Merkle-Damgård-Konstruktion

Die Merkle-Damgård-Konstruktion (auch Merkles Meta-Verfahren) ist eine Methode zur Konstruktion von kryptographischen Hash-Funktionen, die auf Arbeiten von Ralph Merkle und Ivan Damgård zurückgeht.

Gegeben ist eine Kompressionsfunktion ${\displaystyle f:\{0,1{\}}^{a+b}\to \{0,1{\}}^b}$, die eine ${\displaystyle a+b}$ Bit lange Eingabe auf eine ${\displaystyle b}$ Bit lange Ausgabe abbildet. Sie ist kollisionssicher, das heißt, es ist nicht mit realistischem Aufwand möglich, zwei verschiedene Eingaben zu finden, die auf die gleiche Ausgabe abgebildet werden. Durch die Anwendung der Merkle-Damgård-Konstruktion ergibt sich daraus eine kollisionssichere Hash-Funktion ${\displaystyle h:\{0,1{\}}^{*}\to \{0,1{\}}^b}$, die beliebig lange Nachrichten auf einen Hashwert von ${\displaystyle b}$ Bit abbildet.

Die Nachricht ${\displaystyle m}$ wird zunächst mit einem Padding-Verfahren zu ${\displaystyle \bar{m}}$ erweitert, so dass die Länge von ${\displaystyle \bar{m}}$ ein Vielfaches der Blockgröße ${\displaystyle a}$ ist. Dann wird ${\displaystyle \bar{m}}$ in ${\displaystyle n}$ Blöcke der Länge ${\displaystyle a}$ aufgeteilt:

${\displaystyle \bar{m}=m_1\Vert m_2\Vert \dots \Vert m_n}$ mit ${\displaystyle |m_i|=a}$.

Die Kompressionsfunktion ${\displaystyle f}$ wird iterativ auf die ${\displaystyle b}$ Bit lange Ausgabe der vorherigen Iteration und den nächsten Block ${\displaystyle m_i}$ der erweiterten Nachricht angewandt, bis diese ganz verarbeitet ist. Bei der ersten Iteration besteht die Eingabe aus einem ${\displaystyle b}$ Bit langen konstanten Initialisierungsvektor ${\displaystyle H_0}$ und dem ersten Nachrichtenblock ${\displaystyle m_1}$.

${\displaystyle H_i:=f(H_{i-1}\Vert m_i);1\le i\le n}$.

Der Hash-Wert wird dann aus der letzten Kompressionsausgabe durch eine Finalisierungsfunktion berechnet: ${\displaystyle h=\mathrm{final}(H_n)}$. Diese ist häufig die Identität oder eine Trunkierung.

Die Kompressionsfunktion wird oft aus einer Blockverschlüsselung konstruiert, wofür es hauptsächlich zwei Möglichkeiten gibt. Eine ist die Davies-Meyer-Kompressionsfunktion: ${\displaystyle H_i=E_{m_i}(H_{i-1})\oplus H_{i-1}}$. Sie nutzt den Nachrichtenblock ${\displaystyle m_i}$ als Schlüssel, um damit den Verkettungswert ${\displaystyle H_{i-1}}$ zu verschlüsseln. Danach wird noch der so berechnete Schlüsseltext mit dem Klartext verknüpft, z. B. durch bitweises XOR. Dadurch wird die Eigenschaft einer Blockchiffre aufgehoben, den Klartext bijektiv auf den Schlüsseltext abzubilden, und die Abbildung von ${\displaystyle H_{i-1}}$ auf ${\displaystyle H_i}$ ähnelt wesentlich mehr einer Zufallsfunktion. Sonst wäre die Kompressionsfunktion auch nicht kollisionssicher, denn ein Angreifer könnte ${\displaystyle H_i}$ vorgeben und mit verschiedenen ${\displaystyle m_i}$ entschlüsseln.

Die zweite ist die Matyas–Meyer–Oseas-Kompressionsfunktion: ${\displaystyle H_i=E_{k_i}(m_i)\oplus m_i}$ mit ${\displaystyle k_i=g(H_{i-1})}$ oder ${\displaystyle k_i=H_{i-1}}$. Sie verschlüsselt den Nachrichtenblock mit dem Verkettungswert als Schlüssel. Auch hier werden Klar- und Schlüsseltext anschließend verknüpft. Die Funktion ${\displaystyle g}$ erweitert oder komprimiert ${\displaystyle H_{i-1}}$ zur Anpassung an die gegebene Schlüssellänge. Als Modifikation von Matyas–Meyer–Oseas gibt es noch die Miyaguchi-Preneel-Kompressionsfunktion, die sich nur dadurch unterscheidet, dass auch ${\displaystyle H_{i-1}}$ mit dem Schlüsseltext verknüpft wird: ${\displaystyle H_i=E_{k_i}(m_i)\oplus m_i\oplus H_{i-1}}$. Das ist vor allem dann von Nutzen, wenn die Funktion ${\displaystyle g}$ den Verkettungswert komprimieren muss, denn so geht dessen gesamter Informationsgehalt in ${\displaystyle H_i}$ ein.

Damit die Kollisionssicherheit der Kompressionsfunktion sich beweisbar auf die Hashfunktion überträgt, muss das Paddingverfahren bestimmte Bedingungen erfüllen. Folgende Bedingungen sind dafür hinreichend:^[1]

• ${\displaystyle m}$ ist ein Anfangsstück von ${\displaystyle \bar{m}}$, d. h., die Nachrichten werden nicht verändert, nur mit einem Endstück erweitert.
• Zwei Nachrichten der gleichen Länge werden mit gleich langen Endstücken erweitert.
• Zwei verschieden lange Nachrichten werden unterschiedlich erweitert, so dass sie sich im letzten Block, der in die letzte Kompressionsstufe eingegeben wird, unterscheiden.

Typischerweise wird beim Padden eine Codierung der Bitlänge ${\displaystyle \left|m\right|}$ an die Nachricht angehängt, und dazwischen werden ggfs. Bits mit dem Wert 0 eingefügt, damit ${\displaystyle |\bar{m}|}$ ein Vielfaches der Blockgröße ${\displaystyle a}$ ist:

${\displaystyle \bar{m}=m\Vert 0^k\Vert |m|}$

Eine Schwäche ist ein möglicher Erweiterungs-Angriff (Extension-Attack): Wenn die Finalisierungsfunktion umkehrbar ist, dann kann man aus dem Hashwert ${\displaystyle h(m)}$ einer unbekannten Nachricht ${\displaystyle m}$ leicht den Hashwert ${\displaystyle h(\bar{m}\Vert y)}$ einer Nachricht bestimmen, die aus der wie oben erweiterten Nachricht durch Anfügen einer Erweiterung ${\displaystyle y}$ hervorgeht. Man kann also Hashwerte von Nachrichten bestimmen, die ${\displaystyle m}$ als Anfangsstück haben, auch wenn man ${\displaystyle m}$ nicht kennt.^[2] Da ein Zufallsorakel diese Eigenschaft nicht hat, können sich daraus Angriffe auf Verfahren ergeben, die nur im Random-Oracle-Modell einen Sicherheitsbeweis haben.^[3] Daraus folgt auch: wenn man einmal eine Kollision zweier Nachrichten mit gleicher Blockanzahl ${\displaystyle n}$ gefunden hat, kann man durch Erweiterung leicht weitere Kollisionen bestimmen.

Mehrfachkollisionen zu finden, also mehrere Nachrichten, die alle den gleichen Hashwert haben, erfordert nur wenig mehr Aufwand als das Bestimmen einer einzelnen Kollision.^[4]

Ein Herding-Angriff, also zu einem selbst gewählten Hashwert z und einem gegebenen Anfangsstück ${\displaystyle m}$ einer Nachricht ein passendes Endstück zu finden, so dass die gesamte Nachricht zu z hasht, d. h., ein ${\displaystyle y}$ mit ${\displaystyle h(m\Vert y)=z}$ zu finden, erfordert zwar mehr Aufwand als das Finden einer Kollision, aber wesentlich weniger, als es für ein Zufallsorakel als Hashfunktion ${\displaystyle h}$ der Fall sein sollte.^[5]

Ein Angriff zur Bestimmung eines zweiten Urbildes (second preimage attack), bei dem man zu einer gegebenen Nachricht ${\displaystyle m}$ eine zweite ${\displaystyle m^{\prime }}$ mit demselben Hashwert ${\displaystyle h(m)=h(m^{\prime })}$ sucht, ist bei einer Nachricht der Länge von ${\displaystyle 2^k}$ Blöcken mit dem Zeitaufwand ${\displaystyle k{2}^{b/2+1}+2^{b-k+1}}$ möglich, und damit bei langen Nachrichten erheblich schneller als durch systematisches Probieren (brute force), was etwa ${\displaystyle 2^b}$ Schritte erfordert.^[6]

Zur Überwindung dieser Schwächen hat Stefan Lucks die wide-pipe-hash-Konstruktion vorgeschlagen:^[7] Um einen Hashwert von ${\displaystyle b}$ Bit Länge zu berechnen, verwendet man eine Kompressionsfunktion ${\displaystyle f^{\prime }}$, deren Ausgabe länger als ${\displaystyle b}$ ist, typischerweise doppelt so lang. ${\displaystyle f^{\prime }}$ komprimiert also ${\displaystyle 2b}$ Bit aus der vorherigen Iteration und einen ${\displaystyle a}$ Bit langen Nachrichtenblock zu einer Ausgabe von ${\displaystyle 2b}$ Bit. Nach der letzten Iteration wird die Ausgabe durch eine weitere Kompressionsfunktion von ${\displaystyle 2b}$ auf ${\displaystyle b}$ Bit verkürzt, im einfachsten Fall durch Trunkierung. Beispiele: SHA-512/256, Grøstl.

Nandi und Paul haben gezeigt, dass diese Konstruktion etwa doppelt so schnell gemacht werden kann (fast wide pipe hash), indem man nur ${\displaystyle b}$ Bit aus den vorhergehenden Kompressionen in die nächste Kompression eingibt, zusammen mit einem ${\displaystyle a+b}$ Bit langen Nachrichtenblock ${\displaystyle m_i}$. Die andere Hälfte der ${\displaystyle 2b}$-Kompressionsausgabe wird mit der darauf folgenden Eingabe XOR-verknüpft:^[8]

${\displaystyle h_i=f^{\prime }((\mathrm{Hi}(h_{i-2})\oplus \mathrm{Lo}(h_{i-1}))\Vert m_i);1\le i\le n-1}$

In der letzten Stufe wird die Ausgabe der vorletzten komplett verarbeitet, und der Nachrichtenblock ${\displaystyle m_n}$ ist dafür nur ${\displaystyle a}$ Bit breit (falls man hier nicht eine andere Kompressionsfunktion mit größerer Eingabe verwendet):

${\displaystyle h_n=f^{\prime }((\mathrm{Hi}(h_{n-2})\oplus \mathrm{Lo}(h_{n-1}))\Vert \mathrm{Hi}(h_{n-1})\Vert m_n)}$

${\displaystyle \mathrm{Hi}(c)}$ und ${\displaystyle \mathrm{Lo}(c)}$ bedeuten dabei die erste bzw. die zweite Hälfte der Bitkette ${\displaystyle c}$.

Neben der wide-pipe-hash-Konstruktion gilt auch die HAIFA-Konstruktion als eine Weiterentwicklung des Merkle-Damgård Verfahrens. Ein Beispiel dafür ist die BLAKE Hashfunktion.

• Hans Delfs, Helmut Knebl: Introduction to Cryptography. Springer 2002, ISBN 3-540-42278-1, S. 40.