Прості хеш-функції

Всі хеш-функції виконуються в такий спосіб. Вхідне значення (повідомлення, файл і т.п.) розглядається як послідовність n-бітних блоків. Вхідне значення обробляється послідовно блок за блоком, і створюється m-бітне значення хеш-кода.

Одним з найпростіших прикладів хеш-функції є побітний XOR кожного блоку:

С_i = b_i1 b_i2 . . . b_ik

Де

Сi - i-ий біт хеш-кода, 1 i n.

k - число n-бітних блоків входу.

bij - i-ий біт в j-ом блоці.

- операція XOR.

У результаті виходить хеш-код довжини n, відомий як поздовжній надлишковий контроль. Це ефективно при випадкових збоях для перевірки цілісності даних.

Часто при використанні подібного поздовжнього надлишкового контролю для кожного блоку виконується однобітне циклічне зрушення після обчислення хеш-кода. Це можна описати в такий спосіб.

1. Установити n-бітний хеш-код у нуль.

2. Для кожного n-бітного блоку даних виконати наступні операції:

• зрушити циклічно поточний хеш-код уліво на один біт;

• виконати операцію XOR для чергового блоку й хеш-кода.

Це дасть ефект "випадковості" входу й знищить будь-яку регулярність, що є присутнім у вхідних значеннях.

Хоча другий варіант вважається більш кращим для забезпечення цілісності даних і запобігання від випадкових збоїв, він не може використовуватися для виявлення навмисних модифікацій переданих повідомлень. Знаючи повідомлення, що атакує легко може створити нове повідомлення, що має той же самий хеш-код. Для цього варто підготувати альтернативне повідомлення й потім приєднати n-бітний блок, що є хеш-кодом нового повідомлення, і блок, що є хеш-кодом старого повідомлення.

Хоча простого XOR або ротаційного XOR (RXOR) недостатньо, якщо цілісність забезпечується тільки зашифрованим хеш-кодом, а саме повідомлення не шифрується, подібна проста функція може використовуватися, коли все повідомлення й приєднаний до нього хеш-код шифруються. Але й у цьому випадку варто пам'ятати про те, що подібна хеш-функція не може простежити за тим, щоб при передачі послідовність блоків не змінилася. Це відбувається в силу того, що дана хеш-функція визначається в такий спосіб: для повідомлення, що складає з послідовності 64-бітних блоків Х₁, Х₂,..., Х_N, визначається хеш-код З як поблочний XOR всіх блоків, що приєднується як останній блок:

С = Х_N+1 = X₁ X₂ . . . X_N

Потім все повідомлення шифрується, включаючи хеш-код, у режимі СВС для створення зашифрованих блоків Y₁, Y₂, ..., Y_N+1. По визначенню СВС маємо:

Х₁ = IV D_K [Y₁]

Х_i = Yi-1 D_K [Y_i]

Х_N+1 = Y_N D_K [Y_N+1]

Але X_N+1 є хеш-кодом:

Х_N+1 = X₁ X₂ . . . X_N =

(IV D_K [Y₁]) (Y₁ D_K [Y₂]) . . .

( Y_N-1 D_K [Y_N])

Так як співмножники в попередній рівності можуть обчислюватися в будь-якому порядку, отже, хеш-код не буде змінений, якщо зашифровані блоки будуть переставлені.

Первісний стандарт, запропонований NIST, використовував простий XOR, що застосовувався до 64-бітних блоків повідомлення, потім все повідомлення шифрувалося, використовуючи режим СВС.

Криптоаналіз хеш-функцій

Можливі різного роду атаки, засновані на "парадоксі дня народження". Можлива наступна стратегія:

1. Супротивник створює 2^m/2 варіантів повідомлення, кожне з яких має деякий певний зміст. Супротивник підготовляє таку ж кількість повідомлень, кожне з яких є підробленим і призначено для заміни справжнього повідомлення.

2. Два набори повідомлень рівняються в пошуках пари повідомлень, що мають однаковий хеш-код. Імовірність успіху відповідно до "парадокса дня народження" більше, ніж 0,5. Якщо відповідна пара не знайдена, то створюються додаткові вихідні й підроблені повідомлення доти, поки не буде знайдена пара.

3. Атакуючий пропонує відправникові вихідний варіант повідомлення для підпису. Цей підпис може бути потім приєднана до підробленого варіанта для передачі одержувачеві. Так як обидва варіанти мають той самий хеш-код, буде створений однаковий підпис. Супротивник буде впевнений в успіху, навіть не знаючи ключа шифрування.

Таким чином, якщо використовується 64-бітний хеш-код, то необхідна складність обчислень становить порядку 2³².

На закінчення відзначимо, що довжина хеш-кода повинна бути досить великою. Довжина, рівним 64 бітам, у цей час не вважається безпечною. Переважніше, щоб довжина становила порядку 100 біт.