تابع هش رمزی

الگوریتم های ایمن درهم‌ساز
الگوریتم های ایمن درهم‌ساز
مفاهیم
	توابع درهم‌ساز · اس‌اچ‌ای · دی‌اس‌اِی
استانداردهای اصلی
	اس‌اچ‌ای۰ · اس‌اچ‌ای۱ · اس‌اچ‌ای۲ · اس‌اچ‌ای-۳
	ن; ب; و;

نحوه کار عملی یک تابع درهمک‌ساز رمزنگاری (مخصوصا SHA1). یک تغییر کوچک در ورودی (در واژه "over") به شدت خروجی (درهمک یا چکیده) را تغییر داده‌است. به این موضوع اثر بهمنی گفته می‌شود.

تابع هش رمزی (CHF) (به انگلیسی: Cryptographic hash function) یک الگوریتم ریاضی است که داده‌هایی با اندازه اختیاری (به آن «پیام» گفته می‌شود) را به یک آرایه بیتی با اندازه ثابت (به آن «درهَمَک»، «هش» یا «چکیده پیام» گفته می‌شود) نگاشت می‌دهد. ویژگی مهم این تابع «یک‌طرفه بودن» آن است و این یعنی تابعی است که وارون‌سازی آن از نظر عملی اجراپذیر نیست.^[۱] از نظر ایده‌آل تنها روش یافتن پیامی که یک هش معین را ساخته‌است، انجام یک جستجوی غیرهوشمندانه روی همه ورودی‌های ممکن است تا ببینیم که آیا همخوانی دارند یا نه، روش دیگر استفاده از یک جدول رنگین‌کمانی از درهمک‌های همخوان است. توابع درهمک‌ساز رمزنگاری، یکی از ابزارهای اساسی در رمزنگاری مدرن هستند.^[۲]

یک تابع درهمک‌ساز رمزنگارانه به صورت ایده‌آل دارای این ویژگی‌های اصلی است:

قطعی است، یعنی یک پیام یکسان، همیشه منجر به یک درهمک مشابه می‌شود.
عمل محاسبه مقدار درهمک برای هر پیام معین «سریع» است.
ایجاد پیامی که یک درهمک معین را تولید کرده‌است غیرقابل اجرا است. (یعنی نمی‌توان فرایندی که یک مقدار درهمک معین را تولیدکرده است را معکوس‌سازی کرد).
یافتن دو پیام متفاوت که یک مقدار درهمک مشابه دارند، غیراجرایی است.
یک تغییر کوچک در پیام، باید مقدار درهمک را به آن‌اندازه گسترده تغییر دهد که مثل آن باشد که یک مقدار درهمک جدیدی پدیدار شده، که این درهمک با مقدار درهمک قدیمی ارتباطی ندارد (که به آن اثر بهمنی گفته می‌شود).^[۳]

توابع درهمک‌ساز رمزنگاری، کاربردهای زیادی در امنیت اطلاعات دارند، به ویژه آن‌ها در امضای دیجیتال، کدهای احرازهویت پیام (MACs)، و دیگر حالت‌های احرازهویت کاربرد دارند. از این توابع می‌توان به عنوان توابع درهمک‌ساز ساده استفاده کرد، یعنی در اندیس‌دهی به داده در جداول درهمک، برای اثرانگشت‌دهی، برای تشخیص داده تکراری، یا برای تشخیص یکتای فایل‌ها، و به عنوان جمع‌آزما برای تشخیص خرابی تصادفی داده استفاده می‌شود. در واقع در زمینه امنیت رایانه، به مقادیر درهمک رمزنگارانه، اصطلاحات «اثرانگشت دیجیتالی»، «جمع‌آزما»، یا فقط «مقادیر درهمک» هم گفته می‌شود، اگرچه همه این اصطلاحات برای توابع «عمومی‌تر» هستند که ویژگی‌ها و اهداف متفاوتی را دارند.

ویژگی‌ها

اکثر توابع درهم ساز رمزنگارانه برای بدست آوردن رشته ای با هر طولی به عنوان ورودی و تولید یک مقدار درهم با طول ثابت طراحی می‌شوند.

تابع درهم ساز رمزنگارانه باید قادر به رویارویی با همه نوع حملات کشف نوشته رمزی باشد. در رمزنویسی نظری، سطح امنیت تابع درهم ساز رمزنگارانه با استفاده از مشخصه‌های زیر تعریف می‌شود:

- مقاومت در برابر تصویر اولیه و پردازش نشده

با توجه به مقدتر مشخص هش h، پیدا کردن پیام m مثل h=hash(m) باید مشکل باشد. این مفهوم به تابع یک سویه ارتباط پیدا می‌کند. توابعی که از این ویژگی برخوردار نباشند، نسبت به حملات تصویر اولیه و پردازش نشده آسیب‌پذیر هستند.

- مقاومت در برابر تصویر پردازش نشده دوم

با توجه به مقدار ورودی m1، پیدا کردن ورودی متفاوت m2 باید مشکل باشد با تساوی مقابل: hash(m1) = hash(m2). این ویژگی بعضاً "مقاومت تصادم ضعیف نامیده می‌شود. توابعی که از این ویژگی برخوردار نباشند، نسبت به حملات تصویر پردازش نشده دوم آسیب‌پذیر هستند.

- مقاومت برخورد

پیدا کردن دو پیام متقاوت m1 و m2 با در نظر گرفتن تساوی hash(m1) = hash(m2) مشکل است. این جفت «برخورد هش رمزنگاری نامیده می‌شوند». این ویژگی بعضاً «مقاومت قوی در برابر برخورد» اطلاق می‌شود. حداقل نیاز به مقدار هش دو برابر اولیه دارد تا اینکه به مقاومت تصویر پردازش نشده دست پیدا کند. در غیراینصورت برخوردها می‌توانند جزو حمله روز تولد (حمله ای بدون تغییر معنی اولیه مورد حمله شده) طبقه‌بندی شوند (۴).

مقاومت در برابر برخورد، دلالت ضمنی بر مقاومت تصویر اولیه و پردازش نشده دوم دارد، اما نه مقاومت اولیه آن (۵). فرضیه ضعیف تر همیشه در رمزنگاری نظری غالب است، اما عملاً، تابع درهمی که تنها مقاومت در برابر تصویر پردازش نشده دوم است، ناامن تلقی شده و در این صورت برای کاربردهای واقعی توصیه نمی‌شود.

این ویژگی‌ها غیررسما، به این معنی هستند که «دشمن یا رقیب متخاصم» نمی‌تواند بدون تغییر چکیده داده ورودی، آن جایگزینش شده یا آن را تغییر دهد؛ بنابراین، اگر دو رشته دارای یک چکیده یکسان باشند، می‌توان اطمینان حاصل کرد که آنها باهم برابرند. مقاومت در برابر تصویر خام پردازش نشده دوم، از دستکاری کردن سند توسط حمله کننده با یک هش یکسان جلوگیری می‌کند. مقاومت در برابر برخورد از ایجاد دو سند متمایز توسط حمله کننده با یک هش مشابه جلوگیری می‌کند.

تابعی که از این معیارها برخوردار باشد، هنوز هم دارای ویژگی‌های نامناسبی خواهد بود. در حال حاضر، پرطرفدارترین توابع درهم ساز رمزنگارانه، نسبت به حملات «کششی-طول» آسیب‌پذیر هستند: با در نظر گرفتن hash(m) و len(m) اما نه m، با انتخاب m مناسب، حمله کننده می‌تواند تابع درهم hash(m ∥ m′) را محاسبه کند، در اینجا منظور از ∥ الحاق است (۶). از این ویژگی می‌توان برای ترسیم الگوهای سندیت بخشی ساده بر مبنای توابع درهم استفاده کرد. سازه HAMC روشی است برای غلبه بر این مشکلات.

عملاً مقاومت در برابر برخورد، در خیلی از کاربردهای عملی کافی بنظر نمی‌رسد. علاوه بر مقاومت در برابر برخورد، باید پیدا کردن دو پیام با چکیده یا خلاصه‌های کاملاً مشابه توسط رقیب، غیرممکن باشد، یا استنباط هر گونه اطلاعات مفید در مورد داده‌ها. بویژه، تابع درهم باید تا حد ممکن مثل «تابع تصادفی» عمل کند (که در گواه امنیتی، اوراکل تصادفی نامیده می‌شود) در عین حال از نظر محاسباتی قطعی و مؤثر باشد. این توابعی مثل تابع SWIFFT را غیرمحتمل می‌شمارد، و اثبات شده که می‌تواند مقاومت برخورد داشته باشد بااین فرض که مسائل معین روی شبکه‌های ایده‌آل، به سختی قابل محاسبه هستند، اما در قالب تابع خطی این ویژگی‌های اضافی قابل پوشش دادن نیستند (۷).

الگوریتم‌های مجموع مقابله ای یا جمع کنترلی، مثل CRC32 و سایر کنترل‌های افزونگی دوره ای برای پوشش دادن الزامات ضعیف تر طراحی می‌شوند و بطور کالی مناسب توابع درهم ساز رمزنگارانه نیستند. برای مثال، CRC برای یکپارچه سازی پیام طبق استاندارد رمزنویسی VEP استفاده شد، امادر یک حمله می‌توان راحتی از حالت خطی جمع کنترلی خبر دار شد.

درجه سختی

در عمل رمزنویسی، بطور کلی غیرمحتمل است که تقریباً اطمینان بدست آورد که رقیب یا دشمن به اطلاعات دسترسی پیدا نخواهد کرد باید تا زمانی که فرض می‌شود امنیت سیستم از اهمیت حیاتی برخوردار است، از ورود او به سیستم باید جلوگیری کرد؛ بنابراین، مفهوم این اصطلاح تاحدی به کاربردش بستگی دارد از آنجاییکه کاری که یک عامل خطرناک یا متخاصم انجام می‌دهد معمولاً به نسبت سود مورد انتظارش از این کار سنجیده می‌شود. هرچنأ، از آنجاییکه معمولاً تلاش مضاعف برای دست پیدا کردن به پیامی با طول چکیده مضاعف است، حتی مزیت چندین برابر در قدرت پردازش با اضافه کردن بیت‌های متعدد به حروف، می‌تواند خنثی شود.

برای پیام‌های انتخاب شده از مجموعه پیام‌های محدود، مثلاً رمز عبور یا دیگر پیام‌های کوتاه، تبدیل هش با سری قرار دادن پیام‌ها، عملی می‌باشد. بخاطر اینکه معمولاً توابع درهمه ساز رمزنگارانه برای محاسبه سریع طراحی می‌شوند، توابع مشتق کلیدی ویژه که مستلزم وجود منابع محاسباتی بیشتری هستند، پای کار می‌آیند که موفقیت چنین حملات جستجوی فراگیر را مشکل‌تر می‌سازند.

در برخی از تحلیل‌های نظری، «مشکل یا سخت» به معنی ریاضی خاصی است، مثل «غیرقابل حل در زمان چندجمله ای مجانب». این تفسیر راجع به سختی و مشکل، در مطالعه «توابع درهم ساز رمزنگارانه امنیت قابل اثبات» مهم می‌باشد اما معمولاً ارتباطی قوی با امنیت عملی ندارد. برای مثال، الگوریتم «زمان نموی» بعضاً بریا حمله احتمالی خیلی سریع می‌باشد. بالعکس، الگوریتم زمان چندجمله ای (الگوریتمی که مستلزم وجود n20 مرحله برای کلیدهای n-رقمی است) ممکن است برای استفاده عملی خیلی آهسته باشد.

تصویر سازی

تصویرسازی استفاده بالقوه از درهم ساز رمزنگاری به شرح زیر است: آلیس، یک مسئله ریاضی دشوار را برای باب مطرح کرد و ادعا کرد که او را حل کرده‌است. باب دوست داشت خودش آن را حل کند، اما مطمئن بود که آلیس بلوف نمی‌زند؛ بنابراین، آلیس راه حل خودش را نوشت، هش آن را محاسبه کرد و به باب گفت که مقدار هش چقدر است (درحالیکه راه حل آن را به او نگفت). سپس، وقتی که باب راه حل خودش را چند روز بعد به او گفت، آلیس می‌توانست ثابت کند که راه حل او اول ارائه شده و باب آن را درهم کرده‌است و آن را چک کرد تا مقدار هشی که قبلاً بدست آورده بود با مقدار هش محاسبه شده او مطابقت داشته باشد. (این یک نمونه از الگوی سپارش ساده است. در واقعیت، آلیس و باب یک برنامه کامپیوتری هستند و راز چیزی خواهد بود که کمتر از یک راه حل معمای ادعا شده قابل تقلب باشد).

کاربردها

تأیید صحیح بودن یا یکپارچه بودن پیام‌ها و فایل‌ها

یک کاربرد مهم هش‌های امنیتی، تأیید صحیح و یکپارچه بودن پیام‌ها است. مقایسه چکیده‌های پیام (چکیده‌های هش در برابر پیام) محاسبه شده قبل و بعد از ارسال می‌تواند مشخص کند که آیا تغییراتی روی پیام یا فایل صورت گرفته یا نه.

چکیده‌های هش MD5, SHA1 یا SHA2 بعضاً روی وب سایت‌ها برای تأیید درستی فایل‌های دانلود شده منتشر می‌شوند (۸)، که شامل فایل‌های بازیابی شده با استفاده از «به اشتراک گذاری فایل» مثل «معکوس نمودن» می‌شود. این عمل یک زنجیره اطمینان می‌سازد تا زمانیکه هش‌ها روی سایت مطمئنی پست شوند- معمولاً سایتی که با پسوند معتبر HTTPS تأیید شود. با استفاده از تابع درهم ساز رمزنگاری و زنجیره اطمینان، تغییرات خطرناک فایل تشخیص داده می‌شوند. سایر «کدهای تشخیص خطا» مثل «کنترل افزونگی دوره ای» تنها از تغییرات غیرخطرناک فایل جلوگیری به عمل می‌آورند.

تولید امضاء و تأیید آن

تقریباً همه الگوهای امضاء دیجیتالی نیاز به هش رمزنگاری جهت محاسبه پیام دارند. این کار امکان محسبه امضاء با چکیده هش نسبتاً کوچک و با اندازه ثابت را فراهم می‌کند. پیام در صورتی معتبر و صحیح عنوان می‌شود که تأیید امضاء تصدیق شود و چکیده هش مجدداً محاسبه شده پیام وجود داشته باشد؛ بنابراین، ویژگی صحیح بودن پیام هش رمزنگاری، برای تولید الگوهای امضاء دیجیتالی امن و مؤثر استفاده می‌شود.

تأیید رمز عبور

تأیید «رمز عبور» معمولاً وابسته به هش‌های رمزنگاری است. ذخیره کردن همه رمزهای عبور به شکل «متن پاک یعنی پیام بدون رمز» می‌تواند به اخلال امنیتی گسترده‌ای منجر شود، اگر فایل رمز عبوری افشا شود. یک روش برای کاهش این خطر، تنها ذخیره کردن چکیده هش رمز عبور است. برای برسمیت شناختن کاربر، رمز عبوری ارائه شده توسط کاربر، بصورت درهم درآمده و با هش ذخیره شده مقایسه می‌شود. روش بازیابی رمز عبور زمانی ضرورت دارد که درهم کردن رمز عبور انجام شود. رمزهای عبوری اصلی را نمی‌توان از مقدار هش ذخیره شده مجدداً محاسبه کرد.

توابع درهم ساز رمزنگاری استاندارد، برای محاسبه سریع طراحی می‌شوند و در نتیجه حدس زدن رمز عبور با سرعت بالا امکان‌پذیر خواهد بود. "واحدهای پردازش گرافیکی" می‌توانند میلیاردها رمز عبوری در هر ثانیه تولید کنند. توابع درهم رمز عبور که کار "امتداد کلید" را انجام می‌دهند- مثل PUKDF2، دست نوشته متنی یا Argon2- معمولاً از نواوری‌های متعدد درهم رمزنگاری برای افزایش زمان (در برخی موارد حافظه کامپیوتر) مورد نیاز برای انجام "حملات بروت فورس یا جستجوی فراگیر روی چکیده‌های درهم رمز عبوری ذخیره شده استفاده می‌کنند. هش رمز عبور مستلزم وجود یک مقدار salt غیر محرمانه و تصادفی بزرگ می‌باشد تا بتوان آن را با هش رمز عبور ذخیره کرد. salt خروجی هش رمز عبور را بصورت تصادفی درمی‌آورد، و امکان ذخیره‌سازی جداول رمز عبور را برای رقیب یا دشمن غیرممکن می‌سازد هم چنین مقادیر هش از پیش محاسبه شده را که در آن‌ها چکیده هش رمز عبور را می‌توان مقایسه کرد.

خروجی تابع درهم رمز عبور نیز می‌تواند به عنوان کلید رمزنگاری استفاده شود. توابع هش رمز عبور نیز به عنوان "توابع مشتق کلید " مبتنی بر رمز عبور شناخته می‌شوند (PBKDF).

اثبات کار

سیستم اثبات کار (یا پروتکل یا تابع) یک مقیاس سنجش اقتصادی برای تشخیص حملات «رد خدمات» یا دیگر سوء استفاده‌های سرویسی مثل اسپم روی شبکه با درخواست کننده سرویس است که معمولاً زمان پردازش کامپیوتر را تغییر می‌دهد. یک مشخصه اصلی این الگوها، نامتقارنی آنهاست: کار باید از سمت درخواست کننده نسبتاً سخت (اما امکان‌پذیر) باشد اما چک کردن آن توسط ارائه دهنده خدمات باید راحت باشد. یک سیستم پرطرفدار که در داده کاوی بیتکوئین و Hashcash استفاده می‌شود- از معکوس تابع درهم جزیی برای اثبات کار انجام شده و برای تعیین پاداش داده کاوی در بیتکوئین به عنوان توکن یا کلمه رمزی اعتبار کار برای ارسال ایمیل در Hashcash بکار گرفته می‌شود. فرستنده، باید یک پیامی را پیدا کند که مقدار هش آن با عدد بیت صفر شروع می‌شود. کار متوسطی که فرستنده باید برای پیدا کردن پیام معتبر انجام دهد، در تعداد بیت صفر مورد نیاز در مقدار هش، بصورت نمایی است، درحالیکه دریافت کننده می‌تواند صحت پیام را با اجرای یک تابع درهم واحد تأیید کند. برای نمونه، در Hashcash، فرستنده درخواست تولید سرپیام می‌کند که در آن مقدار هش 160 bit SHA-۱ دارای ۲۰ بیت اول به صورت صفر است. بطور متوسط فرستنده کار 2¹⁹ برابر برای پیدا کردن سرپیام معتبر انجام می‌دهد.

شناساگر فایل یا داده

چکیده پیام نیز به عنوان ابزاری برای شناسایی معتبر یک فایل استفاده می‌شود. چند سیستم «مدیریت رمز سورس» مثل Git, Mercurial, Monotone از sha1sum انواع مختلف محتوا (محتوای فایل، درخت‌های راهنما، اطلاعات پیشینیان و غیره) برای شناسایی تک به تک آنها استفاده می‌کنند. هش‌ها برای شناسایی فایل‌ها روی شبکه‌های به اشتراک گذاری فایل ههمتا استفاده می‌شوند. برای مثال، در لینک ed2k، تابع درهم متغیر-MD4 با اندازه فایل ترکیب می‌شود و اطلاعات کافی برای پیدا کردن مکان سورس‌های فایل، دانلود فایل و تأیید محتوای آن فراهم می‌کند. «لینک‌های مگنت» مثال دیگری از این دست می‌باشند. این هش‌های فایل بیشتر هش بالا «فهرست هش» یا «درخت هش» هستند که مزایای زیادی دارند.

یکی از کاربردهای اصلی «تابع درهم» جستجوی سریع داده در «جدول درهم» است. توابع درهم رمزنگار بعنوان توابع درهم از یک نوع خاص، خودشان کاربردهای متنوعی دارند.

هرچند، در مقایسه با توابع درهم استاندارد، توابع درهم ساز رمزنگارانه، هزینه محاسبات بالایی دارند. بهمین دلیل، آنها در زمینه‌هایی کاربرد دارند که در آنها حفاظت کاربران در برابر جعل اسناد و امضاء سازی (تولید داده با یک چکیده به شکل داده مد نظر) ضروری می‌باشد.

توابع درهم بر مبنای رمزنگاری بلوکی

چند روش برای استفاده از «رمزنگاری بلوکی» برای ساخت تابع درههم ساز رمزنگار بویژه «تابع فشرده یک سویه» وجود دارد.

این روش‌ها شبیه «حالت‌های عملیات رمز بلوکی» استفاده شده برای رمزنویسی می‌باشند. بسیاری از توابع درهم معروف مثل MD4, MD5, SHA-1 و SHA-2 از مولفه‌های رمزنگار بلوکی-مانند طراحی شده برای این منظور ساخته می‌شوند، با این بازخورد تا اطمینان حاصل شود تابع حاصله معکوس پذیر نیست. شرکت کننده‌های SHA-3 در مرحله نهایی شامل توابعی با مولفه‌های «رمزنگار بلوکیک-مانند» (Skein, BLAKE) می‌باشند، در عین حال تابع نهایی انتخاب شده Keccak روی ابر رمزنگار ساخته شده بود.

رمزنگار بلوکی استاندارد مثل AES را می‌توان در محل این رمزهای بلوکی معمول استفاده کرد و زمانی مثمرثمر می‌باشد که «سیستم الحاقی یا جانمایی شده داخل آن» نیاز به اجرای هم رمزنویسی و هم درهم سازی با اندازه کد کمینه یا ناحیه سخت‌افزار داشته باشد. هرچند، این روش برای راندمان و امنیت بالاتر هزینه بالایی می‌طلبد. حروف رمزی در توابع درهم برای درهم سازی ساخته می‌شوند: آنها از کلیدها و بلوک‌های بزرگ استفاده می‌کنند، می‌توانند کلیدها را برای هر بلوک به خوبی تغییر دهند و برای مقاومت در برابر «حملات کلید-مربوطه» طراحی و انتخاب شوند. حروف رمزی هدف-کلی دارای اهداف طراحی متفاوتی هستند. بویژه، AES دارای اندازه کلید و بلوکی می‌باشد که استفاده از آن را برای تولید مقادیر هش طولانی غیربدیهی می‌سازد. رمزنویسی AES وقتی عملکردش ضعیف تر می‌شود که کلید هر بوک را تغییر دهد و حمله کلید-مربوطه استفاده از آن را در تابع درهم در مقایسه با رمزنویسی، کم ایمن تر سازد.

طراحی تابع درهم

سازه Merkle–Damgård

تابع درهم باید قادر به پردازش پیام طول-مورد نظر خود به خروجی-طول ثابت باشد. این کار با تقسیم کردن ورودی به سری بلوک‌هایی با اندازه برابر و عملیات روی آنها بصورت متوالی با استفاده از «تابع فشرده یک سویه» انجام می‌شود. بویژه تابع فشرده را می‌توان برای درههم سای یا ساختن از رمزنگاری بلوکی طراحی کرد. تابع درهم ساخته شده از سازه Merkle–Damgård مقاوم به برخورد است از آنجاییکه یک تابع فشرده محسوب می‌شود. هر گونه برخورد برای تابع درهم کامل را می‌توان برخورد در تابع فشرده دانست.

آخرین بلوک پردازش شده نیز باید بطور واضح بر اساس "طول لایه گذاری شده باشد". این کار برای امنیت سازه از اهمیت بسزایی برخوردار است. این سازه "سازه Merkle–Damgård" نامیده می‌شود. متداول‌ترین توابع درهم قدیمی مثل SHA-1 و MD5 به این نحو می‌باشند.

لوله پهن در برابر لوله باریک

کاربرد ساده سازه فوق که در آن اندازه خروجی هش برابر است با اندازه حالت داخلی (بین هر مرحله فشرده سازی)، به طراحی هش "لوله یا میله-باریک" منجر می‌شود. این طراحی دارای عیب‌های ذاتی متعددی می‌باشد، مثل "کشیده کردن طول"، چندبرخوردی (۹)، حملات پیام طولانی (۱۰)، حملات تولید و paste، ولی نمی‌توانند جفت یا برابر شوند. در نتیجه، توابع درهم پیشرفته روی سازه لوله-پهن ساخته می‌شوند که دارای اندازه حالت داخلی بزرگتری است- و دامنه آن از پیچ ساه فوق تا سازه‌های جدید نظیر "سازه ابر" و سازه HAIFA گستر ده شده‌است (۱۱). هیچ‌یک از ورودی‌های "رقابت تابع درهم NIST" از سازه قدیمی Merkle–Damgård استفاده نمی‌کنند.

در ضمن، کوتاه سازی خروجی هش طولانی، مثل خروجی استفاده شده در SHA-512/256 نیز در برابر حملات متعددی دفاع می‌کند (۱۳).

استفاده برای ساخت سایر واحد اولیه رمزنگاری

توابع درهم را می‌توان برای ساخت سایر واحدهای اولیه رمزنگاری استفاده کرد. برای امن بودن این واحدها از نظر رمزنگاری، برای ساختن درست آنها باید دقت زیادی خرج کرد.

«کدهای تأیید پیام» (MAC) (که توابع درهم کلیدی نیز نامیده می‌شوند) اغلب از توابع درهم ساخته می‌شوند. HAMC مثل MAC است.

درست مثل "رمزنگارهای بلوکی که می‌توانند برای ساخت توابع درهم استفاده شوند، توابع درهم را می‌توان برای ساخت رمزهای بلوکی استفاده کرد. ساخت Luby-Rackoff با استفاده از توابع درهم را زمانی می‌توان ایمن تلقی کرد که توابع درهم اصلی ایمن باشند. هم چنین، بسیاری از توابع درهم ساز (مثل SHA-1 و SHA-2) با استفاده از رمزنگاری بلوکی با یک هدف-ویژه در سازه Davies–Meyer یا سازه دیگر ساخته می‌شوند. هم چنین از حروف رمزی می‌توان در حالت عملیات رایج بدون تضمین امنیت یکسان استفاده کرد. به SHACAL, BEAR و LION مراجعه کنید.

«سازنده‌های عدد تصادفی ساختگی» (PRNG) را می‌توان با استفاده از توابع درهم ساخت. این کار با بنیان تصادفی (رمزی) با شمارنده و درهم کردن آن انجام داد.

برخی از توابع درهم نظیر Skein, Keccak و RadioGatún یک دنباله یا مسیر طولانی اختیاری را تولید می‌کنند و می‌توانند به عنوان «رمزهای دنباله ای» استفاده شوند. هم چنین رمزهای دنباله ای را می‌توان از از توابع درهم با چکیده طول-ثابت استفاده کرد. اغلب این کار با اولین ساخت «سازنده اعداد تصادفی ساختگی امن از نظر رمزنگاری» و سپس با استفاده از دنباله بایت‌های تصادفی مثل keystream انجام می‌شود. SEAL یک رمزنگار دنباله ای است که از SHA-1 برای تولید جداول داخلی استفاده می‌کند و سپس در سازنده keystream بکار گرفته می‌شود که به الگوریتم درهم مرتبط یا غیرمرتبط است. SEAL را نمی‌توان مثل SHA-1 قوی یا ضعیف تضمین کرد. بطور مشابه، گسترش کلید رمزنگارهای دنباله ای HC-128 و HC-256 استفاده زیاد از تابع درهم SHA-256 را به دنبال دارد.

الحاق

خروجی‌های «الحاقی» از چند تابع درهم، مقاومت به برخورد را به خوبی قوی‌ترین الگوریتم‌ها با نتایج بهم پیوسته ایجاد می‌کنند. برای مثال، نسخه‌های قدیمی امنیت لایه انتقال (TLS) و لایه سوکت‌های امنیتی (SSL) از مجموع بهم پیوسته MD5 و SHA-1 استفاده می‌کنند (۱۴٫۱۵). این کار تضمین می‌کند که روش شنسایی برخورد در یکی از توابع درهمه، از داده‌های حفاظت شده توسط هر دو تابع درهم را مانع نمی‌شود.

برای توابع درهم "سازه Merkle–Damgård"، تابع الحاقی به مانند قوی‌ترین مولفه، مقاوم به برخورد است، اما نه خیلی پایدار. Antoine Joux مشاهده کرد که ۲-برخورد به n-برخورد می‌انجامد: اگر حمله کننده بتواند دو پیام با یک هش مشابه MD5 را پیدا کند، می‌تواند بسیاری از پیام‌های مورد نظر خود را با هش‌هایی با MD5 یکسان بدون هیچ مشکلی پیدا کند (۱۶). از بین پیام‌های n با تابع درهم مشابه MD5، احتمالاً یک برخورد در SHA-1 وجود دارد. کار بیشتری برای پیدا کردن برخورد SHA-1 لازم است که تنها می‌توان از زمان چندجمله ای برای آن استفاده کرد.

الگوریتم‌های درهم ساز رمزنگارانه

الگوریتم‌های درهم ساز رمزنگاری متعددی وجود دارند. در این قسمت چند الگوریتم را شرح می‌دهیم که نسبتاً کاربردهای زیادی دارند. فهرست بزرگتر آن را می‌توان در صفحه حاوی «مقایسه توابع درهم ساز رمزنگاری» جستجو کرد.

MD5

MD5 توسط Ronald Rivest در سال ۱۹۹۱ برای جایگزین کردن آن با تابع درهم اولیه MD4 طراحی شده بود و در سال ۱۹۹۲ به عنوان RFC 1321 معرفی شد. برخوردها در برابر MD5 را می‌توان در چند ثانیه محاسبه کرد که باعث می‌شود این الگوریتم در اکثر موارد کابرد مناسبی نداشته باشد در اینجا به تابع درهم رمزنگاری احتیاج داریم. MD5 چکیده ۱۲۸ بیتی تولید می‌کند (۱۶ بایت).

SHA-1

SHA-1 به عنوان بخشی از پروژه «اصلی» دولت آمریکا معرفی شده بود. مشخصه اصلی آن که در حال حاضر با SHA-0 شناخته می‌شود- الگوریتمش در سال ۱۹۹۳ تحت استاندارد هش امن، FIPS PUB 180 توسط نهاد استاندارد دولتی آمریکا NIST (مؤسسه ملی استاندارد و فناوری) منتشر شده بود. مدت کوتاهی بعد از انتشار آن توسط NSA رد شد و با نسخه بازبینی شده (تجدید نظر شده) آن جایگزینش شد و در سال ۱۹۹۵ در FIPS PUB 180-1 چاپ شد و با SHA-1 شناخته شد. برخورد در برابر الگوریتم کامل SHA-1 را می‌توان با استفاده از «حمله خرد شده» تولید کرد و باید تابع درهم را شکسته در نظر گرفت. SHA-1 چکیده درهم ۱۶۰بیتی (۲۰ بایتی) تولید می‌کند.

اسناد را می‌توان درست مثل “SHA”، SHA-1 اطلاق کرد، حتی با وجودیکه ممکن است با سایر الگوریتم‌های درهم استاندارد مثل SHA-0, SHA-2 و SHA-3 در تضاد باشد.

RIPEMD-160

RIPEMD (چکیده پیام ارزیابی اولیه یکپارچه RACE) از خانواده توابع درهم ساز رمزنگارانه معرفی شده توسط Leuven, Belgium, Hans Dobbertin, Antoon Bosselaers و Bart Preneel در گروه پژوهشی COSIC در Katholieke Universiteit Leuven, می‌باشد، و اولین بار در سال ۱۹۹۶ منتشر شد. RIPEMD بر مبنای اصول طراحی بکار رفته در MD4 پایه‌گذاری شده بود و کارکردش مشابه SHA-1 پرطرفدار است. هرچند، RIPEMD-160 شکسته نشده‌است. RIPEMD-160 همان‌طور که از نامش پیداست، چکیده هش ۱۶۰ بیتی (۲۰ بایتی) تولید می‌کند.

Bcrypt

Bcrypt تابع درهم سازی رمزعبور است که توسط Niels Provos و David Mazières بر مبنی رمزنگار Blowfish طراحی شده‌است و در سال ۱۹۹۹ در USENIX ارائه گردید. علاوه بر یکی سازی salt برای حفاظت در برابر حملات جدول رنگین کمان، bcrypt تابع انطباقی است. با گذشت زمان، تعداد تکرار را می‌توان آهسته‌تر افزایش داد، بنابراین به حملات جستجوی فراگیر حتی با افزایش توان محاسه مقاومت نشان می‌دهد.

Whirlpool

Whirlpool، تابع درهم ساز رمزنگارانه است که توسط Vincent Rijmen و Paulo S. L. M. Barreto طراحی شده‌است، کسانی که اولین بار در سال ۲۰۰۰ آن را توصیف کردند. Whirlpool، بر مبنای نسخه کاملاً اصلاح شده استاندارد رمزنگاری پیشرفته (AES) می‌باشد. Whirlpool چکیده درهم ۵۱۲ بیتی (۶۴ بایت) تولید می‌کند.

SHA-2

SHA-2 (الگوریتم درهم ایمن ۲) مجموعه توابع درهم رمزنگارانه می‌باشد که توسط آژانس امنیت ملی ایالات متحده (NSA) طراحی شده بود، و اولین بار در سال ۲۰۰۱ منتشر گردید. آنها با استفاده از ساختار Merkle–Damgård، از خود تابع فشرده یک سویه با استفاده از سازه Davies–Meyer از رمزنگار بلوکی تخصصی (طبقه‌بندی شده) ساخته می‌شوند.

در اصل، SHA-2 دو الگوریتم درهم دارد: SHA-256 و SHA-512. SHA-224، واریانت یا متغیره SHA-256 با مقادیر آغازین و خروجی کوتاه شده متفاوت می‌باشد. SHA-384 و SHA-512/224 و SHA-512/256 کمتر شناخته شده، همه از واریانت‌های SHA-512 بشمار می‌روند. SHA-512 امن تر از SHA-256 است و معمولاً در ماشین‌های ۶۴ بیتی مثل AMD64، سریعتر از SHA-256 می‌باشد.

اندازه خروجی بیت‌ها، با تعمیم نام "SHA" مشخص می‌شود، بنابراین SHA-224 دارای اندازه خروجی ۲۲۴ بیتی (۲۸ بایتی) است، SHA-256 32 بایت، SHA-384 48 بایت و نهایتاً SHA-512 64 بایت تولید می‌کنند.

SHA-3

SHA-3 (الگوریتم درهم ایمن ۳) در پنجم اوت ۲۰۱۵ توسط NIST معرفی شد. الگوریتم Keccak حاصل کار Guido Bertoni, Joan Daemen, Michael Peeters و Gilles Van Assche می‌باشد. Keccak بر مبنای ساخت ابر است که هم چنین قابل استفاده برای ساخت سایر ساختارهای اولیه رمزنگاری مثل رمزنگار دنباله ای است. SHA-3 اندازه خروجی مشابهی با SHA-2: 224, 256, 384 و ۵۱۲ بیتی دارد.

اندازه‌های قابل پیکربندی خروجی نیز با استفاده از توابع SHAKE-128 و SHAKE-256 بدست می‌آیند. در اینجا الحاقی‌های ۱۲۸- و ۲۵۶- دلالت ضمنی بر توان امنیتی تابع به نسبت اندازه خروجی در بیت‌ها دارند.

BLAKE2

نسخه پیشرفته BLAKE تحت نام BLAKE2 در ۲۱ دسامبر ۲۰۱۲ معرفی شد. توسط Jean-Philippe Aumasson, Samuel Neves, Zooko Wilcox-O'Hearn و Christian Winnerlein با هدف جایگزینی استفاده گسترده اما با الگورتیم‌های شکسته MD5 و SHA-1 ساخته شد. وقتی که BLAKE2b روی ساختار ARM x64 64 بیتی پیاده شود، BLAKE2b سریعتر از SHA-3, SHA-2, SHA-1 و MD5 خواهد بود. اگرچه BLAKE و BLAKE2 مثل SHA-3 استانداردسازی نشده‌اند، BLAKE2 در پروتکل‌های زیادی مثل تابع درهم رمز عبور Argon2 استفاده شد، برای راندمان بالایی که روی CPUهای پیشرفته در نظر گرفته شده‌است. وقتی که BLAKE برای SHA-3 انتخاب شد، BLAKE و BLAKE2 هر دو اندازه خروجی یکسانی مثل SHA-3 پیشنهاد دادند، که شامل اندازه خروجی قابل پیکربندی می‌شد.

BLAKE3

BLAKE3، نسخه پیشرفته BLAKE2، در ۹ ژانویه ۲۰۲۰ معرفی شد. توسط O'Connor, Jean-Philippe Aumasson, Samuel Neves و Zooko Wilcox-O'Hearn معرفی شد. BLAKE3، یک الگوریتم واحد برخلاف BLAKE و BLAKE2 است که از خانواده‌های الگوریتم‌هایی با چند واریانت می‌باشند. تابع فشرده BLAKE3 کاملاً مبتنی بر BLAKE2 می‌باشد، با بیشترین اختلاف که تعداد دور از ۱۰ به ۷ کاهش پیدا می‌کند. BLAKE3، در داخل «درخت مرکل» است و درجه‌های بالای تقارن را نسبت به BLAKE2 پشتیبانی می‌کند.

حمله روی الگوریتم‌های درهم ساز رمزنگارانه

یک فهرست طولانی از توابع درهم ساز رمزنگار است اما آسیب‌پذیری آن ثابت شده و نباید زیاد استفاده شود. برای نمونه، NIST 51 تابع درهم را به عنوان تابع منتخب برای دور ۱ رقابت هش SHA-3 انتخاب کرد، از بین آنها ۱۰ تابع شکسته و ۱۶ تابع دارای نقاط ضعف قابل توجه در نظر گرفته شدند و لذا در دور بعد شرکت داده نمی‌شدند. اطلاعات بیشتر در مورد این مبحث را می‌توان در مقاله اصلی آن در مورد "رقابت‌های تابع درهم NIST" جستجو کرد.

حتی اگر تابع درهم هرگز شکسته نشده باشد، «حمله موفق» در برابر واریانت ضعیف می‌تواند باعث تحلیل بردن اطمینان «کارشناس» شود. برای نمونه، در آگوست ۲۰۰۴، برخوردها در چند تابع درهم پرطرفدار مثل MD5 مشاهده شدند (۲۰). این نقاط ضعف، امنیت الگوریتم‌های قوی تر مشتق شده از توابع درهم ضعیف خصوصاً SHA-1 (نسخه تقویت شده SHA-0)، RIPEMD-128 و RIPEMD-160 (هر دو نسخه تقویت شده RIPEMD) را زیر سؤال می‌برد.

در ۱۲ آگوست ۲۰۰۴، Joux, Carribault, Lemuet و Jalby برخوردی را برای الگوریتم کامل SHA-0 معرفی کردند. Joux و همکارانش این کار را با استفاده از تعمیم دهی حمله Chabaud و Joux انجام دادند. آنها به این نتیجه رسیدند که برخورد دارای پیچیدگی 2⁵¹ بود و ۸۰۰۰۰ ساعت CPU (واحد پردازشگر مرکز) روی ابرکامپیوتری با ۲۵۶ پردازنده Itanium 2- معادل ۱۳ روز استفاده تمام وقت از ابرکامپیوتر فعال بود.

در فوریه ۲۰۰۵، حمله ای روی SHA-1 گزارش شد که در حدود عملیات درهمسازی ۲۶۹ را شامل می‌شد، به جای مقدار مورد انتظار ۲۸۰ برای تابع درهم ۱۶۰ بیتی. در آگوست ۲۰۰۵، حمله دیگر روی SHA-1 گزارش شد که برخورد در ۲۶۳ عملیات را نشان می‌داد. نقاط ضعف نظری دیگر SHA-1 از این قرارند: (۲۱، ۲۲) و در فوریه ۲۰۱۷ گوگل خبر از برخورد در SHA-1 داد (۲۳). محققین حوزه امنیت توصیه کردند که اپلیکیشن‌های جدید می‌توانند با استفاده از اعضای خانواده SHA این مشکلات را برطرف کنند، مثل SHA-2 یا استفاده از تکنیک‌هایی نظیر درهم سازی تصادفی (۲۱)(۱) که نیازی به مقاومت در برابر برخورد ندارد.

یک حمله عملی و موفق، MD5 استفاده شده درون گواهی «امنیت لایه انتقال» را در سال ۲۰۰۸ شکست.

بسیاری از توابع درهم رمزنگار، بر مبنای "ساختار Merkle–Damgård" پایه‌گذاری شده‌اند. همه هش‌ها یا درهم رمزنگاری که مستقیماً از خروجی کامل ساختار فوق استفاده می‌کنند نسبت به حملات گسترش طول آسیب پذیرند. این باعث می‌شود تا MD5, SHA-1, RIPEMD-160, Whirlpool و الگوریتم‌های درهم SHA-256 / SHA-512، همه نسبت به این حملات ویژه آسیب‌پذیر باشند. SHA-3, BLAKE2, BLAKE3 و واریانت‌های کوتاه شده SHA-2 به این نوع حمله آسیب‌پذیر نیستند.

پانویس

↑ Shai Halevi and Hugo Krawczyk, Randomized Hashing and Digital Signatures
↑ Schneier, Bruce. "Cryptanalysis of MD5 and SHA: Time for a New Standard". Computerworld. Archived from the original on 2016-03-16. Retrieved 2016-04-20. Much more than encryption algorithms, one-way hash functions are the workhorses of modern cryptography.
↑ Al-Kuwari, Saif; Davenport, James H.; Bradford, Russell J. (2011). "Cryptographic Hash Functions: Recent Design Trends and Security Notions".

منابع

مشارکت‌کنندگان ویکی‌پدیا. «Cryptographic hash function». در دانشنامهٔ ویکی‌پدیای انگلیسی، بازبینی‌شده در ۳ اسفند ۱۳۹۹.

[:1-1] Shai Halevi and Hugo Krawczyk, Randomized Hashing and Digital Signatures

[2] Schneier, Bruce. "Cryptanalysis of MD5 and SHA: Time for a New Standard". Computerworld. Archived from the original on 2016-03-16. Retrieved 2016-04-20. Much more than encryption algorithms, one-way hash functions are the workhorses of modern cryptography.

[3] Al-Kuwari, Saif; Davenport, James H.; Bradford, Russell J. (2011). "Cryptographic Hash Functions: Recent Design Trends and Security Notions".

[۱]

[۲]

[۳]