ХФ ГОСТ р 34. 10-94

,

- дополнение до кратности 256 бит;

- нарезка по 256 бит;

- каждый блок сжимается с использованием шифрования ГОСТ Р 28147 (– шаговая функция хэширования);

- два этапа сжатия с учетом контрольной суммы и длинны сообщения.

Шаговая функция χ

;

.

Алгоритм вычисления шаговой функции:

1) генерация ключей K_i (i=1…4), зависят от H и M;

2) шифрующие преобразование строки H на ключах K_i;

3) перемешивающие преобразование: результат шифрования еще раз перемешивается в H.

Генерация ключей:

Опустим. K_i(H,M), i=1…4.

Шифрующее преобразование:

,;

| - конкатенация (склейка битовых строк);

;

.

Перемешивание:;

;

;

;

; s w:val="28"/><w:lang w:val="EN-US"/></w:rPr><m:t>О·</m:t></m:r></m:oMath></m:oMathPara></w:p><w:sectPr wsp:rsidR="00000000"><w:pgSz w:w="12240" w:h="15840"/><w:pgMar w:top="1134" w:right="850" w:bottom="1134" w:left="1701" w:header="720" w:footer="720" w:gutter="0"/><w:cols w:space="720"/></w:sectPr></wx:sect></w:body></w:wordDocument>">.

.

Процедура вычисления h(M):

M – входные данные;

IV – стартовое значение регистра H;

Mr ϵ V_* – часть М, которая еще не прошла процедуру хеширования;

Мр ϵ V_* – остаток очередной терации;

Мs ϵ V₂₅₆ – текущая часть М, которая обрабатывается;

Н ϵ V₂₅₆ – текущее значение хэш-функции;

Σ ϵ V₂₅₆ – контрольная сумма;

L ϵ V₂₅₆ – длина М.

Алгоритм:

1. M_r=M, H=IV, Σ=0, L=0;

2. Пока | M_r|>256 => выполняются шаги 3.-7.;

3. М_r=M_p|M_s;

4. H=χ(M_s,H);

5. L=L+256(mod2²⁵⁶);

6. Σ= Σ+M_s(mod 2²⁵⁶);

7. M_r=M_p;

8. Иначе выполняются 9.-14.;

9. Модификация длины L=L+|M_r|(mod 2²⁵⁶);

10. Дополняются нулевыми битами до 256 бит, M’=0…0|M_r: |M’|=256;

11. Σ= Σ+M(mod 2²⁵⁶) – изменение контрольной суммы;

12. H=χ(M’,H);

13. H=χ(L,H) – учет длины;

14. H=χ(Σ,H) – учет контрольной суммы.

15. h(М)=Н.

Применение хэш-функции без ключа:

1) ЭЦП (хэш-функция должна анализировать совместно с алгоритмом цифровой подписи).

2) Парольная защита:

пользователь инф. система

A B P_A

P_A

Для улучшения была придумана схема хеширования паролей:

A B

P_i

Сильная ХФ не обязательна. Противник может извлечь пароль из канала связи.

Система однократных паролей:

Пользователь А, выбирает пароль Р_A,

;

.

A B

P_i

h=n-1…0, H(P_i)=P_i+1 -? => запомнить P_i.

Недостатки:

- Решить как помнить P_i -?

- конечность цепочки P_i;

- синхронизм P_i пользователя сервера;

Наблюдение пароля в канале связи ничего не дает, но если противник владеет каналом связи, то ему все возможно сделать. В этом случае ХФ должна удовлетворять свойствам слабой ХФ.

3) Обеспечение целостности:

(М, Н(М)).

Вопрос: какая хэш-функция используется сильная/слабая.

ЭЦП:.

Для защиты подписываемого сообщения от подмены в канале связи достаточно использовать слабую хэш-функцию.

;

отказ от (m, S);

.

=> Для защиты от отказа следует использовать сильную хэш-функцию.

Парольная защита:

;

;

сервер.

Атака на сервере =>,

H – односторонняя хэш-функция.

Можно:;

=> Н должна быть слабой.

Обеспечение целостности информации:

(m; H(m))

(m’, h’) >

; =>

;

e – ошибка.

e₂ = 0 => (m’,h’);

H(m’)=H(m);

=> хэш-функция должна быть односторонней и слабой.