RIPEMD
RIPEMD ראשי תיבות: פונקציית תמצות של פרויקט RIPE (באנגלית: RACE Integrity Primitives Evaluation Message Digest)[1] היא משפחה של פונקציות גיבוב קריפטוגרפיות שפותחה על ידי הוועדה האירופאית RACE שהוקמה בראשית שנות התשעים של המאה ה-20 לצורך מחקר ופיתוח של טכנולוגיות תקשורת. RIPEMD הראשונה מבוססת על MD4 והיא דומה בביצועיה ל-SHA-1. לגרסה זו נוספו שיפורים אחדים וכיום קיימות כמה גרסאות מתקדמות כמו RIPEMD-160 וכן RIPEMD-128 שתיהן כלולות בתקן ISO/IEC 10118-3:2004 של ISO.
פרויקט RIPE שם לו למטרה להכין רשימה מומלצת של פונקציות קריפטוגרפיות בהתבסס על הערכה עצמאית משלו במקביל לפרויקט SHA של NIST. ב-1990 הוצעה גרסה מחוזקת של MD4 שנקראה בקיצור RIPEMD. באופן כללי RIPEMD המקורית מורכבת למעשה משתי גרסאות משופרות של MD4 הפועלות על הקלט בשני מסלולים מקבילים ונבדלות ביניהן רק בקבועי הסבבים, כאשר בסיום העבודה הפלט שלהן מאוחד לפלט הסופי של האלגוריתם. בניגוד למקבילה SHA-1 פונקציית הגיבוב RIPEMD פותחה על ידי הקהילה האקדמית באופן פומבי, היא אינה מוגנת בפטנט כלשהו אך השימוש בה פחות נפוץ מ-SHA-1. האלגוריתם היה בשימוש במערכת הבנקאות יחד עם SHA-1. בעקבות פיתוח התקפות קריפטוגרפיות חדשות ועקב גילוי חולשות באלגוריתם המקורי[2] פותח RIPEMD-160. דור ההמשך RIPEMD-160 הוא שיפור של RIPEMD והוא פותח ב-1996 על ידי Hans Dobbertin ,Antoon Bosselaers ו-Bart Preneel מקבוצת המחקר COSIC (אבטחת מחשבים וקריפטוגרפיה מתועשת) של אוניברסיטת לוון והוא בטוח יותר מקודמו[3]. פרוטוקול ביטקוין משתמש בין היתר ב-RIPEMD-160 כחלק מכתובת ביטקוין הכלולה בעסקה.
רקע ומוטיבציה
- ערך מורחב – פונקציית גיבוב קריפטוגרפית
פונקציית גיבוב נחשבת לסוס עבודה של ההצפנה המודרנית. היא קיימת כמעט בכל מערכת הצפנה כחלק מחתימה דיגיטלית, קוד אימות מסרים, מחולל פסאודו אקראי וכדומה. תפקידה למפות מחרוזת סיביות באורך כלשהו למחרוזת סיביות קצרה באורך קבוע הנקראת ערך גיבוב או תג המשרת כמו טביעת אצבע. בהינתן הפונקציה והקלט חישוב קל מאוד והוא אינו אורך יותר מכמה מילישניות על מעבד נפוץ. אולם הפעולה ההופכית קשה מאוד, בהינתן פלט גיבוב מסוים אמור להיות קשה מבחינה חישובית למצוא את הקלט המקורי שאם מחשבים את הגיבוב שלו מתקבל ערך הגיבוב הזה. הגדרה נוספת אומרת שיהיה קשה למצוא קלט נוסף שממנו מופק ערך גיבוב זהה לקלט הראשון. שתי ההגדרות נקראות בקיצור "מציאת מקור ראשון" ו"מציאת מקור שני" בהתאמה. בשני המקרים קיים ערך גיבוב קבוע ותפקיד המתקיף או הקריפטואנליסט הוא למצוא מקור שיענה על התנאים האמורים. באופן אידיאלי אמור להיות שסיבוכיות מציאת מקור ראשון או שני תהיה פעולות גיבוב עבור פונקציית גיבוב שאורך הפלט הגיבוב שלה הוא סיביות בממוצע. פונקציית גיבוב חסינת התנגשויות היא פונקציית גיבוב שבנוסף לשתי ההגדרות האמורות מקיימת תנאי נוסף: יהיה קשה מאוד מבחינה חישובית למצוא כל זוג קלטים אפשריים לא בהכרח קבועים מהם מופק פלט זהה - דהיינו מציאת התנגשות. במקרה כזה, בהנחה שלא התגלו חולשות בפונקציית הגיבוב, הדרך המהירה ביותר למצוא התנגשות היא התקפת יום הולדת שדורשת בממוצע פעולות גיבוב.
כמו מרבית פונקציות הגיבוב RIPEMD היא איטרטיבית באופייה. פונקציה פנימית שנקראת פונקציית כיווץ או פונקציית תמצות מופעלת על הקלט המחולק למקטעים בגודל קבוע הקרויים בלוקים בשיטת מרקל-דמגרד. בניסוח רשמי, עבור הקלט המחולק ל- בלוקים באורך קבוע (את הבלוק האחרון מרפדים בדרך מוסכמת כדי שכל הבלוקים יהיו באורך אחיד וכן מוסיפים ליתר ביטחון בלוק ריק שבו מקודדים את אורך הקלט בסיביות) הפונקציה פועלת כדלהלן:
כאשר ו- היא פונקציה חד-כיוונית או פונקציה פסאודו אקראית. הערך IV הוא ערך התחלתי קבוע הנקרא וקטור אתחול. הוא ערך הביניים שמתקבל בין כל איטרציה ופלט הפונקציה הוא ערך הביניים האחרון .
RIPEMD-160
קלט האלגוריתם הוא בלוקים באורך 16 מילים כל אחד המחולקים בשיטת מרקל-דמגרד והפלט הסופי הוא ערך גיבוב באורך 160 סיביות. הפונקציה הפנימית של האלגוריתם מורכבת מחמש פונקציות בוליאניות המופעלות חמש פעמים כל אחת לסירוגין בשני מסלולים מקבילים הנקראים כאן צד ימין וצד שמאל בהתאמה כשהפלט הסופי הוא שילוב של תוצאות שניהם. הזיכרון הפנימי של הפונקציה הפנימית מורכב מחמשה אוגרים באורך 32 סיביות, בסך הכול 160 סיביות עבור כל צד. הפונקציות בשני הצדדים זהות וההבדל ביניהם הוא רק בערכים ההתחלתיים, סדר הקריאות לפונקציות הבוליאניות וסדר עיבוד המילים בתוך הבלוק.
הקלט לפונקציות הפנימיות הוא חמש מילים באורך 32 סיביות כל אחת המסומנות , הקבוע (לפי הטבלה להלן), בלוק הקלט הנוכחי וההיסט עבור ההזזה המעגלית (לפי הטבלה להלן) והן מבצעות:
- ,
כאשר מתייחס לאחת מחמש הפונקציות המתוארות להלן. הביטוי מייצג הזזה מעגלית שמאלה של בגבולות מילה באורך 32 סיביות פוזיציות או צעדים.
לאחר מכן ערכי האוגרים מתחלפים ביניהם לפי הסדר הבא: . כדי להבדיל בין ערכי הביניים והקבועים של שני הצדדים, הערכים של הצד הימני מסומנים בגרש, כמו: וכן .
סדר עיבוד מילות הבלוק נקבע לפי שילוב של שתי פרמוטציות, הראשונה מוגדרת לפי הטבלה:
|
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15
|
|
7 |
4 |
13 |
1 |
10 |
6 |
15 |
3 |
12 |
0 |
9 |
5 |
2 |
14 |
11 |
8
|
הפרמוטציה השנייה מוגדרת לפי מודולו 16.
לסיכום 16 מילות הבלוק מעובדות בשני צידי האלגוריתם, שנקראים כאן ימין ושמאל בהתאמה, לפי סדר הנקבע לפי הטבלה הבאה:
צד |
סבב 1 |
סבב 2 |
סבב 3 |
סבב 4 |
סבב 5
|
שמאל |
|
|
|
|
|
ימין |
|
|
|
|
|
הפונקציות הבוליאניות מוגדרות כדלהלן:
|
הסימן הוא אופרטור השלילה, הסימן הוא אופרטור וגם והסימן הוא האופרטור או.
השימוש בפונקציות הבוליאניות מתבצע לפי סדר המופיע בטבלה הבאה:
צד |
סבב 1 |
סבב 2 |
סבב 3 |
סבב 4 |
סבב 5
|
שמאל |
|
|
|
|
|
ימין |
|
|
|
|
|
בשני הצדדים ההזזות המעגליות מבוצעות במרחקים קבועים לפי הטבלה הבאה:
סבב |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
11 |
14 |
15 |
12 |
5 |
8 |
7 |
9 |
11 |
13 |
14 |
15 |
6 |
7 |
9 |
8
|
2 |
12 |
13 |
11 |
15 |
6 |
9 |
9 |
7 |
12 |
15 |
11 |
13 |
7 |
8 |
7 |
7
|
3 |
13 |
15 |
14 |
11 |
7 |
7 |
6 |
8 |
13 |
14 |
13 |
12 |
5 |
5 |
6 |
9
|
4 |
14 |
11 |
12 |
14 |
8 |
6 |
5 |
5 |
15 |
12 |
15 |
14 |
9 |
9 |
8 |
6
|
5 |
15 |
12 |
13 |
13 |
9 |
5 |
8 |
6 |
14 |
11 |
12 |
11 |
8 |
6 |
5 |
5
|
ערכי קבועי הסבבים הם החלק השלם של המספרים הבאים:
צד |
סבב 1 |
סבב 2 |
סבב 3 |
סבב 4 |
סבב 5
|
שמאל |
0 |
|
|
|
|
ימין |
|
|
|
|
0
|
או באופן מפורש:
צד שמאל |
צד ימין
|
|
|
הערכים ההתחלתיים הם:
- .
פסאודו קוד
סדר העיבוד של מילות הקלט:
צד שמאל
|
|
|
|
|
|
|
|
|
|
|
צד ימין
|
|
|
|
|
|
|
|
|
|
|
ההיסטים של ההזזה המעגלית:
צד שמאל
|
|
|
|
|
|
|
|
|
|
|
צד ימין
|
|
|
|
|
|
|
|
|
|
|
הלולאה הראשית של האלגוריתם:
|
הסימן מייצג חיבור מודולו (ברוב שפות התכנות אין צורך לדאוג לצמצום המודולרי ואפשר להתעלם ממנו כי תוצאת החיבור של שני אוגרים באורך 32 סיביות ממילא נחתכת בגבולות אוגר אחד שזה בעצם שקול לפעולת המודולו), הסימן מייצג XOR. הפונקציות ו- מתייחסות לסדר הקריאות לחמש הפונקציות הבוליאניות של צד ימין וצד שמאל בהתאמה. כל פונקציה מופעלת 16 פעמים על 16 מילות הבלוק הנוכחי עבור כל צד, בסך הכול מבוצעות 160 קריאות. למשל 16 המילים הראשונות של הבלוק הראשון בצד שמאל מעובדות עם הפונקציה ובצד ימין עם הפונקציה , וכן 16 המילים הבאות מעובדות בצד שמאל עם הפונקציה ובצד ימין עם הפונקציה וכן הלאה.
וקטור בדיקה של RIPEMD-160
|
RIPEMD-128
פונקציית הגיבוב RIPEMD-128 דומה מאוד ל-RIPEMD-160 ההבדל העיקרי ביניהן הוא שהזיכרון הפנימי צומצם לארבע מילים באורך 32 סיביות עבור כל צד וכן מבוצעים רק ארבעה סבבים בהתאם (בהם משתמשים רק בארבע פונקציות בוליאניות לסירוגין).
פונקציית הסבב הפנימית מקבלת את ארבעת האוגרים A,B,C,D את בלוק הקלט הנוכחי , את הקבוע הנוכחי לפי הטבלה וכן את ההיסט לפי הטבלה ומבצעת:
הפונקציה מתייחסת לאחת מהפונקציות הבוליאניות המובאות לעיל כאשר . סדר הפעלתן זהה לפונקציה RIPEMD-160 פונקציית הסבב הפנימית השמאלית (צד שמאל) מתחילה לפי הסדר מהפונקציה הבוליאנית הראשונה ואחריה השנייה וכן הלאה. ואילו פונקציית הסבב הימנית מתחילה בסדר הפוך מהרביעית לשלישית, לשנייה וכן הלאה.
טבלת הקבועים היא:
צד |
סבב 1 |
סבב 2 |
סבב 3 |
סבב 4
|
שמאל |
0 |
|
|
|
ימין |
|
|
|
0
|
הרחבות
כאשר נדרש ערך גיבוב ארוך יותר ממה שהפונקציה מסוגלת לייצר בריצה אחת אפשר פשוט להפעיל את פונקציית הגיבוב באופן מקבילי פעמיים או יותר ואז לאחד את התוצאות לערך גיבוב באורך הרצוי. אולם טכניקה זו לא בטוחה והיא עלולה לייצר נקודת תורפה בגלל שהעובדה ששתי הפונקציות זהות לחלוטין עלולה להחדיר תלות בלתי רצויה ביניהן (עובדה שנוצלה בעבר כדי להתקיף את פונקציית הגיבוב RIPEMD המקורית). דרך בטוחה יותר היא לגרום להבדלים קלים ביניהן כמו שינוי בערכי קבועים, בסדר עיבוד מילות הקלט או בהיסטים של ההזזה המעגלית. וכן לייצר אינטראקציה כלשהי ביניהן, למשל על ידי החלפת ערכי האגורים של הזיכרון הפנימי בין שתי הפונקציות במהלך האיטרציות. טכניקות אילו יושמו בפונקציית הגיבוב RIPEMD-160 והיות שהיא כבר כוללת שני מסלולים מקבילים אפשר להרוויח פלט ארוך יותר ללא מאמץ נוסף. פשוט על ידי דילוג על השלב שבו משלבים יחד את התוצאות של שתי הפונקציות. אולם עקב כך יש צורך להוסיף אינטראקציה כשלהי בין צד ימין לצד שמאל. אפשר למשל להחליף את ערך האוגר ב- אחרי הסבב הראשון ואת האוגר ב- אחרי הסבב השני.
הערות שוליים
|
---|
| | | | | | | | | בעיות מתמטיות ואלגוריתמים |
---|
|
| | | |
|
|