حمله پیش نمایش به کچاک-۵۱۲ به ۸ دور کاهش یافت که به ۵۱۱٫۵ ۲ زمان و ۵۰۸ ۲ حافظه نیاز دارد.[۱] تمایزدهندههای دارای مجموع صفر برای یک Keccak-f [1600] کامل ۲۴ دوره وجود دارند، اگرچه نمیتوان از آنها برای حمله به خود تابع درهمساز استفاده کرد.[۲]
اساچای۳ یک زیر مجموعه از خانواده بدوی گستردهتر رمزنگاری Keccak(/ˈkɛtʃæk,-ɑːk/) است،[۵][۶] که توسط گیدو برتونی، جوان دیمِن، مایکل پیترز و ژیل وان آش طراحی شده و بر روی RadioGatún بنا شدهاند. نویسندگان Keccak کاربردهای اضافی برای این تابع ارائه دادهاند، که البته هنوز توسط NIST استاندارد نشدهاند، از جمله رمز دنبالهای، یک سیستم رمزگذاری تأیید هویت، یک برنامه درهمساز «درختی» برای درهمسازی سریعتر بر روی برخی معماریهای خاص،[۷][۸] و رمزهای AEAD کیاک(Keyak) و کِتجه(Ketje).[۹][۱۰]
Keccak مبتنی بر یک رویکرد جدید به نام ساخت اسفنجی است.[۱۱] ساخت اسفنجی مبتنی بر یک تابع تصادفی گسترده تصادفی یا جایگشت تصادفی است و این امکان را میدهد که هر مقدار از داده وارد شود("جذب" در اصطلاحات اسفنجی)، و هر مقدار از داده بیرون انداخته شود("فشردن")، در حالی که با توجه به همه ورودیهای قبلی به عنوان یک تابع نیمه تصادفی عمل میکند. این منجر به انعطافپذیری زیادی میشود.
NIST در حال حاضر برنامه ای برای برداشت اساچای۲ یا حذف آن از استاندارد اصلاح شده ایمن درهمسازی ندارد. هدف از اساچای۳ این است که میتواند در برنامههای فعلی در صورت لزوم مستقیماً جایگزین اساچای۲ شود و استحکام ابزار کلی الگوریتم درهمساز NIST را به طرز قابل توجهی بهبود بخشد.[۱۲]
سازندگان الگوریتمهای Keccak و توابع اساچای۳ پیشنهاد میکنند از تابع سریعتر KangarooTwelve با پارامترهای تنظیم شده و حالت درهمسازی درختی جدید بدون سربار اضافی، برای پیامهای با اندازه کوچک استفاده کنند.
تاریخچه
الگوریتم Keccak اثری از گیدو برتونی، جوان دیمِن (که وی همچنین رمزنگاری Rijndael را با همکاری وینسنت رجمن طراحی کرده)، مایکل پیترز، و ژیل وان آش میباشد. این الگوریتم مبتنی بر طرحهای درهمسازی قبلی PANAMA و RadioGatún است. PANAMA در سال ۱۹۹۸ توسط دیمِن و کریگ کلَپ طراحی شدهاست. RadioGatún، جانشین PANAMA، توسط پیترز، دیمِن و وان آش طراحی شد و در کارگاه NIST Hash در سال ۲۰۰۶ ارائه شد.[۱۳]کد منبعاجرای مرجع از طریق چشم پوشیCC0 به حوزه عمومی اختصاص داده شده است.[۱۴]
در سال ۲۰۰۶، NIST برای ایجاد یک استاندارد جدید درهمسازی، اساچای۳، اقدام به سازماندهی رقابت تابع درهمسازی NIST کرد. اساچای۳ قرار نیست که جایگزین اساچای۲ شود، زیرا هیچ حمله قابل توجهی به اساچای۲ نشان داده نشدهاست. به دلیل حملات موفقیتآمیز بر اساچای۰، امدی۵ واساچای۱،[۱۵][۱۶] NIST احساس نیاز به یک رمزنگاری درهمساز جایگزین و متفاوت کرد، که SHA-3 نام گرفت.
پس از یک دوره تنظیم، پذیرشها باید تا پایان سال ۲۰۰۸ ارسال میشدند. کچاک(Keccak) به عنوان یکی از ۵۱ نامزد پذیرفته شد. در ژانویه ۲۰۰۹، ۱۴ الگوریتم برای دور دوم انتخاب شد. کچاک به آخرین مرحله در دسامبر ۲۰۱۰ رسید.[۱۷]
در طول مسابقه، به شرکت کنندگان اجازه داده شد الگوریتمهایشان را «اصلاح» کنند تا مشکلاتی که کشف شده بود حل شوند. تغییراتی که در کچاک ایجاد شدهاست به این شرح است:[۱۸][۱۹]
تعداد دورها از 12 + ℓ به 12 + 2ℓ افزایش یافت تا از نظر امنیتی محافظه کارتر باشد.
message padding از یک طرح پیچیدهتر به الگوی ساده 1 * 10 که در زیر شرح داده شده تغییر یافت.
نرخ r به جای گرد کردن پایین به نزدیکترین توان ۲، به حد امنیتی (security limit) افزایش یافت.
در تاریخ ۲ اکتبر ۲۰۱۲، کچاک به عنوان برنده مسابقه انتخاب شد.[۵]
در سال ۲۰۱۴، NIST پیش نویس FIPS 202 «استاندارد SHA-3: توابع هش مبتنی بر permutation و توابع خروجی قابل گسترش» را منتشر کرد.[۲۰] FIPS 202 در ۵ اوت ۲۰۱۵ تصویب شد.[۲۱]
در ۵ اوت ۲۰۱۵، NIST اعلام کرد که اساچای۳ به یک استاندارد درهمسازی تبدیل شدهاست.[۲۲]
طرح
اساچای۳ از ساخت اسفنجی استفاده میکند،[۱۱] که در آن دادهها «جذب» اسفنج میشوند، سپس نتیجهٔ آنها به بیرون «فشرده» میشود. در مرحله جذب، بلوکهای پیام XOR شده و به زیر مجموعه ای از حالت تبدیل میشوند، که بعداً با استفاده از یک تابع جایگشت به صورت یک کل درمیآیند. در مرحله «فشردن»، بلوکهای خروجی از همان زیر مجموعه حالت خوانده میشوند، و با استفاده از تابع تغییر حالت تغییر مییابند. سایز بخشی از حالت که نوشته شده و خوانده شدهاست «نرخ» (مشخص شده با ) نامیده میشود، و اندازه بخشی که توسط ورودی / خروجی دست نخورده میماند، «ظرفیت» (مشخص شده با ) نامیده میشود. ظرفیت تعیینکننده امنیت طرح است. حداکثر سطح امنیتی برابر نصف ظرفیت است.
با درنظر گرفتن یک رشته بیت ورودی ، یک تابع پدینگ مانند ، یک تابع جایگشت که روی بلوکهای بیتی با عرض کار میکند، نرخ و طول خروجی ، ظرفیتی برابر با و ساخت اسفنجی را داریم، میدهد رشتهٔ بیتی به طول ، که به شرح زیر کار میکند:[۲۳]: 18
پرکردن ورودی N با استفاده از تابع pad، که درنتیجه یک padded bit string مانند P با طولی بخش پذیر بر (به طوری که عدد صحیح باشد) میدهد.
شکستن P به n قطعه متوالی r بیتی P0, … , Pn−1
مقداردهی اولیه وضعیت S به یک رشته که b بیت از آن مقدار صفر دارند
ورودی را جذب حالت کنید: برای هر بلوک Pi:
گسترش Pi در پایان توسط یک رشته از c بیت از آن مقدار صفر دارند، که یک رشته با طول b تولید میکند
XOR آن با S
تابع جایگشت بلوکی f را روی نتیجه اعمال کنید تا حالت جدید S بدست آید
Z را به عنوان رشته خالی مقداردهی اولیه کنید
تازمانیکه که طول Z کمتر از d است:
r بیت اول از S را به Z اضافه کنید
اگر Z هنوز کمتر از d بیت طول دارد، f را روی S اعمال کنید، تا حالت S بدست آید
Z را به d بیت کاهش دهید
این واقعیت که وضعیت داخلی S حاوی c بیت اضافی اطلاعات علاوه بر آنچه در خروجی Z نوشته میشود است، مانع از حملات طولانی مدت میشود که امدی۵، اساچای۱، اساچای۲ و سایر درهمسازیهای مبتنی بر ساخت و ساز مرکل-دامگارد مستعد آن هستند.
در اساچای۳، حالت S شامل یک آرایه ۵ × ۵ شامل کلمات w بیتی (w=۶۴)، و درکل b = ۵ × ۵ × w = ۵ × ۵ × ۶۴ = ۱۶۰۰ بیت است. کچاک(Keccak) همچنین برای کلمههای توان دویی با اندازههای کوچکتر w و حتی با ۱ بیت (که درمجموع حالتی با ۲۵ بیت میسازد) هم تعریف شدهاست. اندازههای حالت کوچک میتواند برای آزمایش حملات تحلیل رمزنگاری مورد استفاده قرار گیرد، و اندازههای حالت متوسط (از w = ۸، با ۲۰۰ بیت، تا w = ۳۲، با ۸۰۰ بیت) در برنامههای کاربردی سبک استفاده میشود.[۹][۱۰]
برای موارد اساچای۳–۲۲۴، اساچای۳–۲۵۶، اساچای۳–۳۸۴، و اساچای۳–۵۱۲، مقدار r از d بیشتر است، بنابراین در مرحله فشردن نیازی به جایگشتهای بلوکی اضافی نیست. d بیت اول از وضعیت، همان درهمسازی مورد نظر ما میباشد. با این حال، SHAKE-۱۲۸ و SHAKE-۲۵۶ امکان خروجی با طول دلخواه را به ما میدهند، که در برنامههایی مانند رمزگذاری با پرکردن نامتقارن بهینه مفید است.
لایه گذاری
برای اطمینان از اینکه پیام را میتوان به بلوکهای r بیتی مساوی تقسیم کرد، لایهگذاری لازم است. اساچای۳ از الگوی ۱*۱۰ در عملکرد لایهگذاری خود استفاده میکند: یک بیتِ ۱، بهدنبال آن صفر یا بیشتر بیتِ ۰ (حداکثر r − ۱ تا) و یک بیتِ ۱ نهایی.
حداکثر r − ۱ بیت صفر زمانی رخ میدهد که آخرین بلوک پیام r − ۱ بیت طول داشته باشد. دراینحالت بلوک دیگری پس از بیتِ ۱ اولیه اضافه میشود که حاوی r − ۱ بیتِ صفر قبل از بیتِ ۱ نهایی است.
دو بیتِ ۱، حتی اگر طول پیام در حال حاضر بر r بخشپذیر باشد، اضافه میشوند.[۲۳]: 5.1 در این حالت، یک بلوک دیگر به پیام اضافه میشود که حاوی یک بیتِ ۱ است، به دنبال آن یک بلوک r − ۲ تایی بیتِ صفر و یک بیتِ ۱ دیگر میباشد. این کار لازم است برای اینکه که یک پیام که طولش بر r بخش پذیر است و به چیزی که شبیه لایهگذاری به نظر میرسد ختم میشود، همان درهمسازی را تولید نکند که یک پیام دیگری که آن بیتها را ندارد تولید میکند.
بیتِ ۱ اولیه برای این نیاز است که پیامهایی که فقط چند بیتِ ۰ اضافی آخرشان متمایز است، یک درهمسازی مشابه ایجاد نکنند.
موقعیت بیتِ ۱ نهایی نشان میدهد که از کدام نرخ r استفاده شدهاست (لایهگذاری چند نرخی)، که برای اثبات امنیت لازم است تا برای انواع مختلف درهمسازی کار کند. بدون آن، درهمسازیهای مختلف از یک پیام کوتاه یکسان میتواند دارای برش یکسانی شود.
جایگشت بلوکی
تبدیل بلوکی f، که Keccak-f [1600] برای اساچای۳ است، جایگشتی است که از عملیات XOR، AND و NOT استفاده میکند و برای پیادهسازی آسان در هردوی نرمافزار و سختافزار طراحی شدهاست.
این تبدیل برای هر طول کلمهای که توانی از دو باشد، w = 2ℓ تعریف شدهاست. نسخه اصلی اساچای۳، از کلمات ۶۴ بیتی، ℓ = ۶ استفاده میکند.
آرایهٔ حالت میتواند به صورت یک آرایهٔ ۵ × ۵ × w بیتی در نظر گرفته شود. فرض کنید a[i][ j][k] برابر بیتِ (۵i + j) × w + k ام از ورودی باشد، که در یک مدل Little Endian از قرارداد شمارش بیتی و اندیس گذاری ردیف-اول فرض شدهاست، یعنی i شماره ردیف، j شماره ستون و k شماره بیت را مشخص میکند.
اندیس گذاری حسابی برای دو بعد اول، در پیمانه ۵ و برای بعد سوم در پیمانه w انجام میشود.
تابع جایگشت بلوکیِ پایه، متشکل از ۱۲ + ۲ℓ دورِ پنج مرحلهای است:
θ (تتا)
اعداد زوج و فرد هر یک از ۵w (برابر ۳۲۰ اگر w = ۶۴) ستون ۵بیتی را حساب کرده و xor آن را با دو ستون مجاورش در یک الگوی منظم محاسبه کنید. بهطور دقیقتر، a[i][ j][k] ← a[i][ j][k] ⊕ parity(a[0...4][ j−1][k]) ⊕ parity(a[0...4][ j+1][k−۱])
ρ (رو)
هر کدام از ۲۵ کلمه را با یک عدد مثلثی متمایز مانند ۰، ۱، ۳، ۶، ۱۰، ۱۵ ،...شیفت دورانی دهید. بهطور دقیق،a[۰][۰] دوران نمییابد، و به ازای هر ۰ ≤ t < ۲۴،
a[i][ j][k] ← a[i][ j][k−(t+1)(t+۲)/۲]، درصورتی که .
π (پی)
۲۵ کلمه را در یک الگوی ثابت جایگشت دهید a[j][2i+3j] ← a[ i][j]
χ (خی)
بیت به یبت با ردیفها ترکیب کنید، با استفاده از رابطهٔ x ← x ⊕ (¬y & z) بهطور دقیق، a[i][ j][k] ← a[i][ j][k] ⊕ (¬a[i][ j+۱][k] & a[i][ j+۲][k]) این تنها عملیات غیر خطی در اساچای۳ است.
ι (iota)
یک ثابت دور را با یک کلمه از حالت xor کنید. بهطور دقیق، در دور nام، به ازای ۰ ≤ m ≤ ℓ، مقدار a[0][0][2m−۱] با بیت m + 7nام از یک دنباله اجرایی حاصل از ثبات تغییر بازخورد خطی(LFSR) درجه-۸ xor میشود. این کار تقارنی را که در مراحل دیگر حفظ میشود، میشکند.
سرعت
سرعت درهمسازی پیامهای طولانی توسط اساچای۳، بسیار تحت تأثیر محاسبهٔ f = Keccak-f [۱۶۰۰] و XOR کردن S با مقدار گسترشیافتهٔ Pi، که یک عملیات روی b = ۱۶۰۰ بیت است، میباشد. با این حال، از آنجایی که c بیت آخر مقدار گسترشیافتهٔ P i درهرصورت صفر هستند، و XOR با ۰ یک NOP است، کافی است عملیات XOR را فقط برای r بیت انجام دهیم(r = ۱۶۰۰–۲ × ۲۲۴ = ۱۱۵۲ بیت برای اساچای۳–۲۲۴، ۱۰۸۸ بیت برای اساچای۳–۲۵۶، ۸۳۲ بیت برای اساچای۳–۳۸۴ و ۵۷۶ بیت برای اساچای۳–۵۱۲). هرچه r پایینتر باشد (و برعکس، هرچه c = b - r = 1600 - r بالاتر باشد)، درهمسازی ناکارآمدتر و پرهزینهتر اما ایمن تر میشود، زیرا تعداد بیت کمتری از پیام میتواند با حالت XOR شود (یک عملیات سریع) قبل از هر بار استفاده از f که از نظر محاسباتی پرهزینه است. نویسندگان سرعتهای زیر را برای اجرای پیادهسازیهای نرمافزاری Keccak-f [1600] به اضافه XOR کردن ۱۰۲۴بیت گزارش میدهند، که تقریباً با اساچای۳–۲۵۶ مطابقت دارد:
برنشتاین بهطور دقیق برای اساچای۳–۲۵۶ روی x۸۶–۶۴، عدد ۱۱٫۷–۱۲٫۲۵ cpb را بسته به CPU اندازهگیری کردهاست.[۲۶]: 7 اساچای۳ به دلیل کند بودن در معماریهای مجموعه دستورالعمل (CPU) که دستورالعمل خاصی برای محاسبه سریعتر توابع Keccak ندارند، مورد انتقاد قرار گرفتهاست - اساچای۲–۵۱۲ بیش از دو برابر سریعتر از اساچای۳، و اساچای۱ بیش از سه برابر سریعتر از آن روی یک پردازنده Intel Skylake با فرکانس کلاک ۳٫۲ گیگاهرتز اجرا میشود.[۲۷] نویسندگان با پیشنهاد استفاده از SHAKE۱۲۸ و SHAKE۲۵۶ به جای اساچای۳–۲۵۶ و اساچای۳–۵۱۲، به قیمت کاهش یافتن نصف مقاومتپیشنمایش (اما با همان مقاومت برخورد)، به این انتقاد واکنش نشان دادهاند. با این کار، عملکرد برابر میشود با اساچای۲–۲۵۶ و اساچای۲–۵۱۲.
با این حال، از نظر پیادهسازی سختافزاری، اساچای۳ به طرز ویژهای سریعتر از سایر فینالیستها است،[۲۸] و همچنین سریع تر از اساچای۲ و اساچای۱.[۲۷]
معماریهای ARMv8[۲۹] و IBM s۳۹۰x در حال حاضر (از سال ۲۰۱۸) شامل دستورالعملهای ویژه ای هستند که الگوریتمهای Keccak را قادر میسازند سریعتر اجرا شوند.
نمونهها
استاندارد NIST نمونههای زیر را برای پیام M و طول خروجی d نشان میدهد:[۲۳]: 20, 23
توجه داشته باشید که پسوندهای اضافه شده به صورت رشتههای بیتی نوشته میشوند، نه رقمهای مبنای ۱۶.
نمونههای اساچای۳ جایگزین قطرهای برای اساچای۲ هستند، با همان ادعاهای امنیتی یکسان. نمونههای SHAKE به اصطلاح توابع خروجی قابل گسترش XOF گفته میشوند. به عنوان مثال، SHAKE128(M، ۲۵۶) میتواند به عنوان یک تابع درهمسازی با طول ۲۵۶ بیت و امنیت کلی ۱۲۸بیتی استفاده شود.
توجه داشته باشید که همه نمونهها، تعدادی بیت به پیام اضافه میکنند، که سمت راستترین آنها نشاندهندهٔ پسوند جدایی دامنه است. هدف از این کار این است که اطمینان حاصل شود نمیتوان پیامهایی با همان خروجی درهمسازیشده را برای کاربردهای مختلف برنامه درهمسازی Keccak ساخت. پسوندهای جدایی دامنه زیر موجودند:[۲۳][۳۰]
پسوند
معنی
… ۰
برای استفاده بعدی محفوظ است
۰۱
SHA-3
… ۱۱
RawSHAKE
RawSHAKE پایه ای است برای رمزگذاری ساکورا جهت درهمسازی درختی، که هنوز استاندارد نشدهاست. با این حال، پسوند SHAKE با دقت انتخاب شدهاست تا اینکه سازگار با نسخههای بعدی ساکورا باشد. قبل از اعمال RawSHAKE، Sakura بیت ۰ را برای یک هاپ زنجیرهای یا بیت ۱ را برای یک پیام، سپس ۱۰*۰ را برای یک گره غیرنهایی (داخلی) یا ۱ را برای یک گره نهایی، اضافه میکند. درهمسازی متوالی مربوط به درخت هاپ با یک گره پیام است، بدین معنی که ۱۱ قبل از اعمال RawSHAKE به پیام اضافه میشود؛ بنابراین، SHAKE XOFs مقدار ۱۱۱۱ را به پیام اضافه میکند، یعنی ۱ برای پیام، ۱ برای گره نهایی و ۱۱ برای پسوند جدایی دامنه RawSHAKE.[۳۰]: 16
از آنجا که لایهگذاری ۱۰*۱ همیشه حداقل دو بیت را اضافه میکند، در کتابخانههای مرتب با بایت همیشه شش بیت صفر استفاده نشده وجود دارد؛ بنابراین، این بیتهای اضافی هرگز پیام لایهگذاری را طولانیتر نمیکنند. [نیازمند منبع]
نمونههای اضافی
در دسامبر سال ۲۰۱۶، NIST یک سند جدید با نام NIST SP.800-185 منتشر کرد[۳۱] که عملکردهای اضافی مشتق شده اساچای۳ را شرح میدهد:
نمونه
شرح
cSHAKE128 (X , L، N , S)
یک نسخه از SHAKE با پشتیبانی از جداسازی صریح دامنه از طریق پارامترهای شخصیسازی
cSHAKE256 (X , L، N , S)
KMAC128 (K , X، L , S)
یک تابع درهمسازی کلید دار بر اساس Keccak. همچنین میتواند بدون کلید به عنوان یک تابع درهمسازی معمولی مورد استفاده قرار گیرد.
KMAC256 (K , X، L , S)
KMACXOF128 (K , X، L , S)
KMACXOF256 (K , X، L , S)
TupleHash128 (X , L، S)
یک تابع برای درهمسازی یک چندتایی (تاپل) از رشتهها. خروجی این تابع، هم به محتویات و هم توالی رشتههای ورودی بستگی دارد.
TupleHash256 (X , L، S)
TupleHashXOF128 (X , L، S)
TupleHashXOF256 (X , L، S)
ParallelHash128 (X , B، L , S)
یک تابع که به منظور بهرهبرداری از موازیسازی در پردازندههای مدرن حهت درهمسازی سریعتر ساخته شدهاست. بر خلاف KangarooTwelve، از Keccak با دورِکاهشیافته استفاده نمیکند.
ParallelHash256 (X , B، L , S)
ParallelHashXOF128 (X , B، L , S)
ParallelHashXOF256 (X , B، L , S)
X رشته بیت ورودی اصلی است. این رشته ممکن است هر طولی، از جمله صفر داشته باشد.
L عدد صحیحی است که تعداد بیت خروجی درخواستی را نشان میدهد.
N نام یک تابع به صورت رشتهٔ بیتی است که توسط NIST برای تعریف توابع بر اساس cSHAKE استفاده میشود. هنگامی که هیچ تابعی غیر از cSHAKE مورد نظر باشد، N با رشته خالی مقداردهی میشود.
S یک رشتهٔ بیتی جهت سفارشیسازی است. کاربر این رشته را برای تعریف یک پارامتر متغیر از تابع انتخاب میکند. هنگامی که هیچ سفارشی سازی مورد نظر نیست، S با رشته خالی مقداردهی میشود.
K یک کلید به صورت رشتهٔ بیتی با هر طولی، از جمله صفر است.
B تعداد بایتهای هر بلوک حهت درهمسازی موازی است. B میتواند هر عدد صحیحی باشد به طوری که 0 <B <2 2040.
تحولات بعدی
درخت درهمسازی
در سال ۲۰۱۶، همان تیمی که توابع اساچای۳ و الگوریتم Keccak را ایجاد کرده بودند، یک جایگزین سریعتر با تعداد دورهای کاهشیافته (کاهشیافته به ۱۲ و ۱۴دور، از ۲۴ دور در اساچای۳) که به دلیل استفاده از درهمسازی درختی، میتواند از قابلیت اجرای موازی بهره بگیرد، ارائه کردند: KangarooTwelve و MarsupilamiFourteen.[۳۲]
این توابع با ParallelHash، تابع درهمسازی استاندارشده FIPS باقابلیت موازی سازی و مبتنی بر Keccak، از نظر موازیسازی متفاوت است، زیرا در پیامهای با اندازه کوچک سریعتر از ParallelHash هستند.
تعداد دور کاهش یافته با تلاش بسیار زیاد تحلیلی رمزنگاری متمرکز بر Keccak که نتوانست در حمله عملیاتی به هیچ الگوریتم Keccak با تعداد دور نزدیک به دوازده ایجاد کند، تصدیق میشود. این الگوریتمهای با سرعت بالاتر جزئی از اساچای۳ نیستند (زیرا آنها بعداً توسعه یافتهاند)، و بنابراین سازگار با FIPS نیستند. اما آنها به همان اندازه توابع اساچای۳ ایمن هستند، [نیازمند منبع] زیرا آنها از همان جایگشت Keccak استفاده میکنند و هیچ حمله ای به Keccak ۱۲ دوری نشدهاست.
KangarooTwelve یک نسخه با تعداد دور کاهش یافته (از ۲۴ به ۱۲ دور) با عملکرد بالاتر از Keccak است که ادعا میکند ۱۲۸ بیت امنیت دارد[۳۳] در حالی که عملکردی برابر با ۰٫۵۵ چرخه در هر بایت دارد.[۳۴] این الگوریتم یک پیش نویس IETFRFC است.[۳۵]
MarsupilamiFourteen، نسخهٔ اندکی تغییریافتهٔ KangarooTwelve، از ۱۴ دور جایگشت Keccak استفاده میکند و ادعا میکند ۲۵۶ بیت امنیت دارد. توجه داشته باشید که امنیت ۲۵۶ بیتی در عمل مفیدتر از امنیت ۱۲۸ بیتی نیست، اما ممکن است طبق برخی استانداردها مورد نیاز باشد.[۳۳] درحال حاضر ۱۲۸ بیت برای پیروزشدن بر حملات brute-force بر روی سختافزار فعلی کافی است، بنابراین داشتن امنیت ۲۵۶ بیتی ارزش عملی نمیافزاید، مگر اینکه کاربر نگران پیشرفتهای چشمگیر سرعت کامپیوترهای کلاسیک باشد. برای مقاومت در برابر رایانههای کوانتومی، به زیر مراجعه کنید.
KangarooTwelve و MarsupilamiFourteen، مشابه SHAKE، توابع با قابلیت گسنرش خروجی هستند، بنابراین آنها برای یک پیام مشترک با طول خروجی متفاوت، خروجی نزدیک به هم تولید میکنند (خروجی طولانیتر تعمیمیافتهٔ خروجی کوتاهتر میباشد). توابع درهمساز مانند اساچای۳ یا ParallelHash (به جز انواع مختلف XOF) چنین خاصیتی از خود نشان نمیدهند.[۲۳]
ساخت و ساز فارفاله(Farfalle)
در سال ۲۰۱۶، تیم Keccak یک ساخت و ساز مختلف به نام ساخت و ساز فارفاله، و Kravatte، یک نمونه از فارفاله که از جایگشت Keccak-p استفاده میکند، منتشر کردند،[۳۶] بهعلاوهٔ دو الگوریتم رمزگذاری معتبر
یک نتیجه کلی (الگوریتم گرور) وجود دارد که کامپیوترهای کوانتومی میتوانند یک حمله پیشنمایش ساختار یافته را در انجام دهند، در حالی که یک حمله brute-force کلاسیک به 2d نیاز دارد. یک حمله ساختار یافته پیشنمایش نشانگر یک حمله پیشنمایش دوم[۳۸] و در نتیجه یک حمله تصادم است. یک کامپیوتر کوانتومی همچنین میتواند یک حمله روز تولد را در [۳۹] (اگرچه این مورد اختلاف است[۴۰]) انجام دهد، درنتیجه مقاومت در برابر تصادم را ازبین ببرد. با توجه به این که حداکثر قدرت میتواند باشد، کرانهای بالای[۴۱] زیر بر روی امنیت کوانتومی اساچای۳ حاصل میشوند:
نمونه
نقاط قوت امنیتی در بیتها
تصادم (براسارد و همکاران)
تصادم (برنشتاین)
پیش نمایش
پیش نمایش ۲
SHA3-224 (M)
۷۴⅔
۱۱۲
۱۱۲
۱۱۲
SHA3-256 (M)
۸۵⅓
۱۲۸
۱۲۸
۱۲۸
SHA3-384 (M)
۱۲۸
۱۹۲
۱۹۲
۱۹۲
SHA3-512 (M)
۱۷۰⅔
۲۵۶
۲۵۶
۲۵۶
SHAKE128(M, d)
min(d/3,128)
min(d/2,128)
≥min(d/2,128)
min(d/2,128)
SHAKE256(M, d)
min(d/3,256)
min(d/2,256)
≥min(d/2,256)
min(d/2,256)
نشان داده شدهاست که ساخت و ساز مرکل-دامگورد، که در اساچای۲ از آن استفاده میشود، در حال فروپاشی است و به تبع آن، مقاوم در برابر تصادم کوانتومی است،[۴۲] اما برای ساخت اسفنج مورد استفاده در اساچای۳، نویسندگان فقط برای این مورد که تابع بلوکی f باهزینهکم وارونپذیر نیست اثبات کردهاند. Keccak-f [۱۶۰۰]، ولی، باهزینهکم وارونپذیر است و بنابراین اثبات آنها کاربردی نیست.[۴۳]
بحث و گفتگو در مورد تغییر ظرفیت
در فوریه ۲۰۱۳در کنفرانس RSA، و سپس در اوت ۲۰۱۳ در CHES، NIST اعلام کرد که مقادیر مختلفی را برای ظرفیت، که پارامتر امنیتی است، برای استاندارد اساچای۳، در مقایسه با ارسال اولیه، انتخاب میکنند.[۴۴][۴۵] این تغییرات باعث سردرگمی شد.
مسابقات توابع درهمسازی، خواستار توابع درهمساز شد که حداقل به همان اندازه نمونههای اساچای۲ امنیت داشته باشند. به این معنی که یک خروجی d بیتی باید مقاومت d/۲ بیتی درمقابل حملات تصادم و مقاومت d بیتی در برابر حملات پیشنمایش داشته باشد، مقدار حداکثری که برای d بیت از خروجی دست یافتنی است. اثبات امنیتی Keccak امکان تنظیم سطح امنیتی را مبتنی بر «ظرفیت» c میدهد، که مقاومت c/۲ بیتی در برابر هردو حمله تصادم و حمله پیشنمایش فراهم میکند. جهت برآورده ساختن قوانین اصلی رقابت، نویسندگان کچاک c = ۲d را پیشنهاد کردند. تغییر اعلام شده برای پذیرش همان امنیت d/۲ بیتی برای همه اشکال حمله و استانداردسازی c = d بود. این میتوانست با فراهم کردن امکان درهمسازی d بیت اضافهتر از ورودی درهربار تکرار چرخه، سرعت Keccak را بالا ببرد؛ ولی، توابع درهمسازی دیگر نمیتوانستند جایگزینهای قطرهای با همان مقاومت پیشنمایشی اساچای۲ باشند. با این کار مقاومت پیشنمایشی به نصف کاهش مییافت، باعث میشد در برابر پیشرفتهای محاسبات کوانتومی آسیبپذیر شود، که بهطور مؤثری آن را دوباره به نصف کاهش میداد.[۳۸]
در سپتامبر ۲۰۱۳، دنیل جی برنشتاین در لیست پستی انجمن درهمسازی NIST[۴۶] پیشنهاد کرد که امنیت را با رساندن ظرفیت به ۵۷۶ بیت، که در ابتدا به عنوان پیش فرض کچاک پیشنهاد شده بود، و علاوه بر این در مشخصات فنی اساچای۳ گنجانده نشده بود، تقویت کنند.[۴۷] این کار میتوانست حداقل یک اساچای۳–۲۲۴ و اساچای۳–۲۵۶ با همان مقاومت پیشنمایشی به اندازه پیشینیان اساچای۲ خود فراهم کند، اما اساچای۳–۳۸۴ و اساچای۳–۵۱۲ مقاومت پیشنمایشی بسیار کمتری نسبت به پیشینیان اساچای۲ خود پیدا میکردند. در اواخر ماه سپتامبر، تیم کچاک با بیان اینکه آنها قبلاً امنیت ۱۲۸ بیتی با تعیین c = ۲۵۶ را به عنوان یک گزینه در پروپوزال اساچای۳ خود پیشنهاد دادهبودند، پاسخ داد.[۴۸] اگرچه از نظر آنها کاهش ظرفیت قابل توجیه بود، با توجه به پاسخ منفی، آنها پیشنهاد کردند ظرفیت به c = ۵۱۲ بیت برای همه نمونهها افزایش یابد. این مقدار ظرفیت به همان اندازهٔ هر استاندارد قبلی با حداکثر سطح امنیتی ۲۵۶ بیتی بود، و در عین حال بازده مناسبی هم داشت،[۴۹] اما نه به اندازهٔ مقاومت پیشنمایشی 384- / 512 بیتی ارائه شده توسط اساچای۲–۳۸۴ و اساچای۲–۵۱۲. نویسندگان سعی کردند با این ادعا که "ادعاکردن یا اعتماد بر سطح قدرت امنیتی بالای ۲۵۶ بیت بی معنی است" خود را توجیه کنند.
در اوایل اکتبر ۲۰۱۳، بروس اشنیر با انتقاد از تصمیم NIST مبنی بر تأثیرات مضر آن بر پذیرش الگوریتم، گفت:
There is too much mistrust in the air. NIST risks publishing an algorithm that no one will trust and no one (except those forced) will use.[۵۰]
پل کرولی، رمزنگار و توسعه دهنده ارشد در یک شرکت مستقل توسعه نرمافزار، با گفتن اینکه کچاک قرار است قابل تنظیم باشد و هیچ دلیلی بر وجود سطوح امنیتی مختلف درون یک اصل اولیه وجود ندارد، حمایت خود از این تصمیم را بیان کرد. وی همچنین اضافه کرد:
Yes, it's a bit of a shame for the competition that they demanded a certain security level for entrants, then went to publish a standard with a different one. But there's nothing that can be done to fix that now, except re-opening the competition. Demanding that they stick to their mistake doesn't improve things for anyone.[۵۱]
برخی گمانها نیز مبنی بر ایجاد تغییرات داخلی در کچاک وجود داشت. تیم کچاک این موضوع را روشن کرد و اظهار داشت که پیشنهاد NIST برای اساچای۳ زیرمجموعه ای از خانواده کچاک است که برای آن بشود با استفاده از کد مرجع ارسال شده به مسابقه، بردارهای تست تولید کرد و این پیشنهاد نتیجه یک سری بحثها بین آنها و تیم درهمسازی NIST بود.[۵۲] همچنین، بروس اشنایر اظهارات قبلی خود را اصلاح کرد و گفت:
وقتی نوشتم که NIST «تغییرات داخلی» در الگوریتم ایجاد کردهاست، اشتباه کردم. این بیدقتی من بود. جایگشت کچاک بدون تغییر باقی ماندهاست. آنچه NIST پیشنهاد کرد کاهش ظرفیت تابع درهمسازی جهت کمک به افزایش عملکرد بود. یکی از ویژگیهای خوب کچاک این است که بسیار قابل تنظیم است.[۵۰]
در پاسخ به این بحث و گفتگو، در نوامبر ۲۰۱۳ جان کلسی از NIST پیشنهاد بازگشت به طرح اصلی c = ۲d برای همه نمونههای جایگزینی قطره ای اساچای۲ را داد.[۵۳] این بازبینی در پیش نویس آوریل ۲۰۱۴ تأیید شد.[۵۴] این پیشنهاد در استاندارد انتشار نهایی در اوت ۲۰۱۵ پیادهسازی شد.[۳]
فرمهای با ظرفیت کاهشیافته با عنوان SHAKE۱۲۸ و SHAKE۲۵۶ منتشر شدند، که عدد آنها سطح امنیتی را نشان میدهد و تعداد بیتهای خروجی متغیر است، اما باید دو برابر مقاومت موردنیاز در برابر تصادم باشد.
تغییر یک بیت واحد باعث میشود که هر بیت در خروجی با احتمال ۵۰٪ تغییر کند که یک اثر بهمنی را نشان میدهد:
SHAKE128("The quick brown fox jumps over the lazy dog", 256)
f4202e3c5852f9182a0430fd8144f0a74b95e7417ecae17db0f8cfeed0e3e66e
SHAKE128("The quick brown fox jumps over the lazy dof", 256)
853f4538be0db9621a6cea659a06c1107b1f83f02b13d1
مقایسه توابع اساچای
در جدول زیر، حالت داخلی به معنی تعداد بیتهایی است که به بلوک بعدی منتقل میشوند.
↑Bertoni, Guido; Daemen, Joan; Peeters, Michaël; van Assche, Giles (ژانویه 14, 2011). "The Keccak SHA-3 submission"(PDF). keccak.noekeon.org. Archived(PDF) from the original on August 19, 2011. Retrieved February 9, 2014.
Prins Alexander 1851–1884 Prins van Oranje Periode 1879–1884 Voorganger Willem Opvolger Willem-Alexander Geboren 25 augustus 1851, Den Haag, Paleis Noordeinde Overleden 21 juni 1884, Den Haag, Kneuterdijk 6 / Johan de Witthuis Vader Willem III Moeder Sophie van Württemberg Dynastie Oranje-Nassau Broers/zussen Willem, Maurits, Wilhelmina Willem Alexander Carel Hendrik Frederik (Den Haag, 25 augustus 1851 – aldaar, 21 juni 1884), prins van Oranje, prins der Nederlanden, prins van Oranje-...
Religion in Ireland Islam in Europeby percentage of country population[1] 90–100% AzerbaijanKosovoTurkey 70–90% AlbaniaKazakhstan 50–70% Bosnia and Herzegovina 30–40% North Macedonia 10–20% BulgariaCyprusGeorgiaMontenegroRussia 5–10% AustriaSwedenBelgiumFranceGermanyGreece LiechtensteinNetherlandsSwitzerlandUnited KingdomNorwayDenmark 4–5% ItalySerbia 2–4% LuxembourgMaltaSlo...
Sports motorcycle Type of motorcycle Suzuki GSX1300R HayabusaManufacturerSuzukiProduction1999–presentAssemblyJapan: Toyokawa, Aichi (Toyokawa plant)India: Gurgaon (Gurgaon plant)[1]ClassSport bikeTop speed1999-2000: 303–312 km/h (188–194 mph)[2][3]2001: 299 km/h (186 mph)[4][5]RelatedSuzuki B-King The Suzuki GSX1300R Hayabusa is a sports motorcycle made by Suzuki since 1999. It immediately won acclaim as the world's fastest pro...
This article includes a list of references, related reading, or external links, but its sources remain unclear because it lacks inline citations. Please help to improve this article by introducing more precise citations. (May 2020) (Learn how and when to remove this template message) This article or section may have been copied and pasted from another location, possibly in violation of Wikipedia's copyright policy. Please review the source and remedy this by editing this article to remove any...
Chicken curry dish from South India This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Chicken Chettinad – news · newspapers · books · scholar · JSTOR (December 2018) (Learn how and when to remove this template message) Chicken ChettinadChicken ChettinadAlternative namesChettinadin ChickenPlace of originIndia...
Firefox derivative recommending only free software For the Debian Iceweasel package, see Mozilla software rebranded by Debian. GNU IceCatGNU IceCat new-tab pageDeveloper(s)GNUzilla team, GNU ProjectStable release60.7.0[1] / 2 June 2019Preview release115.4.0[2] / 23 October 2023 Repositorygit.savannah.gnu.org/cgit/gnuzilla.git EngineGecko Operating system Linux Windows macOS Android TypeWeb browserLicenseMPL-2.0 (source files from Mozilla Firefox browser)[3]...
Untuk lagu Rihanna dengan nama yang sama, lihat Complicated (lagu). ComplicatedSingel oleh Avril Lavignedari album Let GoSisi-BI Don't Give, WhyDirilisApril 2002Direkam2002Genre Pop rock Rock[1] grunge[1] Durasi4:04LabelAristaPenciptaAvril Lavigne, Lauren Christy, Scott Spock, Graham EdwardsProduserThe MatrixSampul alternatifSampul alternatif Complicated adalah singel pertama yang diluncurkan oleh penyanyi punk rock asal Kanada Avril Lavigne. Single ini berasal dari album pert...
American TV miniseries This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Scarlett miniseries – news · newspapers · books · scholar · JSTOR (May 2019) (Learn how and when to remove this template message) ScarlettBased onScarlett by Alexandra RipleyWritten byWilliam HanleyDirected byJohn ErmanStarringJoanne...
Мотоциклетный карбюраторКарбюра́тор (фр. Carburateur) — узел системы питания ДВС, предназначенный для приготовления горючей смеси наилучшего состава путём смешения (карбюрации, фр. carburation) жидкого топлива с воздухом и регулирования количества её подачи в цилиндры дв...
1976 film by Mario Landi Batton StoryDirected byMario LandiWritten byPiero RegnoliProduced byGabriele CrisantiStarringFemi BenussiCinematographyFranco VillaMusic byWilly BrezzaLanguageItalian Batton Story (Italian: Le impiegate stradali, literally The road employees) is a 1976 commedia sexy all'italiana directed by Mario Landi.[1][2] Synopsis A Roman teacher takes the side of a group of prostitutes and sets up a trade union to support their rights. Cast Femi Benussi as Marisa ...
LEBC2, the Lexan bubble chamber, which had a diameter of 20 cm and was made of transparent plastic. The construction of the LExan Bubble Chamber, LEBC, was approved by the CERN Research Board on 16 November 1978.[1] Bubble chambers are similar to cloud chambers, both in application and in basic principle. A chamber is normally made by filling a large cylinder with a liquid heated to just below its boiling point. As particles enter the chamber, a piston suddenly decreases its pressure,...
Carlos Morán Ministro del Interior del Perú 19 de octubre de 2018-24 de abril de 2020Presidente Martín Vizcarra CornejoPrimer ministro César VillanuevaSalvador del SolarVicente ZeballosPredecesor Mauro Medina GuimaraesSucesor Gastón Rodríguez Información personalNacimiento 22 de mayo de 1960 (63 años)LimaNacionalidad PeruanaInformación profesionalOcupación Abogado y policía [editar datos en Wikidata] Carlos Morán Soto (Lima, 22 de mayo de 1960) es un abogado y gener...
Disambiguazione – Se stai cercando la strage nazista in Bielorussia, vedi Chatyn'. Massacro di Katyn'massacroVittime del massacro riesumate dai tedeschi nel 1943 TipoFucilazione Data inizio3 aprile 1940 Data fine19 maggio 1940 LuogoKatyn' Stato Unione Sovietica Coordinate54°46′24″N 31°47′20″E / 54.773333°N 31.788889°E54.773333; 31.788889Coordinate: 54°46′24″N 31°47′20″E / 54.773333°N 31.788889°E54.773333; 31.788889 ObiettivoEserci...
Den här artikeln har skapats av Lsjbot, ett program (en robot) för automatisk redigering. (2016-04)Artikeln kan innehålla fakta- eller språkfel, eller ett märkligt urval av fakta, källor eller bilder. Mallen kan avlägsnas efter en kontroll av innehållet (vidare information) Võnnu vald Kommun Land Estland Landskap Tartumaa Höjdläge 31 m ö.h. Koordinater 58°18′58″N 27°09′23″Ö / 58.31604°N 27.15643°Ö / 58.31604; 27.15643 Tidszon ...
Questa voce sull'argomento biologia molecolare è solo un abbozzo. Contribuisci a migliorarla secondo le convenzioni di Wikipedia. Segui i suggerimenti del progetto di riferimento. Un fattore di trascrizione è una proteina che lega il DNA in una regione specifica di un promotore o di un enhancer, da dove poi regola la trascrizione. I fattori di trascrizione possono essere attivati o disattivati selettivamente da altre proteine, spesso come passo finale della trasduzione. Indice 1 Class...
Scouting and Guiding associations in Spain You can help expand this article with text translated from the corresponding article in Spanish. (March 2009) Click [show] for important translation instructions. View a machine-translated version of the Spanish article. Machine translation, like DeepL or Google Translate, is a useful starting point for translations, but translators must revise errors as necessary and confirm that the translation is accurate, rather than simply copy-pasting mach...
United States Army Air Forces Medal of Honor recipient Horace S. Carswell Jr.Major Horace S. Carswell Jr.Nickname(s)StumpBorn(1916-07-18)July 18, 1916Fort Worth, TexasDiedOctober 26, 1944(1944-10-26) (aged 28)near South China SeaPlace of burialMajor Horace Seaver “Stump” Carswell Jr. was buried in 1944 at Tungchen, China. In 1945 he was reburied at the American Military Cemetery at Kunming, China. In 1947 he was reburied in Hawaii. In 1948 he was reburied in Rose Hill Cemetery in eas...
Horst BrummeierInformazioni personaliArbitro di Calcio Professione? Attività nazionale AnniCampionatoRuolo ? - 1990Bundesliga (Austria)Arbitro Horst Brummeier (Traun, 31 dicembre 1945) è un ex arbitro di calcio austriaco. Divenuto internazionale nel 1979, è stato il più stimato arbitro internazionale austriaco degli anni Ottanta, come confermato dal suo palmarès. Infatti è stato selezionato per il Campionato mondiale di calcio 1986, arbitrando la gara Irlanda del Nord-Spagna, oltre a fa...
List of events ← 2006 2005 2004 2007 in Somalia → 2008 2009 2010 Decades: 1980s 1990s 2000s 2010s 2020s See also: History of Somalia List of years in Somalia Main article: Somalia War (2006–2009) The timeline of events in the War in Somalia during 2007 is set out below. Fatality reports–(A minimum - based on news reports) Month Ethiopiansoldiers Somalisoldiers* Othersoldiers** Insurgents Civilians January 4 3 None 25 70 February None 2 None 4 30 March–April 37 13 1 429 1...