06-10-2023
BMW (англ. BMW — Blue Midnight Wish) — криптографическая хэш функция (хф) с выходом в n бит, где n=224,256, 384 или 512. Хеш-функции предназначены для создания «отпечатков» или «дайджестов» сообщений произвольной битовой длины. Применяются в различных приложениях или компонентах, связанных с защитой информации. BLUE MIDNIGHT WISH разрабатывалась, как гораздо более эффективная криптографическая хэш функция, чем SHA-2, в то же время, предоставляющая такую же или лучшую безопасность.
Содержание
|
7 ноября 2008 года Национальный Институт стандартов и технологий США (англ. NIST — National Institute of Standards and Technology) открыл конкурс на новую хэш функцию SHA-3. SHA-3 должен поддерживать размер выходного блока 224, 256, 384 и 512 битов. 160-битные блоки предусмотрены не были из-за возможности нахождения коллизий атаками грубой силы (перебора вариантов). Сохранились те же требования, что и к предыдущим хэш-функциям:
К функциям были выдвинуты следующие стандартные параметры стойкости:
В первом раунде приняли участие 51 кандидат на SHA-3. 14 из них (включая BMW) прошли во второй тур.
Алгоритм BMW работает с сообщениями, разбивая их на блоки. Блок, в свою очередь, делятся на слова. Размеры блоков и слов зависят от конкретной реализации алгоритма. В таблице ниже перечислены основные свойства всех 4х вариаций алгоритма BMW.
Алгоритм | Размер сообщения | Размер блока | Размер слова | Цифровая подпись |
---|---|---|---|---|
BMW224 | <264 | 512 | 32 | 224 |
BMW384 | <264 | 512 | 32 | 384 |
BMW224 | <264 | 1024 | 64 | 224 |
BMW512 | <264 | 1024 | 64 | 512 |
Переменная | Описание |
---|---|
H | Двойная труба (англ. pipe). Изменяющееся значение, которое минимум в два раза шире, чем конечная цифровая подпись в n бит. |
Q | Учетверенная труба. |
H(i) | i-е значение H. H(0) — начальное значение. |
H(N) | конечное значение H. Оно используется для определения цифровой подписи n бит. |
Q(i) | i-е значение учетверенной трубы. |
H(i, j) | je слово из H(i). Где Н(i) разбивается на заранее определённое количество блоков, называемых словами |
H(i,0) | Самое первое (левое) славо из Н(i) |
Q(i, j) | j-е слово iй учетверенной трубы Q(i) |
Q(i, a) | Первые 16 слов из Q(i), те Q(i, j) где j=0..15 |
Q(i, b) | Последние 16 слов из Q(i), те Q(i, j) где j=16..31 |
l | Длина сообщения М в битах |
m | Количество бит в блоке сообщения M(i) |
M | Входное сообщения битовой длины l |
M(i) | iй блок входного сообщения. Битовая длина m |
M(i, j) | jе слово M(i). M(i)=[M(i,0),M(i,1),..,M(i,15)] |
XL,XH | Два временных слова (длины 32 или 64 бита, в зависимости от модификации алгоритма), используемые при вычислении H(i) |
BLUE MIDNIGHT WISH следует общим принципам построения хэш функций, которые часто употребляются на сегодняшний день. А именно, это значит, что алгоритм разбивается на две части:
В зависимости от модификации алгоритма, процесс обработки введённого сообщения выполняется следующим образом:
Пусть длина сообщения l. К сообщению приписывается 1, за которой следует последовательность k нулей, где k — наименьшее неотриц. решение уравнения l+1+k=448 mod512. Далее приписывается 64-битный блок двоичного представления числа l
Пусть длина сообщения l. К сообщению приписывается 1, за которой следует последовательность k нулей, где k — наименьшее неотриц. решение уравнения l+1+k=960 mod1024. Далее приписывается 64-битный блок двоичного представления числа l. Примером может служить представление пос-ти «abc» (согласно ASCII)
Начальное значение H(0) в зависит от модификации алгоритма
Алгоритм | Начальное значение H(0) |
---|---|
BMW224 | 0x000120308090A0B1011121318191A1B2021222328292A2B3031323338393A3B040506070C0D0E0F141516171C1D1
E1F242526272C2D2E2F243536373C3D3E3F |
BMW256 | 0x4041424348494A4B5051525358595A5B6061626368696A6B7071727378797A7B444546474C4D4E4F545556575C5D
5E5F646566676C6D6E6F747576777C7D7E7F |
BMW384 | 0x00010203040506071011121314151617202122232425262730313233243536374041424344454647505152535455
56576061626364656667707172737475767708090A0B0C0D0E0F18191A1B1C1D1E1F28292A2B2C2D2E2F38393A3B3C3D3E3F484 94A4B4C4D4E4F58595A5B5C5D5E5F68696A6B6C6D6E6F78797A7B7C7D7E7F |
BMW512 | 0x80818283848586879091929394959697A0A1A2A3A4A5A6A7B0B1B2B3B4B5B6B7C0C1C2C3C4C5C6C7D0D1D2D3
D4D5D6D7E0E1E2E3E4E5E6E7F0F1F2F3F4F5F6F788898A8B8C8D8E8F98999A9B9C9D9E9FA8A9AAABACADAEAFB8B9BABBBCBD BEBFC8C9CACBCCCDCECFD8D9DADBDCDDDEDFE8E9EAEBECEDEEEFF8F9FAFBFCFDFEFF |
В процессе вычислений используютсятри функции
Псевдокод вычисления хэш-функции
for (i=1;i<N;i++)
{
Q(i,a)=F0(M(i),H(i-1));
Q(i,b)=F1(M(i),Q(i,a));
Q(i)=Q(i,a)||Q(i,b);
H(i)=F2(M(i),Q(i));
}
Hash=N_LeastSignificantBits(H(i));
Вспомогательные вычисления:
Для определения функций f0, f1 и f2 сначала вводядся дополнительные функции
BMW224/BMW256 | BMW384/BMW512 |
---|---|
Здесь константа Kj=j × (0x05555555) (для 32 битовых версий) и Kj=j × (0x0555555555555555) (для 64 битовых версий). j=16,17,…,31
Функции expand1 и expand2 используются на этапе вычисления функции F1, те на этапе расширения учетверенной трубы. Первая функция, expand1, является вычислительно гораздо более сложной, чем вторая, но дающая значительно более лучшие результаты.
Функция f0:
Функция f1:
Параметры ExpandRound1 и ExpandRound2 определяют, сколько итераций будет выполнено каждым из алгоритмов expand1 и expand2, описанных выше.
For (j=0;j<ExpandRound1;j++) Q(i,j)=expand1(j+16); For (j=ExpandRound1;j<ExpandRound2+ExpandRound1;j++) Q(i,j)=expand2(j+16);
Функция f2:
1. Подсчёт дополнительных переменных XL и XH
2. Вычисление нового значения H(i)
После того, как посчитано конечное значение H(N), необходимо выбрать n бит, соответствующих значению хэш функции Hash=Hash(H(N))
Согласно исследованиям, проведёнными группой разработчиков алгоритма BMW, можно сформулировать основные положения о криптографической силе, устойчивости к коллизиям, нахождению прообразов, повторных прообразов, устойчивости к удлинению длины и мультиколлизионным атакам:
«BMW обладает очень хорошей производительностью и, по-видимому, подходит для большинства платформ. Имеет современные требования к памяти. Наиболее серьёзные криптоаналитические результаты против BMW — это на практике не важные псевдо-коллизионные атаки. Эти атаки ставят под вопрос безопасность функции.»
«BMW оказывается неустойчивой к псевдо-атакам — коллизиям и 2 м прообразам. Уровень безопасности является ниже ожидаемого: BMW-256 понижается до 65 бит, BMW-512 — до 128 бит. Затраты памяти, необходимые для совершения этих атак, являются несущественными»
BMW Hash function.