Cryptography Reference
In-Depth Information
A
0,4,63
A
4,4,63
A
0,4,0
A
1,4,0
A
2,4,0
A
3,4,0
A
4,4,0
A
0,3,0
A
1,3,0
A
2,3,0
A
3,3,0
A
4,3,0
A
4,0,63
A
0,2,0
A
1,2,0
A
2,2,0
A
3,2,0
A
4,2,0
A
0,1,0
A
1,1,0
A
2,1,0
A
3,1,0
A
4,1,0
A
0,0,0
A
1,0,0
A
2,0,0
A
3,0,0
A
4,0,0
Abb. 14-6
Der Status von Keccak ist ein dreidimensionales Array bestehend aus 5 × 5 × 64 Bits.
14.3.1
Funktionsweise von Keccak
Keccak nutzt ein dreidimensionales Array von 5×5×64 Bits als Status, was eine
Statusgröße von 1.600 Bit zur Folge hat. Ein senkrechter Fünf-Bit-Block im Sta-
tus heißt Spalte, ein waagerechter (von links nach rechts) Reihe. Ein senkrechter
64-Bit-Block (von vorne nach hinten) wird als Wort bezeichnet. Die Differenz
zwischen der Status- und der Blocklänge (erste ist immer größer als letztere) wird
als
Kapazität
bezeichnet. Je größer die Kapazität, desto höher ist (mutmaßlich)
die Sicherheit des Verfahrens. Die Hashwert-Länge beträgt per Definition die
Hälfte der Kapazität (es ist jedoch einfach möglich, längere oder kürze Hash-
werte zu generieren).
Wenn wir einen Hashwert der Länge 224 Bit haben wollen, dann müssen wir
die Kapazität auf das Doppelte, also auf 448 festlegen. Das wiederum bedeutet,
dass die Blocklänge 1.152 Bit betragen muss, da die Blocklänge und die Kapazität
zusammen so groß wie die Statuslänge sein müssen. Das Urbild, das gehasht wer-
den soll, muss dementsprechend in 1.152-Bit-Blöcke aufgeteilt werden. Das Pad-
ding funktioniert wie folgt: Man füllt den Leerteil des letzten Blocks mit einer
Eins, so vielen Nullen wie notwendig und anschließend mit einer weiteren Eins
auf. Wenn also im letzten Block sieben Bits übrig sind, dann wird mit 1000001
aufgefüllt. Das kürzeste mögliche Füllmuster ist 11. Sind weniger als zwei Bits
übrig, dann muss ein weiterer Block angehängt werden.
Das Schwamm-Prinzip
Das Funktionsprinzip von Keccak wird von den Entwicklern als
Schwamm
(
Sponge
) bezeichnet. Dahinter steckt die Vorstellung, dass dieses Konstrukt ein
beliebig langes Urbild »aufsaugt«, um anschließend zur Bildung des Hashwerts
