Русская Википедия:POLY1305-AES
POLY1305-AES — код аутентификации сообщения (англ. MAC) ,разработанный Шаблон:Нп3. Является комбинацией POLY-1305 и AES-128 , и как любой код аутенфикации, POLY1305-AES[1] можно использовать для проверки целостности данных и подлинности сообщения.
Poly1305-AES вычисляет 16-байтовый аутентификатор сообщения любой длины, используя 16-байтовый одноразовый номер (уникальный номер сообщения) и 32-байтовый секретный ключ.
AES используется для шифрования одноразового номера, чтобы получить уникальную (и секретную) 128-битную строку, но при желении AES-128 можно заменить любой другой функцией c гарантией безопасности, например ChaCha20.
Обзор
Аргументы POLY1305-AES
Poly1305-AES получает на вход[2]
- Сообщение произвольной длины <math>m</math>
- 16-байтовый ключ <math>\mathrm{AES}_k</math>
- 16-байтовый дополнительный ключ <math>r</math>
- 16-байтовое однократно используемое число <math>n</math>.
и вычисляет 16-байтовый аутентификатор <math>\operatorname{Poly1305}_r (m, AES_k(n))</math>.
Ключ <math>r</math> представляет собой 128-битное целое число r с прямым порядком байтов от младшего к старшему (англ. little-endian ), т.е. <math> r = r[0]+ 2^8r[1]+...+2^{120}r[15]</math>. При этом ключ <math>r</math> должен соответствовать определённым требованиям: у <math>r[3]</math>, <math>r[7]</math>, <math>r[11]</math> и <math>r[15]</math> первые 4 из 8 битов должны быть равны 0, а у <math>r[4]</math>, <math>r[8]</math> и <math>r[12]</math> последние 2 бита должны быть равны 0. Таким образом <math>r</math> может принять <math>2^{106}</math> различных значений
Алгоритм
- Poly1305 разбивает сообщение <math> m = (m[0], m[1], \ldots, m[L-1])</math> на фрагменты длиной 16 байт.
- К каждому 16-байтовому фрагмент сообщения добавляется единица до 17 байт для использования в качестве коэффициента полинома. Если последний фрагмент сообщения размером от 1 до 15 байт, то к фрагменту добавляется единица, а дальше до 17 байт всё заполняется нулями. Коэффициенты <math>c_1,\ldots,c_q</math> полинома <math>c_1r^q + c_2r^{q-1} + \ldots + c_qr^1</math> , где <math>q = \left[ {L\over 16} \right]</math> вычисляются по формуле:
<math>c_i = m[16i - 16] + 2^8 m[16i - 15] + 2^{16} m[16i - 14] + \cdots + 2^{120} m[16i - 1] + 2^{128} </math>.
Если <math>L</math> не делится нацело на 16, то используют формулу:
<math>c_q = m[16q - 16] + 2^8 m[16q - 15] + \cdots + 2^{8(L \bmod 16) - 8} m[L - 1] + 2^{8 (L \bmod 16)}.</math> - Полином вычисляется в точке <math>r</math> по модулю <math>2^{130}-5</math> и складывается с 16-байтной зашифрованной строкой , полученной на выходе <math>\mathrm{AES}_k(n)</math>, где <math>n</math> -однократно используемое число.<math>(((c_1r^q + c_2r^{q-1} + \ldots + c_qr^1)\mathrm{mod}2^{130}-5)+ \mathrm{AES}_k(n)</math>
- Берём остаток от деления на <math>2^{128}</math> и закодируем его, получив хэш длиной 16 байт.
Выбор стуктурных элементов при разработке алогритма
Изначально для деления по модулю рассматривались простые числа больше <math>2^{128}</math> (128 битов – длина фрагмента сообщения). Для простоты вычислений было решено выбрать простое число <math>2^{130}-5</math>.
Причин, по которым алгоритм использует однократно используемое число <math>n</math> несколько: Во-первых, вероятность взлома протоколов, не использующих такие числа <math>n</math> можно выразить формулой: <math>\frac{C(C + D)L}{2^{106}}</math>, где <math>C</math> количество сообщений, <math>D</math> – количество попыток взлома, <math>L</math> -максимальная длина сообщения. А с однократно используемым числом вероятность будет такая: <math>\frac{DL}{2^{106}}</math>. Во-вторых, одноразовые номера позволяют проводить выполнение алгоритма AES-128 параллельно с другими операциями Poly1305-AES, что уменьшает общее время вычисления аутентификатора. В-третьих, большинство протоколов так или иначе имеют такие одноразовые номера для более безопасного шифрования.
Длина дополнительного ключа <math>r</math> была ограничена 16-ю байтами для ускорения вычислений. При этом возможен ключ длинее для усиления безопасности, но текущая вероятность взлома достаточно низкая, чтобы считать алгоритм при текущей длине ключа безопасным. Но при увеличении длины ключа, общее время вычисления будет слишком долгим, что лишит POLY1305-AES преимущества перед другими алгоритмами. Так же для ключа был выбран прямой порядок байтов, вместо обратного (англ. Big-endian), так как он экономит время на самых популярных процессорах.
Алгоритм POLY1305, написанный на псевдокоде
Криптостойкость
Принято считать, что безопасность POLY1305-AES гарантирована, если можно гарантировать безопасность алгоритма AES. Если у злоумышленника есть <math>C</math> зашифрованных сообщений и он совершает D попыток взлома сообщений длиной не больше <math>L</math> байтов, <math>\delta</math> - вероятность взлома AES, то вероятность взлома POLY1305-AES будет <math display="block">
\delta + \frac{(1 - C/2^{128})^{-(C + 1)/2} \cdot 8 D \lceil L/16\rceil}{2^{106}}.
</math> Рассмотрим случай, когда сообщения представляют из себя пакеты длиной до 1536 байт, злоумышленник имеет <math>2^{64}</math> сообщений зашифрованных POLY1305-AES и совершает <math>2^{64}</math> попыток взломать, а вероятность взлома<math>\delta \leq 2^{-40}</math> . В таком случае вероятность, что злоумышленник не сможет взломать код аутентификации послания <math>\geq 0.999999999998</math>[4]. Для сравнения, при таких параметрах можно легко взломать другие 16-байтные MAC, например CBC-AES, HMAC-MD5 и DMAC-A.
Скорость
Poly1305-AES можно вычислять с чрезвычайно высокой скоростью, например для AMD Athlon требуется менее 3.1n + 780 циклов для сообщения длиной n байт. Даниэль Дж. Бернштейн опубликовал исходный код на SPARC, AIX, macOS, Pentium Pro/II/III/M и Athlon. А также эталонную реализацию алгоритма на C, C++, Python и Perl[5].
Иплементация
Ниже представлен список криптографических библиотек, в которых есть реализация Poly1305:
- Botan
- Bouncy Castle
- Crypto++
- Libgcrypt
- NaCl
- Nettle
- OpenSSL
- LibreSSL
- wolfCrypt
- GnuTLS
- mbed TLS
- MatrixSSL
Примечания
Ссылки
См. также
