POLY1305-AES

POLY1305-AES — код аутентификации сообщения (англ. MAC) ,разработанный Даниэлем Дж. Бернштейном  (англ.). Является комбинацией POLY-1305 и AES-128 , и как любой код аутенфикации, POLY1305-AES^[1] можно использовать для проверки целостности данных и подлинности сообщения.

Poly1305-AES вычисляет 16-байтовый аутентификатор сообщения любой длины, используя 16-байтовый одноразовый номер (уникальный номер сообщения) и 32-байтовый секретный ключ.

AES используется для шифрования одноразового номера, чтобы получить уникальную (и секретную) 128-битную строку, но при желании AES-128 можно заменить любой другой функцией c гарантией безопасности, например ChaCha20.

Обзор

Аргументы POLY1305-AES

Poly1305-AES получает на вход^[2]

Сообщение произвольной длины ${\displaystyle m}$ 

16-байтовый ключ ${\displaystyle \mathrm {AES} _{k}}$ 

16-байтовый дополнительный ключ ${\displaystyle r}$ 

16-байтовое однократно используемое число ${\displaystyle n}$ .

и вычисляет 16-байтовый аутентификатор ${\displaystyle \operatorname {Poly1305} _{r}(m,AES_{k}(n))}$ .

Ключ ${\displaystyle r}$  представляет собой 128-битное целое число r с прямым порядком байтов от младшего к старшему (англ. little-endian ), т.е. ${\displaystyle r=r[0]+2^{8}r[1]+...+2^{120}r[15]}$ . При этом ключ ${\displaystyle r}$  должен соответствовать определённым требованиям: у ${\displaystyle r[3]}$ , ${\displaystyle r[7]}$ , ${\displaystyle r[11]}$  и ${\displaystyle r[15]}$  первые 4 из 8 битов должны быть равны 0, а у ${\displaystyle r[4]}$ , ${\displaystyle r[8]}$  и ${\displaystyle r[12]}$  последние 2 бита должны быть равны 0. Таким образом ${\displaystyle r}$  может принять ${\displaystyle 2^{106}}$  различных значений

Алгоритм

1. Poly1305 разбивает сообщение ${\displaystyle m=(m[0],m[1],\ldots ,m[L-1])}$  на фрагменты длиной 16 байт.
2. К каждому 16-байтовому фрагмент сообщения добавляется единица до 17 байт для использования в качестве коэффициента полинома. Если последний фрагмент сообщения размером от 1 до 15 байт, то к фрагменту добавляется единица, а дальше до 17 байт всё заполняется нулями. Коэффициенты ${\displaystyle c_{1},\ldots ,c_{q}}$  полинома ${\displaystyle c_{1}r^{q}+c_{2}r^{q-1}+\ldots +c_{q}r^{1}}$  , где ${\displaystyle q=\left[{L \over 16}\right]}$  вычисляются по формуле:
   ${\displaystyle c_{i}=m[16i-16]+2^{8}m[16i-15]+2^{16}m[16i-14]+\cdots +2^{120}m[16i-1]+2^{128}}$ .
   Если ${\displaystyle L}$  не делится нацело на 16, то используют формулу:
   ${\displaystyle c_{q}=m[16q-16]+2^{8}m[16q-15]+\cdots +2^{8(L{\bmod {1}}6)-8}m[L-1]+2^{8(L{\bmod {1}}6)}.}$ 
3. Полином вычисляется в точке ${\displaystyle r}$  по модулю ${\displaystyle 2^{130}-5}$  и складывается с 16-байтной зашифрованной строкой , полученной на выходе ${\displaystyle \mathrm {AES} _{k}(n)}$ , где ${\displaystyle n}$  -однократно используемое число.${\displaystyle (((c_{1}r^{q}+c_{2}r^{q-1}+\ldots +c_{q}r^{1})\mathrm {mod} 2^{130}-5)+\mathrm {AES} _{k}(n)}$ 
4. Берём остаток от деления на ${\displaystyle 2^{128}}$  и закодируем его, получив хэш длиной 16 байт.

Выбор стуктурных элементов при разработке алогритма

Изначально для деления по модулю рассматривались простые числа больше ${\displaystyle 2^{128}}$  (128 битов – длина фрагмента сообщения). Для простоты вычислений было решено выбрать простое число ${\displaystyle 2^{130}-5}$ .

Причин, по которым алгоритм использует однократно используемое число ${\displaystyle n}$  несколько: Во-первых, вероятность взлома протоколов, не использующих такие числа ${\displaystyle n}$  можно выразить формулой: ${\displaystyle {\frac {C(C+D)L}{2^{106}}}}$ , где ${\displaystyle C}$  количество сообщений, ${\displaystyle D}$  – количество попыток взлома, ${\displaystyle L}$  -максимальная длина сообщения. А с однократно используемым числом вероятность будет такая: ${\displaystyle {\frac {DL}{2^{106}}}}$ . Во-вторых, одноразовые номера позволяют проводить выполнение алгоритма AES-128 параллельно с другими операциями Poly1305-AES, что уменьшает общее время вычисления аутентификатора. В-третьих, большинство протоколов так или иначе имеют такие одноразовые номера для более безопасного шифрования.

Длина дополнительного ключа ${\displaystyle r}$  была ограничена 16-ю байтами для ускорения вычислений. При этом возможен ключ длинее для усиления безопасности, но текущая вероятность взлома достаточно низкая, чтобы считать алгоритм при текущей длине ключа безопасным. Но при увеличении длины ключа, общее время вычисления будет слишком долгим, что лишит POLY1305-AES преимущества перед другими алгоритмами. Так же для ключа был выбран прямой порядок байтов, вместо обратного (англ. Big-endian), так как он экономит время на самых популярных процессорах.

Алгоритм POLY1305, написанный на псевдокоде

      clamp(r): r &= 0x0ffffffc0ffffffc0ffffffc0fffffff
      poly1305_mac(msg, key):
         r = le_bytes_to_num(key[0..15])
         clamp(r)
         s = le_bytes_to_num(key[16..31])
         a = 0  /* a is the accumulator */
         p = (1<<130)-5
         for i=1 upto ceil(msg length in bytes / 16)
            n = le_bytes_to_num(msg[((i-1)*16)..(i*16)] | [0x01])
            a += n
            a = (r * a) % p
            end
         a += s
         return num_to_16_le_bytes(a)
         end

— ChaCha20 and Poly1305 for IETF Protocols, IRTF

^[3]

Криптостойкость

Принято считать, что безопасность POLY1305-AES гарантирована, если можно гарантировать безопасность алгоритма AES. Если у злоумышленника есть ${\displaystyle C}$  зашифрованных сообщений и он совершает D попыток взлома сообщений длиной не больше ${\displaystyle L}$  байтов, ${\displaystyle \delta }$  - вероятность взлома AES, то вероятность взлома POLY1305-AES будет

$${\displaystyle \delta +{\frac {(1-C/2^{128})^{-(C+1)/2}\cdot 8D\lceil L/16\rceil }{2^{106}}}.}$$

 

Рассмотрим случай, когда сообщения представляют из себя пакеты длиной до 1536 байт, злоумышленник имеет ${\displaystyle 2^{64}}$  сообщений зашифрованных POLY1305-AES и совершает ${\displaystyle 2^{64}}$  попыток взломать, а вероятность взлома${\displaystyle \delta \leq 2^{-40}}$  . В таком случае вероятность, что злоумышленник не сможет взломать код аутентификации послания ${\displaystyle \geq 0.999999999998}$ ^[4]. Для сравнения, при таких параметрах можно легко взломать другие 16-байтные MAC, например CBC-AES, HMAC-MD5 и DMAC-A.

Скорость

Poly1305-AES можно вычислять с чрезвычайно высокой скоростью, например для AMD Athlon требуется менее 3.1n + 780 циклов для сообщения длиной n байт. Даниэль Дж. Бернштейн опубликовал исходный код на SPARC, AIX, macOS, Pentium Pro/II/III/M и Athlon. А также эталонную реализацию алгоритма на C, C++, Python и Perl^[5].

Иплементация

Ниже представлен список криптографических библиотек, в которых есть реализация Poly1305:

• Botan
• Bouncy Castle
• Crypto++
• Libgcrypt
• NaCl
• Nettle
• OpenSSL
• LibreSSL
• wolfCrypt
• GnuTLS
• mbed TLS
• MatrixSSL

Примечания

1. Chapter 7: Keyed Hashing // Serious Cryptography: A Practical Introduction to Modern Encryption. — No Starch Press, 2018. — P. 136-138. — ISBN 978-1-59327-826-7.
2. The Poly1305-AES message-authentication code. — 2005. Архивная копия от 1 сентября 2022 на Wayback Machine
3. Y. Nir. 2.5.1 // ChaCha20 and Poly1305 for IETF Protocols / Y. Nir, Dell EMC, A. Langley. — Internet Research Task Force, 2018. — P. 16.
4. The Poly1305-AES message-authentication code  (неопр.) 5. Дата обращения: 7 ноября 2022. Архивировано 12 июля 2022 года.
5. How does the Poly1305-AES implementation work?  (неопр.) Дата обращения: 7 ноября 2022. Архивировано 10 октября 2018 года.

Ссылки

• POLY1305-AES Домашняя страница
• Имплементация POLY1305-AES на C
• Таблицы скорости Poly1305-AES

См. также