Купина (геш-функція)

Державний стандарт України
Позначення	ДСТУ 7564:2014
Назва	Інформаційні технології. Криптографічний захист інформації. Функція хешування
Інформаційні дані
Тип стандарту	Державний стандарт України
Розробники	Приватне акціонерне товариство «Інститут інформаційних технологій»
Внесено	Мінекономрозвитку України
Введено в дію	наказ від 2 грудня 2014 р. № 1431
Чинний від	1 квітня 2015 року
Статус	Чинний[1]
Останні зміни	ІПС №11-2015
Пов'язані стандарти	ДСТУ 7624:2014, ДСТУ 4145-2002, ГОСТ 34.311-­95[ru]
Кількість сторінок	40
База нормативних документів

«Купина» (англ. Kupyna) — ітеративна криптографічна геш-функція описана у національному стандарті України ДСТУ 7564:2014 «Інформаційні технології. Криптографічний захист інформації. Функція хешування». Стандарт набрав чинності з 1 квітня 2015 року наказом Мінекономрозвитку від 2 грудня 2014 року № 1431^[2]. Текст стандарту є у вільному доступі ^[3].

Стандарт ДСТУ 7564:2014 розроблено задля поступової заміни міждержавного стандарту ГОСТ 34.311-­95^[ru][4] та згідно з чинним наказом Мінцифри від 30 вересня 2020 року № 140/614^[5] може застосовуватися для створення кваліфікованого електронного підпису з 01 січня 2021 року, та обов'язковий для застосування після 1 січня 2022 року замість функції гешування за ГОСТ 34.311-­95^[ru].

Функція стиснення Купини складається з двох фіксованих 2n-бітних перестановок T^⊕ і T⁺, структура яких запозичена у шифра Калина. Зокрема, використовуються чотири таких самих S-блока. Результат роботи геш-функції може мати довжину від 8 до 512 біт. Варіант, який повертає n біт, позначається як Купина-n.^[6]

Спочатку повідомлення ${\displaystyle M}$ доповнюється до довжини, кратної розміру блока. Для цього до повідомлення додається 1 біт ${\displaystyle 1}$, після нього ${\displaystyle d}$ нульових бітів, де ${\displaystyle d=(-N-97)\ mod\ l}$ і 96 біт, які містять довжину повідомлення в бітах. Таким чином, максимальна довжина повідомлення становить ${\displaystyle 2^{96}-1}$ біт.

Далі повідомлення розбивається на ${\displaystyle t}$ блоків ${\displaystyle m_{1},m_{2},...,m_{t}}$ по ${\displaystyle l}$ біт у кожному. Для варіантів функції, які повертають до 256 біт включно, ${\displaystyle l}$ = 512. Для варіантів, які повертають значення, довші 256 біт, ${\displaystyle l}$ = 1024.

Далі, будується геш-функція, з використанням наступного ітеративного алгоритму^[6].

${\displaystyle h_{0}=IV}$

${\displaystyle h_{\nu }=T_{l}^{\oplus }}$${\displaystyle (}$${\displaystyle h_{\nu -1}\oplus }$${\displaystyle m_{\nu })\oplus }$${\displaystyle T_{l}^{+}(m_{\nu }){\oplus }h_{\nu -1}}$

${\displaystyle H(IV,M)=R_{l,n}(T_{l}^{\oplus }(h_{k}){\oplus }h_{k})}$

де

${\displaystyle \nu =1,2,...,k}$

${\displaystyle IV=1<<<510}$, якщо l = 512, або ${\displaystyle 1<<1023}$, якщо l = 1024

${\displaystyle R_{l,n}(X)}$ — функція, яка повертає ${\displaystyle n}$ найбільш значущих бітів блока розміром ${\displaystyle l}$^[6]

Кількість ітерацій для варіантів функції, які повертають до 256 біт включно — 10. Кількість ітерацій для варіантів функції, які повертають значення, довші 256 біт, — 14^[6].

Ці перетворення керують станом, представленим матрицею G, яка містить у кожній комірці 1 байт інформації^[6]. Матриця має розмір 8Х8 (при ${\displaystyle l=512}$) або 8Х16 (при ${\displaystyle l=1024}$)^[6].

Спочатку матриця G заповнюється послідовністю байт^[6]. Наприклад для послідовності 00 01 02 … 3f матриця G виглядає так^[6].

${\displaystyle {\begin{bmatrix}00&08&10&18&20&28&30&38\\01&09&11&19&21&29&31&39\\02&0a&12&1a&22&2a&32&3a\\03&0b&13&1b&23&2b&33&3b\\04&0c&14&1c&24&2c&34&3c\\05&0d&15&1d&25&2d&35&3d\\06&0e&16&1e&26&2e&36&3e\\07&0f&17&1f&27&2f&37&3f\end{bmatrix}}}$^[6]

Аналогічно заповнюється матриця 8 X 16^[6].

Перестановки ${\displaystyle T_{l}^{\oplus }}$ і ${\displaystyle T_{l}^{+}}$ визначені як:

${\displaystyle T_{l}^{\oplus }}$ ${\displaystyle =}$ ${\displaystyle \prod _{\nu =0}^{t-1}(\psi \circ \tau ^{(l)}\circ \pi '\circ \kappa _{\nu }^{(l)})}$

${\displaystyle T_{l}^{+}}$ ${\displaystyle =}$ ${\displaystyle \prod _{\nu =0}^{t-1}(\psi \circ \tau ^{(l)}\circ \pi '\circ \eta _{\nu }^{(l)})}$^[6]

Функція ${\displaystyle \kappa _{\nu }^{(l)}}$ додає по модулю 2 вектор

${\displaystyle \omega _{j}^{(\nu )}=((j<<4)\oplus \nu ,0,0,0,0,0,0,0)^{T}}$

до кожного стовпця матриці стану (${\displaystyle \nu }$ — номер раунду)^[6].

Функція ${\displaystyle \eta _{\nu }^{(l)}}$ додає по модулю ${\displaystyle 2^{64}}$ вектор

${\displaystyle \varsigma _{j}^{(\nu )}=(0xF3,0xF0,0xF0,0xF0,0xF0,0xF0,0xF0(c-1-j)<<4)^{T}}$

до кожного стовпця матриці стану (${\displaystyle \nu }$ — номер раунду)^[6].

Функція ${\displaystyle \pi '}$ підміняє елементи матриці стану ${\displaystyle g_{i,j}}$ підстановкою з одного з чотирьох S-блоків (номер S-блока визначається як ${\displaystyle i\ mod\ 4}$)^[6].

Функція ${\displaystyle \tau _{l}}$ виконує циклічний зсув вправо елементів матриці стану. Рядки з номерами ${\displaystyle i=0,1,2,3,4,5,6}$ зсуваються на ${\displaystyle i}$ елементів, а рядок 7 зсувається на 7 елементів при ${\displaystyle l=512}$ або на 11 елементів при ${\displaystyle l=1024}$^[6].

Для виконання функції ${\displaystyle \psi }$ кожен елемент матриці стану представляється як елемент скінченного поля ${\displaystyle GF(2^{8})}$, сформованого незвідним поліномом ${\displaystyle x^{8}+x^{4}+x^{3}+x^{2}+1}$. Кожен елемент матриці стану ${\displaystyle u_{i,j}}$ обчислюється за формулою:

${\displaystyle u_{i,j}=(v>>>i)\oplus G_{j}}$

де ${\displaystyle v}$ — вектор (0x01, 0x01, 0x05, 0x01, 0x08, 0x06, 0x07, 0x04), а ${\displaystyle j}$ — номер стовпця матриці стану ${\displaystyle G}$^[6].

Автори запевняють, що диференціальні атаки і rebound-атаки неефективні вже після 4 ітерацій функцій перестановок. У таблиці наведені заявлені авторами показники криптостійкості.

У результаті незалежного криптоаналізу вдалося провести атаку тільки на перші 5 раундів; складність знаходження колізії для скороченої до 5 раундів функції Купина-256 складає 2¹²⁰.^[7][8]

Kupyna-reference — код референсної реалізаціі на C

cppcrypto — Бібліотека з відкритим вихідним кодом на C++

cryptonite — бібліотека криптографічних перетворень від ПриватБанку з відкритим програмним кодом на C, має експертний висновок UA.14360570.00001-01 90 01-1 за результатами державної експертизи у галузі КЗІ

• Калина (шифр)
• СТРУМОК (шифр)
• Стандарти криптографії