BLAKE (Hashfunktion)

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von BLAKE2)
Zur Navigation springen Zur Suche springen
BLAKE
Entwickler Jean-Philippe Aumasson, Luca Henzen, Willi Meier, Raphael C.-W. Phan
Veröffentlicht 2010 (letzte Version)
Abgeleitet von ChaCha
Zertifizierung SHA-3-Finalist
Länge des Hashwertes (Bit) 224, 256, 384, 512
Konstruktion HAIFA-Konstruktion
Runden 14 (BLAKE-224, BLAKE-256)
16 (BLAKE-384, BLAKE-512)
Beste bekannte Kryptoanalyse
Boomerang attack von Biryukov, Nicolic und Roy 2011 auf 8 Runden BLAKE-256 mit einer Komplexität von 2232[1] (für BLAKE2 nur auf 5,5 Runden[2])

BLAKE ist eine kryptographische Hashfunktion, die 2008 von Jean-Philippe Aumasson, Luca Henzen, Willi Meier und Raphael C.-W. Phan entwickelt wurde. BLAKE war einer der Finalisten im SHA-3-Auswahlverfahren der NIST.

Für das SHA-3-Verfahren unterstützt BLAKE Hashwerte von 224, 256, 384 und 512 Bit. BLAKE arbeitet auf einem Datenblock von 16 Wörtern von je 32 Bit (für die Hash-Längen 224 und 256 Bit) oder 64 Bit (für die größeren Hash-Längen). Erstere Variante wird als BLAKE-256, die zweite als BLAKE-512 bezeichnet. BLAKE entspricht der 2007 vorgestellten HAIFA-Struktur.[3]

Die Nachricht wird mit einem Abschlussbyte und der Länge der Nachricht erweitert und in Blöcke zu 512 bzw. 1024 Bit geteilt, die nacheinander verarbeitet werden. Der Verkettungswert (Hash aus den bereits verarbeiteten Nachrichtenblöcken, am Anfang ein konstanter Initialisierungsvektor) ist halb so lang wie ein Datenblock. Zur Verarbeitung eines Nachrichtenblocks wird zuerst der Verkettungswert mit optionalem Salz und einem Zähler, der die verarbeiteten Nachrichtenbits zählt, auf die Datenblockgröße erweitert. Der Zähler bewirkt, dass die Nachrichtenblöcke, wie durch das HAIFA-Schema vorgesehen, nicht auf genau gleiche Weise verarbeitet werden.

Anschließend werden die Werte des Datenblocks permutiert und dabei der Nachrichtenblock eingearbeitet. Dies entspricht einer Blockverschlüsselung, wobei der Nachrichtenblock als Schlüssel dient. Die dabei verwendete Rundenfunktion basiert auf der Stromchiffre ChaCha, einer Weiterentwicklung von Salsa20. Sie verwendet Additionen, XOR-Verknüpfungen und Rotationen eines Datenworts mit konstanter Rotationsweite. Während des SHA-3-Auswahlverfahrens wurde die Anzahl der Runden für BLAKE-256 von 10 auf 14 und für BLAKE-512 von 14 auf 16 Runden erhöht, um die Sicherheitsreserve zu vergrößern.

Nach der Permutation wird der Datenblock zum Verkettungswert komprimiert, indem man eine Hälfte mit der anderen XOR-verknüpft, wobei das Salz, falls verwendet, nochmals per XOR eingearbeitet wird. Nach dem letzten Nachrichtenblock ist der Verkettungswert (oder ein Teil davon) der Hash-Wert.

BLAKE hatte zusammen mit Skein im SHA-3-Verfahren die beste Software-Performance und war in den meisten Fällen schneller als SHA-2.[4] Jedoch wies der Algorithmus vor allem im Vergleich zum Gewinner Keccak eine viel schlechtere Hardware-Performance auf.[5]

Im SHA-3-Verfahren wurde BLAKE eine hohe Sicherheitsmarge bescheinigt, zudem gilt der Algorithmus als gut verstanden und intensiv analysiert.[6] 2011 veröffentlichten Alex Biryukov, Ivica Nikolic und Arnab Roy einen Angriff auf 8 Runden von BLAKE-256, allerdings mit einer Komplexität von 2232. Der Angriff wurde im Auswahlverfahren berücksichtigt und stellt bis zum Stand Juni 2015 die beste Kryptoanalyse dar.

2012 veröffentlichten Jean-Philippe Aumasson, Samuel Neves, Zooko Wilcox-O'Hearn und Christian Winnerlein BLAKE2 als eine Weiterentwicklung von BLAKE. BLAKE2 ist vor allem auf eine weitere Verbesserung der Performance bei gleichen Sicherheitseigenschaften ausgerichtet und soll auf 64-Bit-Plattformen schneller sein als SHA-1, MD5 und MD4. In einer ersten Analyse von 2013 gehen deren Autoren von ähnlichen Sicherheitseigenschaften im Vergleich zu BLAKE aus. Allerdings erwies sich BLAKE2 für manche Angriffsszenarien als anfälliger, der beste Angriff auf BLAKE (boomerang attack) lässt sich jedoch nicht einfach auf BLAKE2 übertragen.[7]

2020 veröffentlichten Jean-Philippe Aumasson, Samuel Neves, Zooko Wilcox-O'Hearn und Jack O’Connor BLAKE3 als eine Weiterentwicklung von BLAKE2 mit zusätzlich verbesserter Performance unter anderem durch die Möglichkeit der unbegrenzten parallelen Ausführung.[8]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Alex Biryukov, Ivica Nikolic, Arnab Roy: Boomerang Attacks on BLAKE-32. In: Fast Software Encryption. Springer Berlin Heidelberg 2011. S. 218–237. ISBN 978-3-642-21701-2
  2. Jian Guo, Pierre Karpman, Ivica Nikolic, Lei Wang and Shuang Wu: Analysis of BLAKE2. S. 4 (PDF; 397 kB).
  3. Eli Biham und Orr Dunkelman: A Framework for Iterative Hash Functions - HAIFA (PDF; 223 kB)
  4. National Institute of Standards and Technology: Third-Round Report of the SHA-3 Cryptographic Hash Algorithm Competition. November 2010. S. 45. doi:10.6028/NIST.IR.7896
  5. National Institute of Standards and Technology: Third-Round Report of the SHA-3 Cryptographic Hash Algorithm Competition. November 2010. S. 57. doi:10.6028/NIST.IR.7896
  6. National Institute of Standards and Technology: Third-Round Report of the SHA-3 Cryptographic Hash Algorithm Competition. November 2010. S. 33. doi:10.6028/NIST.IR.7896
  7. Jian Guo, Pierre Karpman, Ivica Nikolic, Lei Wang and Shuang Wu: Analysis of BLAKE2. S. 14 (PDF; 397 kB).
  8. Jean-Philippe Aumasson, Samuel Neves, Zooko Wilcox-O'Hearn, Jack O’Connor: BLAKE3 - one function, fast everywhere (PDF, 297 kB) (englisch). Abgerufen am 20. Juni 2022.