RadioGatún
From Wikipedia, the free encyclopedia
RadioGatún est une fonction de hachage cryptographique créée par Guido Bertoni, Joan Daemen, Michaël Peeters, et Gilles Van Assche. Elle a été présentée pour la première fois au second atelier du NIST sur la question NIST Second Cryptographic Hash Workshop, à Santa Barbara en Californie, en , pour la compétition « NIST hash function competition ».
RadioGatún est construite à partir de la fonction Panama, une fonction de chiffrement de flux et d'empreinte cryptographique datant de la fin des années 1990 dont la fonction d'empreinte a été cassée, en en corrigeant les vulnérabilités.
RadioGatún est précisément une famille de 64 fonctions, qui se distinguent par un seul paramètre : la taille des mots - en bits (w), de 1 à 64. L'algorithme nécessite 58 mots de mémoire pour stocker son état interne, chacun de taille w. La version 32 bits nécessite donc 232 octets et la version 64 bits 464 octets.
Elle peut être utilisée comme fonction de hachage ou chiffrement de flux; elle peut générer une suite arbitrairement longue de nombres pseudo-aléatoires.
C'est l’ancêtre de la primitive cryptographique Keccak, gagnante du concours SHA-3[1].
D'après les concepteurs, les premiers 19 × w bits (avec w la taille du mot paramétrés) de la sortie de RadioGatún's est une empreinte de qualité cryptographique. Autrement dit, les 608 et 1216 premiers bits pour les versions 32 et 64-bits respectivement peuvent être utilisés comme empreinte cryptographique.
En considérant l'attaque dite attaque des anniversaires (en référence au paradoxe des anniversaires), cela signifie que pour un mot de taille w, RadioGatún est conçue pour n'avoir pas d'attaque en dessous d'une complexité de 29.5w. Numériquement cela donne 2304 et 2608 pour les versions 32 et 64 bits respectivement.
Cryptanalyse
Dmitry Khovratovich et Alex Biryukov ont trouvé deux attaques qui ne compromettent pas les affirmations des créateurs sur la sécurité de la fonction, l'une avec une complexité de 218w, l'autre avec une complexité de 223.1w[2]. Khovratovich aurait aussi trouvé [3] une attaque en 218w.
On recense aussi une attaque qui ne fonctionne que sur la version 1-bit, en 224.5 opérations[4]. Elle est moins efficace que les précédentes et n'est pas extensible aux autres tailles de mots.
La meilleure attaque connue (2015) est une attaque de complexité 211w[5]. La complexité est dans les bornes affirmées par les auteurs de la fonction.
Ceux-ci ont cependant affirmé que leurs expérimentations ne leur donnaient pas une grande confiance dans la solidité de la fonction[6].
