دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 1

توابع درهم ساز )چکيده ساز(

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي كارگاهگیلان 1390ماه دی، دانشگاه

نصور باقري

Nbagheri@srttu.edu

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 2

1

2

4

5

فصل دوم : امضاي ديجيتال

فصل سوم : انواع توابع درهم ساز

فصل چهارم : تحليل توابع درهم ساز

فصل پنجم : گذشته، حال ، آينده

فصل اول : توابع درهم سازفهرست

مطالب

3

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 3

Hash functions, most notably MD5 and SHA-1, initially crafted for use in a handful of cryptographic schemes with specific security requirements, have become standard fare for many developers and protocol designers who treat them as black boxes withmagic properties. This practice had not been seriously challenged until 2004, sinceboth functions appeared to have withstood the test of time and intense scrutiny ofcryptanalysts. Starting last year, we have seen an explosive growth in the number andpower of attacks on the standard hash functions. In this note we discuss the extent towhich the hash functions can be thought of as black boxes, review some recent attacks,and, most importantly, revisit common applications of hash functions in programmingpractice.

b34d0fcefef36b3ff420b

چكيده پيام

پيام طوالني

تابع درهم ساز چيست ؟

H: {0,1}* {0,1}n

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 4

تابع درهم ساز طول ورودي :دلخواه

مقدار ثابت:طول خروجي

ساده بودن محاسبات

بودنيک طرفه

فايل يا پيام

تابع درهم ساز

توابع درهم ساز = توابع بدون بازگشتتوابع درهم ساز = توابع بدون بازگشت

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 5

توابع درهم ساز

بدون كليدكليد دار

MACMDC

OWHF

UOWHF

CRHF

طبقه بندي عمومي توابع درهم ساز

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 6

تفاوت توابع درهم ساز با DESالگوريتم

بيتيnمتن رمز شده

متن رمز شده با طول ثابت

متن رمز نشده n بيتي

متن رمز نشده باطول دلخواه

ال*گوريتمDES

الگوريتم

درهم

ساز

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 7

ويژگيهاي تابع مقاومت در مقابل پيش درهم ساز

تصويرH

H(x)

failurereturn

forend

xreturnthenyxhif

doXxallfor

qXXXchoose

5

4

)(3

2

,1

0

00

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 8

ويژگيهاي تابع درهم ساز

مقاومت در برابر پيش تصوير دوم

H

H(X)

H

H(X)

X

=

failurereturn

forend

xreturnthenyxhif

doXxallfor

qXxXXchoose

xhy

6

5

)(4

3

1,2

)(1

00

00

00

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 9

ويژگيهاي تابع درهم ساز

H H

=

مقاومت در برابر برخورد)عدم برخورد(

failurereturnelse

xxreturnthenxxsomeforyyif

xhydoXxallfor

qXXXchoose

xx

x

4

),(,3

)(2

,1

0

00

ناپذيري اين ويژگي به امضاء جعلالكترونيكي كمك مي كند.

H(X) H(X)

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 10

ويژگيهاي تابع درهم ساز

ويژگي اوراكل تصادفي

بعنوان تابعي كه به صورت تصادفي رفتار مي )(hتابع .كند ، انتخاب مي گردد

.هر حمله اي ممكن است ويژگي اوراكل تصادفي را غير معتبر مي سازد

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 11

كاربردهاي توابع سازي‌درهم

ديجيتالامضاي

كد احراز اصالت پيام

)رمزهاي توابع شبه تصادفي دنباله اي(

رمزهاي قطعهاي

پروتکلهاي تصديق هويت

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، خواجه صنعتي دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي كارگاهطوسي نصيرالدين

12

كاربرد در طرح هاي امضاي ديجيتال

Alice

Alice

Alice

Alice

آيا امضاي ديجيتال

صحيح است؟

?=

h h

آليس باب

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 13

ليسآ

AliceAlice

?=

Eve

€ 10k € 50k

h h

اينآليس لطفا پيام را امضاء كن

€ 10k

پيام را اين باب،آليس امضاء كرده

.است

€ 50k

Alice

h h

باشه.من اين پيام را امضاء مي

..كنم

آليس اين پيام را امضاء كرده

است

امضاء صحيح !است

تصادم !

باب

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 14

پيام+

امضاء

پيام+

امضاء

درهم سازيدرهم سازي

تشخيص صحت امضابا استفاده از كليدعمومي فرستنده

تشخيص صحت امضابا استفاده از كليدعمومي فرستنده

امضاي مقدار درهمشده با استفاده از كليد

خصوصي فرستنده

امضاي مقدار درهمشده با استفاده از كليد

خصوصي فرستنده

پيام+

امضاء

پيام+

امضاء

مقايسهمقايسه

مقدار درهم شدهمقدار درهم شده

پيامپيام

فرستنده

گيرنده

مقدار درهم شدهمقدار درهم شده

با اعمال تابع درهم سازي روي پيام

Signed Message

رمز گشايي پيامرمز گشايي پيام با استفاده ازبا استفاده ازكليد خصوصيكليد خصوصي

گيرندهگيرنده

رمز گشايي پيامرمز گشايي پيام با استفاده ازبا استفاده ازكليد خصوصيكليد خصوصي

گيرندهگيرنده

رمز نمودن پيامرمز نمودن پيام با استفادهبا استفاده

از كليد عمومياز كليد عمومي گيرندهگيرنده

رمز نمودن پيامرمز نمودن پيام با استفادهبا استفاده

از كليد عمومياز كليد عمومي گيرندهگيرنده

پيام ‌رمزشده

ارسال از طريق اينترنت

ايجاد يك امضاي ديجيتالي

زبا استفاده از تابع درهم سا

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن،

هويت تصديق پروتکلهاي

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 16

ساز درهم تابع يك طراحي

طول • با ساز فشرده تابع يك از استفادهتكرار ساختار يك در ثابت خروجي و ورودي

شونده.

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 17

توابع درهم ساز تكراري )مركل-دمگارد(

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 18

(HAIFAتوابع درهم ساز تكراري )

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 19

Wideتوابع درهم ساز تكراري )Pipe MD)

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 20

(Spongeتوابع درهم ساز تكراري )

يک جايگشت fدر اينجا تابع است

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 21

يت توابع درهم ساز تکراريامن

ر ي وجود دارد که تأثيف تابع درهم ساز تکراريدو عنصر در تعرت آن دارندي امني رويمهم :

IV هينتخاب مقدار اولا

يه گذاريانتخاب روش ال

.

ثابت باشد و فرآيند اليي گذاري IVاگر مقدار اوليه مشتمل بر قرار دادن طول ورودي در بيتهاي اليي

، مقاوم در برابر برخورد است اگر hگذاري باشد، آنگاه .، مقاوم در برابر برخورد باشدfوتنها اگر

ه مرکل – دمگارديقض

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 22

شونده تكرار ساز درهم توابع در خواص حفظ

واصcظ خcارت حفcژگي از عبcه اين ويcبيcكc سcاختار cدرهcم سcاز اطالق cمcي شcوcد كcه بتcوانcد cخcواcصc تcابعc فcشcردcه سcاز رcا بcه

كcل تابعc درهمc ساز گسcترشc دهcد.

اردccccل-دمگcازي مركccccساختار درهم سخاصcccيت مقcccاوcمت درc برابcccر تالقيc را

حفظ مي كند.

وانccه مي تccواص چccاير خccارة سccدر بگفت؟

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 23

‌ طول‌ گسترش حمله

:ضعف گسcترش طcول در سcاختار مركcل- دمگارد–

بيIابيم ’m و m اگIر بتIوانيم دو پيIام متفIاوت•IهIك=f(IV,m’) f(IV,m) وانIتI ورت ميIدر اين ص

سIاخت كIه ’Mو M IبينهIايت زوج IپيIام متفIاوIت =H(M’) H(M) ودIاهده مي شIا مشIدر . در اينج

I دادIIعIه تIIبI وانIIتI ميI قي Iك تالIIتن يIIشIدا IاIIه بIIكI .يدIدلخواه تالقي رس

Mو بIدون داشIتن MطIول و H(M)با داشIتن •مي دلخIواIه را ’mبIراIي هIر H(M||m’) IمقIداIر

. حساب كردتوان

☒

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 24

M1

M’1

h0 h1

M2

M’2

h2

Mk

M’k

hk-1 hk

‌ چندگانه‌ تالقي حمله

عمليات زير ار تكرار كن:k تا 1 از iبراي •را M’i و Mi متنهاي Cبا فراخواني ماشين تالقي ياب –

:به گونه اي پيدا كن كه

:قرار بده–

متن متفاوت 2kبعد از عمليات اليي گذاري تعداد •بعنوان متنهايي كه به يك مقدار خروجي مي

رسند، تحويل بده.

iiiiii MMandMhfMhf ,, 11

iii Mhfh ,1

☒

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 25

‌ ‌ دوم‌ تصوير پيش زياد حمله طول با

ساختن يك پيام قابل گسترش:•f(h,M)=hبا استفاده از نقاط ثابت «با استفاده از تالقي چند گانه«

استفاده از پيام قابل گسترش براي رسيدن •.به پيش تصوير دوم

براي پيامهاي با طول خيلي بلند پيچيدگي آن •بسيار كمتر از مقدار مورد انتظار از حملة

روز تولد است. مثال: / 2 / 22 2n nM The Complexity of attack O

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 26

‌ گو‌ غيب حمله

نتيجة يك مي تواند حمله كننده مدعي مي شود كه •اتفاقي كه قرار است در آينده رخ دهد را پيشگويي

كند. او اين كار را با منتشر كردن يك مقدار قبل از رخ دادن اتفاق انجام مي دهد. Tدرهم سازي

، كه حاوي Mبعد از اينكه اتفاق رخ داد، او يك پيام اطالعات كافي براي اثبات اينكه او از نتيجه آگاه

بوده است، و نتيجة درهم سازي متناظر با آن، به . را ارائه مي كند، H(M)=Tگونه اي كه

☒

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 27

حمالت با مقابله كار راه

مياني • سازي درهم مقدار طول افزايش( لوكس(

جديد • ساختارهاي اكثر در شده استفاده

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 28

انواع توابع فشرده ساز

ساز اختصاصي فشردهتوابع

ساز مبتني بر حساب پيمانه اي فشردهتوابع

توابع فشرده ساز مبتني بر رمزهاي قطعه اي

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 86خرداد 29

مبتني برساز ‌توابع درهمرمزهاي قطعه اي

م شده به قطعات(يواضح )تقس متن

يقطعات خروج

طرح توسط پرنيل و ديگران مورد 64•بررسي قرار گرفت

طرح امنيت مناسب12 •

طرح ديگر نسبتاs ايمن8•

طرح 44بقيه •

طراحي تابع درهم ساز با استفاده از رمز هاي

قطعه اي

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 30

با دوگان دو تابع درهم ساز ک طول قطعهي

EE

ZHi

Xi

Xi

Hi

iiziii XXEXHfHiH

)(),()(1 iiXiii HHEXHfH

i )(),(1

ار متساخت

ييس - م

س- اس

ر

ساختار د

ويي

س - مري

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 31

Eg

xi

Hi-1

طرح مياگوشي -پرينل

iiiHZiii HXXEXHfHi

)(),( )(1

لين

پر- ي

شگو

يام

Hi

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 32

حساب مبتني بر فشرده سازتوابع اي‌پيمانه

دشواري حل مسائل تئوري اعداد =امنيت سيستم تغير بودن طول خالصه پيامم

ElGamal و سيستم رمز RSA، مثال:

طراحي تابع درهم ساز با استفاده از حساب پيمانه اي

هاي موجود ‌سازي‌امكان استفاده از پياده Mآساني تنظيم کردن سطح امنيت با انتخاب پيمانه

مشكل اساسي: كند بودن در مقايسه با ساير طرح ها

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، خواجه صنعتي دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي كارگاهطوسي نصيرالدين

33

MD4خانواده

•MD4, MD5•RIPEMD-{0,128,160,256,320}•SHA-{0,1,224,256,384,512}•HAVAL•Tiger•Whirlpool

توابع فشرده ساز اختصاصي

طراحي توابع درهم ساز به صورت اختصاصي

يساز طراحي شدن با هدف مخصوص درهميا مانهيا حساب پي يا قطعهي موجود مانند رمزهايعدم نياز به استفاده از اجزا

ن توجه را در عمل به خود جلب نموده،مبتنييشترين نوع که بيساز از ا تابع درهم هستندMD4 تمي بر الگور

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، خواجه صنعتي دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي كارگاهطوسي نصيرالدين

34

يپم

ا1

6ه ا

مكل

ي

دور1

دور 2

دور 3

دور 4

A0

B0

C0

D0

A1

B1

C1

D1

MD5ي الگوريتم شما

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 35

يپم

ا1

6ه ا

مكل

ي

Round 1

Round 2

Round 3

Round 4

A0

B0

C0

D0

A1

B1

C1

D1

E0

E1

SHA-1ي الگوريتم شما

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 36

طول خروجي )حمله روز تولد)

خروجي

H تابع درهمساز

ورودي

نفر روز تولد يكسان 2 نفر، احتمال اينكه 40براي مثال در ميان . درصد89داشته باشند برابر است با

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 37

يطول خروجازيمورد ن

بيتي امن بايد:nدر يك تابع درهم ساز ر دوم به حدود يش تصويا پير يش تصويک پيد ي- تول12nاز داشته باشد.يات ني عملاز داشته يات نيعمل 2n/2ک برخورد به حدود يد ي- تول2

.باشد

22n

160802 nn

. مي باشديتي ب160ک تابع درهم ساز مقاوم در برابر برخورد امروزه، حداقل ي

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 38

آينده حال، گذشته،

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 39

1989 MD2

1990 MD4

1991 MD5

1992 HAVAL

1993 SHA0,RIPEMD

1994

1995 SHA1

1996

1997

1998

1999

2000

2001

2002 SHA-256,384,512

2003

2004 SHA-224

2005

2006

SHA1MD5

MD4

SHA1MD4شكسته شد

SHA-0حمله تئوري روي

MD5 و SHA0 شكسته شدند و حمله تئوري روي SHA1

گدشته

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 40

گذشته

SHA-224SHA-256SHA-384SHA-512 (NIST, ’02/04)

SHA-0 (NIST, ’93)

MD4 (Rivest ‚‘90)Ext. MD4

(Rivest ‚‘90)

RIPEMD-0 (RIPE, ‘92) MD5

(Rivest ‚‘92)

RIPEMD-128RIPEMD-160RIPEMD-256RIPEMD-320 (Dobbertin, Bosselaers, Preneel ‘96)

SHA-1 (NIST, ’95)HAVAL

(Zheng, Pieprzyk, Seberry ‚‘93)

Dobbertin ‚’95/96Kasselman/ Penzhorn‚ 2000

Chabaud/Joux‚ ‘98

van Rompay/ Preneel/???‚ 2003

Biham/Chen‚ 2004

Joux‚ 2004

Wang/Feng/ Lai/Yu‚ 2004

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 41

.

موسسه 2007در سال •NISTد را ي فراخوان طرح جد

در قالب مسابقه طراحي يك االگوريتم درهم ساز پيشرفته

. ارائه كردSHA-3با نام

مسابقه الگوريتم اکنون : استاندارد جديد

•64. كردند نام ثبت الگوريتمپذيرفته 51• اول دور براي الگوريتم

شدند.•14. كردند پيدا راه دوم دور به الگوريتمکاندايداهاي 5• عنوان به الگوريتم

. شدند معرفي نهايي؟؟؟؟. •

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن،

روند انتخاب استاندارد جديد 01/23/07 Draft submission criteria published 11/02/07 Federal Register announcement of SHA-3 Competition 08/31/08 Preliminary submissions due 10/31/08 Submissions due – 64 received 12/09/08 Announced 51 First round candidates 02/25/09 First SHA-3 Candidate Conference, Leuven Belgium 07/24/09 Announced 14 second round candidates 09/15/09 Tweaks accepted, second round began 08/23/10 – 08/24/10 Second SHA-3 Candidate Conference, UCSB 4Q10 Announce finalist candidates 1Q11 Final tweaks of candidates• 1Q12 Last SHA-3 Candidate Conference• 2Q12 Announce winner• 4Q12 FIPS package to Secretary of Commerce

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 43

.

BLAKESwiss, HAIFA

GrøstlEuropean, WideP MD JHSingapore, novel construction

KeccakEuropean, SpongeSkeinSKEINUS, WideP MD (more or less)

کانديداهاي نهايي استاندارد جديد درهم سازي

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن،

مقايسه ساختاري کانديداها

S-box Logic

Mode AES Bit-slice ARX Bitwise

Block sponge

Keccak

Wide MD Grøstl JH Skein

Haifa BLAKE

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 45

.

تحليل توابع درهم ساز، با تمركز بر •توابع شركت كننده در مسابقه استاندارد

جديد.

به • رسيدن براي ساز درهم توابع سازي پياده. افزار نرم در باال سرعت

درهم • توابع براي خاص افزارهاي سخت طراحيساز.

توابع • بر تمركز با جديد ساز درهم توابع طراحيدر بكارگيري براي وزن سبك درهمساز

مانند منابع محدوديت داراي RFIDسيستمهاي•...

آينده : زمنيه هاي كاري موجود

دانشگاه دانشجويي شاخه رمزنگاري، با آشنايي علمي دي كارگاه 1390گيالن، 46

با تشكر از ?توجه شما