Cryptography Reference
In-Depth Information
sich um einen neuen Standard zu bemühen, so dass die unsicheren Hashfunktionen »aus-
gemustert« werden können. Das NIST initiierte dann auch am 2. November 2007 einen
Wettbewerb [179], ähnlich zum Wettbewerb für den Standard AES (siehe Abschnitt 4.5),
bei dem Forschergruppen Vorschläge für neue Hashfunktionen einreichen konnten. Bisher
wurden fünf Finalisten ausgewählt, von denen am Ende dieses Wettbewerbs, welches für
2012 geplant ist, einer den neuen Standard, SHA-3, bilden wird.
3
Da, wie etwa in [31, 117] diskutiert, das Merkle-Damgård-Prinzip verschiedene Schwä-
chen aufweist, sollen mit dem neuen Standard von vornherein einige dieser Schwächen
ausgeräumt werden. So ist eines der Kriterien für den neuen Standard, dass die sogenann-
te Längenausdehnung (»length extension«) nicht mehr möglich sein soll: Für eine nach
dem Merkle-Damgård-Prinzip konstruierte Hashfunktion
h
ist es offensichtlich leicht mög-
lich, bei gegebenem Hashwert
h
(
m
)
einer Nachricht
m
und gegebener Länge
|m|
von
m
,
eine neue Nachricht
m
zu konstruieren sowie den Hashwert
h
(
m
m
zu bestimmen, obwohl
m
selbst nicht bekannt ist (siehe auch Aufgabe 9.8.8). Die für den
Wettbewerb eingereichten Vorschläge basieren deshalb nicht mehr oder nicht ausschließ-
lich auf dem Merkle-Damgård-Prinzip. Insbesondere ist dies für die bereits ausgewählten
fünf Finalisten der Fall, die, unter anderem, auf Prinzipien wie HAIFA [31] und Sponge
[30] basieren und die neue Konstruktionen für Kompressionsfunktionen verwenden, wobei
man in manchen Fällen, etwa im Fall von Sponge, nicht mehr Kompressionsfunktionen
sondern Transformationen oder Permutationen betrachtet.
Wie bereits in Abschnitt 8.5 erwähnt, zieht man in der Praxis eziente Hashfunktionen
solchen vor, die beweisbare Sicherheit bieten; dies wird auch für den neuen Standard SHA-
3 so sein. Beispiele für beweisbar kollisionsresistente Hashfunktionen sind solche, deren
Kollisionsresistenz auf der Annahme beruhen, dass der diskrete Logarithmus schwer zu
berechnen ist [50], Faktorisieren bzw. verwandte Probleme schwer zu lösen sind [50] oder
bestimmte Probleme im Kontext von Gitterproblemen (siehe auch Abschnitt 6.8) schwer
zu lösen sind [118]; siehe auch Referenzen in diesen Arbeiten für weitere Beispiele. Eine
systematische Analyse der ebenfalls in Abschnitt 8.5 erwähnten auf Block-Kryptosysteme
basierenden Hashfunktionen findet sich in [38] (siehe auch weitere Referenzen in dieser
Arbeit). Neben der Kollisionsresistenz sowie den anderen in diesem Kapitel diskutierten
wünschenswerten Eigenschaften von Hashfunktionen ist man häufig bestrebt, Hashfunk-
tionen zu konstruieren, die sich möglichst wie ein sogenanntes Zufallsorakel - eine Art
ideale Hashfunktion - verhalten; dazu mehr in den Abschnitten 10.4.1 und 10.8.
m
)
zur Nachricht
m
·
·
3 Siehe
http://csrc.nist.gov/groups/ST/hash/sha-3/index.html
für aktuelle Informationen.
