WikiSort.ru - Не сортированное

SWIFFT — это набор криптографических хеш-функций с доказанной стойкостью^[1][2][3]. Они основываются на быстром преобразовании Фурье (БПФ, англ. Fast Fourier Transform, FFT) и используют алгоритм LLL-редуцированных базисов^[en]. Криптографическая стойкость SWIFFT (в асимптотическом смысле)^[4] математически доказана при использовании рекомендуемых параметров^[5]. Поиск коллизий в SWIFFT в худшем случае требует не меньше временных затрат, чем нахождение коротких векторов в циклических/идеальных решётках^[en]. Практическое применение SWIFFT будет ценно именно в тех случаях, когда стойкость к коллизиям особенно важна. Например, цифровые подписи, которые должны оставаться надёжными длительное время.

Данный алгоритм обеспечивает пропускную способность порядка 40 Мб/с на процессоре Intel Pentium 4 с тактовой частотой 3,2 ГГц^[6][1]. Было проведено исследование, направленное на ускорение БПФ, которое используется в SWIFFT^[7]. Как результат, скорость работы алгоритма удалось увеличить более чем в 13 раз^[6]. Данная реализация SWIFFT оказалась быстрее, чем реализации широко распространенных хеш-функций^[8].

На конкурсе Национального института стандартов и технологий США^[2] 2012 года был предложен SWIFFTX (модификация SWIFFT) в качестве SHA-3 (на замену более старых SHA-2 и особенно SHA-1^[9]), но был отклонён в первом раунде^[10].

Описание работы

Функции SWIFFT могут быть описаны как простое алгебраическое выражение над некоторым кольцом многочленов ${\displaystyle R}$ ^[1][11]. Семейство функций зависит от трёх основных параметров^{[см. «Выбор параметров»]}: пусть ${\displaystyle n}$ будет степенью числа 2, ${\displaystyle m>0}$ — небольшое целое число, и ${\displaystyle p>0}$ — не обязательно простое число, но лучше выбрать его простым. Определим ${\displaystyle R}$ как кольцо вида ${\displaystyle R=\mathbb {Z} _{p}[\alpha ]/(\alpha ^{n}+1)}$ . Например, кольцо многочленов в ${\displaystyle \alpha }$ , у которых коэффициенты — целые числа, ${\displaystyle p}$ — число, на которое выполняем деление по модулю, и ${\displaystyle \alpha ^{n}+1}$ . Элемент из ${\displaystyle R}$ может быть многочленом степени не меньше ${\displaystyle n}$ с коэффициентами из ${\displaystyle Z_{p}}$ .

Определённая функция в семействе SWIFFT задаётся как ${\displaystyle m}$ фиксированных элементов ${\displaystyle a_{1},\ldots ,a_{m}\in R}$ кольца ${\displaystyle R}$ , называемых мультипликаторами. Данную функцию над кольцом ${\displaystyle R}$ можно записать в следующем виде:

${\displaystyle \sum _{i=1}^{m}(a_{i}\cdot x_{i})}$ ,

где ${\displaystyle x_{1},\ldots ,x_{m}\in R}$ — многочлены с двоичными коэффициентами, соответствующие двоичному входному сообщению длины ${\displaystyle mn}$ .

Алгоритм работы следующий:^[1][12][11]

1. Берётся ${\displaystyle \alpha }$ — неприводимый многочлен над ${\displaystyle \mathbb {Z} [\alpha ]}$
2. На вход подаётся сообщение ${\displaystyle M}$ длины ${\displaystyle mn}$
3. ${\displaystyle M}$ преобразуется в набор из ${\displaystyle m}$ полиномов ${\displaystyle p_{i}}$ в определённом кольце многочленов ${\displaystyle R}$ с двоичными коэффициентами
4. Рассчитываются коэффициенты Фурье для каждого ${\displaystyle p_{i}}$
5. Задаются фиксированные коэффициенты Фурье ${\displaystyle a_{i}}$ в зависимости от семейства SWIFFT
6. Попарно перемножаются коэффициенты Фурье ${\displaystyle p_{i}}$ с ${\displaystyle a_{i}}$ для каждого ${\displaystyle i}$
7. Используется обратное преобразование Фурье для того, чтобы получить ${\displaystyle m}$ многочленов ${\displaystyle f_{i}}$ степени не более ${\displaystyle 2n}$
8. Рассчитается ${\displaystyle f=\sum _{i=1}^{m}(f_{i})}$ по модулю ${\displaystyle p}$ и ${\displaystyle \alpha ^{n}+1}$ .
9. ${\displaystyle f}$ преобразуется в ${\displaystyle n\log(p)}$ битов и отправляются их на выход

• Операцию быстрого преобразования Фурье на 4 шаге легко обратить. Она проводится для того, чтобы добиться путаницы^[en] — смешивания битов, поданных на вход.
• Линейная комбинация на 6 шаге приводит к путанице^[en], потому как она сжимает входные данные.

Выбор параметров

Параметры m,p,n должны удовлетворят следующим требованиям^[15]:

• n должен быть степенью двойки
• p должен быть простым числом
• p-1 должно делиться на 2n
• ${\displaystyle \log(p)<}$ m

Можно взять, например, такие параметры: n=64, m=16, p=257. Мы берём пропускную способность на уровне 40Мб/с^[6], защищённость от поиска коллизий — ${\displaystyle 2^{106}}$ операций.

Статистические свойства

• Универсальное хеширование. Семейство функций SWIFFT является универсальным^[1]. Иными словами, для любых различных фиксированных ${\displaystyle x,x*}$ и случайно выбранной функции ${\displaystyle f}$ из семейства вероятность, что выполнится равенство ${\displaystyle f(x)=f(x*)}$ , обратно пропорциональна величине выбранного диапазона.
• Регулярность. Функции из семейства сжимающих функций SWIFFT — регулярные^[1].
• Генератор энтропии. SWIFFT является генератором энтропии^[en][1]. Для хеш-таблиц и приложений, связанных с ними, желательно, чтобы ключи для значений, поданных в функцию, были распределены равномерно (или близко к равномерному распределению), даже если входные значения распределены неравномерно. Хеш-функции, которые ведут себя подобным образом, называются генераторами энтропии, потому как они могут представить неравномерно распределённые параметры (почти) равномерными на выходе. Формально, данным свойством обычно обладает семейство функций, из которого была выбрана одна функция случайным образом.

Криптографический свойства и безопасность

• SWIFFT не является псевдослучайной функцией^[en] из-за линейности^[1]. Для произвольной функции ${\displaystyle f}$ из семейства SWIFFT справедливо следующее: для двух входных параметров ${\displaystyle x_{1}}$ , ${\displaystyle x_{2}}$ таких, что ${\displaystyle x_{1}+x_{2}}$ тоже может быть входным параметром, выполнено ${\displaystyle f(x_{1})+f(x_{2})=f(x_{1}+x_{2})}$ . Выполнение данного соотношения не подходит к случайной функции, и злоумышленник сможет легко отличить нашу функцию от случайной.

• Для семейства функций SWIFFT доказана криптографическая стойкость к коллизиям (в асимптотическом смысле) при относительно умеренном предположении о сложности задачи нахождения коротких векторов в циклических/идеальных решётках в худшем случае. Это значит, что семейство функций SWIFFT также устойчиво к атаке нахождения второго прообраза^[4][16].

См. также

• Быстрое преобразование Фурье

Примечания

Литература

Статьи

• Lyubashevsky V., Micciancio D., Peikert C. et al. SWIFFT: A Modest Proposal for FFT Hashing // Fast Software Encryption — 2008. — Vol. 5086. — P. 54–72. — doi:10.1007/978-3-540-71039-4_4
  <a href='https://wikidata.org/wiki/Track:Q5436988'></a><a href='https://wikidata.org/wiki/Track:Q21681005'></a><a href='https://wikidata.org/wiki/Track:Q21681006'></a><a href='https://wikidata.org/wiki/Track:Q21681000'></a><a href='https://wikidata.org/wiki/Track:Q21681003'></a><a href='https://wikidata.org/wiki/Track:Q21681002'></a>
• Arbitman Y., Dogon G., Lyubashevsky V. et al. SWIFFTX: A Proposal for the SHA-3 Standard — 2008.
  <a href='https://wikidata.org/wiki/Track:Q21682527'></a><a href='https://wikidata.org/wiki/Track:Q21682526'></a><a href='https://wikidata.org/wiki/Track:Q21681003'></a><a href='https://wikidata.org/wiki/Track:Q21681002'></a><a href='https://wikidata.org/wiki/Track:Q21682529'></a>
• Buchmann J., Lindner R. Secure Parameters for SWIFFT // Progress in Cryptology — INDOCRYPT 2009: 10th International Conference on Cryptology in India, New Delhi, India, December 13-16, 2009. Proceedings / B. Roy, N. Sendrier — Springer Berlin Heidelberg, 2009. — P. 1–17. — ISBN 978-3-642-10627-9 — doi:10.1007/978-3-642-10628-6_1
  <a href='https://wikidata.org/wiki/Track:Q1697321'></a><a href='https://wikidata.org/wiki/Track:Q21740532'></a><a href='https://wikidata.org/wiki/Track:Q21740521'></a><a href='https://wikidata.org/wiki/Track:Q21587985'></a><a href='https://wikidata.org/wiki/Track:Q21740526'></a><a href='https://wikidata.org/wiki/Track:Q21740529'></a><a href='https://wikidata.org/wiki/Track:Q21740534'></a>
• Šarinay J. Interpreting Hash Function Security Proofs // Provable Security: 4th International Conference, ProvSec 2010, Malacca, Malaysia, October 13-15, 2010. Proceedings / S. Heng, K. Kurosawa — Springer Berlin Heidelberg, 2010. — P. 119–132. — ISBN 978-3-642-16279-4 — doi:10.1007/978-3-642-16280-0_8
  <a href='https://wikidata.org/wiki/Track:Q21740559'></a><a href='https://wikidata.org/wiki/Track:Q21587985'></a><a href='https://wikidata.org/wiki/Track:Q21740565'></a><a href='https://wikidata.org/wiki/Track:Q21740570'></a><a href='https://wikidata.org/wiki/Track:Q21740568'></a><a href='https://wikidata.org/wiki/Track:Q21740562'></a>
• Győrfi T., Cret O., Hanrot G. et al. High-Throughput Hardware Architecture for the SWIFFT / SWIFFTX Hash Functions // Cryptology ePrint Archive — International Association for Cryptologic Research, 2012.
  <a href='https://wikidata.org/wiki/Track:Q21682545'></a><a href='https://wikidata.org/wiki/Track:Q5190977'></a><a href='https://wikidata.org/wiki/Track:Q462005'></a><a href='https://wikidata.org/wiki/Track:Q21682542'></a><a href='https://wikidata.org/wiki/Track:Q21682547'></a><a href='https://wikidata.org/wiki/Track:Q21682548'></a><a href='https://wikidata.org/wiki/Track:Q21682544'></a>

Эта статья входит в число добротных статей русскоязычного раздела Википедии.