Whirlpool криптографічна геш функція розроблена Вінсентом Рейменом і Пауло Баррето Опублікована в листопаді 2000 року Ге

Whirlpool — криптографічна геш-функція, розроблена Вінсентом Рейменом і Пауло Баррето. Опублікована в листопаді 2000 року. Гешування вхідне повідомлення з довжиною до $2^{256}$ біт. Вихідне значення геш-функції Whirlpool, називане гешем, становить 512 біт.

Назва

Геш-функцію Whirlpool названо на честь Галактики Вир в сузір'ї Гончі Пси — першої галактики зі спостережуваною спіральною структурою.

Модифікації

З моменту створення у 2000 році Whirlpool двічі модифікувалась.

Першу версію, Whirlpool-0, представлено як кандидата в проекті (англ. New European Schemes for Signatures, Integrity and Encryption, нові європейські проекти з цифрового підпису, цілісності й шифрування).

Модифікацію Whirlpool-0, названу Whirlpool-T, у 2003 році додано в перелік рекомендованих до використання криптографічних функцій NESSIE [ 12 серпня 2011 у Wayback Machine.]. Зміни стосувалися блоку підстановки (S-скриня) Whirlpool: у першій версії структуру S-скрині не було описано, і він генерувався довільно, що створювало певні проблеми при апаратній реалізації Whirlpool. У версії Whirlpool-T S-скриня «набула» чіткої структури.

Дефект в дифузних матрицях Whirlpool-T, виявлений Taizo Shirai і Kyoji Shibutani, пізніше було виправлено, і кінцеву (третю) версію, названу просто Whirlpool, прийнято ISO в стандарті ISO/IEC 10118-3:2004 [ 12 липня 2006 у Wayback Machine.] у 2004 році.

Опис

Вступ

У даній статті описується остання (третя) версія Whirlpool. На відміну від першої версії, S-скриню визначено, а дифузну матрицю замінено новою після доповіді Taizo Shirai і Kyoji Shibutani.

Whirlpool складається з повторного застосування функції стиснення, основою якої є спеціальний 512-бітний блочний шифр $W$ з 512-бітним ключем.

Використовувані позначення та операції

В алгоритмі використовуються операції в полі Галуа $\ GF(2^{8})$ за модулем незвідного многочлена $\ p_{8}(x)=x^{8}+x^{4}+x^{3}+x^{2}+1$ .

Многочлени для коротко записуються в шістнадцятковому поданні. Наприклад, запис $\ 11D_{x}$ означає $\ p_{8}(x)$ .

Символом $\circ$ позначається ^[en]. Вираз $f\circ g$ означає композицію функцій $\ g$ і $\ f$ .

Для позначення композиції послідовності функцій

f_{m},f_{m+1},...,f_{n-1},f_{n},m\leq n

використовується символ

\bigcirc _{m}^{r=n}

:

\bigcirc _{m}^{r=n}f_{r}\equiv f_{n}\circ f_{n-1}\circ \dots \circ f_{m+1}\circ f_{m}.

$M_{m\times n}[GF(2^{8})]$ — множина матриць $m\times n$ над $\ GF(2^{8}).$

$\ cir(a_{0},a_{1},...,a_{m-1})$ — циркулянтна матриця $m\times m$ , перший рядок якої складається з елементів $\ a_{0},a_{1},...,a_{m-1},$ тобто:

cir(a_{0},a_{1},...,a_{m-1})\equiv {\begin{bmatrix}a_{0}&a_{1}&\dots &a_{m-1}\\a_{m-1}&a_{0}&\dots &a_{m-2}\\\vdots &\vdots &\ddots &\vdots \\a_{1}&a_{2}&\dots &a_{0}\\\end{bmatrix}},

або просто

\ cir(a_{0},a_{1},...,a_{m-1})=c\Leftrightarrow c_{ij}=a_{(j-i)modm},0\leq i,j\leq m-1.

Формат даних

Як було сказано вище, Whirlpool побудовано на спеціальному блочному шифрі $W$ , який працює з 512-бітними даними.

У перетвореннях проміжний результат обчислень гешу називається геш-станом або просто станом. При обчисленнях стан зазвичай подається матрицею стану. Для Whirlpool це матриця в $M_{8\times 8}[GF(2^{8})]$ . Отже, 512-бітні блоки даних перед подальшими обчисленнями слід перетворити в цей формат. Цього досягають уведенням функції $\ \mu$ :

\mu :GF(2^{8})^{64}\to M_{8\times 8}[GF(2^{8})],\qquad \mu (a)=b\Leftrightarrow b_{ij}=a_{8i+j},0\leq i,j\leq 7.

Простіше кажучи, заповнення матриці стану даними виконується порядково. При цьому кожен байт матриці являє собою відповідний многочлен в $\ GF(2^{8})$ .

Перетворення

Нелінійне перетворення $\gamma$ (S-скриня)

Функція $\gamma :M_{8\times 8}[GF(2^{8})]\to M_{8\times 8}[GF(2^{8})]$ складається з паралельного застосування блоку підстановки (S-скрині) $S:GF(2^{8})\to GF(2^{8}),x\to S[x]$ до всіх байтів матриці стану:

\gamma (a)=b\Leftrightarrow b_{ij}=S[a_{ij}],0\leq i,j\leq 7.

Блок підстановки описується такою таблицею замін:

Таблиця 1. Блок підстановки
	$00_{x}$	$01_{x}$	$02_{x}$	$03_{x}$	$04_{x}$	$05_{x}$	$06_{x}$	$07_{x}$	$08_{x}$	$09_{x}$	$0A_{x}$	$0B_{x}$	$0c_{x}$	$0d_{x}$	$0E_{x}$	$0F_{x}$
$00_{x}$	$18_{x}$	$23_{x}$	$c6_{x}$	$E8_{x}$	$87_{x}$	$B8_{x}$	$01_{x}$	$4F_{x}$	$36_{x}$	$A6_{x}$	$d2_{x}$	$F5_{x}$	$79_{x}$	$6F_{x}$	$91_{x}$	$52_{x}$
$10_{x}$	$60_{x}$	$Bc_{x}$	$9B_{x}$	$8E_{x}$	$A3_{x}$	$0c_{x}$	$7B_{x}$	$35_{x}$	$1d_{x}$	$E0_{x}$	$d7_{x}$	$c2_{x}$	$2E_{x}$	$4B_{x}$	$FE_{x}$	$57_{x}$
$20_{x}$	$15_{x}$	$77_{x}$	$37_{x}$	$E5_{x}$	$9F_{x}$	$F0_{x}$	$4A_{x}$	$dA_{x}$	$58_{x}$	$c9_{x}$	$29_{x}$	$0A_{x}$	$B1_{x}$	$A0_{x}$	$6B_{x}$	$85_{x}$
$30_{x}$	$Bd_{x}$	$5d_{x}$	$10_{x}$	$F4_{x}$	$cB_{x}$	$3E_{x}$	$05_{x}$	$67_{x}$	$E4_{x}$	$27_{x}$	$41_{x}$	$8B_{x}$	$A7_{x}$	$7d_{x}$	$95_{x}$	$d8_{x}$
$40_{x}$	$FB_{x}$	$EE_{x}$	$7c_{x}$	$66_{x}$	$dd_{x}$	$17_{x}$	$47_{x}$	$9E_{x}$	$cA_{x}$	$2d_{x}$	$BF_{x}$	$07_{x}$	$Ad_{x}$	$5A_{x}$	$83_{x}$	$33_{x}$
$50_{x}$	$63_{x}$	$02_{x}$	$AA_{x}$	$71_{x}$	$c8_{x}$	$19_{x}$	$49_{x}$	$d9_{x}$	$F2_{x}$	$E3_{x}$	$5B_{x}$	$88_{x}$	$9A_{x}$	$26_{x}$	$32_{x}$	$B0_{x}$
$60_{x}$	$E9_{x}$	$0F_{x}$	$d5_{x}$	$80_{x}$	$BE_{x}$	$cd_{x}$	$34_{x}$	$48_{x}$	$FF_{x}$	$7A_{x}$	$90_{x}$	$5F_{x}$	$20_{x}$	$68_{x}$	$1A_{x}$	$AE_{x}$
$70_{x}$	$B4_{x}$	$54_{x}$	$93_{x}$	$22_{x}$	$64_{x}$	$F1_{x}$	$73_{x}$	$12_{x}$	$40_{x}$	$08_{x}$	$c3_{x}$	$Ec_{x}$	$dB_{x}$	$A1_{x}$	$8d_{x}$	$3d_{x}$
$80_{x}$	$97_{x}$	$00_{x}$	$cF_{x}$	$2B_{x}$	$76_{x}$	$82_{x}$	$d6_{x}$	$1B_{x}$	$B5_{x}$	$AF_{x}$	$6A_{x}$	$50_{x}$	$45_{x}$	$F3_{x}$	$30_{x}$	$EF_{x}$
$90_{x}$	$3F_{x}$	$55_{x}$	$A2_{x}$	$EA_{x}$	$65_{x}$	$BA_{x}$	$2F_{x}$	$c0_{x}$	$dE_{x}$	$1c_{x}$	$Fd_{x}$	$4d_{x}$	$92_{x}$	$75_{x}$	$06_{x}$	$8A_{x}$
$A0_{x}$	$B2_{x}$	$E6_{x}$	$0E_{x}$	$1F_{x}$	$62_{x}$	$d4_{x}$	$A8_{x}$	$96_{x}$	$F9_{x}$	$c5_{x}$	$25_{x}$	$59_{x}$	$84_{x}$	$72_{x}$	$39_{x}$	$4c_{x}$
$B0_{x}$	$5E_{x}$	$78_{x}$	$38_{x}$	$8c_{x}$	$d1_{x}$	$A5_{x}$	$E2_{x}$	$61_{x}$	$B3_{x}$	$21_{x}$	$9c_{x}$	$1E_{x}$	$43_{x}$	$c7_{x}$	$Fc_{x}$	$04_{x}$
$c0_{x}$	$51_{x}$	$99_{x}$	$6d_{x}$	$0d_{x}$	$FA_{x}$	$dF_{x}$	$7E_{x}$	$24_{x}$	$3B_{x}$	$AB_{x}$	$cE_{x}$	$11_{x}$	$8F_{x}$	$4E_{x}$	$B7_{x}$	$EB_{x}$
$d0_{x}$	$3c_{x}$	$81_{x}$	$94_{x}$	$F7_{x}$	$B9_{x}$	$13_{x}$	$2c_{x}$	$d3_{x}$	$E7_{x}$	$6E_{x}$	$c4_{x}$	$03_{x}$	$56_{x}$	$44_{x}$	$7F_{x}$	$A9_{x}$
$E0_{x}$	$2A_{x}$	$BB_{x}$	$c1_{x}$	$53_{x}$	$dc_{x}$	$0B_{x}$	$9d_{x}$	$6c_{x}$	$31_{x}$	$74_{x}$	$F6_{x}$	$46_{x}$	$Ac_{x}$	$89_{x}$	$14_{x}$	$E1_{x}$
$F0_{x}$	$16_{x}$	$3A_{x}$	$69_{x}$	$09_{x}$	$70_{x}$	$B6_{x}$	$d0_{x}$	$Ed_{x}$	$cc_{x}$	$42_{x}$	$98_{x}$	$A4_{x}$	$28_{x}$	$5c_{x}$	$F8_{x}$	$86_{x}$

Циклічна перестановка $\pi$

Перестановка $\pi :M_{8\times 8}[GF(2^{8})]\to M_{8\times 8}[GF(2^{8})]$ циклічно зсуває кожен стовпець матриці стану так, що стовпець $j$ зсувається вниз на $j$ позицій:

\pi (a)=b\Leftrightarrow b_{ij}=a_{(i-j)mod8,j},0\leq i,j\leq 7.

Завдання даного перетворення — перемішати байти рядків матриці стану між собою.

Лінійна дифузія $\theta$

Лінійна дифузія $\theta :M_{8\times 8}[GF(2^{8})]\to M_{8\times 8}[GF(2^{8})]$ — це лінійне перетворення, матрицею якого є MDS-матриця $\ C=cir(01_{x},01_{x},04_{x},01_{x},08_{x},05_{x},02_{x},09_{x})$ , тобто:

C=cir(01_{x},01_{x},04_{x},01_{x},08_{x},05_{x},02_{x},09_{x})={\begin{bmatrix}01_{x}&01_{x}&04_{x}&01_{x}&08_{x}&05_{x}&02_{x}&09_{x}\\09_{x}&01_{x}&01_{x}&04_{x}&01_{x}&08_{x}&05_{x}&02_{x}\\02_{x}&09_{x}&01_{x}&01_{x}&04_{x}&01_{x}&08_{x}&05_{x}\\05_{x}&02_{x}&09_{x}&01_{x}&01_{x}&04_{x}&01_{x}&08_{x}\\08_{x}&05_{x}&02_{x}&09_{x}&01_{x}&01_{x}&04_{x}&01_{x}\\01_{x}&08_{x}&05_{x}&02_{x}&09_{x}&01_{x}&01_{x}&04_{x}\\04_{x}&01_{x}&08_{x}&05_{x}&02_{x}&09_{x}&01_{x}&01_{x}\\01_{x}&04_{x}&01_{x}&08_{x}&05_{x}&02_{x}&09_{x}&01_{x}\\\end{bmatrix}},

так що

\theta (a)=b\Leftrightarrow b=a\cdot C.

Іншими словами, матриця стану множиться справа на матрицю $\ C$ . Нагадаємо, що операції додавання і множення елементів матриць виконуються в $\ GF(2^{8})$ .

MDS-матриця — це така матриця над скінченним полем $\ K$ , щоо якщо взяти її в якості матриці лінійного перетворення $\ f(x)=(MDS)x$ з простору $\ K^{n}$ в простір $\ K^{m}$ , то будь-які два вектори з простору $\ K^{n+m}$ виду $\ (x,f(x))$ будуть мати принаймні $\ m+1$ відмінностей в компонентах. Тобто набір векторів виду $\ (x,f(x))$ утворює код, що має властивість максимальної рознесеності (англ. Maximum Distance Separable code). Таким кодом є, наприклад, код Ріда-Соломона.

У Whirlpool властивість максимальної рознесеності MDS-матриці означає, що загальна кількість мінливих байтів вектора $\ x$ і вектора $\ f(x)=(MDS)x$ не менша ніж $\ 8+1=9$ . Іншими словами, будь-яке змінення тільки одного байта $\ x$ призводить до змінення всіх 8 байтів $\ f(x)$ . В цьому і полягає завдання лінійної дифузії.

Як уже згадувалося вище, MDS-матрицю в останній (третій) версії Whirlpool було змінено завдяки статті Taizo Shirai і Kyoji Shibutani. Вони проаналізували MDS-матрицю другої версії Whirlpool і вказали на можливість підвищення стійкості Whirlpool до диференціального криптоаналізу. Також вони запропонували 224 кандидати на місце нової MDS-матриці. З цього списку автори Whirlpool вибрали варіант, який найлегше реалізується в апаратному забезпеченні.

Додавання ключа $\sigma [k]$

Функція додавання ключа $\sigma [k]:M_{8\times 8}[GF(2^{8})]\to M_{8\times 8}[GF(2^{8})]$ являє собою побітове додавання (XOR) матриць стану $\ a$ і ключа $k\in M_{8\times 8}[GF(2^{8})]$ :

\sigma [k](a)=b\Leftrightarrow b_{i,j}=a_{i,j}\oplus k_{i,j},0\leq i,j\leq 7.

Константи раунду $c^{r}$

В кожному раунді $\ r,r>0$ використовується матриця констант $c^{r}\in M_{8\times 8}[GF(2^{8})]$ , така, що:

c_{0j}^{r}\equiv S[8(r-1)+j],\qquad 0\leq j\leq 7,

c_{ij}^{r}\equiv 0,\qquad \qquad \qquad \qquad 1\leq i\leq 7,0\leq j\leq 7.

Звідси видно, що перший рядок матриці $c^{r}$ є результатом застосування блоку підстановки $S$ до байтових чисел $[8(r-1)+j],0\leq j\leq 7$ .

Решта 7 рядків — нульові.

Функція раунду $\rho [k]$

Для кожного раунду $\ r$ функція раунду — це складене перетворення $\rho [k]:M_{8\times 8}[GF(2^{8})]\to M_{8\times 8}[GF(2^{8})]$ , параметром $k$ якого є матриця ключа $k\in M_{8\times 8}[GF(2^{8})]$ . Описується функція раунду таким чином:

\rho [k]\equiv \sigma [k]\circ \theta \circ \pi \circ \gamma .

Розширення ключа

Для кожного раунду $\ r,0\leq r\leq R$ необхідний 512-бітний ключ шифрування. Для вирішення даної проблеми в багатьох алгоритмах вводиться так звана процедура розширення ключа. У Whirlpool розширення ключа реалізується в такий спосіб:

\ K^{0}=K,

\ K^{r}=\rho [c^{r}](K^{r-1}),r>0.

Таким чином, з відомого ключа $K$ створюється необхідна послідовність $K^{0},...,K^{R}$ ключів для кожного раунду блочного шифру $W$ .

Блочний шифр $W$

Спеціальний 512-бітовий блочний шифр $W[K]:M_{8\times 8}[GF(2^{8})]\to M_{8\times 8}[GF(2^{8})]$ як параметр використовує 512-бітовий ключ $K$ і виконує таку послідовність перетворень:

W[K]=\left(\bigcirc _{1}^{r=R}\rho [K^{r}]\right)\circ \sigma [K^{0}],

де ключі $K^{0},...,K^{R}$ породжені описаною вище процедурою розширення ключа. В геш-функції Whirlpool число раундів $R=10$ .

Доповнення вхідного повідомлення

Whirlpool, як і будь-яка інша геш-функція, повинна здійснювати гешування повідомлення довільної довжини. Оскільки внутрішній блок шифрування $W$ працює з 512-бітними вхідними повідомленнями, то вихідне повідомлення необхідно розбити на блоки по 512 біт. При цьому останній блок, який містить кінець повідомлення, може виявитися неповним.

Для вирішення даного завдання Whirlpool використовує алгоритм Меркла-Демґарда доповнення вхідного повідомлення. Результатом доповнення повідомлення $M$ є повідомлення $M'$ , довжина якого кратна 512. Нехай $L$ — довжина початкового повідомлення. Тоді $M'$ отримується за декілька кроків:

До кінця повідомлення $M$ приписати біт «1».
Приписати $x$ бітів «0» так, щоб довжина отриманого рядка $L+1+x$ була кратна $256$ непарне число разів.
Нарешті, приписати 256-бітне подання числа $L$ .

Доповнене повідомлення $M'$ записується у вигляді

M'=\overbrace {M} ^{L}\|1\|\overbrace {0\dots 0} ^{x}\|\overbrace {L} ^{256}

і розбивається на 512-бітові блоки для подальшої обробки.

Функція стиснення

У Whirlpool застосовується схема гешування .

$\ t$ блоків $m_{i},1\leq i\leq t$ доповненого повідомлення $M'$