В информатике и криптография , Whirlpool (иногда стилизованной WHIRLPOOL ) является криптографической хэш - функция . Он был разработан Винсентом Рейменом (соавтором Advanced Encryption Standard ) и Пауло SLM Баррето , который впервые описал его в 2000 году.
Общий | |
---|---|
Дизайнеров | Винсент Реймен , Пауло SLM Баррето |
Впервые опубликовано | 2000, 2001, 2003 |
Полученный из | Квадрат , AES |
Сертификация | НЕССИ |
Деталь | |
Размеры дайджеста | 512 бит |
Требования безопасности | Большой размер хеш-суммы |
Состав | Миягути-Пренель |
Раундов | 10 |
Лучший публичный криптоанализ | |
В 2009 году была объявлена рикошетная атака, которая представляет полные столкновения против 4,5 раундов Whirlpool за 2120 операций, столкновения полусвободного старта против 5,5 раундов за 2120 раз и полусвободные столкновения, близкие к столкновениям, против 7,5 раундов за 2128. время. [1] |
Хэш рекомендован проектом NESSIE . Он также был принят Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC) как часть совместного международного стандарта ISO / IEC 10118-3 .
Особенности дизайна
Whirlpool - это хэш, разработанный после блочного шифра Square , и считается, что он принадлежит к этому семейству функций блочного шифра.
Whirlpool - это конструкция Miyaguchi-Preneel, основанная на существенно модифицированном стандарте Advanced Encryption Standard (AES).
Whirlpool принимает сообщение любой длины менее 2 256 бит и возвращает 512-битный дайджест сообщения . [3]
Авторы заявили, что
- «WHIRLPOOL не запатентован (и никогда не будет) запатентован. Его можно использовать бесплатно для любых целей». [2]
Изменения версии
Оригинальный Whirlpool будет называться Whirlpool-0 , первая версия Whirlpool будет называться Whirlpool-T, а последняя версия будет называться Whirlpool в следующих тестовых векторах.
- В первой редакции 2001 года S-блок был изменен с генерируемого случайным образом блока с хорошими криптографическими свойствами на блок с лучшими криптографическими свойствами, который легче реализовать на оборудовании.
- Во второй редакции (2003 г.) был обнаружен недостаток в матрице распространения, который снизил оценочную безопасность алгоритма ниже его потенциального уровня. [4] Изменение констант вращающейся матрицы 8x8 с (1, 1, 3, 1, 5, 8, 9, 5) на (1, 1, 4, 1, 8, 5, 2, 9) решило эту проблему.
Внутренняя структура
Хеш-функция Whirlpool - это конструкция Меркла-Дамгарда, основанная на AES- подобном блочном шифре W в режиме Миягути-Пренеля . [2]
Блочный шифр W состоит из 8 × 8 матрицы состояния байтов, всего 512 бит.
Процесс шифрования состоит из обновления состояния с помощью четырех раундовых функций в течение 10 раундов. Четыре функции раунда - это SubBytes (SB), ShiftColumns (SC), MixRows (MR) и AddRoundKey (AK). Во время каждого раунда новое состояние вычисляется как.
SubBytes
Операция SubBytes применяет нелинейную перестановку (S-блок) к каждому байту состояния независимо. 8-битный S-блок состоит из 3 меньших 4-битных S-блоков.
ShiftColumns
Операция ShiftColumns циклически сдвигает каждый байт в каждом столбце состояния. Байты столбца j сдвинуты вниз на j позиций.
MixRows
Операция MixRows - это правое умножение каждой строки на матрицу 8 × 8 над. Матрица выбирается так, чтобы число ветвей (важное свойство при рассмотрении устойчивости к дифференциальному криптоанализу ) было 9, что является максимальным.
AddRoundKey
Операция AddRoundKey использует побитовый xor для добавления ключа, рассчитанного по расписанию ключей, к текущему состоянию. Расписание ключей идентично самому шифрованию, за исключением того, что функция AddRoundKey заменена функцией AddRoundConstant, которая добавляет заранее определенную константу в каждом раунде.
Хеши Whirlpool
Алгоритм Whirlpool претерпел две модификации с момента его первоначальной спецификации 2000 года.
Люди, использующие Whirlpool, скорее всего, будут использовать самую последнюю версию Whirlpool; хотя в более ранних версиях Whirlpool нет известных слабых мест в системе безопасности, последняя версия имеет лучшие характеристики эффективности аппаратной реализации и, вероятно, будет более безопасной. Как упоминалось ранее, это также версия, принятая в международном стандарте ISO / IEC 10118-3 .
512-битные (64-байтовые) хэши Whirlpool (также называемые дайджестами сообщений ) обычно представлены как 128-значные шестнадцатеричные числа.
Следующее демонстрирует 43-байтовый ввод ASCII (без кавычек) и соответствующие хэши Whirlpool:
Версия | Строка ввода | Вычисленный хеш |
---|---|---|
Водоворот-0 | « Быстрая коричневая лисица перепрыгивает через ленивого пса » | 4F8F5CB531E3D49A61CF417CD133792CCFA501FD8DA53EE368FED20E5FE0248C 3A0B64F98A6533CEE1DA614C3A8DDEC791FF05FEE6D971D57C1348320F4EB42D |
Водоворот-Т | « Быстрая коричневая лисица перепрыгивает через ленивого пса » | 3CCF8252D8BBB258460D9AA999C06EE38E67CB546CFFCF48E91F700F6FC7C183 AC8CC3D3096DD30A35B01F4620A1E3A20D79CD5168544D9E1B7CDF49970E87F1 |
Водоворот | « Быстрая коричневая лисица перепрыгивает через ленивого пса » | B97DE512E91E3828B40D2B0FDCE9CEB3C4A71F9BEA8D88E75C4FA854DF36725F D2B52EB6544EDCACD6F8BEDDFEA403CB55AE31F03AD62A5EF54E42EE82C3FB35 |
Даже небольшое изменение в сообщении (с очень высокой вероятностью ) приводят к другому хешу, который обычно выглядит совершенно иначе, как два несвязанных случайных числа. Следующее демонстрирует результат изменения предыдущего ввода одной буквой (даже одним битом в кодировках, совместимых с ASCII), заменяя d на e :
Версия | Строка ввода | Вычисленный хеш |
---|---|---|
Водоворот-0 | « Быстрая коричневая лисица перепрыгивает через ленивого эога » | 228FBF76B2A93469D4B25929836A12B7D7F2A0803E43DABA0C7FC38BC11C8F2A 9416BBCF8AB8392EB2AB7BCB565A64AC50C26179164B26084A253CAF2E012676 |
Водоворот-Т | « Быстрая коричневая лисица перепрыгивает через ленивого эога » | C8C15D2A0E0DE6E6885E8A7D9B8A9139746DA299AD50158F5FA9EECDDEF744F9 1B8B83C617080D77CB4247B1E964C2959C507AB2DB0F1F3BF3E3B299CA00CAE3 |
Водоворот | « Быстрая коричневая лисица перепрыгивает через ленивого эога » | C27BA124205F72E6847F3E19834F925CC666D0974167AF915BB462420ED40CC5 0900D85A1F923219D832357750492D5C143011A76988344C2635E69D06F2D38C |
Хеш строки нулевой длины:
Версия | Строка ввода | Вычисленный хеш |
---|---|---|
Водоворот-0 | "" | B3E1AB6EAF640A34F784593F2074416ACCD3B8E62C620175FCA0997B1BA23473 39AA0D79E754C308209EA36811DFA40C1C32F1A2B9004725D987D3635165D3C8 |
Водоворот-Т | "" | 470F0409ABAA446E49667D4EBE12A14387CEDBD10DD17B8243CAD550A089DC0F EEA7AA40F6C2AAAB71C6EBD076E43C7CFCA0AD32567897DCB5969861049A0F5A |
Водоворот | "" | 19FA61D75522A4669B44E39C1D2E1726C530232130D407F89AFEE0964997F7A7 3E83BE698B288FEBCF88E3E03C4F0757EA8964E59B63D93708B138CC42A66EB3 |
Реализации
Авторы предоставляют эталонные реализации алгоритма Whirlpool, включая версию, написанную на C, и версию, написанную на Java . [2] Эти эталонные реализации были выпущены в общественное достояние. [2]
Принятие
Два из первых широко используемых основных криптографических программ , которые начали использовать Whirlpool были FreeOTFE , а затем TrueCrypt в 2005 году [ править ]
VeraCrypt (ответвление TrueCrypt ) включил Whirlpool (окончательную версию) в качестве одного из поддерживаемых алгоритмов хеширования. [5]
Смотрите также
- Цифровая отметка времени
Рекомендации
- ^ Флориан Мендель1, Кристиан Рехбергер, Мартин Шлеффер, Сорен С. Томсен (24 февраля 2009 г.). Rebound Attack: криптоанализ уменьшенного водоворота и Грёстля (PDF) . Быстрое шифрование программного обеспечения: 16-й международный семинар.CS1 maint: несколько имен: список авторов ( ссылка )
- ^ а б в г д Пауло SLM Баррето (25 ноября 2008 г.). «Хеш-функция WHIRLPOOL» . Архивировано из оригинала на 2017-11-29 . Проверено 9 августа 2018 .
- ^ Баррето, Пауло SLM и Раймен, Винсент (24 мая 2003 г.). «Функция хеширования WHIRLPOOL» . Архивировано из оригинального (ZIP) 26.10.2017 . Проверено 9 августа 2018 . Цитировать журнал требует
|journal=
( помощь ) - ^ Кёдзи, Шибутани и Шираи, Тайдзо (2003-03-11). «О матрице диффузии, используемой в хеш-функции Whirlpool» (PDF) . Проверено 9 августа 2018 . Цитировать журнал требует
|journal=
( помощь ) - ^ «Водоворот» . Документация VeraCrypt . IDRIX . Проверено 9 августа 2018 .
Внешние ссылки
- Хеш-функция WHIRLPOOL на Wayback Machine (архивировано 29 ноября 2017 г.)
- Jacksum на SourceForge.net , Java-реализация всех трех версий Whirlpool
- whirlpool на GitHub - реализация последней версии Whirlpool на Go с открытым исходным кодом
- Реализация в Matlab функции хеширования Whirlpool
- RHash , инструмент командной строки с открытым исходным кодом , который может вычислять и проверять хэш Whirlpool.
- Модуль Perl Whirlpool на CPAN
- Модуль дайджеста, реализующий алгоритм хеширования Whirlpool в Ruby
- Ironclad - пакет криптографии Common Lisp , содержащий реализацию Whirlpool.
- Стандарт ISO / IEC 10118-3: 2004
- Тестовые векторы для хэша Whirlpool из проекта NESSIE
- Управляемая реализация C #
- Модуль Python Whirlpool