ECHO

ECHO — хеш-функция, выдвинутая как кандидат на конкурс SHA-3, проводимый Национальным институтом стандартов и технологий (США). Алгоритм разработан в Orange Labs, его авторы:

Ryad Benadjila
Olivier Billet
Henri Gilbert
Gilles Macario-Rat

Thomas Peyrin
Matt Robshaw
Yannick Seurin

Краткий обзор править

В качестве аргументов для хеш-функции выступают сообщение и «соль» (которая далее обозначается как ${\mbox{SALT}}$ ). Длина последнего аргумента составляет 128 бит, при этом по умолчанию его значение принимается равным 0. Размер выхода ECHO может меняться от 128 до 512 бит.

Алгоритм вычисления ECHO основан на построении Меркле-Дамгаарда и, в соответствии с этим построением, представляет собой последовательное применение функции сжатия (определена ниже), зависящей от переменной цепочки $V_{i-1}$ , блока сообщения $M_{i}$ и, возможно, других параметров. При определении самой функции сжатия в ECHO используются операции AES.

Обозначения править

ECHO работает со 128-битными словами, поэтому любое сообщение $M$ перед вычислением хеш-функции дополняется так, чтобы его длина была кратна 128. Дополненное сообщение $M'$ можно представить битовой строкой длины $n$

$b_{0}b_{1}...b_{n-2}b_{n-1}$

или последовательностью из $s={\frac {n}{8}}$ байт ( $\|$ обозначает конкатенацию)

$B_{0}$	$=$	$b_{0}\\|b_{1}\\|...\\|b_{7}$
$B_{1}$	$=$	$b_{8}\\|b_{9}\\|...\\|b_{15}$
$\vdots$
$B_{s-1}$	$=$	$b_{n-8}\\|b_{n-7}\\|...\\|b_{n-1}$

ECHO использует операции из AES, которые работают с байтовыми массивами размером 4 на 4. Соответственно, принимается следующая упаковка строки байт в массив:

B_{0}\|B_{1}\|...\|B_{15}\longrightarrow

$B_{0}$	$B_{4}$	$B_{8}$	$B_{12}$
$B_{1}$	$B_{5}$	$B_{9}$	$B_{13}$
$B_{2}$	$B_{6}$	$B_{10}$	$B_{14}$
$B_{3}$	$B_{7}$	$B_{11}$	$B_{15}$

Аналогично, входное сообщение можно представить как последовательность $r={\frac {n}{128}}$ 128-битовых слов

$w_{0}$	$=$	$B_{0}\\|B_{1}\\|...\\|B_{15}$	$=$	$b_{0}\\|b_{1}\\|...\\|b_{127}$
$w_{1}$	$=$	$B_{16}\\|B_{17}\\|...\\|B_{31}$	$=$	$b_{128}\\|b_{129}\\|...\\|b_{255}$
	$\vdots$		$\vdots$
$w_{r-1}$	$=$	$B_{s-16}\\|B_{s-15}\\|...\\|B_{s-1}$	$=$	$b_{n-128}\\|b_{n-127}\\|...\\|b_{n-1}$

Упаковка шестнадцати 128-битных слов в массив:

w_{0}\|w_{1}\|...\|w_{15}\longrightarrow

$w_{0}$	$w_{4}$	$w_{8}$	$w_{12}$
$w_{1}$	$w_{5}$	$w_{9}$	$w_{13}$
$w_{2}$	$w_{6}$	$w_{10}$	$w_{14}$
$w_{3}$	$w_{7}$	$w_{11}$	$w_{15}$

Функция сжатия править

В зависимости от желаемой битовой длины ${\mbox{HSIZE}}$ результата хеширования в ECHO применяются две функции сжатия: ${\mbox{COMPRESS}}_{512}$ и ${\mbox{COMPRESS}}_{1024}$ . Нижний индекс равен длине ${\mbox{CSIZE}}$ переменной цепочки. На итерации $i$ обе функции принимают 4 параметра:

Текущее значение переменной цепочки $V_{i-1}$ с битовой длиной ${\mbox{CSIZE}}$ .
Текущий блок сообщения с битовой длиной ${\mbox{MSIZE}}=2048-{\mbox{CSIZE}}$ .
Полное число $C_{i}$ бит сообщения, обработанных к концу данной итерации. Если текущий блок $M$ — последний, то $C_{i}$ может оказаться меньше или равно значению $i*{\mbox{MSIZE}}$ . В противном случае выполняется равенство $C_{i}=i*{\mbox{MSIZE}}$ . Размер счётчик $C_{i}$ можно выбрать равным 64 или 128 битам.
${\mbox{SALT}}$ .

То, какая функция сжатия используется, зависит от выбранной битовой длины значения хеш-функции. Для ${\mbox{HSIZE}}$ от 128 до 256 бит применяется ${\mbox{COMPRESS}}_{512}$ :

$V_{i}={\mbox{COMPRESS}}_{512}(V_{i-1},M_{i},C_{i},{\mbox{SALT}})$ ,

для ${\mbox{HSIZE}}$ от 257 до 512 бит переменная цепочки вычисляется по формуле

$V_{i}={\mbox{COMPRESS}}_{1024}(V_{i-1},M_{i},C_{i},{\mbox{SALT}})$

Результатом работы обеих функций является некоторое значение с фиксированной битовой длиной. Поэтому для получения величин размера ${\mbox{HSIZE}}$ конечный результат сокращается на необходимое число бит.

Инициализация править

В начале хеширования счетчик $C$ устанавливается в 0: $C_{0}=0$ . Начальное значение переменной цепочки устанавливается таким образом, что каждое её слово является 128 битовым представлением числа ${\mbox{HSIZE}}$ , то есть размера результата хеширования. В том случае, когда используется ${\mbox{COMPRESS}}_{512}$ ( ${\mbox{HSIZE}}$ лежит в пределах от 128 до 256 бит) переменная цепочки $V_{0}$ состоит из 4 слов:

$V_{0}=(v_{0}^{0},v_{0}^{1},v_{0}^{2},v_{0}^{3}),$

$v_{0}^{i}={\begin{cases}{\mbox{E0000000 00000000 00000000 00000000}},&{\mbox{HSIZE}}=224\\{\mbox{00010000 00000000 00000000 00000000}},&{\mbox{HSIZE}}=256\end{cases}}{\mbox{ }},{\mbox{ }}0\leq i\leq 3$

Когда применяется ${\mbox{COMPRESS}}_{1024}$ ( ${\mbox{HSIZE}}$ от 257 до 512 бит),

$V_{0}=(v_{0}^{0},v_{0}^{1},v_{0}^{2},v_{0}^{3},v_{0}^{4},v_{0}^{5},v_{0}^{6},v_{0}^{7}),$

$v_{0}^{i}={\begin{cases}{\mbox{80010000 00000000 00000000 00000000}},&{\mbox{HSIZE}}=384\\{\mbox{00020000 00000000 00000000 00000000}},&{\mbox{HSIZE}}=512\end{cases}}{\mbox{ }},{\mbox{ }}0\leq i\leq 7$

Дополнение сообщения править

Результатом дополнения сообщения $M$ является сообщение $M'$ , длина которого кратна 128. Обозначим через $L$ длину исходного сообщения. Тогда $M'$ получается в несколько шагов:

К концу сообщения $M$ приписать бит «1».
Приписать $x$ битов «0», где $x={\mbox{MSIZE}}-((L+144){\mbox{ }}{\bmod {\mbox{MSIZE}}})-1$
Приписать 16-битное представление числа ${\mbox{HSIZE}}$
Наконец, приписать 128-битное представление числа $L$

Дополненное сообщение $M'$ записывается в виде

$M'=\overbrace {M} ^{L}\|1\|\overbrace {0.....0} ^{x}\|\overbrace {\mbox{HSIZE}} ^{16}\|\overbrace {L} ^{128}$

COMPRESS₅₁₂ править

Дополненное сообщение $M'$ делится на $t$ блоков $M_{1}...M_{t}$ , каждый длиной ${\mbox{MSIZE}}=1536$ бит. Эти блоки друг за другом подаются на вход функции ${\mbox{COMPRESS}}_{512}$ , при этом в итоге вычисляется $t+1$ значений переменной цепочки:

$V_{i}={\mbox{COMPRESS}}_{512}(V_{i-1},M_{i},C_{i},{\mbox{SALT}}){\mbox{ }},{\mbox{ }}0\leq i\leq t$

Каждый блок $M_{i}$ можно представить в виде двенадцати 128-битовых слов:

$M_{i}=m_{i}^{0}\|m_{i}^{1}\|m_{i}^{2}\|m_{i}^{3}\|m_{i}^{4}\|m_{i}^{5}\|m_{i}^{6}\|m_{i}^{7}\|m_{i}^{8}\|m_{i}^{9}\|m_{i}^{10}\|m_{i}^{11}$

Переменная цепочки $V_{i-1}$ аналогичным образом записывается в виде последовательности из 4 слов:

$V_{i-1}=v_{i-1}^{0}\|v_{i-1}^{1}\|v_{i-1}^{2}\|v_{i-1}^{3}$

Дальнейшие операции проводятся над матрицей состояния $S$ из 4 строк и 4 столбцов:

S

=

$w_{0}$	$w_{4}$	$w_{8}$	$w_{12}$
$w_{1}$	$w_{5}$	$w_{9}$	$w_{13}$
$w_{2}$	$w_{6}$	$w_{10}$	$w_{14}$
$w_{3}$	$w_{7}$	$w_{11}$	$w_{15}$

В начале $i$ -ой итерации вычисления значения ${\mbox{COMPRESS}}_{512}$ $V_{i}$ и $M_{i}$ упаковываются в матрицу $S$ следующим образом:

S

=

$v_{i-1}^{0}$	$m_{i}^{0}$	$m_{i}^{4}$	$m_{i}^{8}$
$v_{i-1}^{1}$	$m_{i}^{1}$	$m_{i}^{5}$	$m_{i}^{9}$
$v_{i-1}^{2}$	$m_{i}^{2}$	$m_{i}^{6}$	$m_{i}^{10}$
$v_{i-1}^{3}$	$m_{i}^{3}$	$m_{i}^{7}$	$m_{i}^{11}$

Вычисление ${\mbox{COMPRESS}}_{512}$ происходит в 8 раундов, называемых в ECHO ${\mbox{BIG.ROUND}}$ . Каждый такой раунд состоит из последовательного применения 3 функций:

${\mbox{BIG.SUBWORDS}}(S,{\mbox{ SALT}},{\mbox{ }}\kappa )$

${\mbox{BIG.SHIFTROWS}}(S)$

${\mbox{BIG.MIXCOLUMNS}}(S)$

BIG.SUBWORDS(S, SALT, κ) править

${\mbox{BIG.SUBWORDS}}(S,{\mbox{ SALT}},{\mbox{ }}\kappa )$ — это 2 AES раунда. Обозначим действие одного раунда AES с ключом $k$ на 128-битное слово $w$ как

$w'={\mbox{AES}}(w,k)$

Здесь ${\mbox{AES}}$ состоит из операций ${\mbox{SubBytes}}$ , ${\mbox{ShiftRows}}$ , ${\mbox{MixColumns}}$ и ${\mbox{AddRoundKey}}$ . Ключи $k$ для вычисления $w'$ создаются из параметров ${\mbox{SALT}}$ и $\kappa$ . Последний представляет собой внутренний счетчик, который инициализируется значением $C_{i}$ и увеличивается во время вычисления ${\mbox{COMPRESS}}_{512}$ . Важно заметить, что, если в последнем блоке $M_{t}$ биты исходного сообщения отсутствуют (что могло случится, например, при длине сообщения $L$ , кратной ${\mbox{MSIZE}}$ ), то $C_{t}$ полагается равным 0.

Значения ключей для двух раундов AES получаются следующим образом:

$k_{1}=\kappa \|\overbrace {0..0} ^{64}{\mbox{, }}k_{2}={\mbox{SALT}},$

если счетчик $C_{i}$ выбран 64-битным, и

$k_{1}=\kappa {\mbox{ , }}k_{2}={\mbox{SALT}}$

для 128-битного счетчика.

Операцию ${\mbox{BIG.SUBWORDS}}(S,{\mbox{ SALT}},{\mbox{ }}\kappa )$ можно описать равенствами

$w_{0}'=AES(AES(w_{0},k_{1}),k_{2})$ , увеличить $\kappa$ на 1 по модулю $2^{64}$ ( $2^{128}$ )

$w_{1}'=AES(AES(w_{1},k_{1}),k_{2})$ , увеличить $\kappa$ на 1 по модулю $2^{64}$ ( $2^{128}$ )

$...$

$w_{15}'=AES(AES(w_{15},k_{1}),k_{2})$ , увеличить $\kappa$ на 1 по модулю $2^{64}$ ( $2^{128}$ )

Счетчик $\kappa$ увеличивается на протяжении всех восьми раундов (которые выше названы ${\mbox{BIG.ROUND}}$ ), то есть, например, в начале второго раунда $\kappa =C_{i}+16$ .

BIG.SHIFTROWS(S) править

Операция ${\mbox{BIG.SHIFTROWS}}(S)$ проводит циклический сдвиг влево строк матрицы состояния $S$ :

$w_{i+4j}'=w_{i+4((i+j){\bmod {4}})},{\mbox{ }}0\leq i,j\leq 3$ .

Более наглядно:

$w_{0}$	$w_{4}$	$w_{8}$	$w_{12}$
$w_{1}$	$w_{5}$	$w_{9}$	$w_{13}$
$w_{2}$	$w_{6}$	$w_{10}$	$w_{14}$
$w_{3}$	$w_{7}$	$w_{11}$	$w_{15}$

\longrightarrow

{\mbox{  }}

$w_{0}$	$w_{4}$	$w_{8}$	$w_{12}$
$w_{5}$	$w_{9}$	$w_{13}$	$w_{1}$
$w_{10}$	$w_{14}$	$w_{2}$	$w_{6}$
$w_{15}$	$w_{3}$	$w_{7}$	$w_{11}$

BIG.MIXCOLUMNS(S) править

${\mbox{BIG.MIXCOLUMNS}}(S)$ состоит из последовательного применения операции ${\mbox{MixColumns}}$ , определенной в AES. Рассмотрим столбцы матрицы $S$ , состоящие из 128-битных слов $w_{i},...,w_{i+3}$ , где $i\in \{0,4,8,12\}$ . Элементы столбцов можно представить в виде байтовых строк:

$w_{i}$	$=$	$(B_{16i},B_{16i+1},...,B_{16i+15})$
$w_{i+1}$	$=$	$(B_{16i+16},B_{16i+17},...,B_{16i+31})$
$w_{i+2}$	$=$	$(B_{16i+32},B_{16i+33},...,B_{16i+47})$
$w_{i+3}$	$=$	$(B_{16i+48},B_{16i+49},...,B_{16i+63})$

Тогда ${\mbox{BIG.MIXCOLUMNS}}(S)$ вычисляется как

${\begin{pmatrix}B_{16i+j}'\\B_{16i+16+j}'\\B_{16i+32+j}'\\B_{16i+48+j}'\end{pmatrix}}={\begin{pmatrix}02&03&01&01\\01&02&03&01\\01&01&02&03\\03&01&01&02\end{pmatrix}}\cdot {\begin{pmatrix}B_{16i+j}\\B_{16i+16+j}\\B_{16i+32+j}\\B_{16i+48+j}\end{pmatrix}},{\mbox{ }}i\in \{0,4,8,12\},{\mbox{ }}0\leq j\leq 15$

Последняя формула представляет собой операцию ${\mbox{MixColumns}}$ , в которой сложение и умножение определены в поле $GF(2^{8})$ по модулю многочлена $x^{8}+x^{4}+x^{3}+x+1$ .

Окончание вычисления COMPRESS₅₁₂ править

Функцию ${\mbox{COMPRESS}}_{512}$ можно описать, используя определенные выше операции:

${\mbox{for i := 1 to 8 do}}$

{\mbox{begin}}

{\mbox{BIG.SUBWORDS}}(S,{\mbox{ SALT}},{\mbox{ }}\kappa )

{\mbox{BIG.SHIFTROWS}}(S)

{\mbox{BIG.MIXCOLUMNS}}(S)

{\mbox{end}}

{\mbox{BIG.FINAL}}

Операция ${\mbox{BIG.FINAL}}$ вычисляет значение переменной цепочки $V_{i}$ , используя полученную в результате применения 8 раундов матрицу состояния $S$ , блок сообщения $M_{i}$ и предыдущее значение переменной цепочки $V_{i-1}$ :

$v_{i}^{0}$	$=$	$v_{i-1}^{0}\oplus m_{i}^{0}\oplus m_{i}^{4}\oplus m_{i}^{8}\oplus w_{0}\oplus w_{4}\oplus w_{8}\oplus w_{12}$
$v_{i}^{1}$	$=$	$v_{i-1}^{1}\oplus m_{i}^{1}\oplus m_{i}^{5}\oplus m_{i}^{8}\oplus w_{1}\oplus w_{5}\oplus w_{9}\oplus w_{13}$
$v_{i}^{2}$	$=$	$v_{i-1}^{2}\oplus m_{i}^{2}\oplus m_{i}^{6}\oplus m_{i}^{9}\oplus w_{2}\oplus w_{6}\oplus w_{10}\oplus w_{14}$
$v_{i}^{3}$	$=$	$v_{i-1}^{3}\oplus m_{i}^{3}\oplus m_{i}^{7}\oplus m_{i}^{10}\oplus w_{3}\oplus w_{7}\oplus w_{11}\oplus w_{15}$

Здесь за $w_{0},...,w_{15}$ обозначены элементы матрицы $S$ , $\oplus$ — операция исключающего ИЛИ.

Конечное значение хеш-функции править

Конечное значение переменной цепочки — это строка из 512 бит:

$v_{t}^{0}\|v_{t}^{1}\|v_{t}^{2}\|v_{t}^{3}$

Результатом хеширования с битовой длиной ${\mbox{HSIZE}}$ , принимающей значения от 128 до 256, являются ${\mbox{HSIZE}}$ крайних левых бит переменной цепочки. Например, для значения хеш-функции $h$ с длиной ${\mbox{HSIZE}}=256$ :

$h=v_{t}^{0}\|v_{t}^{1}.$

COMPRESS₁₀₂₄ править

Для значений ${\mbox{HSIZE}}$ , больших 256 (но не превышающих 512) бит применяется функция сжатия ${\mbox{COMPRESS}}_{1024}$ . Операции в ${\mbox{COMPRESS}}_{1024}$ совпадают с операциями в ${\mbox{COMPRESS}}_{512}$ , за исключением нескольких отличий:

1. Дополненное сообщение

M'

разбивается на

t

блоков

M_{1}...M_{t}

, каждый из которых имеет длину 1024 бит.

2. Переменная цепочки состоит из восьми 128-битовых слов

V_{i}=v_{i}^{0}...v_{i}^{7}

и инициализируется так, как описано выше.

3. В начале сжатия переменная цепочки и блок сообщения упаковываются в матрицу 4 на 4 следующим образом:

$v_{i-1}^{0}$	$v_{i-1}^{4}$	$m_{i}^{0}$	$m_{i}^{4}$
$v_{i-1}^{1}$	$v_{i-1}^{5}$	$m_{i}^{1}$	$m_{i}^{5}$
$v_{i-1}^{2}$	$v_{i-1}^{6}$	$m_{i}^{2}$	$m_{i}^{6}$
$v_{i-1}^{3}$	$v_{i-1}^{7}$	$m_{i}^{3}$	$m_{i}^{7}$

4. Вычисление состоит из десяти итераций

{\mbox{BIG.ROUND}}

(а не из восьми, как в

{\mbox{COMPRESS}}_{512}

).

5. Операция

{\mbox{BIG.FINAL}}

для

{\mbox{COMPRESS}}_{1024}

переопределяется следующим образом:

$v_{i}^{0}$	$=$	$v_{i-1}^{0}\oplus m_{i}^{0}\oplus w_{0}\oplus w_{8}$	$v_{i}^{4}$	$=$	$v_{i-1}^{4}\oplus m_{i}^{4}\oplus w_{4}\oplus w_{12}$
$v_{i}^{1}$	$=$	$v_{i-1}^{1}\oplus m_{i}^{1}\oplus w_{1}\oplus w_{9}$	$v_{i}^{5}$	$=$	$v_{i-1}^{5}\oplus m_{i}^{5}\oplus w_{5}\oplus w_{13}$
$v_{i}^{2}$	$=$	$v_{i-1}^{2}\oplus m_{i}^{2}\oplus w_{2}\oplus w_{10}$	$v_{i}^{6}$	$=$	$v_{i-1}^{6}\oplus m_{i}^{6}\oplus w_{6}\oplus w_{14}$
$v_{i}^{3}$	$=$	$v_{i-1}^{3}\oplus m_{i}^{3}\oplus w_{3}\oplus w_{11}$	$v_{i}^{7}$	$=$	$v_{i-1}^{7}\oplus m_{i}^{7}\oplus w_{7}\oplus w_{15}$

Конечное значение хеш-функции править

Длина переменной цепочки для ${\mbox{COMPRESS}}_{1024}$ — 1024 бит, поэтому её конечное значение:

$V_{t}=v_{t}^{0}\|v_{t}^{1}\|v_{t}^{2}\|v_{t}^{3}\|v_{t}^{4}\|v_{t}^{5}\|v_{t}^{6}\|v_{t}^{7}$

Как и в ${\mbox{COMPRESS}}_{512}$ , результатом хеширования $h$ являются ${\mbox{HSIZE}}$ крайних левых бит $V_{t}$ . Например, для ${\mbox{HSIZE}}=384$

$h=v_{t}^{0}\|v_{t}^{1}\|v_{t}^{2}\|v_{t}^{3}$

Источники править

Кандидаты SHA-3, прошедшие во второй раунд (англ.). Архивировано из оригинала 10 апреля 2012 года.

Страничка хеш-функции ECHO (англ.). Архивировано из оригинала 10 апреля 2012 года.

Ссылки править

Конкурс SHA-3 (англ.). Архивировано из оригинала 10 апреля 2012 года.

HAIFA (англ.). — HAsh Iterative FrAmework. Архивировано из оригинала 10 апреля 2012 года.

ECHO

Краткий обзор править

Обозначения править

Функция сжатия править

Инициализация править

Дополнение сообщения править

COMPRESS512 править

BIG.SUBWORDS(S, SALT, κ) править

BIG.SHIFTROWS(S) править

BIG.MIXCOLUMNS(S) править

Окончание вычисления COMPRESS512 править

Конечное значение хеш-функции править

COMPRESS1024 править

Конечное значение хеш-функции править

Источники править

Ссылки править

COMPRESS₅₁₂ править

Окончание вычисления COMPRESS₅₁₂ править

COMPRESS₁₀₂₄ править