Merkles Meta-Verfahren

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Merkles Meta-Verfahren (auch Merkle-Damgård Konstruktion) ist eine Methode zur Konstruktion von kryptographischen Hash-Funktionen, die auf Arbeiten von Ralph Merkle und Ivan Damgård zurückgeht.

Gegeben ist eine Kompressionsfunktion f:\{0,1\}^{a+b}\rightarrow\{0,1\}^b, die kollisionssicher ist, d. h. es ist nicht mit realistischem Aufwand möglich, zwei verschiedene Eingaben zu finden, die von f auf die gleiche Ausgabe abgebildet werden. Durch die Anwendung von Merkles Meta-Verfahren ergibt sich daraus eine kollisionssichere Hash-Funktion h:\{0,1\}^*\rightarrow\{0,1\}^b, die beliebig lange Nachrichten auf einen Hashwert von b Bit Länge abbildet.

Vorgehensweise[Bearbeiten]

Aus den Nachrichtenblöcken wird durch wiederholte Anwendung der Kompressionsfunktion der Hashwert erzeugt

Die Nachricht x wird zunächst mit einem Paddingverfahren zu \overline x erweitert, so dass die Länge von \overline x ein Vielfaches von a ist. Dann wird \overline x in n Blöcke der Länge a aufgeteilt:

\overline x = x_1 \| x_2 \| \ldots \| x_n mit |x_i| = a.

Die Kompressionsfunktion wird iterativ auf die b Bit lange Ausgabe der vorherigen Iteration und die nächsten a Bit der erweiterten Nachricht angewandt, bis diese ganz verarbeitet ist. Bei der ersten Iteration besteht die Eingabe aus einem b Bit langen Initialisierungsvektor, häufig mit dem Wert 0, und dem ersten Nachrichtenblock x_1.

h_i:=f(h_{i-1}\| x_i); \quad 1\leq i\leq n; \quad h_0:=00\ldots0 = 0^b.

Entweder nimmt man dann h_n als Hash-Wert, oder es wird noch eine Finalisierungsfunktion darauf angewandt, die den Hash-Wert \operatorname{final}(h_n) liefert.

Padding[Bearbeiten]

Damit die Kollisionssicherheit der Kompressionsfunktion sich beweisbar auf die Hashfunktion überträgt, muss das Paddingverfahren bestimmte Bedingungen erfüllen. Folgende Bedingungen sind dafür hinreichend:[1]

  • x ist ein Anfangsstück von \overline x, d. h. die Nachrichten werden nicht verändert, nur mit einem Endstück erweitert.
  • Zwei Nachrichten der gleichen Länge werden mit gleich langen Endstücken erweitert.
  • Zwei verschieden lange Nachrichten werden unterschiedlich erweitert, so dass sie sich im letzten Block, der in die letzte Kompressionsstufe eingegeben wird, unterscheiden.

Typischerweise wird beim Padden eine Codierung der Bitlänge \left|x\right| an die Nachricht angehängt, und dazwischen werden ggfs. Bits mit dem Wert 0 eingefügt, damit |\overline x| ein Vielfaches von a ist:

\overline x = x \, \| \, 0^k \, \| \, |x|

Schwächen[Bearbeiten]

Eine Schwäche ist ein möglicher Erweiterungs-Angriff (Extension-Attack): Kennt man den Hashwert h(x) einer unbekannten Nachricht x, und fehlt die Finalisierungsfunktion oder kann man deren Umkehrung berechnen, dann kann man leicht den Hashwert h(\overline x \| \, y) einer Nachricht bestimmen, die aus der wie oben gepaddeten Nachricht durch Anfügen einer Erweiterung y hervorgeht. Man kann also Hashwerte zu Nachrichten bestimmen, die x als Anfangsstück haben, auch wenn man x nicht kennt.[2] Da ein Zufallsorakel diese Eigenschaft nicht hat, können sich daraus Angriffe auf Verfahren ergeben, die nur im Random-Oracle-Modell einen Sicherheitsbeweis haben.[3] Daraus folgt auch: wenn man einmal eine Kollision zweier Nachrichten mit gleicher Blocklänge n gefunden hat, kann man durch Erweiterung leicht weitere Kollisionen bestimmen.

Mehrfachkollisionen zu finden, also mehrere Nachrichten, die alle den gleichen Hashwert haben, erfordert nur wenig mehr Aufwand als das Bestimmen einer einzelnen Kollision.[4]

Ein Herding-Angriff, also zu einem selbst gewählten Hashwert z und einem gegebenen Anfangsstück x einer Nachricht ein passendes Endstück zu finden, so dass die gesamte Nachricht zu z hasht, d. h. ein y mit h(x \| y) = z zu finden, erfordert zwar mehr Aufwand als das Finden einer Kollision, aber wesentlich weniger, als es für ein Zufallsorakel als Hashfunktion h der Fall sein sollte.[5]

Ein Angriff zur Bestimmung eines zweiten Urbildes (second preimage attack), bei dem man zu einer gegebenen Nachricht x eine zweite x^\prime mit demselben Hashwert h(x) = h(x^\prime) sucht, ist bei einer Nachricht der Länge von 2^k Blöcken mit dem Zeitaufwand k 2^{b/2+1} + 2^{b-k+1} möglich, und damit bei langen Nachrichten erheblich schneller als durch systematisches Probieren (brute force), was etwa 2^b Schritte erfordert.[6]

Verbesserungen[Bearbeiten]

Um besagte Schwächen zu überwinden, hat Stefan Lucks die wide-pipe-hash-Konstruktion vorgeschlagen:[7] Um einen Hashwert von b Bit Länge zu berechnen, verwendet man eine Kompressionsfunktion f^\prime, deren Ausgabe länger als b ist, typischerweise doppelt so lang. f^\prime komprimiert also 2b Bit aus der vorherigen Iteration und einen a Bit langen Nachrichtenblock zu einer Ausgabe von 2b Bit. Nach der letzten Iteration wird die Ausgabe durch eine weitere Kompressionsfunktion von 2b auf b Bit verkürzt, falls man nicht einfach die halbe Ausgabe verwirft und die andere Hälfte als Hashwert verwendet.

fast wide pipe hash

Nandi und Paul haben gezeigt, dass diese Konstruktion etwa doppelt so schnell gemacht werden kann (fast wide pipe hash), indem man nur b Bit aus den vorhergehenden Kompressionen in die nächste Kompression eingibt, zusammen mit einem a+b Bit langen Nachrichtenblock x_i. Die andere Hälfte der 2b-Kompressionsausgabe wird mit der darauf folgenden Eingabe XOR-verknüpft:[8]

h_i = f^\prime \left( \, (\operatorname{Hi}(h_{i-2}) \oplus \operatorname{Lo}(h_{i-1})) \; \| \; x_i \right); \quad 1\leq i\leq n-1

In der letzten Stufe wird die Ausgabe der vorletzten komplett verarbeitet, und der Nachrichtenblock x_n ist dafür nur a Bit breit (falls man hier nicht eine andere Kompressionsfunktion mit größerer Eingabe verwendet):

h_n = f^\prime ( \, (\operatorname{Hi}(h_{n-2}) \oplus \operatorname{Lo}(h_{n-1})) \; \| \; \operatorname{Hi}(h_{n-1}) \; \| \; x_n )

\operatorname{Hi}(c) und \operatorname{Lo}(c) bedeuten dabei die erste bzw. die zweite Hälfte der Bitkette c.

Neben der wide-pipe-hash-Konstruktion gilt auch die HAIFA-Konstruktion als eine Weiterentwicklung des Merkle-Damgård Verfahrens.

Einzelnachweise[Bearbeiten]

  1. Goldwasser, S. and Bellare, M. "Lecture Notes on Cryptography". Summer course on cryptography, MIT, 1996-2001.
  2. Yevgeniy Dodis, Thomas Ristenpart, Thomas Shrimpton. Salvaging Merkle–Damgård for Practical Applications. Preliminary version in Advances in Cryptology - EUROCRYPT '09 Proceedings, Lecture Notes in Computer Science Vol. 5479, A. Joux, ed, Springer-Verlag, 2009, S. 371–388.
  3. J.S. Coron, Y. Dodis, C. Malinaud, und P. Puniya. Merkle–Damgård Revisited: How to Construct a Hash Function. Advances in Cryptology – CRYPTO '05 Proceedings, Lecture Notes in Computer Science, Vol. 3621, Springer-Verlag, 2005, S. 21–39.
  4. Antoine Joux. Multicollisions in iterated hash functions. Application to cascaded construction. In: Advances in Cryptology - CRYPTO '04 Proceedings, Lecture Notes in Computer Science, Vol. 3152, M. Franklin, ed, Springer-Verlag, 2004, S. 306–316.
  5. John Kelsey und Tadayoshi Kohno. Herding Hash Functions and the Nostradamus Attack In Eurocrypt 2006, Lecture Notes in Computer Science, Vol. 4004, S. 183–200.
  6. John Kelsey and Bruce Schneier. Second preimages on n-bit hash functions for much less than 2n work. In Ronald Cramer, editor, EUROCRYPT, volume 3494 of LNCS, pages 474–490. Springer, 2005.
  7. S. Lucks, Design Principles for Iterated Hash Functions. In: Cryptology ePrint Archive, Report 2004/253, 2004.
  8. Mridul Nandi and Souradyuti Paul. Speeding Up the Widepipe: Secure and Fast Hashing. In Guang Gong and Kishan Gupta, editor, Indocrypt 2010, Springer, 2010.

Literatur[Bearbeiten]

  • Hans Delfs, Helmut Knebl: Introduction to Cryptography. Springer 2002, ISBN 3-540-42278-1, S. 40.