Конкурс хэш-функций NIST

Конкурс на разработку SHA-3

Конкурс хэш-функций NIST был открытым конкурсом, проводимым Национальным институтом стандартов и технологий США (NIST) для разработки новой хэш-функции под названием SHA-3 в дополнение к старым SHA-1 и SHA-2 . Конкурс был официально объявлен в Федеральном реестре 2 ноября 2007 года. ^[1] «NIST инициирует усилия по разработке одного или нескольких дополнительных алгоритмов хэширования посредством публичного конкурса, аналогичного процессу разработки для Advanced Encryption Standard (AES)». ^[2] Конкурс завершился 2 октября 2012 года, когда NIST объявил, что Keccak станет новым алгоритмом хэширования SHA-3. ^[3]

Победившая хэш-функция была опубликована как NIST FIPS 202 «Стандарт SHA-3», в дополнение к FIPS 180-4, Стандарту безопасного хэширования .

Конкурс NIST вдохновил на проведение других конкурсов, таких как конкурс по хешированию паролей .

Процесс

Заявки должны были быть поданы до 31 октября 2008 года, а список кандидатов, принятых для первого тура, был опубликован 9 декабря 2008 года . ^[4] В конце февраля 2009 года NIST провел конференцию, на которой заявители представили свои алгоритмы, а должностные лица NIST обсудили критерии сужения круга кандидатов для второго тура. ^[5] Список из 14 кандидатов, принятых для второго тура, был опубликован 24 июля 2009 года. ^[6] Еще одна конференция прошла 23–24 августа 2010 года (после CRYPTO 2010) в Калифорнийском университете в Санта-Барбаре , где обсуждались кандидаты второго тура. ^[7] Объявление кандидатов финального тура произошло 10 декабря 2010 года. ^[8] 2 октября 2012 года NIST объявил своего победителя, выбрав Keccak , созданный Гвидо Бертони, Джоан Демен и Жилем Ван Ашем из STMicroelectronics и Микаэлем Питерсом из NXP. ^[3]

Абитуриенты

Это неполный список известных заявок. NIST отобрал 51 заявку для 1-го раунда. ^[4] 14 из них прошли во 2-й раунд, ^[6] из которого были отобраны 5 финалистов.

Победитель

Победителем был объявлен Кеччак 2 октября 2012 года. ^[9]

Финалисты

NIST выбрал пять алгоритмов-кандидатов SHA-3 для перехода в третий (и последний) раунд: ^[10]

• БЛЕЙК (Омассон и др.)
• Грёстль ( Кнудсен и др.)
• JH (Хунцзюнь Ву)
• Кечак (команда Кечака, Даемен и др.)
• Скейн ( Шнайер и др.)

При объявлении финалистов NIST отметил некоторые факторы, которые повлияли на его выбор: ^[11]

• Производительность: «Несколько алгоритмов были повреждены или исключены из-за очень больших требований к площади [аппаратного шлюза] — похоже, что требуемая им площадь исключала их использование в слишком большой части потенциального пространства приложений».
• Безопасность: «Мы предпочитали быть консервативными в вопросах безопасности и в некоторых случаях не выбирали алгоритмы с исключительной производительностью, в основном потому, что что-то в них заставляло нас «нервничать», хотя мы не знали ни об одной явной атаке на весь алгоритм».
• Анализ: «NIST исключил несколько алгоритмов из-за масштаба их вторичных доработок или из-за относительного отсутствия сообщений о криптоанализе — в любом случае это создавало подозрение, что проект еще не полностью протестирован и не является зрелым».
• Разнообразие: в число финалистов вошли хеши, основанные на различных режимах работы, включая конструкции HAIFA и губчатой ​​функции , а также с различными внутренними структурами, в том числе основанные на AES, битовой нарезке и чередующемся XOR со сложением.

NIST опубликовал отчет, в котором объясняется его алгоритм оценки по алгоритму. ^{[12] [13] [14]}

Не прошел в финальный тур

Следующие заявки на хэш-функции были приняты для второго раунда, но не прошли в финальный раунд. Как отмечено в объявлении финалистов, «ни один из этих кандидатов не был явно взломан».

• Синее Полуночное Желание ^{[15] [16]}
• CubeHash ( Бернстейн )
• ECHO ( France Telecom ) ^[17]
• Фуга ( IBM )
• Хамси ^[18]
• Луффа ^[19]
• Шабаль ^[20]
• ШАвит-3 ^[21]
• SIMD

Не прошел во второй тур

Следующие заявки на хэш-функции были приняты для первого раунда, но не прошли во второй раунд. Они не были признаны авторами и не имели существенных криптографических недостатков. Однако большинство из них имеют некоторые недостатки в компонентах дизайна или проблемы с производительностью.

• АРИРАНГ ^[22] (CIST – Корейский университет)
• ЧИ ^[23]
• ХРУСТ ^[24]
• ФСБ
• Переулок
• Лесамнта ^[25]
• MD6 ( Ривест и др.)
• SANDstorm ( Национальные лаборатории Сандия )
• Сармал ^[26]
• СВИФТ X
• ТИБ3 ^[27]

Участники с существенными недостатками

У следующих участников первого раунда, не прошедших отбор, были обнаружены существенные криптографические уязвимости:

• AURORA ( Sony и Университет Нагои ) ^{[28] [29]}
• Блендер ^{[30] [31] [32]}
• Гепард ^{[33] [34]}
• Динамический SHA ^{[35] [36]}
• Динамический SHA2 ^{[37] [38]}
• ЭКОХ
• Эдон-Р ^{[39] [40]}
• EnRUPT ^{[41] [42]}
• СУТЬ ^{[43] [44]}
• ЛЮКС ^[45]
• МЦСША-3 ^{[46] [47]}
• НаША
• Сгаил ^{[48] [49]}
• Спектральный хэш
• Твистер ^{[50] [51]}
• Вихрь ^{[52] [53]}

Принятые абитуриенты

Следующие участники первого тура были официально отозваны из конкурса их авторами; они считаются несостоявшимися, согласно официальному веб-сайту кандидатов первого тура NIST. ^[54] Таким образом, они отстраняются от конкурса.

• Счеты ^{[4] [55]}
• Буль ^{[56] [57]}
• ДЧ ^{[4] [58]}
• Хичиди-1 ^{[4] [59]}
• MeshHash ^{[4] [60]}
• ШАМАТА ^{[4] [61]}
• StreamHash ^{[4] [62]}
• Клубок ^{[4] [63]}
• ВаММ ^{[64] [65]}
• Водопад ^{[66] [67]}

Отклоненные кандидаты

Несколько заявок, полученных NIST, не были приняты в качестве кандидатов первого тура после внутреннего обзора NIST. ^[4] В целом, NIST не предоставил подробностей о причинах отклонения каждой из них. NIST также не предоставил полный список отклоненных алгоритмов; известно, что их 13, ^{[4] [68],} но только следующие из них являются общедоступными.

• HASH 2X ^{[ требуется ссылка ]}
• Марака ^{[69] [70]}
• МИКСИТ ^[71]
• НКС 2Д ^{[72] [73] [74]}
• Поник ^{[75] [76]}
• ZK-Крипт ^[77]

Смотрите также

• Процесс расширенного стандарта шифрования
• Конкурс CAESAR – Конкурс по разработке аутентифицированных схем шифрования
• Стандартизация постквантовой криптографии

Ссылки

1. "Federal Register / Vol. 72, No. 212" (PDF) . Федеральный регистр . Правительственная типография. 2 ноября 2007 г. . Получено 6 ноября 2008 г. .
2. "cryptographic hash project – Background Information". Computer Security Resource Center . National Institute of Standards and Technology. 2 ноября 2007 г. Получено 6 ноября 2008 г.
3. "NIST выбирает победителя конкурса Secure Hash Algorithm (SHA-3)". NIST. 2 октября 2012 г. Получено 2 октября 2012 г.
4. "Round 1". 9 декабря 2008 г. Получено 10 декабря 2008 г.
5. Национальный институт стандартов и технологий (9 декабря 2008 г.). "Первая конференция кандидатов SHA-3" . Получено 23 декабря 2008 г.
6. "Кандидаты второго тура". Национальный институт стандартов и технологий. 24 июля 2009 г. Получено 24 июля 2009 г.
7. Национальный институт стандартов и технологий (30 июня 2010 г.). «Вторая конференция кандидатов на SHA-3».
8. "Предварительная хронология разработки новых хэш-функций". NIST. 10 декабря 2008 г. Получено 15 сентября 2009 г.
9. NIST выбирает победителя конкурса на безопасный алгоритм хэширования (SHA-3)
10. Кандидаты третьего (финального) тура Получено 9 ноября 2011 г.
11. NIST объявил финалистов SHA-3. Архивировано 9 июля 2011 г. в блоге Wayback Machine , где полностью цитируется объявление NIST.
12. Отчет о состоянии дел в первом туре конкурса алгоритмов криптографического хэширования SHA-3 (PDF).
13. Отчет о состоянии дел на втором этапе конкурса алгоритмов криптографического хэширования SHA-3 (PDF). Получено 2 марта 2011 г.
14. Отчет третьего тура конкурса криптографических алгоритмов хэширования SHA-3 (PDF).
15. Свейн Йохан Кнапског; Данило Глигороски; Властимил Клима; Мохамед Эль-Хадеди; Йорн Амундсен; Стиг Фроде Мьёлснес (4 ноября 2008 г.). "blue_midnight_wish" . Проверено 10 ноября 2008 г.
16. Søren S. Thomsen (2009). "Pseudo-cryptoanalysis of Blue Midnight Wish" (PDF) . Архивировано из оригинала (PDF) 2 сентября 2009 года . Получено 19 мая 2009 года .
17. Анри Жильбер; Риад Бенаджила; Оливье Билле; Жиль Макарио-Ра; Томас Пейрин; Мэтт Робшоу; Янник Сёрин (29 октября 2008 г.). «Предложение SHA-3: ECHO» (PDF) . Проверено 11 декабря 2008 г.
18. Озгюль Кюджюк (31 октября 2008 г.). «Хеш-функция Хамси» (PDF) . Проверено 11 декабря 2008 г.
19. Дай Ватанабэ; Кристоф Де Каньер; Хисаёси Сато (31 октября 2008 г.). «Хеш-функция Luffa: спецификация» (PDF) . Проверено 11 декабря 2008 г.
20. Жан-Франсуа Мисарский; Эммануэль Брессон; Энн Канто ; Бенуа Шевалье-Мамес; Кристоф Клавье; Томас Фур; Алин Гуже ; Томас Икарт; Жан-Франсуа Мисарский; Мария Ная-Пласенсиа; Паскаль Пайе; Томас Порнин; Жан-Рене Рейнхард; Селин Тюйе; Марион Видео (28 октября 2008 г.). «Шабал, заявка на конкурс алгоритмов криптографического хеширования NIST» (PDF) . Проверено 11 декабря 2008 г.
21. Эли Бихам; Орр Данкельман. "Хеш-функция SHAvite-3" (PDF) . Получено 11 декабря 2008 г.
22. Чонгин Лим; Донхун Чанг; Сохи Хонг; Чанхон Кан; Джинкеон Кан; Чонсон Ким; Чанхун Ли; Джесанг Ли; Чонтэ Ли; Санджин Ли; Юсеоп Ли; Джечоль Сон (29 октября 2008 г.). «АРИРАНГ» (PDF) . Проверено 11 декабря 2008 г.
23. Филип Хоукс; Кэмерон Макдональд (30 октября 2008 г.). "Представление на конкурс SHA-3: семейство криптографических хэш-алгоритмов CHI" (PDF) . Получено 11 ноября 2008 г. .
24. Жак Патарен; Луи Губен; Микаэль Иваскот; Уильям Джалби; Оливье Ли; Валери Начеф; Джоана Трегер; Эммануэль Вольте. «ХРУСТ». Архивировано из оригинала 29 января 2009 года . Проверено 14 ноября 2008 г.
25. Хиротака Ёсида; Шоичи Хиросе; Хиденори Кувакадо (30 октября 2008 г.). «Предложение SHA-3: Лесамнта» (PDF) . Проверено 11 декабря 2008 г.
26. Керем Варычи; Онур Озен; Челеби Коджайр. «Хеш-функция Сармала». Архивировано из оригинала 11 июня 2011 года . Проверено 12 октября 2010 г.
27. Дэниел Пенацци; Мигель Монтес. "The TIB3 Hash" (PDF) . Получено 29 ноября 2008 г.^{[ постоянная мертвая ссылка ]}
28. Тецу Ивата; Кёдзи Сибутани; Тайдзо Сираи; Шихо Мориай; Тору Акисита (31 октября 2008 г.). «AURORA: семейство алгоритмов криптографического хеширования» (PDF) . Проверено 11 декабря 2008 г.
29. Нильс Фергюсон ; Стефан Лакс (2009). «Атаки на AURORA-512 и преобразование Меркла–Дамгарда Double-MIX» (PDF) . Получено 10 июля 2009 г.
30. Колин Брэдбери (25 октября 2008 г.). "BLENDER: Предлагаемое новое семейство криптографических хэш-алгоритмов" (PDF) . Получено 11 декабря 2008 г.
31. Крейг Ньюболд. "Наблюдения и атаки на блендер-кандидат SHA-3" (PDF) . Получено 23 декабря 2008 г.
32. Флориан Мендель. "Атака прообразов на Blender" (PDF) . Получено 23 декабря 2008 г.
33. Дмитрий Ховратович; Алекс Бирюков; Ивица Николич (30 октября 2008 г.). "Хеш-функция Cheetah: спецификация и сопроводительная документация" (PDF) . Получено 11 декабря 2008 г.
34. Данило Глигороски (12 декабря 2008 г.). «Данило Глигороски – Функция хэширования Cheetah не устойчива к атакам с расширением длины» . Получено 21 декабря 2008 г.
35. Zijie Xu. "Dynamic SHA" (PDF) . Получено 11 декабря 2008 г.
36. Властимил Клима (14 декабря 2008 г.). "Динамический SHA уязвим для общих атак" . Получено 21 декабря 2008 г.
37. Zijie Xu. "Dynamic SHA2" (PDF) . NIST . Получено 11 декабря 2008 г.
38. Властимил Клима (14 декабря 2008 г.). "Динамический SHA2 уязвим для общих атак" . Получено 21 декабря 2008 г.
39. Данило Глигороски; Руна Стайнсмо Эдегорд; Мария Михова; Свейн Йохан Кнапског; Люпко Кочарев; Алеш Драпал (4 ноября 2008 г.). "эдон-р" . Проверено 10 ноября 2008 г.
40. Дмитрий Ховратович; Ивица Николич; Ральф-Филипп Вайнманн (2008). "Криптоанализ Edon-R" (PDF) . Получено 10 июля 2009 г.
41. Шон О'Нил; Карстен Нол; Лука Хензен (31 октября 2008 г.). «EnRUPT – Чем проще, тем лучше» . Получено 10 ноября 2008 г.
42. Sebastiaan Indesteege (6 ноября 2008 г.). "Столкновения для EnRUPT". Архивировано из оригинала 18 февраля 2009 г. Получено 7 ноября 2008 г.
43. Джейсон Уорт Мартин (21 октября 2008 г.). "ESSENCE: Кандидат на хеширование алгоритма для конкурса NIST" (PDF) . Архивировано из оригинала (PDF) 12 июня 2010 г. . Получено 8 ноября 2008 г. .
44. «Криптоанализ ESSENCE» (PDF) .
45. Ивица Николич; Алекс Бирюков; Дмитрий Ховратович. «Семейство хэшей LUX – Спецификации алгоритмов и сопроводительная документация» (PDF) . Получено 11 декабря 2008 г. .
46. Михаил Масленников. "MCSSHA-3 hash algorithm". Архивировано из оригинала 2 мая 2009 года . Получено 8 ноября 2008 года .
47. Жан-Филипп Омассон; Мария Ная-Пласенсия. «Вторые прообразы на МЦССХА-3» (PDF) . Проверено 14 ноября 2008 г.^{[ постоянная мертвая ссылка ]}
48. Питер Максвелл (сентябрь 2008 г.). "Криптографическая хэш-функция Sgàil" (PDF) . Архивировано из оригинала (PDF) 12 ноября 2013 г. . Получено 9 ноября 2008 г. .
49. Питер Максвелл (5 ноября 2008 г.). "Aww, p*sh!". Архивировано из оригинала 9 ноября 2008 г. Получено 6 ноября 2008 г.
50. Майкл Горски; Эван Флейшманн; Кристиан Форлер (28 октября 2008 г.). "The Twister Hash Function Family" (PDF) . Получено 11 декабря 2008 г.
51. Флориан Мендель; Кристиан Рехбергер; Мартин Шлеффер (2008). «Криптоанализ Twister» (PDF) . Проверено 19 мая 2009 г.
52. Майкл Кунавис; Шей Герон (3 ноября 2008 г.). "Vortex: Новое семейство односторонних хэш-функций на основе раундов Rijndael и умножения без переноса" . Получено 11 ноября 2008 г.
53. Жан-Филипп Омассон; Орр Данкельман; Флориан Мендель; Кристиан Рехбергер; Сорен С. Томсен (2009). «Криптоанализ Vortex» (PDF) . Проверено 19 мая 2009 г.
54. Computer Security Division, Information Technology Laboratory (4 января 2017 г.). «Проект SHA-3 – Хэш-функции». CSRC: NIST . Получено 26 апреля 2019 г.
55. Нил Шолер (29 октября 2008 г.). "Abacus: A Candidate for SHA-3" (PDF) . Получено 11 декабря 2008 г.
56. Грегори Г. Роуз. "Проектирование и примитивная спецификация для Boole" (PDF) . Получено 8 ноября 2008 г.
57. Gregory G. Rose (10 декабря 2008 г.). "Официальный комментарий: Boole" (PDF) . Получено 23 декабря 2008 г.
58. Дэвид А. Уилсон (23 октября 2008 г.). "Хэш-функция DCH" (PDF) . Получено 23 ноября 2008 г.
59. Натараджан Виджаяранган. «Новый алгоритм хеширования: Хичиди-1» (PDF) . Проверено 11 декабря 2008 г.
60. Бьёрн Фэй. "MeshHash" (PDF) . Получено 30 ноября 2008 г.
61. Орхун Кара; Адем Аталай; Ферхат Каракоч; Джеват Манап. "Хеш-функция SHAMATA: алгоритм-кандидат на конкурс NIST". Архивировано из оригинала 1 февраля 2009 г. Получено 10 ноября 2008 г.
62. Михал Тройнара (14 октября 2008 г.). "Спецификации алгоритма StreamHash и сопроводительная документация" (PDF) . Получено 15 декабря 2008 г.
63. Рафаэль Альварес; Гэри Макгуайр; Антонио Самора. "The Tangle Hash Function" (PDF) . Получено 11 декабря 2008 г.
64. Джон Уошберн. "WaMM: Кандидат на алгоритм для конкурса SHA-3" (PDF) . Архивировано из оригинала (PDF) 19 апреля 2009 г. . Получено 9 ноября 2008 г. .
65. "Официальный комментарий: WaMM отозван" (PDFauthor=John Washburn) . 20 декабря 2008 г. Получено 23 декабря 2008 г.
66. Боб Хэттерсли (15 октября 2008 г.). "Waterfall Hash – Algorithm Specification and Analysis" (PDF) . Получено 9 ноября 2008 г.
67. Боб Хэттерсли (20 декабря 2008 г.). «Официальный комментарий: Водопад сломан» (PDF) . Получено 23 декабря 2008 г.
68. Брюс Шнайер (19 ноября 2008 г.). "Skein and SHA-3 News" . Получено 23 декабря 2008 г.
69. Роберт Дж. Дженкинс-младший. "Спецификация алгоритма" . Получено 15 декабря 2008 г.
70. Анн Канто и Мария Найя-Пласенсия. «Атака на Мараку с внутренним столкновением» (PDF) . Проверено 15 декабря 2008 г.
71. Майкл П. Фрэнк. "Спецификация алгоритма MIXIT: кандидат на криптографический хэш-алгоритм SHA-3" (PDF) . Архивировано из оригинала (PDF) 4 марта 2016 г. . Получено 12 января 2014 г. .
72. Джеффри Парк. "NKS 2D Cellular Automata Hash" (PDF) . Получено 9 ноября 2008 г.
73. Кристоф Де Каньер (13 ноября 2008 г.). «Столкновения для НКС2Д-224» . Проверено 14 ноября 2008 г.
74. Брэндон Энрайт (14 ноября 2008 г.). "Столкновения для NKS2D-512" . Получено 14 ноября 2008 г.
75. Питер Шмидт-Нильсен. "Ponic" (PDF) . Получено 9 ноября 2008 г.
76. Мария Ная-Пласенсия. «Вторая атака прообраза на Поника» (PDF) . Проверено 30 ноября 2008 г.
77. Николя Т. Куртуа; Карми Грессель; Ави Хехт; Грегори В. Бард; Ран Гранот. "ZK-Crypt Homepage". Архивировано из оригинала 9 февраля 2009 г. Получено 1 марта 2009 г.

Внешние ссылки

• Сайт NIST для конкурса
• Официальный список кандидатов второго тура
• Официальный список кандидатов первого тура
• Зоопарк SHA-3
• Классификация кандидатов SHA-3
• Зал хэш-функции
• Исходный код VHDL, разработанный Исследовательской группой криптографической инженерии (CERG) в Университете Джорджа Мейсона
• FIPS 202 – Стандарт SHA-3