Добавлены лекции 26 и 28

1 files changed, 170 insertions, 0 deletions

diff --git a/cryptography/lectures/lecture26.tex b/cryptography/lectures/lecture26.tex
new file mode 100644
index 0000000..0aa81f0
--- /dev/null
+++ b/cryptography/lectures/lecture26.tex
@@ -0,0 +1,170 @@
+% Лекция 25 (21.04.23)
+
+% TODO: УБРАТЬ ИЗ СЛОВАРЯ КОНКАТЕНЦИЮ
+Стартовый вектор хэширования длины 128 бит представляет собой конкатенацию
+четырёх констант: $01234557 \| 89abcdef \| fedcba98 \| 76543210$. При вычислении
+используется накопитель, содержащий четыре 32-разрядных слова A, B, C, D.
+Исходным заполнением накопителя являются слова стартового вектора хэширования.
+
+Обработка 16-словного блока $M_i$, $1 \leq i \leq n$, осуществляется за четыре
+цикла, каждый из которых включает в себя 16 шагов.
+
+На каждом шаге $j$-го цикла, $1 \leq j \leq 4$, выполняются операции:
+\begin{align*}
+  t &:= B + (A + f_j(B, C, D) + M_i[z[i]] + y[i]), \\
+  (A, B, C, D) &:= (D, B + t \lll s[i], B, C).
+\end{align*}
+где $M_i[z[i]]$ --- слово, выбранное из $M_i$ в соответствии с перестановкой
+$z$; $X \lll k$ --- циклический сдвиг слова $X$ влево на $k$ бит; <<+>> ---
+операция сложения по модулю $2^{32}$.
+
+Таким образом, на каждом шаге выполняются четыре операции сложения и одна
+операция сдвига, вычисляется значение одной цикловой функции.
+
+Выходом каждой итерации является конкатенация текущих значений четырёх слов
+накопителя.
+
+После обработки блока $M_n$ итоговым сжатым образом аргумента будет
+128-разрядная строка из четырёх слов: $A \| B \| C \| D$.
+
+Поскольку нелинейнойсть операции $f_i$ мала, нелинейные свойства итогового
+преобразования определяются влиянием переносов при сложении.
+
+Хэш-функция MD5 считается небезопасной и желательно отказаться от её
+использования.
+
+
+\paragraph{SHA.}
+
+Защищённый алгоритм хэширования (Secure Hash Algorithm --- SHA) разработан
+Управлением национальной безопасности США (National Security Agency --- NSA)
+и стандартизирован институтом NIST в 1995 году.
+
+Первая версия этого алгоритма называлась просто SHA (теперь её часто называют
+SHA0) и имела весьма существенный недостаток. В NSA обнаружили этот недостаток
+и разработали метод его исправления. Это было опубликовано NIST в качестве
+улучшенной версии алгоритма SHA под названием SHA1. Тем не менее NIST не привёл
+никаких сведений о найденном недостатке.
+
+Через три года два французских исследователя Шабо и Жу опубликовали статью
+о слабом месте алгоритма SHA0. Эта ошибка была исправлена в алгоритме SHA1,
+поэтому можно предположить, что речь идёт именно о том загадочном недостатке,
+который был обнаружен NSA.
+
+SHA1 --- это 160-битовая функция хэширования, основанная на алгоритме MD4.
+Функция SHA1 использует 160-битовое промежуточное состояние, которое разбивается
+на пять 32-битовых слов. Как и MD5, она состоит из четырёх раундов, представляющих
+собой комбинацию элементарных операций над 32-битовыми словами.
+
+Вместо того чтобы обрабатывать каждый блок сообщения по четыре раза, SHA1
+использует линейную рекуррентную функцию, чтобы <<растянуть>> 16 слов блока
+сообщения до нужных ей 80 слов.
+
+Это обобщение метода, используемого в MD4. В MD5 каждый бит сообщения
+используется функцией перемешивания по четыре раза. В SHA1 наличие линейной
+рекуррентной функции гарантирует, что каждый бит сообщения используется
+функцией перемешивания по меньшей мере 10 раз.
+
+Что интересно, единственным отличием SHA1 от SHA0 стало добавление к линейной
+рекуррентной функции циклического сдвига на один бит.
+
+Сегодня подбор серверного ключа аутентификации SHA1, то есть \emph{коллизия с
+выбранным префиксом} (данная методика позволяет для любых сообщений $x$ и $y$
+найти такие последовательности $q_1$ и $q_2$, что $H(x \| q_1) = H(y \| q_2)$),
+на арендованном кластере GPU обойдётся в \$45 тыс.
+
+Это делает атаку доступной не только для государственных спецслужб, но и для
+коммерческих клиентов, поэтому список пользователей SHA1 становится меньше. SHA1
+считается уязвимым и содержащим дефекты в алгоритме и рекомендуется перейти на
+более надёжные альтернативы.
+
+Хеш-функции SHA2 была разработана Агентством национальной безопасности США и
+опубликована Национальным институтом стандартов и технологий (NIST) в качестве
+стандарта FIPS PUB 180-2 в августе 2002 года. В этот стандарт также вошла
+хеш-функция SHA1.
+
+SHA2 имеет четыре варианта: SHA-256, SHA-384 и SHA-512, которые называются в
+соответствии с количеством битов в выходных данных.
+
+D 2007 году был объявлен конкурс на новый стандарт криптографических функций
+хэширования США SHA3.
+
+
+\paragraph{Стандарт ГОСТ Р 34.11-2012}
+
+Первый отечественный стандарт хэш-функции был принят в 1994 году. Это ГОСТ
+Р 34.11-94, в котором определена хэш-функция $h : \set{0, 1}^* \to \set{0,
+1}^{256}$
+
+В 2012 году российский стандарт хэш-функции стандарт хэш-функции был
+модифицирован Центром защиты информации и специальной связи ФСБ России при
+участии ОАО <<ИнфоТеКС>> (<<Информационные технологии и коммуникационные
+системы>>) и приказом Федерального агентства по техническому регулированию
+и метрологии от 7 августа 2012 г. №216-ст новый стандарт ГОСТ Р 34.11-2012
+<<Информационная технология. Криптографическая защита информации. Функция
+хэширования>> был введён в действие с 1 января 2013 года.
+
+Необходимость разработки настоящего стандарта вызвана потребностью в создании
+хэш-функции, соответствующей современным требованиям к криптографической
+стойкости и требованиям стандарта ГОСТ Р 34.10-2012 на электронную цифровую
+подпись.
+
+Данный стандарт определяет две функции хэширования $h : \set{0, 1}^* \to
+\set{0, 1}^n$ с длинами хэш-кода $n = 256$ бит и $n = 512$ бит.
+
+Неофициальные названия: <<Стрибог-256>> и <<Стрибог-512>>.
+
+\begin{enumerate}
+  \item
+    \textbf{Значение параметров.}
+
+    \begin{enumerate}
+      \item
+        Значение инициализационного вектора IV для функции хэширования с длиной
+        хэш-кода 512 бит равно $0^{512}$, для функции хэширования с длиной
+        хэш-кода 256 равно $(00000001)^{64}$.
+      \item
+        Нелинейное биективное преобразование множества двоичных векторов
+        $\set{0, 1}^8$ задаётся подстановкой $\pi = \fn{Vec}_8 \pi' \fn{Int}_8 :
+        \set{0, 1}^8 \to \set{0, 1}^8$, где $\pi' : Z_{2^8} \to Z_{2^8}$.
+        Значение подстановки $\pi'$ заданы в стандарте в виде массива
+        $\pi' = (\pi'(0), \pi'(1), \dots, \pi'(255))$, в котором в определённом
+        порядке записаны числа от 0 до 255. Например, $\pi'(22) = 153$.
+      \item
+        Значение перестановки $\tau \in S_{64}$ записаны в стандарте в виде
+        массива $\tau = (\tau(0), \tau(1), \dots, \tau(63))$, в котором в
+        определённом порядке записаны числа от 0 до 63. Например, $\tau(22) =
+        50$.
+      \item
+        Линейное преобразование $l$ множества двоичных векторов $\set{0,
+        1}^{64}$ задаётся умножением справа на матрицу $A$ над полем $GF(2)$,
+        строки которой заданы в стандарте последовательно в шестнадцатеричном
+        виде. Например, 22 строка матрицы $A = 8a174a9ec8121e5d$.
+      \item
+        Итерационные константы $C_i$, $i = 1, \dots, 12$, записаны в стандарте
+        в шестнадцатеричном виде. Значение константы, записанное в виде
+        $a_{127} \dots a_0$, где $a_i \in \Z_{16},\, i = 0, \dots, 127$, есть
+        $\fn{Vec}_4(a_{127}) \| \dots \| \fn{Vec}_4(a_0)$.
+    \end{enumerate}
+
+  \item
+    \textbf{Преобразования.}
+
+    % TODO: дописать
+    \begin{enumerate}
+      \item
+        $X[k] : \set{0, 1}^{512} \to \set{0, 1}^{512}, X[k](a) = k \oplus a,\,
+        k, a \in \set{0, 1}^{512}$.
+      \item
+        $S : \set{0, 1}^{512} \to \set{0, 1}^{512},\, S(a) = S(a_{64} \| \dots \|
+        a_0) = \pi(a_{63}) \| \dots \| \pi(a_0)$, где $a \in \set{0, 1}^{512},
+        a_i \in \set{0, 1}^8$, $i = 0, \dots, 63$.
+      \item
+        $P : \set{0, 1}^{512} \to \set{0, 1}^{512},\, P(a) = P(a_{63} \| \dots \|
+        a_0) = a_{t(63)} \| \dots \| a_{\tau(0)}$, где $a \in \set{0, 1}^{512},
+        a_i \in \set{0, 1}^8$, $i = 0, \dots, 63$.
+      \item
+        $L : \set{0, 1}^{512} \to \set{0, 1}^{512},\, L(a) = L(a_7 \| \dots \|
+        a_0) = l(a_7) \| \dots \| l(a_0)$, где $a \in \set{0, 1}^{512}, a_i \in$
+    \end{enumerate}
+\end{enumerate}