Etikettarkiv: NIST

Presentationer från NISTS sista SHA-3-konferens

I slutet av mars anordnade NIST den sista SHA-3-konferensen. Målet med konferensen var att få in så mycket information som möjligt om finalisterna inför NISTs beslut om vilken algoritm som kommer att blir den nya hashfunktionen SHA-3. NIST har en sida för konferensen och där finns nu alla presentationer och artiklar som presenterades.

Det finns ett flertal intressanta presentationer om implementationer, både i hårdvara och i program. För högpresterande hårdvaruimplementationer i FPGA och ASIC ser finalisten Keccak ut att vara överlägsen, både i ren råprestanda och prestanda viktad mot kostnad. På senaste generationer av CPU:er ser dock BLAKE att vara överlägsen rent prestandamässigt.

För små, inbyggda system ser Gröstl och Blake att ge minimala implementationer med där Keccak återigen ger bäst prestanda viktad mot kostnad. Det finns även intressanta resultat vad gäller sidottacker på implementationer och säkerhetsanalyser av algoritmerna.

På konferensen ställde även NIST frågan till deltagarna om vilka kandidater de föredrar genom att humma. Skaparen av BLAKE, JP Aumasson rapporterde resultatet:

Top: Keccak, then BLAKE. Deafening silence: Skein. Ouch.

När skaparna av finalisterna fick frågan vilken algoritm förutom sin egen de föredrog blev resultatet:

  • Skein -> BLAKE
  • Groestl -> JH
  • JH -> Keccak
  • BLAKE -> Skein
  • Keccak -> Groestl

Om man jämför med humm-frågan ser det ut att vara rätt mycket taktik i de valen.

IETF 83 några dagar efter SHA-3-konferensen höll NIST en mycket intressant presentation om SHA-3 (länken pekar på PPT-fil). För att få en känsla av hur NIST resonerar är den här presentationen väl värd att bläddra igenom. I presentationen pekar man ut att SHA-3 inte kommer att ersätta SHA-2, inte minst då SHA-3 knappast kommer att ge mycket bättre prestanda. NIST ser att SHA-2 är effektiv, inte minst i inbyggda system. Däremot kommer SHA-3 att kunna ge mycket högre prestanda för hashbaserade meddelandekoder (MAC). NIST påpekar även i sin presentation att det analysarbete av kryptografiska hashfunktioner som bedrivits sedan 2005 gör att man i dag är mindre orolig för säkerheten hos SHA-256 och andra SHA-2-algoritmer. NIST ber i sin presentation IETF om synpunkter på hur hashfunktioner bör anpassas för olika protokoll och miljöer, detta för att ta med dessa synpunkter i sitt val av vinnande algoritm.

För den som vill bidra till SHA-3-processen vill NIST få in detta innan den första juni. Sedan är det dags för NIST-juryn att överlägga och berätta vem som är vinnare. (Inte säker på att SHA-3-överläggningen skulle göra sig lika bra i TV som Project Runway.). Enligt NIST kommer vinnaren att utses i slutet av året.

Har du information du anser att NIST bör ta med i sin bedömning är det dags att agera. Sedan blir det spännande att sätta tänderna i den nya, fräscha SHA-3. Nästan som en julklapp.

NISTs motivering till SHA-3-finalisterna

För ett par veckor sedan publicerade NIST ett dokument som sammanfattar status för SHA-3 tävlingen, hur NIST utvärderat och bedömt alla kandidater samt ger NISTs motivering till de fem finalister man valt ut och de man inte valde ut. För de fem finalisterna skriver NIST följande:

BLAKE

BLAKE was selected as a finalist, due to its high security margin, good performance in software,
and its simple and clear design.

Grøstl

Grøstl was selected as a finalist because of its well-understood design and solid performance,
especially in hardware. While Grøstl’s security margin is not ideal, NIST views it in light of the extensive amount of cryptanalysis that has been published, both on Grøstl itself and the larger AES structure on which Grøstl is based. Due to the large amount of existing cryptanalysis, NIST feels that future results are less likely to dramatically narrow Grøstl’s security margin than that of the other candidates.

JH

JH was selected as a finalist because of its solid security margin, good all-around performance,
and innovative design.

Keccak

Keccak was selected as a finalist, mainly due to its high security margin, its high throughput and
throughput-to-area ratio and the simplicity of its design.

Skein

Skein was selected as a finalist, mainly due to its high security margin and speed in software.

Mer info om respektive kandidat, hur dom utvärderats och bedömts finns i dokumentet. Och förhoppningsvis blir det som NIST skriver i dokumentet – att vi får nya, riktigt bra hashfunktioner i 2012.

NIST föreslår nya hashfunktioner

NIST har släppt ett förslag till uppdatering av sin standard för hashfunktioner, FIPS 180.

Förslaget till FIPS 180-4 (dvs revision fyra) inkluderar de nya funktionerna SHA-512/224 och SHA-512/256. Som man kanske kan gissa sig till från namnen är detta varianter av SHA-512, men där utresultatet kapats (trunkerats) till 224 respektive 256 bitar.

Skälet till att NIST specificerar dessa versioner är att på en 64-bitars processorarkitektur är SHA-512 snabbare än SHA-256. De nya versionerna är därför tänkta att ersätta (eller iaf komplettera) SHA-224 och SHA-256 och ge bättre prestanda.

SHA-512 har större blockstorlek och kräver därför mer minne. Men på en 64-bitars arkitektur finns det troligen tillräckligt minne för att detta inte ska vara ett problem.

Senare i år kommer förhoppningsvis en eller flera helt nya hashfunktioner från NIST, men det är en stund kvar tills att AHS-tävlingen är avgjord.