ГОСТ Р 34.11-94: различия между версиями

Шаблон:Карточка хеш функции

ГОСТ Р34.11-94 — российский криптографический стандарт вычисления хэш-функции.

• Дата введения: 23 мая 1994 г.
• Размер хэша: 256 бит
• Размер блока входных данных: 256 бит
• Разработчик: ГУБС ФАПСИ и ВНИИС

Стандарт определяет алгоритм и процедуру вычисления хэш-функции для последовательности символов. Этот стандарт является обязательным для применения в качестве алгоритма хэширования в государственных организациях РФ и ряде коммерческих организаций.

ЦБ РФ требует использовать ГОСТ Р 34.11-94 для электронной подписи предоставляемых ему документов.^[1]

Вводные обозначения

Для описания алгоритма хэширования будем использовать следующие обозначения:

• ${\displaystyle {\mathcal {f}}0{\mathcal {g}}^{j}}$ — блок длиной j бит заполненный нулями.
• ${\displaystyle {\mathcal {j}}M{\mathcal {j}}}$ — длина блока M в битах по модулю 2²⁵⁶.
• ${\displaystyle {\mathcal {k}}}$ — слияние (конкатенация) двух блоков в один.
• ${\displaystyle +}$ — сложение двух блоков длиной 256 бит по модулю 2²⁵⁶
• ${\displaystyle \oplus }$ — побитное сложение (XOR) двух блоков одинаковой длины.

Далее будем считать, что младший (нулевой) бит в блоке находится справа, старший — слева.

Описание

Основой описываемой хэш-функции является шаговая функция хэширования ${\displaystyle H_{out}\ =\ f(H_{in},m)}$ где ${\displaystyle H_{out}}$, ${\displaystyle H_{in}}$, ${\displaystyle m}$ — блоки длины 256 бит.

Входное сообщение ${\displaystyle M}$ разделяется на блоки ${\displaystyle m_{n},m_{n-1},m_{n-2},...,m_{1}}$ по 256 бит. В случае если размер последнего блока ${\displaystyle m_{n}}$ меньше 256 бит, то к нему приписываются слева нули для достижения заданной длины блока.

Каждый блок сообщения, начиная с первого, подаётся на шаговую функцию для вычисления промежуточного значения хэш-функции:
${\displaystyle \!H_{i+1}=f(H_{i},m_{i})}$
Значение ${\displaystyle H_{1}}$ можно выбрать произвольным.

После вычисления ${\displaystyle H_{n+1}}$ конечное значение хэш-функции получают следующим образом:

• ${\displaystyle H_{n+2}\ =\ f(H_{n+1},\ L)}$, где L — Длина сообщения M в битах по модулю ${\displaystyle 2^{256}}$
• ${\displaystyle h\ =\ f(H_{n+2},\ K)}$, где K — Контрольная сумма сообщения M: ${\displaystyle m_{1}+m_{2}+m_{3}+...+m_{n}}$

h — значение хэш-функции сообщения M

Алгоритм:

1. Инициализация:
   1. ${\displaystyle h\ :=initial}$ — Начальное значение хэш-функции. Т.е. - 256 битовый IV вектор, определяется пользователем.
   2. ${\displaystyle \Sigma \ :=\ 0}$ — Контрольная сумма
   3. ${\displaystyle L\ :=\ 0}$ — Длина сообщения
2. Функция сжатия внутренних итераций: для i = 1 … n — 1 выполняем следующее (пока ${\displaystyle |M|>256}$):
   1. ${\displaystyle h\ :=\ f(h,\ m_{i})}$ - итерация метода последовательного хэширования
   2. ${\displaystyle L\ :=\ L\ +\ 256}$ - итерация вычисления длины сообщения
   3. ${\displaystyle \Sigma \ :=\ \Sigma \ +\ m_{i}}$ - итерация вычисления контрольной суммы
3. Функция сжатия финальной итерации:
   1. ${\displaystyle L\ :=\ L\ +\ {\mathcal {j}}\ m_{n}\ {\mathcal {j}}}$ - вычисление полной длины сообщения
   2. ${\displaystyle m_{n}\ :=\ {0}^{256\ -\ {\mathcal {j}}m_{n}{\mathcal {j}}}{\mathcal {k}}m_{n}}$ - набивка последнего блока
   3. ${\displaystyle \Sigma \ :=\ \Sigma \ +\ m_{n}}$ - вычисление контрольной суммы сообщения
   4. ${\displaystyle h\ :=\ f(h,\ m_{n})}$
   5. ${\displaystyle h\ :=\ f(h,\ L)}$ - MD - усиление
   6. ${\displaystyle h\ :=\ f(h,\ \Sigma )}$
4. Выход. Значением хэш-функции является h,

Замечание: так как длина сообщения участвует в хэшировании, то нет необходимости указывать в передаваемом сообщении количество добавленных нулей к блоку ${\displaystyle m_{n}}$.

Алгоритм вычисления шаговой функции хэширования

Шаговая функция хэширования H отображает два блока длиной 256 бит в один блок длиной 256 бит: ${\displaystyle H_{out}\ =\ f(H_{in},\ m)}$ и состоит из трех частей:

• Генерирование ключей ${\displaystyle K_{1},\ K_{2},\ K_{3},\ K_{4}}$
• Шифрующее преобразование — шифрование ${\displaystyle \ H_{in}}$ с использованием ключей ${\displaystyle K_{1},\ K_{2},\ K_{3},\ K_{4}}$
• Перемешивающее преобразование результата шифрования

Генерация ключей

В алгоритме генерации ключей используются:

• Два преобразования блоков длины 256 бит:
  • Преобразование ${\displaystyle A(Y)=A(y_{4}\ {\mathcal {k}}\ y_{3}\ {\mathcal {k}}\ y_{2}\ {\mathcal {k}}\ y_{1})=(y_{1}\oplus y_{2})\ {\mathcal {k}}\ y_{4}\ {\mathcal {k}}\ y_{3}\ {\mathcal {k}}\ y_{2}}$, где ${\displaystyle y_{1},\ y_{2},\ y_{3},\ y_{4}}$ — подблоки блока Y длины 64 бит.
  • Преобразование ${\displaystyle P(Y)=P(y_{32}{\mathcal {k}}y_{31}{\mathcal {k}}\dots {\mathcal {k}}y_{1})=y_{\varphi (32)}{\mathcal {k}}y_{\varphi (31)}{\mathcal {k}}\dots {\mathcal {k}}y_{\varphi (1)}}$, где ${\displaystyle \varphi (i+1+4(k-1))=8i+k,\ i=0,\dots ,3,\ k=1,\dots ,8}$, а ${\displaystyle y_{32},\ y_{31},\ \dots ,\ y_{1}}$ — подблоки блока Y длины 8 бит.

• Три константы:

C2 = 0
C3 = 0xff00ffff000000ffff0000ff00ffff0000ff00ff00ff00ffff00ff00ff00ff00
C4 = 0

Алгоритм:

1. ${\displaystyle U\ :=\ H_{in},\quad V\ :=\ m,\quad W\ :=\ U\ \oplus \ V,\quad K_{1}\ =\ P(W)}$
2. Для j = 2,3,4 выполняем следующее:

   ${\displaystyle U:=A(U)\oplus C_{j},\quad V:=A(A(V)),\quad W:=U\oplus V,\quad K_{j}=P(W)}$

Шифрующее преобразование

После генерирования ключей происходит шифрование ${\displaystyle H_{in}}$ по ГОСТ 28147—89 в режиме простой замены на ключах ${\displaystyle K_{i}}$ (для ${\displaystyle i:=1,2,3,4}$), процедуру шифрования обозначим через E (Примечание: функция шифрования E по ГОСТ 28147 шифрует 64 битные данные 256 битным ключом). Для шифрования ${\displaystyle H_{in}}$ разделяют на четыре блока по 64 бита: ${\displaystyle H_{in}=h_{4}{\mathcal {k}}h_{3}{\mathcal {k}}h_{2}{\mathcal {k}}h_{1}}$ и зашифровывают каждый из блоков:

• ${\displaystyle s_{1}=E(h_{1},K_{1})}$
• ${\displaystyle s_{2}=E(h_{2},K_{2})}$
• ${\displaystyle s_{3}=E(h_{3},K_{3})}$
• ${\displaystyle s_{4}=E(h_{4},K_{4})}$

После чего блоки собирают в 256 битный блок: ${\displaystyle S=s_{4}{\mathcal {k}}s_{3}{\mathcal {k}}s_{2}{\mathcal {k}}s_{1}}$

Перемешивающее преобразование

На последнем этапе происходит перемешивание ${\displaystyle H_{in}}$, S и m с применением регистра сдвига, в результате чего получают ${\displaystyle H_{out}}$.

Для описания процесса преобразования сначала необходимо определить функцию ψ, которая производит элементарное преобразование блока длиной 256 бит в блок той же длины: ${\displaystyle \psi (Y)=\psi (y_{16}{\mathcal {k}}y_{15}{\mathcal {k}}...{\mathcal {k}}y_{2}{\mathcal {k}}y_{1})=(y_{1}\oplus y_{2}\oplus y_{3}\oplus y_{4}\oplus y_{13}\oplus y_{16}){\mathcal {k}}y_{16}{\mathcal {k}}y_{15}{\mathcal {k}}...{\mathcal {k}}y_{3}{\mathcal {k}}y_{2}}$, где ${\displaystyle y_{16},y_{15},...,y_{2},y_{1}}$ — подблоки блока Y длины 16 бит.

Перемешивающее преобразование имеет вид ${\displaystyle H_{out}={\psi }^{61}(H_{in}\oplus \psi (m\oplus {\psi }^{12}(S)))}$ , где ${\displaystyle {\psi }^{i}}$ означает i-ую степень преобразования ${\displaystyle \psi }$. Другими словами преобразование ${\displaystyle \psi }$ представляет собой LFSR — линейный сдвиговый регистр с обратной связью, а индекс ${\displaystyle i}$ указывает на количество раундов LFSR.

Ряд отличительных особенностей ГОСТ Р 34.11-94

• При обработке блоков используются преобразования по алгоритму ГОСТ 28147—89;
• Обрабатывается блок длиной 256 бит, и выходное значение тоже имеет длину 256 бит.
• Применены меры борьбы против поиска коллизий, основанном на неполноте последнего блока.
• Обработка блоков происходит по алгоритму шифрования ГОСТ 28147—89, который содержит преобразования на S — боксах, что существенно осложняет применение метода дифференциального криптоанализа к поиску коллизий.

Оценка криптостойкости

В 2008 году командой экспертов из Австрии и Польши была обнаружена техническая уязвимость, сокращающая поиск коллизий в 2²³ раз.^[2] Количество операций, необходимое для нахождения коллизии, таким образом, составляет 2¹⁰⁵, что, однако, на данный момент практически не реализуемо. Проведение коллизионной атаки на практике имеет смысл только в случае цифровой подписи документов, причём если взломщик может изменять неподписанный оригинал.

Использование

Функция используется при реализации систем цифровой подписи на базе асимметричного криптоалгоритма по стандарту ГОСТ Р 34.10-2001. Сообщество российских разработчиков СКЗИ согласовала используемые в Интернет параметры ГОСТ Р 34.11-94, см. RFC 4357.

• Использование в сертификатах открытых ключей.^[3]
• Использование для защиты сообщений в S/MIME (Cryptographic Message Syntax, PKCS#7).^[4]
• Использование для защиты соединений в TLS (SSL, HTTPS, WEB).^[5]
• Использование для защиты сообщений в XML Signature (XML Encryption).^[6]
• Защита целостности Интернет адресов и имён (DNSSEC).^[7]

Параметры алгоритма

ГОСТ Р 34.11-94 не фиксирует значения стартового вектора H₁ и S-блоков, что породило несовместимые реализации хэш-функции. Широко известны два набора параметров.

В обоих случаях стартовый вектор полагают равным нулю

H1=0x00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000.

Параметрами используемого в качестве шифрующего преобразования ${\displaystyle E(h,K)}$ алгоритма ГОСТ 28147-89 является таблица из восьми узлов замены (S-блоков).

«Тестовый» набор S-блоков

В «приложении А» стандарта приводятся тестовые параметры, с рекомендацией использовать их только в указанных проверочных примерах. Тем не менее, они получили большое распространение. Например, их использует ЦБ РФ.^[8]

Набор S-блоков компании CryptoPro

Российская компания CryptoPro написала информационный RFC 4357. Согласно ему реализации ГОСТ Р 34.11-94 должны использовать набор S-блоков разработанный этой компанией. В известной открытой библиотеке OpenSSL начиная с версии 1.0.0 появилась хэш функция ГОСТ Р 34.11-94 (пока в качестве плагина) именно с этими параметрами.

Подробный пример из описания стандарта

 M = 0x73657479622032333D6874676E656C202C6567617373656D2073692073696854

Т.к. длина сообщения равна 256 битам, то нет необходимости дописывать нули. Вычисляем ${\displaystyle ~H_{2}=f(H_{1},M)}$:

• Генерация ключей

K1=0x733D2C20 65686573 74746769 79676120 626E7373 20657369 326C6568 33206D54
K2=0x110C733D 0D166568 130E7474 06417967 1D00626E 161A2065 090D326C 4D393320
K3=0x80B111F3 730DF216 850013F1 C7E1F941 620C1DFF 3ABAE91A 3FA109F2 F513B239
K4=0xA0E2804E FF1B73F2 ECE27A00 E7B8C7E1 EE1D620C AC0CC5BA A804C05E A18B0AEC

• Шифрующее преобразование

S1=0x42ABBCCE 32BC0B1B
S2=0x5203EBC8 5D9BCFFD
S3=0x8D345899 00FF0E28
S4=0xE7860419 0D2A562D
S =0xE7860419 0D2A562D 8D345899 00FF0E28 5203EBC8 5D9BCFFD 42ABBCCE 32BC0B1B

• Перемешивающее преобразование

H2=0xCF9A8C65 505967A4 68A03B8C 42DE7624 D99C4124 883DA687 561C7DE3 3315C034

Вычисляем ${\displaystyle ~H_{3}=f(H_{2},L)}$:

L = 0x00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000100

• Генерация ключей

K1=0xCF68D956 9AA09C1C 8C3B417D 658C24E3 50428833 59DE3D15 6776A6C1 A4248734
K2=0x8FCF68D9 809AAC9C 3C8C3B41 C7658C24 BB504288 2859DE3D 666676A6 B3A42487
K3=0x4E70CF97 3C8065A0 853C8CC4 57389A8C CABB50BD E3D7A6DE D1996788 5CB35B24
K4=0x584E70CF C53C8065 48853C8C 1657389A EDCABB50 78E3D7A6 EED19867 7F5CB35B

• Шифрующее преобразование

S =0x66B70F5E F163F461 468A9528 61D60593 E5EC8A37 3FD42279 3CD1602D DD783E86

• Перемешивающее преобразование

H3=0x2B6EC233 C7BC89E4 2ABC2692 5FEA7285 DD3848D1 C6AC997A 24F74E2B 09A3AEF7

Вычисляем ${\displaystyle ~H_{4}=f(H_{3},\Sigma \ )}$:

${\displaystyle \Sigma \ }$ = 0x73657479622032333D6874676E656C202C6567617373656D2073692073696854

• Генерация ключей

K1=0x5817F104 0BD45D84 B6522F27 4AF5B00B A531B57A 9C8FDFCA BB1EFCC6 D7A517A3
K2=0xE82759E0 C278D95E 15CC523C FC72EBB6 D2C73DA8 19A6CAC9 3E8440F5 C0DDB66A
K3=0x77483AD9 F7C29CAA EB06D1D7 641BCAD3 FBC3DAA0 7CB555F0 D4968080 0A9E56BC
K4=0xA1157965 2D9FBC9C 088C7CC2 46FB3DD2 7681ADCB FA4ACA06 53EFF7D7 C0748708

• Шифрующее преобразование

S =0x2AEBFA76 A85FB57D 6F164DE9 2951A581 C31E7435 4930FD05 1F8A4942 550A582D

• Перемешивающее преобразование

H4=0xFAFF37A6 15A81669 1CFF3EF8 B68CA247 E09525F3 9F811983 2EB81975 D366C4B1

Таким образом, результат хэширования:

H = 0xFAFF37A6 15A81669 1CFF3EF8 B68CA247 E09525F3 9F811983 2EB81975 D366C4B1

Другие примеры

В разделе не хватает ссылок на источники (см. рекомендации по поиску). Информация должна быть проверяема, иначе она может быть удалена. Вы можете отредактировать статью, добавив ссылки на авторитетные источники в виде сносок.

Возможно, примеры не верны. Программа RHash-1.1.8-win32 выдаёт аналогичные результаты, но байты идут в обратном порядке.

M = 0x7365747962203035203D206874676E656C20736168206567617373656D206C616E696769726F206568742065736F70707553
H = 0x0852F5623B89DD57AEB4781FE54DF14EEAFBC1350613763A0D770AA657BA1A47

M = ""
H = 0x8D0F49492C91F45A68FF5C05D2C2B4AB78027B9AAB5CE3FEFF5267C49CB985CE

M = "ГОСТ Р 34.11-94"
H = 0xB6A83547677B534FEDB3C68BC7207129F7454928554CF2847DD7E30165F1CF30

M = "The quick brown fox jumps over the lazy dog"
H = 0x94421F6D370FA1D16BA7AC5E31296529C968047DCA9BF4258AC59A0C41FAB777

Малейшее изменение сообщения в подавляющем большинстве случаев приводит к совершенно другому хэшу вследствие лавинного эффекта. К примеру, при изменении dog на cog получится:

M = "The quick brown fox jumps over the lazy cog"
H = 0x45C4EE4EE1D25091312135540D6702E6677F7A73B5DA31E10B8BB7AADAC4EBA3

Примечания

Ссылки

• Текст ГОСТ Р 34.11-94
• ГОСТ Р 34.11 — 94. Функция хеширования. Краткий анализ.
• Реализация алгоритма на языке C++ с комментариями
• RHash - консольная Open source утилита, способная вычислять и проверять ГОСТ Р 34.11-94.