Алгоритм Ярроу



Предыдущая | Следующая

Алгоритм Ярроу (англ. Yarrow algorithm) — криптографически стойкий генератор псевдослучайных чисел. В качестве названия выбран тысячелистник, засушенные стебли которого служат источником энтропии при гадании[1].

Алгоритм разработан в августе 1999 года Брюсом Шнайером, Джоном Келси и Нильсом Фергюсоном из компании Counterpane Internet Security (англ.)русск.[2]. Алгоритм не запатентован и свободен от лицензионных отчислений, для его использования не требуется получение лицензии. Ярроу включен в феврале 2002 года в поставку FreeBSD, OpenBSD, и Mac OS X в качестве реализации устройства /dev/random[3].

Дальнейшим развитием Ярроу стало создание Фергусом и Шнайером алгоритма Fortuna, описанного в их книге «Практическая криптография»[4].

Содержание

  • 1Необходимость алгоритма
  • 2Принципы проектирования
  • 3Структура алгоритма
    • 3.1Компоненты
      • 3.1.1Накопитель энтропии
      • 3.1.2Механизм усложнения
      • 3.1.3Механизм генерации
      • 3.1.4Механизм управления усложнением
  • 4Ярроу-160
    • 4.1Генерация
    • 4.2Усложнение
  • 5Нерешенные вопросы и планы на будущее
  • 6Примечания
  • 7Литература
  • 8Ссылки

Необходимость алгоритма[править | править код]

Большинство современных криптографических приложений используют случайные числа. Они нужны для генерации ключей, получения одноразовых случайных чисел, создания соли и т. д. Если случайные числа будут небезопасными, то это влечёт за собой появление уязвимостей в приложениях, которые невозможно закрыть с помощью различных алгоритмови протоколов[5].

В 1998 году создатели Ярроу провели исследования других ГПСЧ и выявили в них ряд уязвимостей. Последовательности случайных чисел, которые они давали на выходе, были небезопасными для криптографических приложений[5].

В настоящее время алгоритм Ярроу является сильно защищенным генератором псевдослучайных чисел. Это позволяет использовать его для широкого спектра задач: шифрования, электронной подписи, целостности информации и т. д[5].

Принципы проектирования[править | править код]

Во время разработки алгоритма создатели заострили внимание на следующих аспектах[6]:

  1. Быстрота и эффективность. Никто из разработчиков не будет использовать алгоритм, сильно замедляющий приложение.
  2. Простота. Любой программист без особых знаний в криптографии должен суметь его безопасно использовать.
  3. Оптимизация. Там, где это возможно, алгоритм должен использовать уже существующие блоки команд.

Структура алгоритма[править | править код]

Компоненты[править | править код]

 
Рис. 1. Общая блок-схема алгоритма Ярроу

Алгоритм Ярроу состоит из 4 независимых частей[7]:

  1. Накопитель энтропии. Собирает выборки из источников энтропии и помещает их в два пула (англ.)русск..
  2. Механизм усложнения. Периодически усложняет ключ генератора, используя энтропию из пулов.
  3. Механизм генерации. Генерирует выходные сигналы ГПСЧ из ключа.
  4. Механизм управления усложнением. Определяет время выполнения усложнения.

Накопитель энтропии[править | править код]

Накопление энтропии (англ. entropy accumulation) — это процесс, при котором ГПСЧ получает новое неугадываемое внутреннее состояние[8]. В данном алгоритме энтропия накапливается в двух пулах (англ.)русск.: быстром и медленном[9]. В данном контексте под пулом понимается хранилище инициализированных и готовых к использованию битов. Быстрый пулобеспечивает частые усложнения ключа. Это гарантирует, что компрометация ключа имеет невысокую продолжительность. Медленный пул обеспечивает редкие, но существенные усложнения ключа. Это необходимо для того, чтобы гарантировать получение безопасного усложнения даже в тех случаях, когда оценки энтропии сильно завышены. Входные выборки попеременно посылаются в быстрый и медленный пулы[10].

Механизм усложнения[править | править код]

Механизм усложнения соединяет накопитель энтропии с механизмом генерации. Когда механизм управления усложнением определяет, что усложнение необходимо, то механизм усложнения, используя информацию из одного или сразу двух пулов (англ.)русск., обновляет ключ, который используется механизмом генерации. Таким образом, если злоумышленник не знает текущий ключ или пулы, то ключ будет ему неизвестен после усложнения. Также, возможно, усложнению потребуется большое количество ресурсов, чтобы минимизировать успех атаки на основе угадывания входных значений[11].

Чтобы сгенерировать новый ключ, усложнение из быстрого пула использует текущий ключ и хеши всех входов быстрого пула с момента последнего усложнения ключа. Как только это будет выполнено, оценки энтропии (англ.)русск.для быстрого пула обнулятся[11][12].

Усложнение из медленного пула использует текущий ключ и хеши входов быстрого и медленного пулов. После генерирования нового ключа оценки энтропии для обоих пулов сбрасываются в ноль[13].

Механизм генерации[править | править код]

Механизм генерации дает на выходе последовательность псевдослучайных чисел. Она должна быть такой, чтобы злоумышленник, не знающий ключа генератора, не смог отличить её от случайной последовательности бит (англ.)русск.[14].

Механизм генерации должен обладать следующими свойствами[15]:

  • стойкостью к криптографическим атакам;
  • производительностью (англ. Efficiency);
  • способностью генерировать очень длинную последовательность сигналовбез усложнения;
  • стойкостью к атакам перебором с возвратом (англ. Backtracking) после компрометации ключа.

Механизм управления усложнением[править | править код]

Для того, чтобы выбрать время усложнения, механизм управления должен учесть различные факторы. К примеру, слишком частая смена ключа делает более вероятной атаку итеративного угадывания[16]. Слишком медленная, напротив, дает больше информации злоумышленнику, скомпрометировавшему ключ. Поэтому механизм управления должен уметь находить золотую середину между этими двумя условиями[17].

По мере поступления выборок в каждый пул (англ.)русск. сохраняются оценки энтропии для каждого источника. Как только эта оценка для любого источника достигает предельного значения, происходит усложнение из быстрого пула. В подавляющей части систем это случается множество раз в час. Усложнение из медленного пула происходит, когда оценки для любых {\displaystyle k} из {\displaystyle n} источников в медленном пуле превышают пороговую отметку[17].

В Ярроу-160 у быстрого пула этот предел составляет 100 бит, у медленного — 160 бит. По умолчанию как минимум два различных источника в медленном пуле должны быть больше 160 бит, чтобы произошло усложнение из медленного пула[18].

Ярроу-160[править | править код]

Одной из возможных реализаций алгоритма Ярроу является Ярроу-160. Основная идея этого алгоритма — использование односторонней хеш-функции {\displaystyle h()} и блочного шифра {\displaystyle E_{K}()}[19]. Если оба алгоритма безопасны и ГПСЧ получает достаточное количество начальной энтропии, то в результате получится сильная последовательность псевдослучайных чисел[20].

Хеш-функция должна обладать следующими свойствами[21]:

  • быть необратимой, то есть стойкой к восстановлению прообраза;
  • быть стойкой к коллизиям;
  • давать на выходе {\displaystyle m}-бит.

В Ярроу-160 используется алгоритм SHA-1 в качестве {\displaystyle h()}[19].

Блочный шифр должен обладать следующими свойствами[22]:

  • иметь ключ длиной {\displaystyle k}-бит и блок данных размером {\displaystyle n}-бит;
  • быть устойчивым к открытому тексту и атакам по выбранному тексту;
  • иметь хорошие статистические свойства выходных сигналов, даже при высокошаблонных входных сигналах.

В Ярроу-160 используется алгоритм 3-KEY Triple DES в качестве {\displaystyle E_{K}()}[19].

Генерация[править | править код]

 
Рис. 2. Механизм генерации

Генератор основан на использовании блочного шифра в режиме счётчика (см. рис. 2)[23].

Имеется n-битное значение счётчика {\displaystyle C}. Для генерации следующих {\displaystyle n}-бит псевдослучайной последовательности счётчик {\displaystyle C} увеличивается на 1 и зашифровывается блочным шифром с использованием ключа {\displaystyle K}[24]:

{\displaystyle C\leftarrow (C+1){\bmod {2}}^{n}}
{\displaystyle R\leftarrow E_{K}(C)}

где {\displaystyle R} — выход ГПСЧ, а {\displaystyle K} — текущее значение ключа.

Если в какой-то момент времени ключ оказался скомпроментирован, то необходимо предотвратить утечку предыдущих выходных значений, которые злоумышленник может получить. Данный механизм генерации не имеет защиты от атак такого рода, поэтому дополнительно подсчитывается количество выходных блоков ГПСЧ. Как только будет достигнут некоторый предел {\displaystyle P_{g}} (системный параметр безопасности (англ.)русск., {\displaystyle 1\leq P_{g}\leq 2^{n/3}}), то генерируется {\displaystyle k}-битовый выход ГПСЧ, который затем используется как новый ключ[15].

{\displaystyle K\leftarrow {\text{следующие k бит выхода ГПСЧ}}}

В Ярроу-160 {\displaystyle P_{g}} равняется 10. Данный параметр специально задается низким значением, чтобы минимизировать количество выходов, которые можно узнать при помощи атаки перебора с возвратом (англ. Backtracking)[25].

Усложнение[править | править код]

Время выполнения механизма усложнения зависит от параметра {\displaystyle P_{t}\geq 0}. Этот параметр может быть зафиксирован или изменяться динамически[26].

Данный механизм состоит из следующих шагов[26]:

  1. Накопитель энтропии вычисляет хеш всех входов в быстрый пул (англ.)русск.. Результат этого вычисления обозначим {\displaystyle v_{0}}.
  2. Положим {\displaystyle v_{i}:=h(v_{i-1}|v_{0}|i)~{\text{ для }}~i=1,\ldots ,t}.
  3. {\displaystyle K\leftarrow h^{'}(h(v_{P_{t}}|K),k)}.
  4. {\displaystyle C\leftarrow E_{K}(0)}.
  5. Сбросим все счётчики энтропии в пулах в 0.
  6. Очистим память, в которой хранятся промежуточные значения.
  7. Если файл прототипа (англ. Seed file) используется, то перезапишем содержимое этого файла следующими {\displaystyle 2k} битами выхода псевдослучайной последовательности.

Функция {\displaystyle h^{'}} определяется в терминах функции {\displaystyle h} следующим образом[27]:

{\displaystyle s_{0}:=m}
{\displaystyle s_{i}:=h(s_{0}|\ldots |s_{i-1}),\ \ {\text{где}}\ \ i=1,\ldots }
{\displaystyle h^{'}(m,k):={\text{первые}}\ \ k\ \ {\text{бит}}\;(s_{0}|s_{1}|\ldots )}

Фактически это функция адаптации размера, то есть она преобразует вход любой длины к выходу указанной длины. Если на вход пришло больше данных, чем ожидалось, то функция принимает ведущие биты. Если размеры входа и выхода совпадают, то функция является функцией тождественности. Если же размер данных на входе меньше ожидаемого, то дополнительные биты генерируются с помощью данной хеш-функции. Это довольно дорогой в плане вычислений алгоритм ГПСЧ, но для небольших размеров может использоваться без проблем[28].

Установка нового значения в счётчик {\displaystyle C} выполняется не из соображений безопасности, а для обеспечения большей гибкости реализации и поддержки совместимости между различными реализациями[26].

Нерешенные вопросы и планы на будущее[править | править код]

В сегодняшней реализации алгоритма Ярроу-160 размер пулов (англ.)русск.накопления энтропии ограничивается 160 битами. На алгоритм 3-KEY Triple DES известны атаки эффективнее полного перебора. Однако даже для атак перебором с возвратом ключи изменяются довольно часто, и 160 бит хватает для обеспечения безопасности на практике[29].

Предметом текущих исследований является усовершенствование механизмов оценки энтропии. По мнению создателей Ярроу-160, алгоритм может быть уязвим именно из-за плохих оценок энтропии, а не с точки зрения криптоанализа[30].

В планах на будущее у создателей использование нового стандарта блочного шифра AES. Новый блочный шифр легко сможет разместиться в базовой конструкции алгоритма Ярроу. Однако, как подчеркивают разработчики, будет необходимо или изменить хеш-функцию усложнения, или придумать новую хеш-функцию, чтобы обеспечить заполнение пула энтропии более чем 160 битами. Для AES со 128 битами это не будет проблемой, а для AES со 192 или 256 битами эту проблему придется разрешить. Следует отметить, что основная структура алгоритма Ярроу — это соединение блочного шифра AES и 256-битной хеш-функции[31].

Набор правил для механизма управления усложнением по-прежнему остается временным, тем не менее, дальнейшее изучение может улучшить его. По этой причине это является предметом постоянных исследований[30].