Об универсальном древовидном режиме выработки хэш-кода Текст научной статьи по специальности «Компьютерные и информационные науки»

Dmitriy S. Bogdanov, Farkhad A. Dali, Research and development in the field

Vladimir O. Mironkin of new IT and their applications

УДК 003.26

DOI: 10.25559/SITITO.14.201802.419-425

ОБ УНИВЕРСАЛЬНОМ ДРЕВОВИДНОМ РЕЖИМЕ ВЫРАБОТКИ ХЭШ-КОДА

Д.С. Богданов1, Ф.А. Дали2, В.О. Миронкин3

1 Лаборатория ТВП, г. Москва, Россия

2 Технический комитет по стандартизации «Криптографическая защита информации», г. Москва, Россия

3 Национальный исследовательский университет «Высшая школа экономики», г. Москва, Россия

ON THE UNIVERSAL TREE MODE OF HASH CODE GENERATION

Dmitriy S. Bogdanov1, Farkhad A. Dali2, Vladimir O. Mironkin3

1 Laboratory of TVP, Moscow, Russia

2 Technical Committee of Standardization Cryptography Information Security, Moscow, Russia

3 National Research University Higher School of Economics, Moscow, Russia

© Богданов Д.С., Дали Ф.А., Миронкин В.О., 2018

Ключевые слова

Аннотация

Хэш-функция; хэш-код; распараллеливание вычислений; дерево хэширования; деревья Меркла; режим; алгоритм; форматирование.

Классические подходы к построению режимов работы хэш-функций, основанные на использовании итеративных процедур, не позволяют обеспечить эффективную обработку больших объемов данных и не могут быть адаптированы к параллельным вычислительным архитектурам. Это касается как российского криптографического стандарта ГОСТ Р 34.11-2012, определяющего алгоритм и процедуру вычисления хэш-функции, так и многих других зарубежных стандартов (например, SHA-3). Отсутствие действующих стандартов в части режимов работы хэш-функций ГОСТ Р 34.11-2012 создает острую необходимость разработки отечественного стандарта параллелизуе-мого режима выработки хэш-кода.

Настоящая статья посвящена исследованию и разработке новых режимов выработки хэш-кода, допускающих эффективное распараллеливание процесса вычислений и обеспечивающих криптографическую стойкость, удовлетворяющую современным требованиям. Данная работа продолжает исследования, проводимые авторами, и предлагает принципиально новый универсальный древовидный режим выработки хэш-кода («FT-режим»), построенный на основе Ьарных деревьев хэширования и позволяющий применять в качестве механизма формирования узлов дерева любое сжимающее отображение. При этом стойкость режима полностью определяется стойкостью соответствующего сжимающего отображения. Так, в частности, для формирования узлов дерева хэширования, наряду с функциями сжатия и хэш-функциями, FT-режим допускает использование блочных шифров, подстановочных преобразований и т.д. В дополнение к этому FT-режим исключает основные функциональные недостатки известных древовидных режимов выработки хэш-кода, влияющие на их эксплуатационно-технические и криптографические качества. В рамках настоящих исследований вычислен ряд характеристик FT-режима, а также проведен сравнительный анализ временной и вычислительной трудоемкостей реализаций FT-режима и некоторых иностранных режимов древовидного хэширования, по результатам которого разработанный режим не уступает ни одному из рассмотренных.

|Об авторах:|

Богданов Дмитрий Сергеевич, старший научный сотрудник, Лаборатория ТВП (117418, Россия, г. Москва, Нахимовский проспект, д. 47), ORСID: http://orcid.org/0000-0001-6178-6420, bogdanovds@rambler.ru

Дали Фархад Алишерович, эксперт, Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) (127287, Россия, г. Москва, Старый Петровско-Разумовский проезд, д. 1/23, стр. 1), ORСID: http://orcid.org/0000-0002-3344-9766, dali_fa@tc26.ru Миронкин Владимир Олегович, старший преподаватель, кафедра компьютерная безопасность, Национальный исследовательский университет «Высшая школа экономики» (123458, Россия, г. Москва, ул. Таллинская, д. 34), ORСID: http://orcid.org/0000-0002-5606-7509, mironkin.v@mail.ru

Vol. 14, no 2. 2018 ISSN 2411-1473 sitito.cs.msu.ru

Modern Information Technologies and IT-Education

Keywords

Abstract

Hash function; hash code; parallelization of calculations; hash tree; Merkle trees; mode; algorithm; formatting.

Classical approaches to the construction of hash function modes, based on the using of iterative procedures, do not allow efficient processing of large amounts of data and can't be adapted to parallel computing architectures. It applies to both the Russian cryptographic standard GOST R 34.11-2012, which determines the algorithm and procedure for calculating the hash function, as well as many other foreign standards (for example, SHA-3). The absence of standards for parallelized modes for the hash functions of GOST R 34.11-2012 creates an urgent need for the development of the domestic standard of the parallelized mode of hash code.

This article is devoted to the research and development of new modes of hash code generation that allow efficient parallelization of the computation process and provide cryptographic resistance satisfying modern requirements. This work continues the research carried out by the authors, and offers a fundamentally new tree mode of hash code generation ("FT-mode"), based on l-ary hash trees and allowed to use any compression mapping for a mechanism of forming tree nodes. The resistance of the mode is completely determined by the resistance of the corresponding compressive mapping. In particular, the FT-mode allows using block ciphers and substitution transformations to form nodes of a hash tree along with compression functions and hash functions. In addition, the FT-mode excludes the main functional disadvantages of the known tree modes of hash code generation that affect their operational, technical and cryptographic quality.

Within the framework of the present research a number of characteristics of FT-mode are calculated, and a comparative analysis of the time and computational complexity of implementations of FT-mode and some foreign tree hash modes is carried out. The corresponding results showed that the developed mode is not inferior to any of the considered modes.

1. Введение

Одним из основных требований, предъявляемых к современным итеративным методам хэширования, предназначенным для решения задач обеспечения целостности информации и аутентичности субъектов (объектов) информационного взаимодействия, является возможность их адаптации к параллельным вычислительным архитектурам. Далеко не все стандартизированные решения в области синтеза хэш-функций имеют высокую степень распараллеливания (это касается и отечественного стандарта ГОСТ Р 34.11-2012 [1]).

Разработка режимов распараллеливания работы хэш-функций, удовлетворяющих полному спектру современных эксплуатационно-технических и криптографических требований, становится все более актуальной в силу их применения в различных практических приложениях (проверка цифровой подписи, передача больших объемов данных и т.д.). Так наиболее ярким примером их использования в повседневной жизни является хорошо известная технология Blockchain [2, 3, 4], на основе которой работают современные платежные системы Bitcoin и Litecoin, а также формируются различные финансовые Blockchain-плат-формы.

Существующие режимы распараллеливания работы хэш-функций [5, 6, 7, 8, 9], описанные в [10], обладают рядом существенных функциональных недостатков, которые в ряде случаев отрицательно сказываются как на их эффективности, так и на криптографической стойкости.

В настоящей статье описан новый универсальный древовидный режим выработки хэш-кода - «FT-режим» (от английского «Format Tree's mode»), исключающий соответствующие недостатки и позволяющий использовать любой криптографический примитив (функции сжатия, хэш-функции и т.д.). При этом стойкость режима полностью определяется стойкостью соответствующего сжимающего отображения.

2. Описание FT-режима

При определении РТ-режима будем использовать обозначения и терминологию, введенные в работах [11, 12]. Так, в частности,

1. п - длина исходного сообщения М е V*;

2. т - размерность области определения внутренней функции к;

3. г - длина векторов, используемых для записи служебной информации;

4. I - размерность области значений внутренней функции А;

5. ЬХбп: V* —> Уп - отображение, ставящее в соответствие вектору гн ||... || г, || г0, к>п , вектор 2п_х ||...||^ ||-^о;

6. МБВп: V* —»Уп - отображение, ставящее в соответствие вектору гк1 |... || г1 || г0, к>п , вектор гк_1 \\гк_2 \\.. .\\ гк_п-,

7. ЕВ - операция сложения в кольце Z2,;

8. хг - представление числа х в виде двоичного

вектора длины г.

Древовидный РТ-режим выработки хэш-кода основан на /-арных деревьях хэширования [11], являющихся обобщением деревьев Меркла [13], в которых в качестве механизма формирования узлов используется произвольное отображение к: Ут —> V, , т>1 (далее — внутренняя функция). При этом внутренняя функция Л представляется в следующем виде:

Современные информационные технологии и ИТ-образование

Том 14 № 2 (2018) ISSN 2411-1473 sitito.cs.msu.ru

Dmitriy S. Bogdanov, Farkhad A. Dali, Vladimir O. Mironkin

Research and development in the field of new IT and their applications

421

h : V^

■vt,

[1)

Таким образом, алгоритм выработки хэш-кода //(М)

где / > 1 - арность дерева хэширования, И - число бит, произвольного сообщения М е Уя на основе функции g выделенных под блоки сообщения, а 2Г >1Ъ (I — 1)

и + 1

т

ml"

Замечание 1. Величина г определяет размер векторов, предназначенных для записи элементов счетчиковой последовательности, используемой при нумерации узлов дерева хэширования, а также максимальное значение длины обрабатываемых сообщений. Так, при фиксированных 1,1, г РТ-режим позволяет вычислять хэш-код от сообщений длины

п<

I1

-й-1.

Использование нумерации узлов дерева хэширования в процессе выработки хэш-кода исключает возможность построения второго прообраза за счет появления внутренних коллизий [14, 15]. Действительно, если исходное сообщение М подобрано так, что, оно не требует форматирования, то при появлении внутренней коллизии (совпадении значений узлов дерева хэширования) второй прообраз может быть построен за счет замены поддеревьев с корнями в соответствующих узлах (рис. 1).

Рис. 1. Построение второго прообраза за счет внутренней коллизии Fig. 1. Construction of the second prototype due to internal collision

В свою очередь, при нумерации всех узлов дерева хэширования вероятность появления внутренней коллизии становится равной нулю, что исключает появление указанных поддеревьев.

Перейдем к описанию режима выработки хэш-кода. FT-режим состоит из следующих процедур:

1. Дополнение исходного сообщения М служебной информацией;

2. Форматирование сообщения (приведение сообщения к требуемой длине);

3. Построение полного дерева.

Процедура преобразования слоев дерева хэширования является итерационной. Каждая итерация представляет собой обработку текущего слоя дерева с использованием функции

сжатия g

mlР

:Z xV „ „ ,,ps]

2 mlP mlP Г

iu

{0}:

где 4 e Vm, i = l,F , x <

jtar

имеет вид:

Алгоритм 1

1. Процедура дополнения; 1.1. Сообщение М длины п дополняем битом 1 и делим полученное сообщение на блоки длины т — г:

M||1 = M(1)||...||MW,

и + 1

где р =

т-г

1.2. Если длина блока ММ не превосходит т — г , дополняем его вектором вида (00...0) до длины т-г;

1.3. Каждый блок дополняем г-битным представлением его порядкового номера, формируя сообщение М' длины

и + 1

п = m

т — г

M' = MW ||L ||...||MW ||(00...0)||pr;

2. Процедура форматирования;

2.1. Вычисляем максимальное число teNu |0j такое, что

п' > тГ;

2.2. Формируем вектор М{:

• если п = тГ, то Ml = М';

• если п' > тГ, подвектор MSB (М') дополняем вектором а длины m(l — l) — с:

а = ((W)II Jmi, II (W>II рШ2г II...II (W)II^Шд

m-r m-r m-r

где s = l — 1 ——, с - остаток от деления п' — тГ на т

т (/ —1). При этом полагаем p = p + s и Мх = g;A, (р,а || MSBn, miT+A, (М')) || tSBmir_A, (М'),

где Л' =-Т

3. Процедура построения дерева;

4.

4.1. Полагаем i = 1, j = р\

4.2. Если г < г +1 , вычисляем Mi+i= , полагаем i = i +1, j = j + ~ и переходим к шагу 3.2, в

противном случае полагаем Н (М} = MSBt ) , и алгоритм заканчивает работу.

Vol. 14, no 2. 2018 ISSN 2411-1473 sitito.cs.msu.ru

Modern Information Technologies and IT-Education

Замечание 2.

Замечание 3.

В отличие от известных режимов (например, Бакига [6]) дополнение вектора М' на этапе форматирования осуществляется до применения внутренней функции к, что исключает возможность проведения атак основанных на дополениях верхних слоев деревьев хэширования. При этом максимальная длина вектора специального вида, используемого

для дополнения, не превосходит величины т(1 — 1) — 1, что

гораздо эффективнее, чем, например, в режиме МЮ6 [9].

Следует также отметить, что использование форматирования до построения первого слоя дерева хэширования обеспечивает равномерность использования блоков сообщения, так как каждый блок вносит один и тот же «вклад» (значение длины пути от узла, соответствующего указанному блоку, до корня дерева хэширования} при формировании хэш-кода за исключением, быть может, вектора

а 11М8В М' («вклад» бит указанного вектора

п'-т1 +Д '

может быть ровно на единицу больше «вклада» остальных бит сообщения М ).

На рис. 2 схематично изображена процедура форматирования сообщения до длины, гарантирующей на следующем этапе построение полного дерева хэширования.

тГ

«¡мщ

-А—-— Д'

(0...0) MSBt. ^ (м j

Рис. 2. Форматирование дополненного сообщения М Fig. 2. Formatting the amended message M'

Определение 1. Под вычислительной трудоемкостью Т режима выработки хэш-кода будем понимать общее число элементарных операций (количество вычислений значений

/г(х), х eVm), необходимых для выработки хэш-кода.

Определение 2. Под временной трудоемкостью Т* режима выработки хэш-кода будем понимать общее время, затраченное на выработку хэш-кода.

Теорема 1. Пусть h : Vm —> Vt и на вход алгоритма 1 подается сообщение М произвольной длины neN. Тогда при m>2t

Г1-1

если Г-^1 = Г,то Т = -

1-1

если М>Г,то

1 m-r 1 '

И + 1 m-r

T = l

-lr+(l-X)-c v

-1

/-1

где m = tl + r, с- остаток от деления

1-1 ' и + 1 m-r

-Г на /—1

Общий объем памяти, выделяемой для выработки хэш-кода сообщения длины п бит при использовании

внутренней функции к с параметрами 1,1, г, не превосходит

т ■

и + 1

~1Г

+ 1-1

бит.

В таблице 1 представлены значения вычислительной трудоемкости некоторых древовидных режимов выработки хэш-кода (при оптимальных значениях высот деревьев хэширования], включая РТ-режим, для сообщений с заданным числом блоков и значением параметра арности, равным 2 (случай использования деревьев Меркла]. При этом полученные значения не зависят от выбора внутренней функции й, поскольку измерения выполнены в элементарных операциях. При этом отметим, что в таблице 1 отсутствуют данные по режиму М06, так как его параметр арности фиксирован и равен 4.

Таблица 1. Значения Т для некоторых древовидных режимов

при

1 = 2

Table 1. Values of Т for some tree-like modes at ^ ^

Количество блоков Sakura Blake/Phash/Skein FT-режим

27 -1 253 254 253

27 255 255 255

27 +1 257 264 257

212 -1 8189 8190 8189

212 8191 8191 8191

212 +1 8193 8205 8193

217 -1 262141 262142 262141

217 262143 262143 262143

217 +1 262145 262162 262145

2^-1 8388605 8388606 8388605

222 8388607 8388607 8388607

211 +1 8388609 8388631 8388609

227 -1 268435453 268435454 268435453

227 268435455 268435455 268435455

227 +1 268435457 268435484 268435457

В таблице 2 представлены результаты аналогичных измерений в случае, когда параметр арности 1 = 4. При этом в таблице отсутствует режим 5акига, так как он использует фиксированный параметр арности равный 2.

Современные информационные технологии и ИТ-образование

Том 14 № 2 (2018) ISSN 2411-1473 sitito.cs.msu.ru

Dmitriy S. Bogdanov, Farkhad A. Dali,

Vladimir O. Mironkin

Research and development in the field of new IT and their applications

423

Таблица 2. Значения T для некоторых древовидных режимов при 1 = 4

Table 1. Values of Т for some tree-like modes at 1 = 4

Количество блоков MD6 Blake/Phash/Skein FT-режим

47 -1 21845 21844 21845

47 21845 21845 21845

47 +1 21877 21854 21849

412 -1 22369621 22369620 22369621

412 22369621 22369621 22369621

412 +1 22369673 22369635 22369625

417 -1 22906492245 22906492244 22906492245

417 22906492245 22906492245 22906492245

417 +1 22906492286 22906492264 22906492249

Следствие 1. При условии

неравенство

Г

теоремы где S

1 справедливо

количество

реализуемых параллельных процессов вычислении.

В таблице 3 приведено время работы FT-режима для различных значений длины сообщения и параметра арности / (при использовании функции Кессак [16] в качестве внутренней функции h ].

Таблица 3. Значения Т для FT-режима Table 3. Values Т' for the FT mode

Длина сообщения, байты Параметр арности Время, сек.

2м 2 0,035

220 2 1,563

222 2 6,117

222 22 2,957

223 23 5,239

2м 2 23,502

2м 24 11,833

225 2 31,686

225 25 17,095

Замечание 4.

Все расчеты в статье проведены с помощью вычислительной системы со следующими параметрами: процессор Intel Core i3 7100U 2400 МГц (2 ядра), видеокарта NVIDIA GeForce 940МХ (2 Гб), операционная система Windows 10 (Ноте), оперативная память 4 Гб DDR4. Программная часть написана на PyCharm (Community Edition) 2017.2.4, при этом используемое количество параллельных процессов вычислений S = 4.

На рис. 3 изображена зависимость Т от длины сообщения при фиксированном значении параметра арности 1 = 2 (график А) и при оптимальном выборе значений параметра арности, зависящем от длины исходного сообщения (график Б).

т

Рис. 3. Зависимость 1 от длины сообщения в FT-режиме Т*

Fig. 3. Dependence of 1 on message length in FT mode

Отметим еще одно преимущество FT-режима -возможность с логарифмической вычислительной сложностью от длины исходного сообщения (в отличие, например, от режима Phash [8]) выполнять проверку принадлежности блоков исходному сообщению и пересчитывать значение хэш-кода при изменении произвольного блока. Это обеспечивается за счет того, что в формируемых деревьях хэширования из каждого листа выходит и при том единственный путь в корень дерева. Например, при изменении одного отдельного узла первого слоя (после форматирования) необходимо пересчитывать только значения в узлах, лежащих на пути из этого узла в корень - всего таких узлов k — 1, где k\nl= mlk (либо к , если изменение произошло в форматируемой части сообщения), а при изменении значений в р > 1 блоках исходного сообщения М необходимо

пересчитывать не более рк значений (т.к. возможно пересечение соответствующих путей).

3. Заключение

Описанный универсальный древовидный режим выработки хэш-кода («FT-режим»), построенный на основе /-арных деревьев и допускающий эффективное распараллеливание вычислений, позволяет использовать любое сжимающее отображение для формирования узлов дерева хэширования (в том числе и хэш-функцию «Стрибог»), полностью определяющее стойкость режима в целом. Для данного режима вычислены некоторые численные характеристики и описан ряд свойств, влияющих на его криптографическую стойкость. Проведены численные эксперименты и сравнительный анализ с существующими режимами [10].

Список использованных источников

[1] Kazymyrov А., Kazymyrova V. Algebraic Aspects of the Russian Hash Standard GOST R 34.11-2012, 2013. 18 p. URL: http://eprint.iacr.org/2013/556.pdf (дата обращения: 11.04.2018).

[2] Dourado E., Brito J. Cryptocurrency // The New Palgrave Dictionary of Economics, Online Edition, 2014. 10 p. URL: https://www.mercatus.org/system/files/cryptocurrency-article. pdf (дата обращения: 11.04.2018).

Vol. 14, no 2. 2018 ISSN 2411-1473 sitito.cs.msu.ru

Modern Information Technologies and IT-Education

[3] Решевский М. Золотая лихорадка XXI век [Электронный [19] ресурс] // Computer Bild. 2011, № 17. C. 64-69.

[4] Ammous S. The Bitcoin Standard: The Decentralized Alterna- [20] tive to Central Banking. New York: John Wiley and Sons Inc, 2018. Pp. 304.

[5] Aumasson J.-P., Neves S., Wilcox-O'Hearn Z., Winnerlein C. [21] BLAKE2 - fast secure hashing, 2013. URL: https://blake2.net (дата обращения: 11.04.2018).

[6] Bertoni G., Daemen J., Peeters M., Van Assche G. Sakura: a flexible coding for tree hashing [Электронный ресурс] // Cryp-tology ePrint Archive. Report 2013/231, 2013. URL: http:// eprint.iacr.org (дата обращения: 11.04.2018). [22]

[7] Ferguson N., Lucks S., Schneier B., Whiting D., Bellare M., Kohno T., Callas J. The Skein Hash Function Family // Schneier on Security, Version 1.3. - 1 October, 2010. 92 p. URL: https:// www.schneier.com/academic/skein (дата обращения: [23] 11.04.2018).

[8] Kaminsky A., Radziszowski S.P. A case for a parallelizable hash // Proceedings of 2008 IEEE Military Communications Conference MILCOM 2008, San Diego, CA, 2008. Pp. 1-7. DOI: 10.1109/MILCOM.2008.4753182

[9] Rivest R.L., Agre B., Bailey D.V., Crutchfield C., Dodis Y., Fleming [24] K.E., Khan A., Krishnamurthy J., Lin Y., Reyzin L., Shen E., Sukha J., Sutherland D., Tromer E., Yin Y.L. The MD6 hash function - a proposal to NIST for SHA-3, Submission to NIST, October, 2008. URL: http://groups.csail.mit.edu/cis/md6 (дата обращения: 11.04.2018).

[10] Дали Ф.А., Миронкин В.О. Обзор подходов к построению [25] древовидных режимов работы некоторых хэш-функций // Проблемы информационной безопасности. Компью- [26] терные системы. 2017. № 2. C. 46-55.

[11] Дали Ф.А., Миронкин В.О. О некоторых моделях древовидного хэширования // Обозрение прикладной промышленной математики. 2017. Т. 24, №. 4. С. 241-244. [27]

[12] Дали Ф.А., Миронкин В.О. О древовидных режимах работы хэш-функций // Проблемы информационной безопасности. Компьютерные системы. 2018. № 1. C. 113-121.

[13] Merkle R.C. Secrecy, authentication, and public key systems. PhD thesis, UMI Research Press, 1982. 104 p.

[14] Дали Ф.А., Миронкин В.О. О вероятностных характеристиках одного класса моделей древовидного хэширования // Обозрение прикладной промышленной математики. 2016. T. 23, №. 4. С. 345-347.

[15] Миронкин В.О., Урусов М.И. О коллизиях деревьев Меркла References // Обозрение прикладной промышленной математики.

2018. Т. 25, № 1. С. 84-88. [1]

[16] Bertoni G., Daemen J., Peeters M., Van Assche G. Keccak / Johansson T., Nguyen P.Q. (eds) // Advances in Cryptology -Eurocrypt 2013. Eurocrypt 2013. Lecture Notes in Computer [2] Science. Vol. 7881. Springer, Berlin, Heidelberg, 2013. DOI: 10.1007/978-3-642-38348-9_19

[17] Bertoni G., Daemen J., Peeters M., Van Assche G. Sufficient conditions for sound tree and sequential hashing modes // Inter- [3] national Journal of Information Security. 2014. Vol. 13, issue 4. Pp. 335-353. DOI: 10.1007/s10207-013-0220-y [4]

[18] Гапанович Д.А., Чубариков В.Н. Хэш-алгоритм с управляющей древовидной структурой и метод его реализации на параллельных архитектурах // Современные информа- [5] ционные технологии и ИТ-образование. 2017. Т. 13, № 1. С. 35-42. DOI: 10.25559/SITITO.2017.1.489

Минеев М.П., Чубариков:В.Н. Лекции по арифметическим вопросам криптографии. НИЦ «Луч», 2014. 224 с. Chapweske J., Mohr G. Tree Hash EXchange format (THEX), 2003. URL: http://adc.sourceforge.net/draft-jchapwes-ke-thex-02.html (дата обращения: 11.04.2018). Dodis Y., Reyzin L., Rivest R., Shen E. Indifferentiability of permutation-based compression functions and tree-based modes of operation, with applications to MD6 / O. Dunkelman ed. // Fast So ware Encryption. Lecture Notes in Computer Science. Vol. 5665, Springer-Verlag Berlin Heidelberg, 2009. Pp. 104-121. DOI: 10.1007/978-3-642-03317-9 Sarkar P., Schellenberg P.J. A parallelizable design principle for cryptographic hash functions [Электронный ресурс] // Cryptology ePrint Archive, Report 2002/031, 2002. URL: http://eprint.iacr.org (дата обращения: 11.04.2018). Bellare M., Guerin R., Rogaway P. XOR MACs: new methods for message authentication using finite pseudorandom functions / D. Coppersmith ed. // Advances in Cryptology - CRYPTO '95. Proceedings of the 15th Annual International Cryptology Conference, Santa Barbara, California, USA, August 27-31, 1995. Springer-Verlag Berlin Heidelberg, 1995. Pp. 15-28. DOI: 10.1007/3-540-44750-4 Bellare M., Micciancio D. A New Paradigm for Collision-free Hashing: Incrementality at Reduced Cost / W. Fumy // Advances in Cryptology — EUROCRYPT '97. Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques Konstanz, Germany, May 11-15, 1997. Springer, Berlin, Heidelberg, 1997. Pp. 163-192. DOI: 10.1007/3-540-44750-4 Barreto P., Rijmen V. The Whirlpool Hashing Function. NESSIE Report, Revised, May 2003.

Damgard I.B. A design principle for hash functions / G. Brassard ed. // Advances in Cryptology - Crypto '89. Conference proceedings. LNCS, Vol. 435, Springer, New York, NY, 1989. Pp. 416-427. DOI: 10.1007/0-387-34805-0 Maurer U., Renner R., Holenstein C. Indifferentiability, Impossibility Results on Reductions, and Applications to the Random Oracle Methodology / M. Naor ed. // Theory of Cryptography. TCC 2004. Lecture Notes in Computer Science. Vol. 2951, Springer, Berlin, Heidelberg, 2004. Pp. 21-39. DOI: 10.1007/978-3-540-24638-1_2

Поступила 11.04.2018; принята в печать 25.05.2018; опубликована онлайн 30.06.2018.

Kazymyrov A., Kazymyrova V. Algebraic Aspects of the Russian Hash Standard GOST R 34.11-2012, 2013. 18 p. Available at: http://eprint.iacr.org/2013/556.pdf (accessed 11.04.2018). Dourado E., Brito J. Cryptocurrency. The New Palgrave Dictionary of Economics, Online Edition, 2014. 10 p. Available at: https://www.mercatus.org/system/files/cryptocurrency-article. pdf (accessed 11.04.2018).

Reshevsky M. Gold fever XXI century. Computer Bild. 2011; 17:64-69. (In Russian)

Ammous S. The Bitcoin Standard: The Decentralized Alternative to Central Banking. New York: John Wiley and Sons Inc, 2018. Pp. 304.

Aumasson J.-P., Neves S., Wilcox-O'Hearn Z., Winnerlein C. BLAKE2 - fast secure hashing, 2013. Available at: https:// blake2.net (accessed 11.04.2018).

Современные информационные технологии и ИТ-образование

Том 14 № 2 (2018) ISSN 2411-1473 sitito.cs.msu.ru

Dmitriy S. Bogdanov, Farkhad A. Dali, Research and development in the field

Vladimir O. Mironkin of new IT and their applications

[6] Bertoni G., Daemen J., Peeters M., Van Assche G. Sakura: a flexible coding for tree hashing. Cryptology ePrint Archive. Report 2013/231, 2013. Available at: http://eprint.iacr.org (accessed 11.04.2018).

[7] Ferguson N., Lucks S., Schneier B., Whiting D., Bellare M., Kohno T., Callas J. The Skein Hash Function Family. Schneier on Security. Version 1.3. - 1 October, 2010. 92 p. Available at: https:// www.schneier.com/academic/skein (accessed 11.04.2018).

[8] Kaminsky A., Radziszowski S.P. A case for a parallelizable hash. Proceedings of 2008 IEEE Military Communications Conference MILCOM 2008, San Diego, CA, 2008. Pp. 1-7. DOI: 10.1109/MILC0M.2008.4753182

[9] Rivest R.L., Agre B., Bailey D.V, Crutchfield C., Dodis Y., Fleming K.E., Khan A., Krishnamurthy J., Lin Y, Reyzin L., Shen E., Sukha J., Sutherland D., Tromer E., Yin YL. The MD6 hash function - a proposal to NIST for SHA-3, Submission to NIST, October, 2008. Available at: http://groups.csail.mit.edu/cis/md6 (accessed 11.04.2018).

[10] Dali F.A., Mironkin V.O. Review of approaches to the construction of tree-like modes of operation of some hash functions. Information Security Problems. Computer Systems. 2017; 2:46-55. (In Russian)

[11] Dali F.A., Mironkin V.O. On some models of tree hashing. Obozre-nie prikladnoi i promyshlennoi matematiki = Applied and Industrial Mathematics Review. 2017; 24(4):241-244. (In Russian)

[12] Dali F.A., Mironkin V.O. On the tree modes of hash functions. Information Security Problems. Computer Systems. 2018; 1:113-121. (In Russian)

[13] Merkle R.C. Secrecy, authentication, and public key systems. PhD thesis, UMI Research Press, 1982. 104 p.

[14] Dali F.A., Mironkin V.O. On probabilistic characteristics of a single class of tree hashing models. Obozrenie prikladnoi i promyshlennoi matematiki = Applied and Industrial Mathematics Review. 2016; 23(4):345-347. (In Russian)

[15] Mironkin V.O. Urusov M.I. On collisions of Merkle trees. Obozrenie prikladnoi i promyshlennoi matematiki = Applied and Industrial Mathematics Review. 2018; 25(1):84-88. (In Russian)

[16] Bertoni G., Daemen J., Peeters M., Van Assche G. Keccak. Johansson T., Nguyen P.Q. (eds). Advances in Cryptology - Eurocrypt 2013. Eurocrypt 2013. Lecture Notes in Computer Science. Vol. 7881. Springer, Berlin, Heidelberg, 2013. DOI: 10.1007/978-3-642-38348-9_19

[17] Bertoni G., Daemen J., Peeters M., Van Assche G. Sufficient conditions for sound tree and sequential hashing modes. International Journal of Information Security. 2014; 13(4):335-353. DOI: 10.1007/s10207-013-0220-y

[18] Gapanovich D.A., Chubarikov V.N. Hash algorithm with the controlling tree-like structure and the method of its im-

plementation on parallel architectures. Modern Information Technology and IT-education. 2017; 13(1):35-42. DOI: 10.25559/SITITO.2017.1.489 (In Russian)

[19] Mineev M.P., Chubarikov V.N. Lectures on arithmetic questions of cryptography. Moscow: Scientific and Publishing Center «Ray», 2014. 224 p. (In Russian)

[20] Chapweske J., Mohr G. Tree Hash EXchange format (THEX), 2003. Available at: http://adc.sourceforge.net/draft-jchap-weske-thex-02.html (accessed 11.04.2018).

[21] Dodis Y., Reyzin L., Rivest R., Shen E. Indifferentiability of permutation-based compression functions and tree-based modes of operation, with applications to MD6. O. Dunkelman ed. Fast So ware Encryption. Lecture Notes in Computer Science. Vol. 5665, Springer-Verlag Berlin Heidelberg, 2009. Pp. 104-121. DOI: 10.1007/978-3-642-03317-9

[22] Sarkar P., Schellenberg P.J. A parallelizable design principle for cryptographic hash functions. Cryptology ePrint Archive, Report 2002/031, 2002. Available at: http://eprint.iacr.org (accessed 11.04.2018).

[23] Bellare M., Guerin R., Rogaway P. XOR MACs: new methods for message authentication using finite pseudorandom functions. D. Coppersmith ed. Advances in Cryptology - CRYPTO '95. Proceedings of the 15th Annual International Cryptology Conference, Santa Barbara, California, USA, August 27-31, 1995. Springer-Verlag Berlin Heidelberg, 1995. Pp. 15-28. DOI: 10.1007/3-540-44750-4

[24] Bellare M., Micciancio D. A New Paradigm for Collision-free Hashing: Incrementality at Reduced Cost. W. Fumy. Advances in Cryptology — EUROCRYPT '97. Proceedings of the International Conference on the Theory and Application of Cryptographic Techniques Konstanz, Germany, May 11-15, 1997. Springer, Berlin, Heidelberg, 1997. Pp. 163-192. DOI: 10.1007/3-540-44750-4

[25] Barreto P., Rijmen V The Whirlpool Hashing Function. NESSIE Report, Revised, May 2003.

[26] Damgard I.B. A design principle for hash functions. G. Brassard ed. Advances in Cryptology - Crypto '89. Conference proceedings. LNCS, Vol. 435, Springer, New York, NY 1989. Pp. 416-427. DOI: 10.1007/0-387-34805-0

[27] Maurer U., Renner R., Holenstein C. Indifferentiability, Impossibility Results on Reductions, and Applications to the Random Oracle Methodology. M. Naor ed. Theory of Cryptography. TCC 2004. Lecture Notes in Computer Science. Vol. 2951, Springer, Berlin, Heidelberg, 2004. Pp. 21-39. DOI: 10.1007/978-3-540-24638-1_2

Submitted 11.04.2018; revised 25.05.2018; published online 30.06.2018.

About the authors:

Dmitriy S. Bogdanov, Senior researcher, Laboratory of TVP (47 Nakhimovsky Avenue, Moscow 117418, Russia), ORCID: http://orcid.org/0000-0001-6178-6420, bogdanovds@rambler.ru

Farkhad A. Dali, expert, Technical Committee of Standardization Cryptography Information Security (Building 1, 1/23 Old Petrovsky-Razumovsky passage, Moscow 127287, Russia), ORCID: http://orcid.org/0000-0002-3344-9766, dali_fa@tc26.ru

Vladimir O. Mironkin, Senior lecturer, Department of Computer security, National Research University Higher School of Economics (34 Tallinn Str., Moscow 123458, Russia), ORCID: http://orcid.org/0000-0002-5606-7509, mironkin.v@mail.ru

This is an Open Access article distributed under the terms ofthe Creative Commons Attribution License (http://creativecommons.org/licenses/by/4.0), which permits unrestricted reuse, distribution, and reproduction in any medium provided the original work is properly cited.

Vol. 14, no 2. 2018 ISSN 2411-1473 sitito.cs.msu.ru

Modern Information Technologies and IT-Education