Эта статья входит в число добротных статей

Алгоритм Ярроу

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Алгоритм Ярроу (англ. Yarrow algorithm) — криптографически стойкий генератор псевдослучайных чисел. В качестве названия выбран тысячелистник, засушенные стебли которого служат источником энтропии при гадании[1].

Алгоритм разработан в августе 1999 года Брюсом Шнайером, Джоном Келси и Нилсом Фергусом (англ.) из компании Counterpane Internet Security (англ.)[2]. Алгоритм не запатентован и свободен от лицензионных отчислений, для его использования не требуется получение лицензии. Ярроу включен в феврале 2002 года в поставку FreeBSD, OpenBSD, и Mac OS X в качестве реализации устройства /dev/random[3].

Дальнейшим развитием Ярроу стало создание Фергусом и Шнайером алгоритма Fortuna, описанного в их книге «Практическая криптография»[4].

Необходимость алгоритма[править | править вики-текст]

Большинство современных криптографических приложений используют случайные числа. Они нужны для генерации ключей, получения одноразовых случайных чисел, создания соли и т. д. Если случайные числа будут небезопасными, то это влечёт за собой появление уязвимостей в приложениях, которые невозможно закрыть с помощью различных алгоритмов и протоколов[5].

В 1998 году создатели Ярроу провели исследования других ГПСЧ и выявили в них ряд уязвимостей. Последовательности случайных чисел, которые они давали на выходе, были небезопасными для криптографических приложений[5].

В настоящее время алгоритм Ярроу является сильно защищенным генератором псевдослучайных чисел. Это позволяет использовать его для широкого спектра задач: шифрования, электронной подписи, целостности информации и т. д[5].

Принципы проектирования[править | править вики-текст]

Во время разработки алгоритма создатели заострили внимание на следующих аспектах[6]:

  1. Быстрота и эффективность. Никто из разработчиков не будет использовать алгоритм, сильно замедляющий приложение.
  2. Простота. Любой программист без особых знаний в криптографии должен суметь его безопасно использовать.
  3. Оптимизация. Там, где это возможно, алгоритм должен использовать уже существующие блоки команд.

Структура алгоритма[править | править вики-текст]

Компоненты[править | править вики-текст]

Рис. 1. Общая блок-схема алгоритма Ярроу

Алгоритм Ярроу состоит из 4 независимых частей[7]:

  1. Накопитель энтропии. Собирает выборки из источников энтропии и помещает их в два пула (англ.).
  2. Механизм усложнения. Периодически усложняет ключ генератора, используя энтропию из пулов.
  3. Механизм генерации. Генерирует выходные сигналы ГПСЧ из ключа.
  4. Механизм управления усложнением. Определяет время выполнения усложнения.

Накопитель энтропии[править | править вики-текст]

Накопление энтропии (англ. entropy accumulation) — это процесс, при котором ГПСЧ получает новое неугадываемое внутреннее состояние[8]. В данном алгоритме энтропия накапливается в двух пулах (англ.): быстром и медленном[9]. В данном контексте под пулом понимается хранилище инициализированных и готовых к использованию битов. Быстрый пул обеспечивает частые усложнения ключа. Это гарантирует, что компрометация ключа имеет невысокую продолжительность. Медленный пул обеспечивает редкие, но существенные усложнения ключа. Это необходимо для того, чтобы гарантировать получение безопасного усложнения даже в тех случаях, когда оценки энтропии сильно завышены. Входные выборки попеременно посылаются в быстрый и медленный пулы[10].

Механизм усложнения[править | править вики-текст]

Механизм усложнения соединяет накопитель энтропии с механизмом генерации. Когда механизм управления усложнением определяет, что усложнение необходимо, то механизм усложнения, используя информацию из одного или сразу двух пулов (англ.), обновляет ключ, который используется механизмом генерации. Таким образом, если злоумышленник не знает текущий ключ или пулы, то ключ будет ему неизвестен после усложнения. Также, возможно, усложнению потребуется большое количество ресурсов, чтобы минимизировать успех атаки на основе угадывания входных значений[11].

Чтобы сгенерировать новый ключ, усложнение из быстрого пула использует текущий ключ и хеши всех входов быстрого пула с момента последнего усложнения ключа. Как только это будет выполнено, оценки энтропии (англ.) для быстрого пула обнулятся[11][12].

Усложнение из медленного пула использует текущий ключ и хеши входов быстрого и медленного пулов. После генерирования нового ключа оценки энтропии для обоих пулов сбрасываются в ноль[13].

Механизм генерации[править | править вики-текст]

Механизм генерации дает на выходе последовательность псевдослучайных чисел. Она должна быть такой, чтобы злоумышленник, не знающий ключа генератора, не смог отличить ее от случайной последовательности бит (англ.)[14].

Механизм генерации должен обладать следующими свойствами[15]:

Механизм управления усложнением[править | править вики-текст]

Для того, чтобы выбрать время усложнения, механизм управления должен учесть различные факторы. К примеру, слишком частая смена ключа делает более вероятной атаку итеративного угадывания[16]. Слишком медленная, напротив, дает больше информации злоумышленнику, скомпрометировавшему ключ. Поэтому механизм управления должен уметь находить золотую середину между этими двумя условиями[17].

По мере поступления выборок в каждый пул (англ.) сохраняются оценки энтропии для каждого источника. Как только эта оценка для любого источника достигает предельного значения, происходит усложнение из быстрого пула. В подавляющей части систем это случается множество раз в час. Усложнение из медленного пула происходит, когда оценки для любых из источников в медленном пуле превышают пороговую отметку[17].

В Ярроу-160 у быстрого пула этот предел составляет 100 бит, у медленного — 160 бит. По умолчанию как минимум два различных источника в медленном пуле должны быть больше 160 бит, чтобы произошло усложнение из медленного пула[18].

Ярроу-160[править | править вики-текст]

Одной из возможных реализаций алгоритма Ярроу является Ярроу-160. Основная идея этого алгоритма — использование односторонней хеш-функции и блочного шифра [19]. Если оба алгоритма безопасны и ГПСЧ получает достаточное количество начальной энтропии, то в результате получится сильная последовательность псевдослучайных чисел[20].

Хеш-функция должна обладать следующими свойствами[21]:

В Ярроу-160 используется алгоритм SHA-1 в качестве [19].

Блочный шифр должен обладать следующими свойствами[22]:

  • иметь ключ длиной -бит и блок данных размером -бит;
  • быть устойчивым к открытому тексту и атакам по выбранному тексту;
  • иметь хорошие статистические свойства выходных сигналов, даже при высокошаблонных входных сигналах.

В Ярроу-160 используется алгоритм 3-KEY Triple DES в качестве [19].

Генерация[править | править вики-текст]

Рис. 2. Механизм генерации

Генератор основан на использовании блочного шифра в режиме счётчика (см. рис. 2)[23].

Имеется n-битное значение счётчика . Для генерации следующих -бит псевдослучайной последовательности счётчик увеличивается на 1 и зашифровывается блочным шифром с использованием ключа [24]:

где — выход ГПСЧ, а текущее значение ключа.

Если в какой-то момент времени ключ оказался скомпроментирован, то необходимо предотвратить утечку предыдущих выходных значений, которые злоумышленник может получить. Данный механизм генерации не имеет защиты от атак такого рода, поэтому дополнительно подсчитывается количество выходных блоков ГПСЧ. Как только будет достигнут некоторый предел (системный параметр безопасности (англ.), ), то генерируется -битовый выход ГПСЧ, который затем используется как новый ключ[15].

В Ярроу-160 равняется 10. Данный параметр специально задается низким значением, чтобы минимизировать количество выходов, которые можно узнать при помощи атаки перебора с возвратом (англ. Backtracking)[25].

Усложнение[править | править вики-текст]

Время выполнения механизма усложнения зависит от параметра . Этот параметр может быть зафиксирован или изменяться динамически[26].

Данный механизм состоит из следующих шагов[26]:

  1. Накопитель энтропии вычисляет хеш всех входов в быстрый пул (англ.). Результат этого вычисления обозначим .
  2. Положим .
  3. .
  4. .
  5. Сбросим все счётчики энтропии в пулах в 0.
  6. Очистим память, в которой хранятся промежуточные значения.
  7. Если файл прототипа (англ. Seed file) используется, то перезапишем содержимое этого файла следующими битами выхода псевдослучайной последовательности.

Функция определяется в терминах функции следующим образом[27]:

Фактически это функция адаптации размера, то есть она преобразует вход любой длины к выходу указанной длины. Если на вход пришло больше данных, чем ожидалось, то функция принимает ведущие биты. Если размеры входа и выхода совпадают, то функция является функцией тождественности. Если же размер данных на входе меньше ожидаемого, то дополнительные биты генерируются с помощью данной хеш-функции. Это довольно дорогой в плане вычислений алгоритм ГПСЧ, но для небольших размеров может использоваться без проблем[28].

Установка нового значения в счётчик выполняется не из соображений безопасности, а для обеспечения большей гибкости реализации и поддержки совместимости между различными реализациями[26].

Нерешенные вопросы и планы на будущее[править | править вики-текст]

В сегодняшней реализации алгоритма Ярроу-160 размер пулов (англ.) накопления энтропии ограничивается 160 битами. На алгоритм 3-KEY Triple DES известны атаки эффективнее полного перебора. Однако даже для атак перебором с возвратом ключи изменяются довольно часто, и 160 бит хватает для обеспечения безопасности на практике[29].

Предметом текущих исследований является усовершенствование механизмов оценки энтропии. По мнению создателей Ярроу-160, алгоритм может быть уязвим именно из-за плохих оценок энтропии, а не с точки зрения криптоанализа[30].

В планах на будущее у создателей использование нового стандарта блочного шифра AES. Новый блочный шифр легко сможет разместиться в базовой конструкции алгоритма Ярроу. Однако, как подчеркивают разработчики, будет необходимо или изменить хеш-функцию усложнения, или придумать новую хеш-функцию, чтобы обеспечить заполнение пула энтропии более чем 160 битами. Для AES со 128 битами это не будет проблемой, а для AES со 192 или 256 битами эту проблему придется разрешить. Следует отметить, что основная структура алгоритма Ярроу — это соединение блочного шифра AES и 256-битной хеш-функции[31].

Набор правил для механизма управления усложнением по-прежнему остается временным, тем не менее, дальнейшее изучение может улучшить его. По этой причине это является предметом постоянных исследований[30].

Примечания[править | править вики-текст]

  1. Kelsey, Schneier, Ferguson, 2000, с. 29.
  2. Kelsey, Schneier, Ferguson, 2000, с. 13.
  3. Murray, 2002, с. 47.
  4. Фергюсон, Шнайер, 2004, с. 183.
  5. 1 2 3 Schneier on Security. Questions & Answers about Yarrow (англ.). Проверено 1 декабря 2016.
  6. Kelsey, Schneier, Ferguson, 2000, с. 15-16.
  7. Kelsey, Schneier, Ferguson, 2000, с. 18-21.
  8. Щербаков, Домашен, 2003, с. 232.
  9. Viega, 2003, с. 132.
  10. Фергюсон, Шнайер, 2004, с. 189-193.
  11. 1 2 Щербаков, Домашен, 2003, с. 234-235.
  12. Фергюсон, Шнайер, 2004, с. 234-235.
  13. Щербаков, Домашен, 2003, с. 191-193.
  14. Фергюсон, Шнайер, 2004, с. 183-184.
  15. 1 2 Фергюсон, Шнайер, 2004, с. 183-185.
  16. Kelsey, Schneier, Wagner, Hall, 1988, с. 172.
  17. 1 2 Kelsey, Schneier, Ferguson, 2000, с. 22.
  18. Kelsey, Schneier, Ferguson, 2000, с. 28.
  19. 1 2 3 Kelsey, Schneier, Ferguson, 2000, с. 23.
  20. Фергюсон, Шнайер, 2004, с. 202.
  21. Shneier, 1996, с. 55-57.
  22. Щербаков, Домашен, 2003, с. 236.
  23. Фергюсон, Шнайер, 2004, с. 95-96,183-186.
  24. Фергюсон, Шнайер, 2004, с. 95-96,183-188.
  25. Kelsey, Schneier, Ferguson, 2000, с. 25.
  26. 1 2 3 Kelsey, Schneier, Ferguson, 2000, с. 26-27.
  27. Kelsey, Schneier, Ferguson, 2000, с. 27.
  28. Фергюсон, Шнайер, 2004, с. 188-189.
  29. Kelsey, Schneier, Wagner, Hall, 1988, с. 176-177.
  30. 1 2 Kelsey, Schneier, Ferguson, 2000, с. 28-29.
  31. Фергюсон, Шнайер, 2004, с. 109-111.

Литература[править | править вики-текст]

на русском языке
  • Щербаков, Л. Ю., Домашен, А. В. Прикладная криптография. Использование и синтез криптографических интерфейсов. — Русская Редакция, 2003. — 416 с. — ISBN 5-7502-0215-1.
  • Фергюсон, Н., Шнайер, Б. Практическая криптография. — Издательский дом “Вильямс”, 2004. — 432 с. — ISBN 5–8459–0733–0.
на английском языке
  • Shneier, B. Applied Cryptography. — John Wiley & Sons, 1996. — 784 с. — ISBN 978-1-119-09672-6.
  • Agnew, G. B. Random Sources for Cryptographic Systems // Advances in Cryptology — EUROCRYPT’ 87. — Springer-Verlag, 1988. — С. 77-81. — ISBN 3-540-19102-X.
  • Kelsey, J., Schneier, B., Wagner, D., Hall, C. Cryptanalytic Attacks on Pseudorandom Number Generators // Fast Software Encryption, 5th International Workshop Proceedings. — Springer-Verlag, 1988. — С. 168-188. — ISBN 3-540-64265-X.
  • Kelsey, J., Schneier, B., Ferguson, N. Yarrow-160: Notes on the Design and Analysis of the Yarrow Cryptographic Pseudorandom Number Generator // Selected Areas in Cryptography, 6th Annual International Workshop. — Springer-Verlag, 2000. — С. 13-33. — ISBN 978-3-540-67185-5.
  • Murray, Mark R. V. An Implementation of the Yarrow PRNG for FreeBSD // BSDC'02 Proceedings of the BSD Conference 2002 on BSD Conference. — USENIX, 2002. — С. 47-53. — ISBN 1-880446-02-2.
  • Viega, J. Practical Random Number Generation in Software // Computer Security Applications Conference, 2003. Proceedings. 19th Annual. — IEEE, 2003. — С. 129-140. — ISBN 0-7695-2041-3.

Ссылки[править | править вики-текст]

  • Yarrow — страница алгоритма на сайте Б. Шнайера (англ.)