Movatterモバイル変換

Secure Hash Algorithm

מתוך ויקיפדיה, האנציקלופדיה החופשית

(הופנה מהדףSHA-1)

בקריפטוגרפיה,אלגוריתם גיבוב בטוח (באנגלית: Secure Hashing Algorithm) הידוע בקיצור SHA הוא שם כולל למשפחה שלפונקציות גיבוב קריפטוגרפיות שהן חלק מתקן פדרלי שלממשלת ארצות הברית FIPS (בעברית:תקן עיבוד מידע פדרלי) הנקרא SHS (קיצור שלפונקציית גיבוב בטוחה). התקן נועד לשימוש כחלק ממנגנוןאימות והבטחת שלמות מידע וחלק מתקןחתימה דיגיטלית והוא הכולל את הפונקציות: SHA-0 (במקור SHA),SHA-2, SHA-1 והחל מ-2012 גם אתSHA-3. הפונקציות ממשפחה זו משמשות ביישומים ופרוטוקולים מאובטחים רבים.

ייעוד

[עריכת קוד מקור |עריכה]

ערך מורחב –פונקציית גיבוב קריפטוגרפית

SHA היא פונקציה המפיקה מקלט בכל אורך רצוי "תמצית" קצרה באורך קבוע שהמאפיין העיקרי שלה שהיאחד-כיוונית במובן שלא ניתן לשחזר את הקלט המקורי בהינתן התמצית. המשמעות היא שיהיה קשה מאוד למצוא מסר אחר ממנו ניתן להפיק תמצית זהה. זו תכונה יסודית של פונקציית גיבוב המאפשרת להבטיח שאם המסר שונה אפילו במעט, התמצית שתופק ממנו תהיה שונה לגמרי בהסתברות מאוד גבוהה. האלגוריתמים ממשפחת SHA מפיקים את התמצית באמצעות סדרת פעולותאד הוק,פעולות על סיביות כמוהזזה מעגלית, פעולותאריתמטיות כמו חיבורמודולרי והמבנה שלהם למעט SHA-3 הוא בסגנוןדויס-מאייר לפישיטת מרקל-דמגרד. האלגוריתם מכיל זיכרון פנימי ו"פונקציית כיווץ" או "פונקציית תמצות". הקלט תחילה מחולק לבלוקים באורך קבוע לאחר שעבר הכנה וריפוד כראוי ואז הפונקציה הפנימית מופעלת באופןאיטרטיבי על הקלט כאשר פלט הפונקציה מוזן בחזרה כקלט מספר פעמים והפלט הסופי הוא תכולת הזיכרון הפנימי לאחר עיבוד כל הבלוקים של הקלט.

גרסאות

[עריכת קוד מקור |עריכה]

הפונקציות ממשפחת SHA פותחו, אושררו והוכנסו לתקן SHS של FIPS המנוהל על ידי NIST בשיתוף פעולה שלNSA. הן כוללות את:

SHA-0 שם שניתן למפרע כדי להבדילה מ-SHA-1. היא מפיקה תמצית באורך 160 סיביות ומבוססת עלMD4. זוהי הפונקציה הראשונה במשפחה שפורסמה ב-1993 ונקראה בקיצור SHA תחת תקן FIPS PUB 180. הפונקציה הוסרה מהתקן זמן קצר לאחר שפורסמה והוחלפה ב-SHA-1 עקב חסרונות מהותיים שהתגלו בה.
SHA-1 פונקציית גיבוב המפיקה תמצית באורך 160 סיביות. היא דומה מאוד ל-MD5 במבנה הפנימי שלה. האלגוריתם פותח על ידי NSA על מנת שישמש כחלק מחתימה דיגיטלית והוכנס לתקן FIPS PUB 180-1. לאחר שנמצאו פגמים גם בגרסה זו^[1] היא אינה נתמכת יותר החל מ-2010.
SHA-2 היא משפחה של פונקציות גיבוב שפותחו גם הן על ידי NSA ונבדלות ביניהן בעיקר באורך התמצית שהן מפיקות ובמספר ערכים התחלתיים קבועים. הגרסאות הראשונות נקראו SHA-256, SHA-512 והוכנסו לתקן FIPS PUB 180-2. לאחריהן נוספו הפונקציות SHA-224, SHA-384 שנגזרות מהאחרות במספר שינויים מינוריים והתקן עודכן ל-FIPS PUB 180-3.
SHA-3 פונקציית גיבוב המבוססת עלקצ'אק שפותחה על ידי קריפטוגרפים בלגיים. בניגוד לפונקציות הקודמות במשפחה, פונקציה זו שונה לגמרי במבנה הפנימי שלה, היא נבחרה בתחרות פתוחה לציבור שהתקיימה בין השנים 2010-2012. היא תומכת בתמציות באותם אורכים כמו SHA-2 ונועדה למעשה לשמש כתחליף אופציונלי ל-SHA-2. הוכנסה לתקן FIPS PUB 202 כתקן נפרד אף שאינו אמור להחליף את קודמו אלא רק כאופציה נוספת בסגנון אחר.

אישורים

[עריכת קוד מקור |עריכה]

כל הפונקציות ממשפחת SHA עוברות בדיקות בנושא ביטחון ומאושרות בתקן FIPS על ידי הארגוןCMVP, שיתוף פעולה של NIST האמריקאי ו-CSE (הסוכנות הקנדית הממשלתית בנושא קריפטולוגיה). תפקיד הארגון להעריך ולבדוק מודולים קריפטוגרפיים לצורך שימוש מסחרי (לא ממשלתי/צבאי). היא עומדת לרשות יצרנים וספקים בתחומי ארצות הברית וקנדה ומספקת תעודות המאשרות מוצרים קריפטוגרפיים שעברו בחינה ואישור של מומחיהצפנה (בעיקר מומחים של NSA).

היסטוריה

[עריכת קוד מקור |עריכה]

אלגוריתם SHA פורסם במאי 1993 על ידי ה-NIST לצורך ייצוג תמציתי של הודעות בשימוש באלגוריתמי חתימות וכאשר נדרש ערך גיבוב קריפטוגרפי ביישומים פדרליים^[2]. אלגוריתם SHA בנוי בשיטת מרקל-דמגרד. הקלט שלו הוא מחרוזת שאורכה עד $2^{64}$ סיביות והפלט שלה הוא תמצית באורך 160 סיביות. האלגוריתם מבוסס ברובו על הפונקציהMD4 תוך הגדלת המצב הפנימי ושינוי חלק מהפונקציות הפנימיות וערכי הקבועים שבשימוש.

בשנת 1995 פרסם ה-NIST אלגוריתם חדש שנקרא SHA-1 שמטרתו להחליף את אלגוריתם SHA הקודם (החל מהפרסום נהוג להתייחס לאלגוריתם הראשון כ-SHA-0). השוני היחיד בין האלגוריתמים כלל שינוי במנגנון הרחבת ההודעה של SHA-1 על פני SHA-0. לטענת ה-NIST מטרת התיקון הייתה לפתור חולשה שנמצאה באלגוריתם הקודם; ה-NIST לא פרסם את החולשה שהתיקון אמור לפתור^[3].

בשנת 2002 הוסיף ה-NIST שלוש פונקציות נוספות לתקן SHA-256, SHA-384 ו-SHA-512^[4]. הפונקציות החדשות נבדלו משמעותית באלגוריתמים שבבסיסן מ-SHA-1 ובכך הבטיחו שחולשות בה לא ישפיעו בהכרח על הפונקציות החדשות. הפונקציות גם איפשרו ליצור ערכי תמצית ארוכים יותר עבור הודעות ובכך להגביר את בטיחות הפרוטוקולים המשתמשים בהן. בשנת 2008 הוסיפה ה-NIST פונקציה נוספת, SHA-224^[5].

בשנת 2007 יזמה ה-NIST תחרות לבחירת פונקציות שיצטרפו למשפחת ה-SHA. לתחרות הוגשו 64 הצעות שמתוכן עמדו 51 בתנאי הסף. ההצעות פורסמו והקהילה הקריפטוגרפית הבינלאומית הוזמנה לנתח ולנסות לשבור את כל המועמדים. 14 מועמדים עברו לשלב השני של התחרות כאשר חמשת המועמדים הסופיים הםBLAKE,Grøstl,JH,קצ'אק ו-Skein. בשנת 2012 פורסם הזוכה בתחרות לגיבוב SHA-3 והוא הצופן Keccak^[6].

תיאור האלגוריתמים

[עריכת קוד מקור |עריכה]

התרשים מתאראיטרציה אחת בתוך פונקציית ה"כיווץ" של האלגוריתם. A,B,C,D,E הם מילים בנות 32 ביט אשר שומרות מצב; F היא פונקציה לא ליניארית משתנה;_s מסמלת הזזת סיביות ימנית ב-s מקומות. מסמל חיבור מודולו 2³². K_t הוא קבוע.

left shift — התרשים מתאראיטרציה אחת בתוך פונקציית ה"כיווץ" של האלגוריתם. A,B,C,D,E הם מילים בנות 32 ביט אשר שומרות מצב; F היא פונקציה לא ליניארית משתנה;_s מסמלת הזזת סיביות ימנית ב-s מקומות. מסמל חיבור מודולו 2³². K_t הוא קבוע.

SHA-0

[עריכת קוד מקור |עריכה]

הפונקציה מורכבת מחמישה משתנים פנימיים בגודל 32 סיביות היוצרים מצב פנימי בגודל 160 סיביות. בכל איטרציה מופעלת פונקציית התמצות על המשתנים ליצירת הקלט לאיטרציה הבאה.

אתחול

[עריכת קוד מקור |עריכה]

ראשית, המשתנים הפנימיים מקבלים את ערכיוקטור האתחול (IV)

$A={\text{0x67452301}}$
$B={\text{0xEFCDAB89}}$
$C={\text{0x98BADCFE}}$
$D={\text{0x10325476}}$
$E={\text{0xC3D2E1F0}}$
$h_{0}=(A,B,C,D,E)$

לאחר מכן, קלט הפונקציה מחולק לבלוקים באורך 512 סיביות המכונים $M_{1},M_{2}...M_{\ell }$ ; לבלוק האחרון מוסיפים את אורך ההודעה. במידה ואורך ההודעה אינו כפולה של 512 מוסיפים לבלוק האחרון, אחרי ההודעה ולפני האורך שלה את הסיבית 1 ולאחריה 0 בכמות הנדרשת כדי להביא אותה לאורך של 512 סיביות.

אופן הפעולה

[עריכת קוד מקור |עריכה]

בכל שלב של הפונקציה מועברים לפונקציית התמצות המשתנים הפנימיים מהסיבוב הקודם והבלוק הנוכחי לעיבוד. הפונקציה מחזירה את הערך החדש של המשתנים הפנימיים ( $h_{i}=H(H_{i-1},M_{i})$ ). פונקציית הגיבוב אינה כוללת שלב סיום ולכן בסיום התהליך פלט פונקציית הגיבוב הוא הפלט של פונקציית התמצות מהשלב האחרון.

פונקציית התמצות

[עריכת קוד מקור |עריכה]

מנגנון הרחבת הודעות: הפונקציה מחלקת את הבלוק ל-16 חלקים באורך 32 סיביות המכונים $w_{0},w_{1}...w_{15}$ . לאחר מכן, הפונקציה מרחיבה את 16 החלקים ל-80 באמצעות הפעלת ה-LFSR הבא 64 פעמים:

$w_{t}=w_{t-3}\oplus w_{t-8}\oplus w_{t-14}\oplus w_{t-16}$

תמצות המסר: עבור כל אחד מ-80 החלקים של המסר, הפונקציה מפעילה את האלגוריתם הבא:

T=(A\lll 5)+f_{t}(B_{t},C_{t},D_{t})+E_{t}+W_{t}+K_{t}

$E_{t+1}=D_{t};D_{t+1}=C_{t};C_{t+1}=B_{t}\lll 30;B_{t+1}=A_{t};A_{t+1}=T$

פלט: פונקציית התמצות מחזירה את הפלט:

A=A_{0}+A_{80};B=B_{0}+B_{80};C=C_{0}+C_{80};D=D_{0}+D_{80};E=E_{0}+E_{80}

הפונקציה $f {\displaystyle f}$ והקבוע K מוגדרים כך:

0\leq t\leq 19\ K=0x5A827999\ f_{t}(X,Y,Z)=XY\vee (\neg X)Z

$20\leq t\leq 39\ K=0x6ED9EBA1\ f_{t}(X,Y,Z)=X\oplus Y\oplus Z$

$40\leq t\leq 59\ K=0x8F1BBCDC\ f_{t}(X,Y,Z)=XY\vee XZ\vee YZ$

60\leq t\leq 79\ K=0xCA62C1D6\ f_{t}(X,Y,Z)=X\oplus Y\oplus Z

SHA-1

[עריכת קוד מקור |עריכה]

הפונקציות SHA-0 ו-SHA-1 זהות באלגוריתמים שלהם פרט למנגנון הרחבת ההודעה ב-SHA-1 שמפעיל את ה-LFSR הבא 64 פעמים:

$w_{t}=(w_{t-3}\oplus w_{t-8}\oplus w_{t-14}\oplus w_{t-16})\lll 1$

בטיחות

[עריכת קוד מקור |עריכה]

מספר התקפות על פונקציות ה-SHA-0 וה-SHA-1 נתגלו עד כה. טרם דווחו התקפות עלSHA-2, אולם מכיוון שהפונקציות הללו מבוססות על אלגוריתם דומה, קיים חשש שגם האחרונה תהיה בקרוב פגיעה להתקפות.

בשנת 2005 פרסמו צוות חוקרים מאוניברסיטת שאנדונג סין, התקפה על SHA-1 שמוצאתהתנגשות ב- $2^{69}$ פעולות ולאור זאת לא מומלץ לשימוש כיום. לגבי SHA-256 ומעלה לא דווח על חולשות מסוימות, כך שהם עדיין טובים לשימוש.

להלן טבלת האלגוריתמים ובטיחותם כפי שפורסם על ידי NIST:

האלגוריתם	גודל מסר מקסימלי בסיביות	גודל גוש בסיביות	גודל מילה (Word)	גודל תמצית המסר (בסיביות)	בטיחות* (בסיביות)
SHA-1	$\ 2^{64}$	$\ 512$	$\ 32$	$\ 160$	$\ 80$
SHA-256	$\ 2^{64}$	$\ 512$	$\ 32$	$\ 256$	$\ 128$
SHA-384	$\ 2^{128}$	$\ 1024$	$\ 64$	$\ 384$	$\ 192$
SHA-512	$\ 2^{128}$	$\ 1024$	$\ 64$	$\ 512$	$\ 256$

בהקשר זה הבטיחות מתייחסת לכמות העבודה הנדרשת למציאת התנגשות (מסרים שונים המפיקים פלט זהה) תוך שימוש בהתקפת יום ההולדת. הערך מתפרש כ- $\ 2^{n/2}$ .

ראו גם

[עריכת קוד מקור |עריכה]

הערות שוליים

[עריכת קוד מקור |עריכה]

^Lucian Constantin,The SHA1 hash function is now completely unsafe, Computerworld, ‏2017-02-23(באנגלית)
^FIPS 180
^FIPS 180-1
^FIPS 180-2
^FIPS 180-3
^NIST בחרה את הזוכה בתחרות אלגוריתם הגיבוב (SHA-3) -הודעה לעיתונות באתר שלNIST

קריפטוגרפיה

מושגי יסוד

פנקס חד-פעמי •צופן בלוקים •צופן בלוקים בר-התאמה •צופן זרם •סודיות מושלמת •ביטחון סמנטי •הצפנה סימטרית •הצפנה אסימטרית •חתימה דיגיטלית •הצפנה הומומורפית •הצפנה מרובה •הצפנה מאומתת •הצפנה הסתברותית •סכמת ריפוד אסימטרית אופטימלית •אריזת מפתח הצפנה •סודיות מושלמת קדימה

הצפנה קלאסית
מכונת הצפנה •צופן החלפה •צופן אתב"ש •צופן קיסר •צופן ויז'נר •צופן ורנם •צופן פלייפייר •צופן היל •אולטרה •אניגמה •ציקלומטר •קולוסוס •PURPLE •ג'ייד •מג'יק •צופן שחלוף

צופן בלוקים
לוציפר •AES •3DES •DES •Threefish •Twofish •Blowfish •FEAL •SEED •CAST •IDEA •RC2 •RC6 •MARS •RC5 •GOST •סרפנט •MISTY •KASUMI •קמליה •ARIA •SAFER •TEA •LEA •CLEFIA •SEA •Hummingbird •PRESENT •KATAN •KeeLoq •Simon & Speck •אנוביס

אופני הפעלה
אופן הפעלה של צופן בלוקים •EAX •OCB •IAPM •CWC mode •GCM •CCM

צופן זרם
RC4 •Salsa20 •SOSEMANUK •גריין •E0 •A5/1 •A5/2 •A5/3 •A5/4 •MICKEY •HC-128 •SNOW •Trivium •Rabbit •ZUC •ChaCha

הצפנה אסימטרית

פרוטוקול דיפי-הלמן •חידות מרקל •חתימת למפורט •הצפנת תרמיל •RSA •הצפנת רבין •חתימה דיגיטלית רבין •צופן אל-גמאל •חתימה דיגיטלית אל-גמאל •DSA •הצפנת בלום-גולדווסר •ECC •הצפנת קריימר-שופ •הצפנת פאיי •הצפנת מקאליס •GGH •NTRU •עקום 25519 •חתימה דיגיטלית של שנור •הצפנת אוקמוטו-אושיאמה

פרוטוקולים

עץ מרקל •פרוטוקול אתגר-מענה •פרוטוקול נידהאם-שרודר •פרוטוקול קרברוס •הוכחה באפס ידע •פרוטוקול פייגה-פיאט-שמיר •העברה עלומה •חלוקת סוד •TLS (SSL) •Secure Shell •MQV •X.509 •פרוטוקול שיתוף מפתח•מיסור שלא לפרסום •פרוטוקול סיגנל

פרימיטיבים תאורטיים
מחולל פסבדו-אקראי קריפטוגרפי •פונקציה חד-כיוונית •תמורה חד-כיוונית •סיבית קשה •פונקציה פסבדו-אקראית קריפטוגרפית •תמורה פסאודו-אקראית •פונקציית גיבוב קריפטוגרפית •וקטור אתחול •פונקציית ספוג •הצפנה מבוססת סריג

קריפטואנליזה

ניתוח תדירויות •כוח גס •התקפת איזון זמן/זיכרון •תקיפת היפגשות באמצע •קריפטואנליזה ליניארית •קריפטואנליזה דיפרנציאלית •התקפת גלוי-ידוע •התקפת גלוי-נבחר •התקפת מוצפן-נבחר •פירוק לגורמים של מספר שלם •התקפת ערוץ צדדי •התקפת קורלציה •התקפת שיבוש •מודל אורקל אקראי •התקפת התנגשויות

בעיות מתמטיות ואלגוריתמים
בעיית לוגריתם בדיד •תחשיב אינדקסים •נפה ריבועית •אלגוריתם rho של פולרד •נפת שדה מספרים •אלגוריתם רו של פולרד ללוגריתמים •אלגוריתם פוליג-הלמן

פונקציות גיבוב קריפטוגרפיות
SHA •MD5 •MD4 •SHA-1 •SHA-2 •SHA-3 •RIPEMD •Skein •BLAKE •Grøstl •SipHash

אימות וזיהוי
אימות זהות •סיסמה •קוד אימות מסרים •Poly1305 •סיסמה חד-פעמית

נושאים נלווים

מספר אקראי •מספר ראשוני •יתירות •מפתח שיחה •סטגנוגרפיה •הצפנה קוונטית •הצפנה פוסט-קוונטית •עקרון קרקהופס •אבטחת מידע •קריפטוגרפיה ויזואלית •אליס ובוב •מסיבת חתימה על מפתחות ציבוריים •שידור מוצפן •הצפנת דיסקים •הצפנת סף •חתימה דיגיטלית מבוססת פונקציית גיבוב •פונקציה זניחה •רשת פייסטל •רשת החלפה-תמורה •הלבנה •אימות מסרים •חתימה עיוורת •חישוב רב משתתפים בטוח

אוחזר מתוך "https://he.wikipedia.org/w/index.php?title=Secure_Hash_Algorithm&oldid=40537950"

קטגוריה:

פונקציות גיבוב קריפטוגרפיות

[8]ページ先頭