Suisse 2011
PAR
Juraj Šarinay
Svetlane
RésuméNous considérons plusieurs fonctions de hachage "prouvablement sûres" calculant de simples sommes dans un groupe bien choisi (G, * ). Les propriétés de sécurité de telles fonctions se traduisent prouvablement et de manière naturelle en des problèmes calculatoires sur G, qui sont simplesà définir etégalement potentiellement difficilesà résoudre.Étant donnés k listes disjointes L i d'éléments du groupe, le problème de la k-somme consisteà trouver un g i ∈ L i tel que g 1 * g 2 * . . . * g k = 1 G . La difficulté de ce problème dans divers groupes respectifs découle de certaines suppositions "standard" en cryptologieà clef publique, telles que la difficulté de la factorisation des entiers, du logarithme discret, de la réduction de réseaux, ou du décodage par syndrome. Nous exposons des indices montrant que le problème de la k-somme puisseêtre encore plus difficile que ceux susmentionnés.Deux fonctions de hachage basées sur le problème de la k-somme, FSB et SWIFFTX, ontété soumises au NIST comme candidates pour le futur standard SHA-3. Les deux candidaturesétaient appuyées par une quelconque preuve de sécurité. Nous montrons que l'estimation des niveaux de sécurité dans ces candidatures est sans rapport avec les preuves fournies. Les revendications en matière de sécurité ne sont soutenues que par des considérations sur des attaques existantes. En introduisant des bornes de "second ordre" sur les bornes de sécurité, nous montrons les limites d'une telle approche de la sécurité prouvable.Un problème dans la manière de quantifier la sécurité n'implique pas nécessairement un problème avec la sécurité elle-même. Bien que FSB traîne une histoire d'échecs, des versions récentes des deux fonctions susmentionnées se sont montrées bien résistantes aux efforts de cryptanalyse. Ceci, ainsi que les multiples connexions avec d'autres problèmes standard, indiquent que le problème de la k-somme dans certains groupes pourraitêtre considéré comme difficile en lui-même, et peut-être conduireà des bornes de sécurité prouvables. La complexité de l'algorithme de l'arbre non-trivial est en train v vi de devenir un outil standard pour en mesurer la difficulté associée.Nous proposons des modifications du Very Smooth Hash multiplicatif, et dérivons la sécurité des k-sommes multiplicatives, contrairement aux réductions originales apparentéesà la factorisation ou au logarithme discret. Bien que les réductions originales demeurent valides, nous mesurons la sécurité d'une manière nouvelle et plus agressive. Ceci nous permet d'assouplir les paramètres et de hacher plus vite. Nous obtenons une fonction qui n'est que trois fois plus lente que SHA-256, et que nous estimons offrir au moins une résistanceéquivalente aux collisions. La vitesse peutêtre doublée par l'usage d'un module spécial, la sécurité de la fonction modifiée est justifiée uniquement par la difficulté des k-sommes multiplicatives modulo une puissance de deux.Nos efforts culminent en une nouvelle fonction de k-sommes multiplicatives, qui gé...