Купина (геш-функція)

Шаблон:Otheruses Шаблон:Стандарт «Купина» (Шаблон:Lang-en) — ітеративна криптографічна геш-функція описана у національному стандарті України ДСТУ 7564:2014 «Інформаційні технології. Криптографічний захист інформації. Функція хешування». Стандарт набрав чинності з 1 квітня 2015 року наказом Мінекономрозвитку від 2 грудня 2014 року № 1431^[1]. Текст стандарту є у вільному доступі ^[2].

Стандарт ДСТУ 7564:2014 розроблено задля поступової заміни міждержавного стандарту Шаблон:Нп^[3] та згідно з чинним наказом Мінцифри від 30 вересня 2020 року № 140/614^[4] може застосовуватися для створення кваліфікованого електронного підпису з 01 січня 2021 року, та обов'язковий для застосування після 1 січня 2022 року замість функції гешування за Шаблон:Нп.

Функція стиснення Купини складається з двох фіксованих 2n-бітних перестановок T^⊕ і T⁺, структура яких запозичена у шифра Калина. Зокрема, використовуються чотири таких самих S-блока. Результат роботи геш-функції може мати довжину від 8 до 512 біт. Варіант, який повертає n біт, позначається як Купина-n.^[5]

Спочатку повідомлення ${\displaystyle M}$ доповнюється до довжини, кратної розміру блока. Для цього до повідомлення додається 1 біт ${\displaystyle 1}$, після нього ${\displaystyle d}$ нульових бітів, де ${\displaystyle d=(-N-97)modl}$ і 96 біт, які містять довжину повідомлення в бітах. Таким чином, максимальна довжина повідомлення становить ${\displaystyle 2^{96}-1}$ біт.

Далі повідомлення розбивається на ${\displaystyle t}$ блоків ${\displaystyle m_1,m_2,...,m_t}$ по ${\displaystyle l}$ біт у кожному. Для варіантів функції, які повертають до 256 біт включно, ${\displaystyle l}$ = 512. Для варіантів, які повертають значення, довші 256 біт, ${\displaystyle l}$ = 1024.

Далі, будується геш-функція, з використанням наступного ітеративного алгоритму^[5].

${\displaystyle h_0=IV}$

${\displaystyle h_{\nu }=T_l^{\oplus }}$${\displaystyle (}$${\displaystyle h_{\nu -1}\oplus }$${\displaystyle m_{\nu })\oplus }$${\displaystyle T_l^{+}(m_{\nu })\oplus h_{\nu -1}}$

${\displaystyle H(IV,M)=R_{l,n}(T_l^{\oplus }(h_k)\oplus h_k)}$

де

${\displaystyle \nu =1,2,...,k}$

${\displaystyle IV=1<<<510}$, якщо l = 512, або ${\displaystyle 1<<1023}$, якщо l = 1024

${\displaystyle R_{l,n}(X)}$ — функція, яка повертає ${\displaystyle n}$ найбільш значущих бітів блока розміром ${\displaystyle l}$^[5]

Кількість ітерацій для варіантів функції, які повертають до 256 біт включно — 10. Кількість ітерацій для варіантів функції, які повертають значення, довші 256 біт, — 14^[5].

Ці перетворення керують станом, представленим матрицею G, яка містить у кожній комірці 1 байт інформації^[5]. Матриця має розмір 8Х8 (при ${\displaystyle l=512}$) або 8Х16 (при ${\displaystyle l=1024}$)^[5].

Спочатку матриця G заповнюється послідовністю байт^[5]. Наприклад для послідовності 00 01 02 … 3f матриця G виглядає так^[5].

${\displaystyle \left[\begin{array}{cccccccc}00& 08& 10& 18& 20& 28& 30& 38\\ 01& 09& 11& 19& 21& 29& 31& 39\\ 02& 0a& 12& 1a& 22& 2a& 32& 3a\\ 03& 0b& 13& 1b& 23& 2b& 33& 3b\\ 04& 0c& 14& 1c& 24& 2c& 34& 3c\\ 05& 0d& 15& 1d& 25& 2d& 35& 3d\\ 06& 0e& 16& 1e& 26& 2e& 36& 3e\\ 07& 0f& 17& 1f& 27& 2f& 37& 3f\end{array}\right]}$^[5]

Аналогічно заповнюється матриця 8 X 16^[5].

Перестановки ${\displaystyle T_l^{\oplus }}$ і ${\displaystyle T_l^{+}}$ визначені як:

${\displaystyle T_l^{\oplus }}$ ${\displaystyle =}$ ${\displaystyle {\displaystyle \prod _{\nu =0}^{t-1}}(\psi \circ {\tau }^{(l)}\circ {\pi }^{\prime }\circ {\kappa }_{\nu }^{(l)})}$

${\displaystyle T_l^{+}}$ ${\displaystyle =}$ ${\displaystyle {\displaystyle \prod _{\nu =0}^{t-1}}(\psi \circ {\tau }^{(l)}\circ {\pi }^{\prime }\circ {\eta }_{\nu }^{(l)})}$^[5]

Функція ${\displaystyle {\kappa }_{\nu }^{(l)}}$ додає по модулю 2 вектор

${\displaystyle {\omega }_j^{(\nu )}=((j<<4)\oplus \nu ,0,0,0,0,0,0,0{)}^T}$

до кожного стовпця матриці стану (${\displaystyle \nu }$ — номер раунду)^[5].

Функція ${\displaystyle {\eta }_{\nu }^{(l)}}$ додає по модулю ${\displaystyle 2^{64}}$ вектор

${\displaystyle {\varsigma }_j^{(\nu )}=(0xF3,0xF0,0xF0,0xF0,0xF0,0xF0,0xF0(c-1-j)<<4{)}^T}$

до кожного стовпця матриці стану (${\displaystyle \nu }$ — номер раунду)^[5].

Функція ${\displaystyle {\pi }^{\prime }}$ підміняє елементи матриці стану ${\displaystyle g_{i,j}}$ підстановкою з одного з чотирьох S-блоків (номер S-блока визначається як ${\displaystyle imod4}$)^[5].

Функція ${\displaystyle {\tau }_l}$ виконує циклічний зсув вправо елементів матриці стану. Рядки з номерами ${\displaystyle i=0,1,2,3,4,5,6}$ зсуваються на ${\displaystyle i}$ елементів, а рядок 7 зсувається на 7 елементів при ${\displaystyle l=512}$ або на 11 елементів при ${\displaystyle l=1024}$^[5].

Для виконання функції ${\displaystyle \psi }$ кожен елемент матриці стану представляється як елемент скінченного поля ${\displaystyle GF(2^8)}$, сформованого незвідним поліномом ${\displaystyle x^8+x^4+x^3+x^2+1}$. Кожен елемент матриці стану ${\displaystyle u_{i,j}}$ обчислюється за формулою:

${\displaystyle u_{i,j}=(v>>>i)\oplus G_j}$

де ${\displaystyle v}$ — вектор (0x01, 0x01, 0x05, 0x01, 0x08, 0x06, 0x07, 0x04), а ${\displaystyle j}$ — номер стовпця матриці стану ${\displaystyle G}$^[5].

Автори запевняють, що диференціальні атаки і rebound-атаки неефективні вже після 4 ітерацій функцій перестановок. У таблиці наведені заявлені авторами показники криптостійкості.

У результаті незалежного криптоаналізу вдалося провести атаку тільки на перші 5 раундів; складність знаходження колізії для скороченої до 5 раундів функції Купина-256 складає 2¹²⁰.^[6][7]

Kupyna-reference — код референсної реалізаціі на C

cppcrypto — Бібліотека з відкритим вихідним кодом на C++

cryptonite — бібліотека криптографічних перетворень від ПриватБанку з відкритим програмним кодом на C, має експертний висновок UA.14360570.00001-01 90 01-1 за результатами державної експертизи у галузі КЗІ

Шаблон:Reflist

• Калина (шифр)
• СТРУМОК (шифр)
• Стандарти криптографії

Шаблон:Геш-функції та коди аутентифікації повідомлення Шаблон:ВП-портали