Sponge-Konstruktion

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Die sogenannte „Sponge“- oder Schwammkonstruktion unterteilt wie die MD-Konstruktion die Nachricht in Blöcke gleicher Länge. Der interne Zustand si = ri||ci ist jedoch größer und unterteilt sich in einen Teil ri, der mit Ein- und Ausgabe der Hashfunktion in direkter Beziehung steht, und einen Teil ci, der nicht direkt durch Ein- und Ausgaben beeinflussbar beziehungsweise sichtbar ist und als Kapazität („capacity“) des Schwamms bezeichnet wird.

Ablauf

Eine Schwammfunktion f bildet nun den internen Zustand si–1 auf den Folgezustand si ab und nimmt dabei nach der folgenden Regel den Nachrichtenblock mi per Exklusiv-Oder-Verknüpfung mit auf: Sponge-formel.jpg. Die Verarbeitung aller Nachrichtenblöcke auf diese Weise wird „Aufsaug“-Phase des Schwamms genannt.

Anschließend folgt die „Auspress“-Phase, bei der dem internen Zustand die Ausgabe der Krypto-Hashfunktion entnommen wird. Dazu wird der Zustand rn||cn, der sich nach dem Ende der „Aufsaug“-Phase ergeben hat, so lange nach der Vorschrift ri||ci = f(ri–1 ||ci –1) mit der Schwammfunktion weiter geschaltet, bis sich aus der Folge rn , rn+1,... so viele Bits entnehmen lassen, wie die konkrete Hashfunktion als Ausgabe haben soll.

Die Größe von r und c, der Anfangszustand s0 = r0||c0 des Schwamms und die Schwammfunktion selbst sind auch hier wieder Konstruktionsparameter einer konkreten Hash-Funktion.


Sicherheitsbeweis

Schon auf Ebene der generischen Konstruktion lassen sich – unter der Annahme, dass eine kryptografisch geeignete Schwammfunktion f verwendet wird – verschiedene Beweise zur Sicherheit führen. So ist der bei Stichwort Merkle-Damgård-Konstruktion geschilderte Verlängerungs-Angriff auf MD-Hashfunktionen bei Schwamm-Hashfunktionen nicht anwendbar.

Bemerkenswert an der Schwammkonstruktion ist weiterhin, dass sie nicht auf Krypto-Hashfunktionen beschränkt ist. Beispielsweise ergibt sich direkt eine Stromchiffre, wenn in der „Aufsaug“-Phase ein Schlüsselwert verarbeitet und in der anschließenden „Auspress“-Phase eine längere Pseudo-Zufallsfolge entnommen wird.

Quelle: Hans-Joachim Knobloch (Secorvo Security Consulting, Karlsruhe): „Schwamm drüber – Funktionsweise von SHA-3 (Keccak)“ in kes – Die Zeitschrift für Informationssicherheit“ 1/2013, S. 10 ff


Siehe übergeordnete Stichworte


Siehe auch



Diese Seite wurde zuletzt am 26. Februar 2013 um 13:09 Uhr von Peter Hohl geändert. Basierend auf der Arbeit von Oliver Wege.

Anzeigen