BLAKE

BLAKE2
一般いっぱん
設計せっけい者しゃ	Jean-Philippe Aumasson, Samuel Neves, Zooko Wilcox-O'Hearn, Christian Winnerlein
派生はせい元もと	BLAKE
詳細しょうさい
ダイジェスト長ちょう	可変長かへんちょう
ラウンド数すう	10 or 12

BLAKE
一般いっぱん
設計せっけい者しゃ	Jean-Philippe Aumasson, Luca Henzen, Willi Meier, Raphael C.-W. Phan
後継こうけい	BLAKE2
認証にんしょう	SHA-3最終さいしゅう候補こうほ
詳細しょうさい
ダイジェスト長ちょう	224, 256, 384 or 512 bits
ラウンド数すう	14 or 16
速度そくど	8.4 cpb on Core 2 for BLAKE-256; 7.8 cpb for BLAKE-512

BLAKEは、Jean-Philippe Aumasson, Luca Henzen, Willi Meier, and Raphael C.-W. Phanによってアメリカ国立こくりつ標準ひょうじゅん技術ぎじゅつ研究所けんきゅうじょ (NIST)によるSHA-3の公募こうぼに提出ていしゅつされた暗号あんごう学がく的てきハッシュ関数かんすうである。ダニエル・バーンスタインによって設計せっけいされたストリーム暗号あんごうであるChaChaをベースとしたものであり、ChaChaのラウンドの前まえにラウンド定数ていすうとの排他はいた的てき論理ろんり和わを取とった入力にゅうりょくブロックの置換ちかんコピーが加くわえられている。BLAKEはSHA-3公募こうぼにおいて5つの最終さいしゅう候補こうほのうちの1つに残のこった。

SHA-2と同様どうように、BLAKEには4つのバリエーションが存在そんざいする。32ビットのワード長ちょうを持もち256ビットのハッシュを出力しゅつりょくするBLAKE-256およびそれを切きり詰つめ224ビットの出力しゅつりょくとしたBLAKE-224、64ビットのワード長ちょうを持もち512ビットのハッシュを出力しゅつりょくするBLAKE-512およびそれを切きり詰つめ384ビットの出力しゅつりょくとしたBLAKE-384の4つである。

アルゴリズム

ChaChaでは4×4アレイのワードを操作そうさし、BLAKEでは16のメッセージワードと8ワードのハッシュ値ちを連結れんけつすることで、ChaChaの出力しゅつりょくを切きり詰つめて次つぎのハッシュ値ちの計算けいさんに用もちいる。

中核ちゅうかくとなる変換へんかんでは入力にゅうりょくの16ワードと16の変数へんすうを組くみ合あわせるが、ブロック間あいだでは8ワード（256あるいは512ビット）しか保持ほじされない。

BLAKEでは、16の固定こていワード（πぱいのフラクタル部ぶの先頭せんとうの512あるいは1024ビット）と、16要素ようそ間あいだでの置換ちかんテーブル10個こを用もちいる。

σしぐま[0] =  0  1  2  3  4  5  6  7  8  9 10 11 12 13 14 15
σしぐま[1] = 14 10  4  8  9 15 13  6  1 12  0  2 11  7  5  3
σしぐま[2] = 11  8 12  0  5  2 15 13 10 14  3  6  7  1  9  4
σしぐま[3] =  7  9  3  1 13 12 11 14  2  6  5 10  4  0 15  8
σしぐま[4] =  9  0  5  7  2  4 10 15 14  1 11 12  6  8  3 13
σしぐま[5] =  2 12  6 10  0 11  8  3  4 13  7  5 15 14  1  9
σしぐま[6] = 12  5  1 15 14 13  4 10  0  7  6  3  9  2  8 11
σしぐま[7] = 13 11  7 14 12  1  3  9  5  0 15  4  8  6  2 10
σしぐま[8] =  6 15 14  9 11  3  0  8 12  2 13  7  1  4 10  5
σしぐま[9] = 10  2  8  4  7  6  1  5 15 11  9 14  3 12 13  0

BLAKE-224, BLAKE-256では、固定こていワードnに下記かきの定数ていすうを用もちいる。

n = 0x243f6a88  0x85a308d3  0x13198a2e  0x03707344 
    0xa4093822  0x299f31d0  0x082efa98  0xec4e6c89 
    0x452821e6  0x38d01377  0xbe5466cf  0x34e90c6c 
    0xc0ac29b7  0xc97c50dd  0x3f84d5b5  0xb5470917

BLAKE-384, BLAKE-512では、固定こていワードnに下記かきの定数ていすうを用もちいる。

n = 0x243f6a8885a308d3  0x13198a2e03707344  0xa4093822299f31d0  0x082efa98ec4e6c89
    0x452821e638d01377  0xbe5466cf34e90c6c  0xc0ac29b7c97c50dd  0x3f84d5b5b5470917
    0x9216d5d98979fb1b  0xd1310ba698dfb5ac  0x2ffd72dbd01adfb7  0xb8e1afed6a267e96
    0xba7c9045f12c7f99  0x24a19947b3916cf7  0x0801f2e2858efc16  0x636920d871574e69

中核ちゅうかくの操作そうさはChaChaの1/4ラウンドと同等どうとうの操作そうさであり、4ワードのカラムあるいは対角線たいかくせん上じょうにおいて2ワードのメッセージ m[] と2つの固定こていワード n[] を結合けつごうする。1ラウンドごとに8回かいこの操作そうさが行おこなわれる。

j ← σしぐま[r%10][2×i]            // Index computations
k ← σしぐま[r%10][2×i+1]
a ← a + b + (m[j] ⊕ n[k])   // Step 1 (with input)
d ← (d ⊕ a) >>> 16
c ← c + d                   // Step 2 (no input)
b ← (b ⊕ c) >>> 12
a ← a + b + (m[k] ⊕ n[j])   // Step 3 (with input)
d ← (d ⊕ a) >>> 8
c ← c + d                   // Step 4 (no input)
b ← (b ⊕ c) >>> 7

上うえの計算けいさんは32ビットバージョンであるBLAKE-256, -224のものである。r はラウンド数すう（0から13）、i は繰くり返かえし回数かいすう（0から7）である。

ChaChaの1/4ラウンドの関数かんすうとは以下いかの違ちがいがある。

メッセージワードの和わが追加ついかされた。
ローテートの方向ほうこうが逆ぎゃくとなった。

64ビットバージョン（ChaChaには存在そんざいしない）であるBLAKE-512, -384も32ビットバージョンであるBLAKE-256, -224と本質ほんしつ的てきには同おなじであるが、ローテートの量りょうが32, 25, 16, 11に変更へんこうされ、ラウンド数すうが14から16に増ふやされている。

修正しゅうせい

NISTによる公募こうぼの期間きかん中ちゅう、発見はっけんされた問題もんだいへの対処たいしょとして応募おうぼ者しゃがアルゴリズムを修正しゅうせいすることが許ゆるされていた。BLAKEに加くわえられた修正しゅうせいは以下いかの通とおりである

ラウンド数すうがBLAKE-256, -224では10から14に、BLAKE-512, -384では14から16に増ふやされた。速度そくどを維持いじしたままセキュリティマージンを大おおきくするためである。

ハッシュ値ちの例れい

BLAKE-512("")
 = A8CFBBD73726062DF0C6864DDA65DEFE58EF0CC52A5625090FA17601E1EECD1B628E94F396AE402A00ACC9EAB77B4D4C2E852AAAA25A636D80AF3FC7913EF5B8

BLAKE-512("The quick brown fox jumps over the lazy dog")
 = 1F7E26F63B6AD25A0896FD978FD050A1766391D2FD0471A77AFB975E5034B7AD2D9CCF8DFB47ABBBE656E1B82FBC634BA42CE186E8DC5E1CE09A885D41F43451

BLAKE2

2012年ねん12月21日にち、BLAKEの改良かいりょう版ばんとしてBLAKE2が発表はっぴょうされた。これはJean-Philippe Aumasson、Samuel Neves、Zooko Wilcox-O'Hearn、Christian Winnerleinにより設計せっけいされたものであり、実際じっさいに破やぶられた、あるいは理論りろん的てきに破やぶられたハッシュ関数かんすうであるMD5、SHA-1の置おき換かえを目指めざしたものである^[1]。512ビットのハッシュを出力しゅつりょくする64ビットバージョンであるBLAKE2b、256ビットのハッシュを出力しゅつりょくする32ビットバージョンであるBLAKE2sの2つのバリエーションが存在そんざいする。BLAKE2bでは1から64バイト（512ビット）、BLAKE2sでは1から32バイト（256ビット）の間あいだで任意にんいの長ながさのハッシュを出力しゅつりょく可能かのうである。

マルチコアプロセッサでの並列へいれつ処理しょりによる高速こうそく化かを図はかった BLAKE2bp および BLAKE2sp と呼よばれるバージョンも存在そんざいする。

BLAKE2では、BLAKEから以下いかの修正しゅうせいがなされている。

BLAKEのラウンド関数かんすうにあった固定こていワードのメッセージワードへの追加ついかが除去じょきょされた。
2つのローテート量りょうが変更へんこうされた。
パディングが簡素かんそ化かされた。
初期しょき化かベクトルとの排他はいた的てき論理ろんり和わを取とったパラメータブロックが追加ついかされた。
ラウンド数すうが14 (BLAKE-256)あるいは16 (BLAKE-512)から、10 (BLAKE2s)あるいは12 (BLAKE2b)に削減さくげんされた。

BLAKE2 のハッシュ値ちの例れい

BLAKE2b-512("")
 = 786A02F742015903C6C6FD852552D272912F4740E15847618A86E217F71F5419D25E1031AFEE585313896444934EB04B903A685B1448B755D56F701AFE9BE2CE

BLAKE2b-512("The quick brown fox jumps over the lazy dog")
 = A8ADD4BDDDFD93E4877D2746E62817B116364A1FA7BC148D95090BC7333B3673F82401CF7AA2E4CB1ECD90296E3F14CB5413F8ED77BE73045B13914CDCD6A918

BLAKE3

2021年ねん7月がつ25日にち、BLAKE3が発表はっぴょうされた^[2]。

MD5、SHA-1、SHA-2、SHA-3、そしてBLAKE2よりも高速こうそくである。
MD5及およびSHA-1よりも堅牢けんろうで、さらに長ながさ拡張かくちょう攻撃こうげきに対たいしてSHA-2よりも堅牢けんろうである。
マークル木きを利用りようしているため、並列へいれつ化かやストリーミングデータ・差分さぶん更新こうしんされるデータのハッシュ計算けいさんが可能かのうである。
通常つうじょうのハッシュ以外いがいにも、疑似ぎじ乱数らんすう生成せいせい関数かんすう(PRF: PseudoRandom Function )、メッセージ認証にんしょうコード(MAC: Message Authentication Code)、鍵かぎ導出どうしゅつ関数かんすう(KDF: Key Derivation Function)、可変長かへんちょう出力しゅつりょく関数かんすう (XOF: eXtendable-Output Function)を利用りよう可能かのうである。
変種へんしゅのない一いち種類しゅるいのアルゴリズムを提供ていきょうしており、x86-64や他たのマイクロアーキテクチャにおいて高速こうそくである。

実装じっそうライブラリ

BLAKEをサポートしているライブラリは以下いかの通とおり。

脚注きゃくちゅう

^ http://www.paritynews.com/security/item/525-blake2-an-alternative-to-sha-3-sha-2-and-md5-announced
^ “暗号あんごう学がく的てきハッシュ関数かんすう「BLAKE3 1.0」が公開こうかい”. 2022年ねん4月がつ28日にち閲覧えつらん。

外部がいぶリンク

[1] ttp://www.paritynews.com/security/item/525-blake2-an-alternative-to-sha-3-sha-2-and-md5-announced

[2] “暗号あんごう学がく的てきハッシュ関数かんすう「BLAKE3 1.0」が公開こうかい”. 2022年ねん4月がつ28日にち閲覧えつらん。

[1]

[2]