрав Keccak , созданный Гвидо Бертони, Джоан Дэемен и Жиль Ван Аше из STMicroelectronics и Микаэлем Петерсом из NXP. [3]
Участники [ править ]
Это неполный список известных материалов. NIST отобрал 51 заявку для раунда 1. [4] 14 из них прошли во второй раунд [6], из которых были выбраны 5 финалистов.
Победитель [ править ]
Победителем был объявлен Кечак 2 октября 2012 г. [9]
Финалисты [ править ]
NIST выбрал пять алгоритмов-кандидатов SHA-3 для перехода в третий (и последний) раунд: [10]
- БЛЕЙК (Aumasson и др.)
- Грёстль ( Кнудсен и др.)
- JH (Хунцзюнь Ву)
- Keccak (команда Keccak, Daemen et al.)
- Скейн ( Шнайер и др.)
При объявлении финалистов NIST отметил некоторые факторы, которые повлияли на его выбор: [11]
- Производительность: «Несколько алгоритмов были повреждены или устранены из-за требований к очень большой площади [аппаратных ворот] - казалось, что требуемая им площадь препятствовала их использованию в слишком большой части потенциального пространства приложений».
- Безопасность: «Мы предпочитали быть консервативными в отношении безопасности и в некоторых случаях не выбирали алгоритмы с исключительной производительностью, в основном потому, что что-то в них заставляло нас« нервничать », хотя мы не знали о явной атаке на весь алгоритм».
- Анализ: «NIST исключил несколько алгоритмов из-за степени их второстепенных настроек или из-за относительного отсутствия криптоанализа, о котором сообщалось, - либо имел тенденцию создавать подозрение, что проект еще не был полностью протестирован и зрел».
- Разнообразие: финалисты включили хэши, основанные на различных режимах работы, включая конструкции HAIFA и функции губки , а также с различными внутренними структурами, в том числе на основе AES, нарезки битов и чередования XOR с добавлением.
NIST выпустил отчет, в котором подробно объясняется алгоритм оценки. [12] [13] [14]
Не прошел в Финальный раунд [ править ]
Следующие заявки на хэш-функции были приняты для второго раунда, но не дошли до финального раунда. Как отмечается в объявлении финалистов, «ни один из этих кандидатов не был явно нарушен».
- Желание синей полуночи [15] [16]
- CubeHash ( Бернштейн )
- ECHO ( France Telecom ) [17]
- Фуга ( IBM )
- Хамси [18]
- Луффа [19]
- Шабал [20]
- Шавите-3 [21]
- SIMD
Не прошел во второй раунд [ править ]
Следующие заявки на хэш-функции были приняты для первого раунда, но не прошли во второй раунд. Заявители не признали их и не имели существенных криптографических уязвимостей. Однако у большинства из них есть недостатки в компонентах дизайна или проблемы с производительностью.
- ARIRANG [22] (CIST - Корейский университет)
- ОМС [23]
- СУМКА [24]
- ФСБ
- переулок
- Лесамнта [25]
- MD6 ( Ривест и др.)
- SANDstorm ( Сандианские национальные лаборатории )
- Сармал [26]
- SWIFFT X
- TIB3 [27]
Участники со значительными недостатками [ править ]
Следующие не допущенные участники первого раунда заявили о существенных криптографических слабостях:
- АВРОРА ( Университет Сони и Нагоя ) [28] [29]
- Блендер [30] [31] [32]
- Гепард [33] [34]
- Динамический SHA [35] [36]
- Динамический SHA2 [37] [38]
- ECOH
- Эдон-Р [39] [40]
- EnRUPT [41] [42]
- СУТЬ [43] [44]
- ЛЮКС [45]
- MCSSHA-3 [46] [47]
- NaSHA
- Сгаил [48] [49]
- Спектральный хеш
- Твистер [50] [51]
- Вихрь [52] [53]
Допущенные участники [ править ]
Следующие участники Первого раунда были официально отозваны из конкурса своими подателями; согласно официальному веб-сайту NIST «Кандидаты в первый раунд», они считаются неисправными. [54] Таким образом, они снимаются с конкурса.
- Счеты [4] [55]
- Логическое [56] [57]
- DCH [4] [58]
- Хичиди-1 [4] [59]
- MeshHash [4] [60]
- ШАМАТА [4] [61]
- StreamHash [4] [62]
- Клубок [4] [63]
- WaMM [64] [65]
- Водопад [66] [67]
Отклоненные участники [ править ]
Несколько заявок, полученных NIST, не были приняты в качестве кандидатов в первый раунд после внутренней проверки NIST. [4] В целом, NIST не дал никаких подробностей относительно того, почему каждый из них был отклонен. NIST также не предоставил исчерпывающий список отклоненных алгоритмов; известно, что их 13, [4] [68], но только следующие являются общедоступными.
- HASH 2X [ требуется ссылка ]
- Марака [69] [70]
- MIXIT [71]
- НКС 2D [72] [73] [74]
- Поник [75] [76]
- ZK-Crypt [77]
См. Также [ править ]
- Стандартный процесс расширенного шифрования
- Постквантовая стандартизация криптографии
Ссылки [ править ]
- ^ "Федеральный регистр / Том 72, № 212" (PDF) . Федеральный регистр . Государственная типография. 2 ноября 2007 . Проверено 6 ноября 2008 года .
- ^ «Криптографический хэш-проект - Справочная информация» . Ресурсный центр по компьютерной безопасности . Национальный институт стандартов и технологий. 2 ноября 2007 . Проверено 6 ноября 2008 года .
- ^ a b «NIST выбирает победителя конкурса алгоритмов безопасного хеширования (SHA-3)» . NIST. 2 октября 2012 . Проверено 2 октября 2012 года .
- ^ a b c d e f g h i j k «Первый раунд» . 9 декабря 2008 . Проверено 10 декабря 2008 года .
- ↑ Национальный институт стандартов и технологий (9 декабря 2008 г.). «Первая конференция кандидатов SHA-3» . Проверено 23 декабря 2008 года .
- ^ a b «Кандидаты во второй тур» . Национальный институт стандартов и технологий. 24 июля 2009 . Проверено 24 июля 2009 года .
- ↑ Национальный институт стандартов и технологий (30 июня 2010 г.). «Вторая конференция кандидатов SHA-3» .
- ^ «Предварительный график развития новых хеш-функций» . NIST. 10 декабря 2008 . Проверено 15 сентября 2009 года .
- ^ NIST выбирает победителя конкурса алгоритмов безопасного хеширования (SHA-3)
- ^ Кандидаты в третий (последний) раунд получены 9 ноября 2011 г.
- ^ Финалисты SHA-3, объявленные NIST. Архивировано 9 июля 2011 г. на Wayback Machine , сообщение в блоге, полностью цитирующее объявление NIST.
- ^ Отчет о состоянии первого раунда конкурса алгоритмов шифрования SHA-3 (PDF).
- ^ Отчет о статусе второго раунда конкурса алгоритмов шифрования SHA-3 (PDF). Проверено 2 марта 2011 г.
- ^ Отчет третьего раунда конкурса алгоритмов шифрования SHA-3 (PDF).
- ^ Свейн Йохан Кнапског; Данило Глигороски; Властимил Клима; Мохамед Эль-Хадеди; Йорн Амундсен; Стиг Фроде Мьёльснес (4 ноября 2008 г.). "blue_midnight_wish" . Проверено 10 ноября 2008 года .
- ^ Сорен С. Томсен (2009). «Псевдокриптоанализ Blue Midnight Wish» (PDF) . Архивировано из оригинала (PDF) на 2 сентября 2009 года . Проверено 19 мая 2009 года .
- ^ Анри Гилберт; Ряд Бенаджила; Оливье Билле; Жиль Макарио-Рат; Томас Пейрин; Мэтт Робшоу; Янник Сёрин (29 октября 2008 г.). "Предложение SHA-3: ECHO" (PDF) . Проверено 11 декабря 2008 года .
- ^ Озгул Кучук (31 октября 2008). «Хеш-функция Хамси» (PDF) . Проверено 11 декабря 2008 года .
- ^ Дай Ватанабэ; Кристоф де Каньер; Хисайоши Сато (31 октября 2008 г.). «Хеш-функция Luffa: Спецификация» (PDF) . Проверено 11 декабря 2008 года .
- ^ Жан-Франсуа Мисарски; Эммануэль Брессон; Анн Канто ; Бенуа Шевалье-Мамес; Кристоф Клавье; Томас Фур; Алин Гугет ; Томас Икарт; Жан-Франсуа Мисарски; Мария Ная-Пласенсиа; Паскаль Пайе; Томас Порнин; Жан-Рене Рейнхард; Селин Тюйе; Марион Видео (28 октября 2008 г.). «Шабал, материалы, представленные на конкурс криптографических хеш-алгоритмов NIST» (PDF) . Проверено 11 декабря 2008 года .
- ↑ Эли Бихам; Орр Дункельман. «Хеш-функция SHAvite-3» (PDF) . Проверено 11 декабря 2008 года .
- ^ Jongin Lim; Донхун Чанг; Сохи Хонг; Чанхон Кан; Джинкеон Кан; Jongsung Kim; Чанхун Ли; Джесанг Ли; Чжонтэ Ли; Санджин Ли; Юсоп Ли; Джечоль Сон (29 октября 2008 г.). «АРИРАНГ» (PDF) . Проверено 11 декабря 2008 года .
- ^ Филип Хоукс; Кэмерон Макдональд (30 октября 2008 г.). «Представление на конкурс SHA-3: Семейство криптографических хеш-алгоритмов CHI» (PDF) . Проверено 11 ноября 2008 года .
- ^ Жак Патарен; Луи Губен; Микаэль Иваскот; Уильям Джалби; Оливье Ли; Валери Начеф; Хоана Трегер; Эммануэль Вольт. "ХРУП" . Архивировано из оригинала на 29 января 2009 года . Проверено 14 ноября 2008 года .
- ^ Хиротака Ёсида; Шоичи Хиросе; Хиденори Кувакадо (30 октября 2008 г.). "Предложение SHA-3: Лесамнта" (PDF) . Проверено 11 декабря 2008 года .
- ^ Керем Вариджи; Онур Озен; Elebi Kocair. «Хеш-функция Сармала» . Архивировано из оригинала на 11 июня 2011 года . Проверено 12 октября 2010 года .
- ^ Даниэль Пенацци; Мигель Монтес. «Хэш TIB3» (PDF) . Проверено 29 ноября 2008 года . [ постоянная мертвая ссылка ]
- ^ Тецу Ивата; Кёдзи Шибутани; Тайдзо Шираи; Шихо Мориаи; Тору Акисита (31 октября 2008 г.). «AURORA: семейство алгоритмов криптографического хеширования» (PDF) . Проверено 11 декабря 2008 года .
- ^ Нильс Фергюсон ; Стефан Люкс (2009). «Атаки на AURORA-512 и преобразование Double-MIX Меркла – Дамгарда» (PDF) . Проверено 10 июля 2009 года .
- ↑ Колин Брэдбери (25 октября 2008 г.). «БЛЕНДЕР: Предлагаемое новое семейство криптографических алгоритмов хеширования» (PDF) . Проверено 11 декабря 2008 года .
- ^ Крейг Ньюболд. «Наблюдения и атаки на кандидата Blender SHA-3» (PDF) . Проверено 23 декабря 2008 года .
- ^ Флориан Мендель. «Атака прообраза на Blender» (PDF) . Проверено 23 декабря 2008 года .
- ↑ Дмитрий Ховратович; Алексей Бирюков; Ивица Николич (30 октября 2008 г.). «Хеш-функция Cheetah: спецификация и сопроводительная документация» (PDF) . Проверено 11 декабря 2008 года .
- ^ Данило Gligoroski (12 декабря 2008). «Данило Глигороски - Хеш-функция Cheetah не устойчива к атакам с увеличением длины» . Проверено 21 декабря 2008 года .
- ^ Zijie Сей. «Динамический SHA» (PDF) . Проверено 11 декабря 2008 года .
- ↑ Властимил Клима (14 декабря 2008 г.). «Динамический SHA уязвим для общих атак» . Проверено 21 декабря 2008 года .
- ^ Zijie Сей. «Динамический SHA2» (PDF) . NIST . Проверено 11 декабря 2008 года .
- ↑ Властимил Клима (14 декабря 2008 г.). «Динамический SHA2 уязвим для общих атак» . Проверено 21 декабря 2008 года .
- ^ Данило Глигороски; Rune Steinsmo Ødegård; Мария Михова; Свейн Йохан Кнапског; Люпко Кокарев; Алеш Драпал (4 ноября 2008 г.). "эдон-р" . Проверено 10 ноября 2008 года .
- ↑ Дмитрий Ховратович; Ивица Николич; Ральф-Филипп Вайнманн (2008). «Криптоанализ Эдона-Р» (PDF) . Проверено 10 июля 2009 года .
- ^ Шон О'Нил; Карстен Ноль; Лука Хензен (31 октября 2008 г.). «EnRUPT - Чем проще, тем лучше» . Проверено 10 ноября 2008 года .
- ^ Sebastiaan Indesteege (6 ноября 2008). «Коллизии для EnRUPT» . Архивировано из оригинального 18 февраля 2009 года . Проверено 7 ноября 2008 года .
- ↑ Джейсон Уорт Мартин (21 октября 2008 г.). «СУТЬ: Кандидат в алгоритм хеширования для конкурса NIST» (PDF) . Архивировано из оригинального (PDF) 12 июня 2010 года . Проверено 8 ноября 2008 года .
- ^ "Криптоанализ СУЩНОСТИ" (PDF) .
- ^ Ивица Николич; Алексей Бирюков; Дмитрий Ховратович. «Семейство хэшей LUX - спецификации алгоритмов и сопроводительная документация» (PDF) . Проверено 11 декабря 2008 года .
- ↑ Михаил Масленников. «Хеш-алгоритм MCSSHA-3» . Архивировано из оригинала 2 мая 2009 года . Проверено 8 ноября 2008 года .
- ^ Жан-Филипп Аумассон; Мария Ная-Пласенсиа. «Вторые прообразы на МЦСША-3» (PDF) . Проверено 14 ноября 2008 года . [ постоянная мертвая ссылка ]
- ↑ Питер Максвелл (сентябрь 2008 г.). «Криптографическая хеш-функция Sgàil» (PDF) . Архивировано из оригинального (PDF) 12 ноября 2013 года . Проверено 9 ноября 2008 года .
- ↑ Питер Максвелл (5 ноября 2008 г.). "Ой, п * ш!" . Архивировано из оригинала 9 ноября 2008 года . Проверено 6 ноября 2008 года .
- ^ Майкл Горски; Эван Флейшманн; Кристиан Форлер (28 октября 2008 г.). «Семейство хеш-функций Twister» (PDF) . Проверено 11 декабря 2008 года .
- ^ Флориан Мендель; Кристиан Рехбергер; Мартин Шлеффер (2008). «Криптоанализ Twister» (PDF) . Проверено 19 мая 2009 года .
- ^ Майкл Кунавис; Шей Герон (3 ноября 2008 г.). «Vortex: новое семейство односторонних хеш-функций, основанное на раундах Рейндаля и умножении без переноса» . Проверено 11 ноября 2008 года .
- ^ Жан-Филипп Аумассон; Орр Дункельман; Флориан Мендель; Кристиан Рехбергер; Сорен С. Томсен (2009). «Криптоанализ вихря» (PDF) . Проверено 19 мая 2009 года .
- ^ Отдел компьютерной безопасности, Лаборатория информационных технологий (4 января 2017 г.). «Проект SHA-3 - Хеш-функции» . CSRC: NIST . Проверено 26 апреля 2019 года .
- ^ Нил Sholer (29 октября 2008). "Abacus: кандидат на SHA-3" (PDF) . Проверено 11 декабря 2008 года .
- ^ Грегори Г. Роуз. «Дизайн и примитивная спецификация для Boole» (PDF) . Проверено 8 ноября 2008 года .
- ↑ Грегори Г. Роуз (10 декабря 2008 г.). "Официальный комментарий: Boole" (PDF) . Проверено 23 декабря 2008 года .
- ↑ Дэвид А. Уилсон (23 октября 2008 г.). «Хеш-функция DCH» (PDF) . Проверено 23 ноября 2008 года .
- ^ Натараджан Виджаяранган. «Новый алгоритм хеширования: Хичиди-1» (PDF) . Проверено 11 декабря 2008 года .
- ^ Бьорн Фэй. "MeshHash" (PDF) . Проверено 30 ноября 2008 года .
- ^ Orhun Кара; Адем Аталай; Ферхат Каракоч; Cevat Manap. «Хеш-функция SHAMATA: алгоритм-кандидат для конкурса NIST» . Архивировано из оригинала на 1 февраля 2009 года . Проверено 10 ноября 2008 года .
- ^ Михал Trojnara (14 октября 2008). «Спецификации алгоритма StreamHash и сопроводительная документация» (PDF) . Проверено 15 декабря 2008 года .
- ↑ Рафаэль Альварес; Гэри Макгуайр; Антонио Самора. «Хеш-функция путаницы» (PDF) . Проверено 11 декабря 2008 года .
- ^ Джон Уошберн. «WaMM: алгоритм-кандидат для конкурса SHA-3» (PDF) . Архивировано из оригинального (PDF) 19 ноября 2008 года . Проверено 9 ноября 2008 года .
- ^ «Официальный комментарий: WaMM отозван» (автор PDF = Джон Уошберн) . 20 декабря 2008 . Проверено 23 декабря 2008 года .
- ^ Боб Hattersly (15 октября 2008). «Водопадный хэш - спецификация и анализ алгоритмов» (PDF) . Проверено 9 ноября 2008 года .
- ^ Боб Хэттерсли (20 декабря 2008). «Официальный комментарий: водопад сломан» (PDF) . Проверено 23 декабря 2008 года .
- ↑ Брюс Шнайер (19 ноября 2008 г.). "Новости Skein и SHA-3" . Проверено 23 декабря 2008 года .
- ^ Роберт Дж. Дженкинс младший "Спецификация алгоритма" . Проверено 15 декабря 2008 года .
- ^ Анн Канто и Мария Ная-Пласенсиа. «Атака с внутренним столкновением на Мараке» (PDF) . Проверено 15 декабря 2008 года .
- ^ Майкл П. Франк. «Спецификация алгоритма для MIXIT: кандидатный криптографический хеш-алгоритм SHA-3» (PDF) . Архивировано из оригинального (PDF) 4 марта 2016 года . Проверено 12 января 2014 года .
- ^ Джеффри Парк. "NKS 2D Cellular Automata Hash" (PDF) . Проверено 9 ноября 2008 года .
- ^ Кристоф Де Cannière (13 ноября 2008). «Столкновения для НКС2Д-224» . Проверено 14 ноября 2008 года .
- ↑ Брэндон Энрайт (14 ноября 2008 г.). «Столкновения для НКС2Д-512» . Проверено 14 ноября 2008 года .
- ^ Питер Шмидт-Нильсен. «Поник» (PDF) . Проверено 9 ноября 2008 года .
- ^ Мария Ная-Пласенсиа. «Второй прообраз атаки на Поника» (PDF) . Проверено 30 ноября 2008 года .
- ^ Николас Т. Куртуа; Карми Грессель; Ави Хехт; Грегори В. Бард; Побежал Грано. "Домашняя страница ZK-Crypt" . Архивировано из оригинала 9 февраля 2009 года . Проверено 1 марта 2009 года .
Внешние ссылки [ править ]
- Сайт NIST для конкурса
- Официальный список кандидатов второго тура
- Официальный список кандидатов первого тура
- Зоопарк SHA-3
- Классификация кандидатов SHA-3
- Зал хеш-функций
- Исходный код VHDL, разработанный исследовательской группой Cryptographic Engineering Research Group (CERG) в Университете Джорджа Мейсона
- FIPS 202 - Стандарт SHA-3