PROFILPELAJAR.COM

בקריפטוגרפיה, אלגוריתם גיבוב בטוח (באנגלית: Secure Hashing Algorithm) הידוע בקיצור SHA הוא שם כולל למשפחה של פונקציות גיבוב קריפטוגרפיות שהן חלק מתקן פדרלי של ממשלת ארצות הברית FIPS (בעברית: תקן עיבוד מידע פדרלי) הנקרא SHS (קיצור של פונקציית גיבוב בטוחה). התקן נועד לשימוש כחלק ממנגנון אימות והבטחת שלמות מידע וחלק מתקן חתימה דיגיטלית והוא הכולל את הפונקציות: SHA-0 (במקור SHA), SHA-2, SHA-1 והחל מ-2012 גם את SHA-3. הפונקציות ממשפחה זו משמשות ביישומים ופרוטוקולים מאובטחים רבים.

ייעוד

ערך מורחב – פונקציית גיבוב קריפטוגרפית

SHA היא פונקציה המפיקה מקלט בכל אורך רצוי "תמצית" קצרה באורך קבוע שהמאפיין העיקרי שלה שהיא חד-כיוונית במובן שלא ניתן לשחזר את הקלט המקורי בהינתן התמצית. המשמעות היא שיהיה קשה מאוד למצוא מסר אחר ממנו ניתן להפיק תמצית זהה. זו תכונה יסודית של פונקציית גיבוב המאפשרת להבטיח שאם המסר שונה אפילו במעט, התמצית שתופק ממנו תהיה שונה לגמרי בהסתברות מאוד גבוהה. האלגוריתמים ממשפחת SHA מפיקים את התמצית באמצעות סדרת פעולות אד הוק, פעולות על סיביות כמו הזזה מעגלית, פעולות אריתמטיות כמו חיבור מודולרי והמבנה שלהם למעט SHA-3 הוא בסגנון דויס-מאייר לפי שיטת מרקל-דמגרד. האלגוריתם מכיל זיכרון פנימי ו"פונקציית כיווץ" או "פונקציית תמצות". הקלט תחילה מחולק לבלוקים באורך קבוע לאחר שעבר הכנה וריפוד כראוי ואז הפונקציה הפנימית מופעלת באופן איטרטיבי על הקלט כאשר פלט הפונקציה מוזן בחזרה כקלט מספר פעמים והפלט הסופי הוא תכולת הזיכרון הפנימי לאחר עיבוד כל הבלוקים של הקלט.

גרסאות

הפונקציות ממשפחת SHA פותחו, אושררו והוכנסו לתקן SHS של FIPS המנוהל על ידי NIST בשיתוף פעולה של NSA. הן כוללות את:

SHA-0 שם שניתן למפרע כדי להבדילה מ-SHA-1. היא מפיקה תמצית באורך 160 סיביות ומבוססת על MD4. זוהי הפונקציה הראשונה במשפחה שפורסמה ב-1993 ונקראה בקיצור SHA תחת תקן FIPS PUB 180. הפונקציה הוסרה מהתקן זמן קצר לאחר שפורסמה והוחלפה ב-SHA-1 עקב חסרונות מהותיים שהתגלו בה.
SHA-1 פונקציית גיבוב המפיקה תמצית באורך 160 סיביות. היא דומה מאוד ל-MD5 במבנה הפנימי שלה. האלגוריתם פותח על ידי NSA על מנת שישמש כחלק מחתימה דיגיטלית והוכנס לתקן FIPS PUB 180-1. לאחר שנמצאו פגמים גם בגרסה זו^[1] היא אינה נתמכת יותר החל מ-2010.
SHA-2 היא משפחה של פונקציות גיבוב שפותחו גם הן על ידי NSA ונבדלות ביניהן בעיקר באורך התמצית שהן מפיקות ובמספר ערכים התחלתיים קבועים. הגרסאות הראשונות נקראו SHA-256, SHA-512 והוכנסו לתקן FIPS PUB 180-2. לאחריהן נוספו הפונקציות SHA-224, SHA-384 שנגזרות מהאחרות במספר שינויים מינוריים והתקן עודכן ל-FIPS PUB 180-3.
SHA-3 פונקציית גיבוב המבוססת על קצ'אק שפותחה על ידי קריפטוגרפים בלגיים. בניגוד לפונקציות הקודמות במשפחה, פונקציה זו שונה לגמרי במבנה הפנימי שלה, היא נבחרה בתחרות פתוחה לציבור שהתקיימה בין השנים 2010-2012. היא תומכת בתמציות באותם אורכים כמו SHA-2 ונועדה למעשה לשמש כתחליף אופציונלי ל-SHA-2. הוכנסה לתקן FIPS PUB 202 כתקן נפרד אף שאינו אמור להחליף את קודמו אלא רק כאופציה נוספת בסגנון אחר.

אישורים

כל הפונקציות ממשפחת SHA עוברות בדיקות בנושא ביטחון ומאושרות בתקן FIPS על ידי הארגון CMVP, שיתוף פעולה של NIST האמריקאי ו-CSE (הסוכנות הקנדית הממשלתית בנושא קריפטולוגיה). תפקיד הארגון להעריך ולבדוק מודולים קריפטוגרפיים לצורך שימוש מסחרי (לא ממשלתי/צבאי). היא עומדת לרשות יצרנים וספקים בתחומי ארצות הברית וקנדה ומספקת תעודות המאשרות מוצרים קריפטוגרפיים שעברו בחינה ואישור של מומחי הצפנה (בעיקר מומחים של NSA).

היסטוריה

אלגוריתם SHA פורסם במאי 1993 על ידי ה-NIST לצורך ייצוג תמציתי של הודעות בשימוש באלגוריתמי חתימות וכאשר נדרש ערך גיבוב קריפטוגרפי ביישומים פדרליים^[2]. אלגוריתם SHA בנוי בשיטת מרקל-דמגרד. הקלט שלו הוא מחרוזת שאורכה עד $2^{64}$ סיביות והפלט שלה הוא תמצית באורך 160 סיביות. האלגוריתם מבוסס ברובו על הפונקציה MD4 תוך הגדלת המצב הפנימי ושינוי חלק מהפונקציות הפנימיות וערכי הקבועים שבשימוש.

בשנת 1995 פרסם ה-NIST אלגוריתם חדש שנקרא SHA-1 שמטרתו להחליף את אלגוריתם SHA הקודם (החל מהפרסום נהוג להתייחס לאלגוריתם הראשון כ-SHA-0). השוני היחיד בין האלגוריתמים כלל שינוי במנגנון הרחבת ההודעה של SHA-1 על פני SHA-0. לטענת ה-NIST מטרת התיקון הייתה לפתור חולשה שנמצאה באלגוריתם הקודם; ה-NIST לא פרסם את החולשה שהתיקון אמור לפתור^[3].

בשנת 2002 הוסיף ה-NIST שלוש פונקציות נוספות לתקן SHA-256, SHA-384 ו-SHA-512^[4]. הפונקציות החדשות נבדלו משמעותית באלגוריתמים שבבסיסן מ-SHA-1 ובכך הבטיחו שחולשות בה לא ישפיעו בהכרח על הפונקציות החדשות. הפונקציות גם איפשרו ליצור ערכי תמצית ארוכים יותר עבור הודעות ובכך להגביר את בטיחות הפרוטוקולים המשתמשים בהן. בשנת 2008 הוסיפה ה-NIST פונקציה נוספת, SHA-224^[5].

בשנת 2007 יזמה ה-NIST תחרות לבחירת פונקציות שיצטרפו למשפחת ה-SHA. לתחרות הוגשו 64 הצעות שמתוכן עמדו 51 בתנאי הסף. ההצעות פורסמו והקהילה הקריפטוגרפית הבינלאומית הוזמנה לנתח ולנסות לשבור את כל המועמדים. 14 מועמדים עברו לשלב השני של התחרות כאשר חמשת המועמדים הסופיים הם BLAKE, Grøstl, JH, קצ'אק ו-Skein. בשנת 2012 פורסם הזוכה בתחרות לגיבוב SHA-3 והוא הצופן Keccak^[6].

תיאור האלגוריתמים

התרשים מתאר איטרציה אחת בתוך פונקציית ה"כיווץ" של האלגוריתם. A,B,C,D,E הם מילים בנות 32 ביט אשר שומרות מצב; F היא פונקציה לא ליניארית משתנה; _s מסמלת הזזת סיביות ימנית ב-s מקומות. מסמל חיבור מודולו 2³². K_t הוא קבוע.

SHA-0

הפונקציה מורכבת מחמישה משתנים פנימיים בגודל 32 סיביות היוצרים מצב פנימי בגודל 160 סיביות. בכל איטרציה מופעלת פונקציית התמצות על המשתנים ליצירת הקלט לאיטרציה הבאה.

אתחול

ראשית, המשתנים הפנימיים מקבלים את ערכי וקטור האתחול (IV)

$A={\text{0x67452301}}$
$B={\text{0xEFCDAB89}}$
$C={\text{0x98BADCFE}}$
$D={\text{0x10325476}}$
$E={\text{0xC3D2E1F0}}$
$h_{0}=(A,B,C,D,E)$

לאחר מכן, קלט הפונקציה מחולק לבלוקים באורך 512 סיביות המכונים $M_{1},M_{2}...M_{\ell }$ ; לבלוק האחרון מוסיפים את אורך ההודעה. במידה ואורך ההודעה אינו כפולה של 512 מוסיפים לבלוק האחרון, אחרי ההודעה ולפני האורך שלה את הסיבית 1 ולאחריה 0 בכמות הנדרשת כדי להביא אותה לאורך של 512 סיביות.

אופן הפעולה

בכל שלב של הפונקציה מועברים לפונקציית התמצות המשתנים הפנימיים מהסיבוב הקודם והבלוק הנוכחי לעיבוד. הפונקציה מחזירה את הערך החדש של המשתנים הפנימיים ( $h_{i}=H(H_{i-1},M_{i})$ ). פונקציית הגיבוב אינה כוללת שלב סיום ולכן בסיום התהליך פלט פונקציית הגיבוב הוא הפלט של פונקציית התמצות מהשלב האחרון.

פונקציית התמצות

מנגנון הרחבת הודעות: הפונקציה מחלקת את הבלוק ל-16 חלקים באורך 32 סיביות המכונים $w_{0},w_{1}...w_{15}$ . לאחר מכן, הפונקציה מרחיבה את 16 החלקים ל-80 באמצעות הפעלת ה-LFSR הבא 64 פעמים:

$w_{t}=w_{t-3}\oplus w_{t-8}\oplus w_{t-14}\oplus w_{t-16}$

תמצות המסר: עבור כל אחד מ-80 החלקים של המסר, הפונקציה מפעילה את האלגוריתם הבא:

T=(A\lll 5)+f_{t}(B_{t},C_{t},D_{t})+E_{t}+W_{t}+K_{t}

$E_{t+1}=D_{t};D_{t+1}=C_{t};C_{t+1}=B_{t}\lll 30;B_{t+1}=A_{t};A_{t+1}=T$

פלט: פונקציית התמצות מחזירה את הפלט:

A=A_{0}+A_{80};B=B_{0}+B_{80};C=C_{0}+C_{80};D=D_{0}+D_{80};E=E_{0}+E_{80}

הפונקציה $f$ והקבוע K מוגדרים כך:

0\leq t\leq 19\ K=0x5A827999\ f_{t}(X,Y,Z)=XY\vee (\neg X)Z

$20\leq t\leq 39\ K=0x6ED9EBA1\ f_{t}(X,Y,Z)=X\oplus Y\oplus Z$

$40\leq t\leq 59\ K=0x8F1BBCDC\ f_{t}(X,Y,Z)=XY\vee XZ\vee YZ$

60\leq t\leq 79\ K=0xCA62C1D6\ f_{t}(X,Y,Z)=X\oplus Y\oplus Z

SHA-1

הפונקציות SHA-0 ו-SHA-1 זהות באלגוריתמים שלהם פרט למנגנון הרחבת ההודעה ב-SHA-1 שמפעיל את ה-LFSR הבא 64 פעמים:

$w_{t}=(w_{t-3}\oplus w_{t-8}\oplus w_{t-14}\oplus w_{t-16})\lll 1$

בטיחות

מספר התקפות על פונקציות ה-SHA-0 וה-SHA-1 נתגלו עד כה. טרם דווחו התקפות על SHA-2, אולם מכיוון שהפונקציות הללו מבוססות על אלגוריתם דומה, קיים חשש שגם האחרונה תהיה בקרוב פגיעה להתקפות.

בשנת 2005 פרסמו צוות חוקרים מאוניברסיטת שאנדונג סין, התקפה על SHA-1 שמוצאת התנגשות ב- $2^{69}$ פעולות ולאור זאת לא מומלץ לשימוש כיום. לגבי SHA-256 ומעלה לא דווח על חולשות מסוימות, כך שהם עדיין טובים לשימוש.

להלן טבלת האלגוריתמים ובטיחותם כפי שפורסם על ידי NIST:

האלגוריתם	גודל מסר מקסימלי בסיביות	גודל גוש בסיביות	גודל מילה (Word)	גודל תמצית המסר (בסיביות)	בטיחות* (בסיביות)
SHA-1	$\ 2^{64}$	$\ 512$	$\ 32$	$\ 160$	$\ 80$
SHA-256	$\ 2^{64}$	$\ 512$	$\ 32$	$\ 256$	$\ 128$
SHA-384	$\ 2^{128}$	$\ 1024$	$\ 64$	$\ 384$	$\ 192$
SHA-512	$\ 2^{128}$	$\ 1024$	$\ 64$	$\ 512$	$\ 256$