Modifikationsprüfwerte

2021-12-02 10:22:15 +01:00 · 2021-12-02 10:22:15 +01:00 · 4468c8aee8
commit 4468c8aee8
parent dc7f8c16c4
9 changed files with 403 additions and 2 deletions
--- a/Assets/NetworkSecurity-CBC-mac.png
+++ b/Assets/NetworkSecurity-CBC-mac.png
--- a/Assets/NetworkSecurity-feistel.png
+++ b/Assets/NetworkSecurity-feistel.png
--- a/Assets/NetworkSecurity-gcm.png
+++ b/Assets/NetworkSecurity-gcm.png
--- a/Assets/NetworkSecurity-md5.png
+++ b/Assets/NetworkSecurity-md5.png
--- a/Assets/NetworkSecurity-sha-2.png
+++ b/Assets/NetworkSecurity-sha-2.png
--- a/Assets/NetworkSecurity-sha-3.png
+++ b/Assets/NetworkSecurity-sha-3.png
--- a/Assets/NetworkSecurity-sha1.png
+++ b/Assets/NetworkSecurity-sha1.png
--- a/Assets/NetworkSecurity-sponge-wrap.png
+++ b/Assets/NetworkSecurity-sponge-wrap.png
--- a/Security.md
+++ b/Security.md
@ -55,6 +55,23 @@
    - [Weitere Anmerkungen](#weitere-anmerkungen)
  - [Schlussfolgerung](#schlussfolgerung)
 - [Modifikationsprüfwerte](#modifikationsprüfwerte)
+  - [Motivation](#motivation)
+  - [Kryptographische Hash-Funktionen](#kryptographische-hash-funktionen)
+  - [Nachrichten-Authentifizierungs-Codes (MAC)](#nachrichten-authentifizierungs-codes-mac)
+  - [Ein einfacher Angriff gegen einen unsicheren MAC](#ein-einfacher-angriff-gegen-einen-unsicheren-mac)
+  - [Anwendungen für kryptographische Hash-Funktionen und MACs](#anwendungen-für-kryptographische-hash-funktionen-und-macs)
+  - [Angriffe basierend auf dem Geburtstagsphänomen](#angriffe-basierend-auf-dem-geburtstagsphänomen)
+  - [Übersicht über die gebräuchlichen MDCs](#übersicht-über-die-gebräuchlichen-mdcs)
+  - [Gemeinsame Struktur von kryptografischen Hash-Funktionen](#gemeinsame-struktur-von-kryptografischen-hash-funktionen)
+  - [Der Message Digest 5](#der-message-digest-5)
+  - [Der sichere Hash-Algorithmus SHA-1](#der-sichere-hash-algorithmus-sha-1)
+  - [Der sichere Hash-Algorithmus SHA-3](#der-sichere-hash-algorithmus-sha-3)
+  - [Cipher Block Chaining Message Authentication Codes](#cipher-block-chaining-message-authentication-codes)
+  - [Konstruktion eines MAC aus einem MDC](#konstruktion-eines-mac-aus-einem-mdc)
+  - [Authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD) Modi](#authentifizierte-verschlüsselung-mit-zugehörigen-daten-aead-modi)
+    - [Galois/Zähler-Modus (GCM) [MV04]](#galoiszähler-modus-gcm-mv04)
+    - [Kleiner Exkurs: Rechenoperationen in $GF(2^n)$](#kleiner-exkurs-rechenoperationen-in-gf2n)
+  - [SpongeWrap](#spongewrap)
 - [Zufallszahlengenerierung](#zufallszahlengenerierung)
 - [Kryptographische Protokolle](#kryptographische-protokolle)
 - [Sichere Gruppenkommunikation](#sichere-gruppenkommunikation)
@ -1220,8 +1237,367 @@ Größter gemeinsamer Teiler
  - Daher werden sie oft nicht für die Verschlüsselung/Signierung von Massendaten verwendet.
  - Symmetrische Verfahren werden zur Verschlüsselung / Berechnung eines kryptografischen Hashwerts verwendet, während die asymmetrische Kryptografie nur zur Verschlüsselung eines Schlüssels / Hashwerts eingesetzt wird.

-
 # Modifikationsprüfwerte
+## Motivation
+- In der Datenkommunikation ist es üblich, eine Art Fehlererkennungscode für Nachrichten zu berechnen, mit dem der Empfänger überprüfen kann, ob eine Nachricht während der Übertragung verändert wurde.
+  - Beispiele: Parität, Bit-Interleaved Parity, Cyclic Redundancy Check (CRC)
+- Dies führt zu dem Wunsch, einen ähnlichen Wert zu haben, der es ermöglicht zu überprüfen, ob eine Nachricht während der Übertragung verändert wurde.
+- Es ist jedoch ein großer Unterschied, ob man davon ausgeht, dass die Nachricht durch mehr oder weniger zufällige Fehler oder absichtlich verändert wird:
+  - Wenn jemand eine Nachricht, die mit einem CRC-Wert geschützt ist, absichtlich verändern will, kann er den CRC-Wert nach der Veränderung neu berechnen oder die Nachricht so verändern, dass sie den gleichen CRC-Wert ergibt.
+- Ein Änderungsprüfwert muss also einige zusätzliche Eigenschaften erfüllen, die es Angreifern unmöglich machen, ihn zu fälschen
+  - Zwei Hauptkategorien von Modifikationsprüfwerten:
+    - Modifikationserkennungscode (MDC)
+    - Nachrichten-Authentifizierungs-Code (MAC)
+
+## Kryptographische Hash-Funktionen
+- Definition: Hash-Funktion
+  - Eine Hash-Funktion ist eine Funktion h, die die folgenden zwei Eigenschaften hat:
+     - Komprimierung: h bildet eine Eingabe x mit beliebiger endlicher Bitlänge auf eine Ausgabe $h(x)$ mit fester Bitlänge n ab.
+     - Einfachheit der Berechnung: Bei h und x ist es einfach, $h(x)$ zu berechnen.
+- Definition: kryptografische Hash-Funktion
+  - Eine kryptografische Hash-Funktion h ist eine Hash-Funktion, die zusätzlich unter anderem die folgenden Eigenschaften erfüllt:
+    - Pre-Image-Resistenz: für im Wesentlichen alle vorgegebenen Ausgaben y ist es rechnerisch nicht möglich, ein x zu finden, so dass $h(x)=y$
+    - 2. Vorabbild-Resistenz: Bei x ist es rechnerisch nicht möglich, eine zweite Eingabe $x'$ mit $x\not= x'$ zu finden, so dass $h(x)=h(x')$
+    - Kollisionssicherheit: Es ist rechnerisch nicht möglich, ein beliebiges Paar $(x,x')$ mit $x\not= x'$ zu finden, so dass $h(x)=h(x')$
+  - Kryptographische Hash-Funktionen werden zur Berechnung von Modification Detection Codes (MDC) verwendet
+
+## Nachrichten-Authentifizierungs-Codes (MAC)
+- Definition: Nachrichten-Authentifizierungs-Code
+  - Ein Message-Authentication-Code-Algorithmus ist eine Familie von Funktionen $h_k$, die durch einen geheimen Schlüssel k parametrisiert sind und die folgenden Eigenschaften aufweisen:
+    - Komprimierung: hk bildet eine Eingabe x beliebiger endlicher Bitlänge auf eine Ausgabe $h_k(x)$ fester Bitlänge ab, genannt MAC
+    - Einfache Berechnung: Bei k, x und einer bekannten Funktionsfamilie $h_k$ ist der Wert $h_k(x)$ einfach zu berechnen
+    - Berechnungsresistenz: für jeden festen, erlaubten, aber unbekannten Wert von k ist es bei null oder mehr Text-MAC-Paaren $(x_i, h_k(x_i))$ rechnerisch nicht möglich, ein Text-MAC-Paar $(x, h_k(x))$ für jede neue Eingabe $x\not= x_i$ zu berechnen
+  - Bitte beachten Sie, dass Rechenresistenz die Eigenschaft der Nicht-Wiederherstellung des Schlüssels impliziert, d.h. k kann nicht aus Paaren $(x_i,h_k(x_i))$ wiederhergestellt werden, aber Rechenresistenz kann nicht aus der Nicht-Wiederherstellung des Schlüssels abgeleitet werden, da der Schlüssel k nicht immer wiederhergestellt werden muss, um neue MACs zu fälschen
+
+## Ein einfacher Angriff gegen einen unsicheren MAC
+- Betrachten wir zur Veranschaulichung die folgende MAC-Definition:
+  - Eingabe: Nachricht $m=(x_1,x_2,...,x_n)$, wobei $x_i$ 64-Bit-Werte sind, und Schlüssel k
+  - Berechne $\delta(m):= x_1\oplus x_2\oplus...\oplus x_n$, wobei $\oplus$ die bitweise Exklusiv-Oder-Verknüpfung bezeichnet
+  - Ausgabe: MAC $C_k(m):= E_k(\delta(m))$ mit $E_k(x)$ für die DES-Verschlüsselung
+- Die Schlüssellänge beträgt 56 Bit und die MAC-Länge 64 Bit, so dass wir einen Aufwand von etwa $2^{55}$ Operationen erwarten würden, um den Schlüssel k zu erhalten und den MAC zu knacken (= Nachrichten fälschen zu können).
+- Leider ist die MAC-Definition unsicher:
+  - Angenommen, ein Angreifer Eve, der die zwischen Alice und Bob ausgetauschten Nachrichten fälschen will, erhält eine Nachricht $(m,C_k(m))$, die von Alice mit dem mit Bob geteilten geheimen Schlüssel k ,,geschützt'' wurde
+  - Eve kann eine Nachricht $m'$ konstruieren, die denselben MAC ergibt:
+    - Sei $y_1,y_2,...,y_{n-1}$ ein beliebiger 64-Bit-Wert
+    - Definiere $y_n:= y_1\oplus y_2\oplus...\oplus y_{n-1}\oplus \delta(m)$, und $m':=(y_1,y_2,...,y_n)$
+    - Wenn Bob $(m',C_k(m))$ von Eve erhält, die vorgibt, Alice zu sein, wird er es als von Alice stammend akzeptieren, da $C_k(m)$ ein gültiger MAC für $m'$ ist
+
+## Anwendungen für kryptographische Hash-Funktionen und MACs
+- Wichtigste Anwendung, die zum ursprünglichen Entwurf führte: Integrität von Nachrichten
+   - Ein MDC stellt einen digitalen Fingerabdruck dar, der mit einem privaten Schlüssel signiert werden kann, z. B. mit dem RSA- oder ElGamal-Algorithmus, und es ist nicht möglich, zwei Nachrichten mit demselben Fingerabdruck zu erstellen, so dass ein bestimmter signierter Fingerabdruck von einem Angreifer nicht wiederverwendet werden kann
+   - Ein MAC über eine Nachricht m bescheinigt direkt, dass der Absender der Nachricht im Besitz des geheimen Schlüssels k ist und die Nachricht ohne Kenntnis dieses Schlüssels nicht verändert worden sein kann.
+- Andere Anwendungen, die eine gewisse Vorsicht erfordern:
+  - Bestätigung von Wissen
+  - Schlüsselableitung
+  - Pseudo-Zufallszahlengenerierung
+- Je nach Anwendung müssen weitere Anforderungen erfüllt werden:
+  - Partielle Vorabbild-Resistenz: auch wenn nur ein Teil der Eingabe, z.B. t Bit, unbekannt ist, sollte es im Durchschnitt $2^{t-1}$ Operationen benötigen, um diese Bits zu finden
+
+## Angriffe basierend auf dem Geburtstagsphänomen
+- Das Geburtstagsphänomen:
+  - Wie viele Personen müssen sich in einem Raum befinden, damit die Wahrscheinlichkeit, dass es mindestens zwei Personen mit demselben Geburtstag gibt, größer als 0,5 ist?
+  - Der Einfachheit halber lassen wir den 29. Februar beiseite und nehmen an, dass jeder Geburtstag gleich wahrscheinlich ist
+- Definieren Sie $P(n,k):= Pr$[mindestens ein Duplikat in k Elementen, wobei jedes Element einen von n gleich wahrscheinlichen Werten zwischen 1 und n annehmen kann ]
+- Definieren Sie $Q(n,k):= Pr$[kein Duplikat in k Artikeln, jeder Artikel zwischen 1 und n ]
+  - Wir können das erste Element aus n möglichen Werten wählen, das zweite Element aus $n-1$ möglichen Werten, usw.
+  - Die Anzahl der verschiedenen Möglichkeiten, k Elemente aus n Werten ohne Duplikate auszuwählen, ist also: $N=n \mal (n-1)\mal...\mal(n-k+1)= n!\backslash(n-k)!$
+  - Die Anzahl der verschiedenen Möglichkeiten, k Elemente aus n Werten auszuwählen, mit oder ohne Duplikate, ist: $n^k$
+  - Also, $Q(n,k)=N\backslash n^k=n!\backslash((n-k)! \times n^k)$
+- Wir haben: $P(n,k)=1-Q(n,k)=1-\frac{n!}{(n-k)!\times n^k}=1-\frac{n\times(n-1)\times...\times(n-k+1)}{n^k}=1-[(1-\frac{1}{n})\times(1-\frac{2}{n})\times...\times(1-\frac{k-1}{n})]$
+- Wir werden die folgende Ungleichung verwenden: $(1-x) \leq e^{-x}$ für alle $x \geq 0$
+- So: $P(n,k)>1-[(e^{-1/n})\times(e^{-2/n})\times...\times(e^{-(k-1)/n})]=1-e^{\frac{-k\times(k-1)}{2n}}$
+- Im letzten Schritt haben wir die Gleichheit: $1+2+...+(k-1)=(k^2 - k)\backslash 2$
+  - Übung: Beweisen Sie die obige Gleichheit durch Induktion
+- Kehren wir zu unserer ursprünglichen Frage zurück: Wie viele Personen k müssen sich in einem Raum befinden, damit mindestens zwei Personen mit demselben Geburtstag (von $n=365$ möglichen) mit der Wahrscheinlichkeit $\geq 0,5$ vorhanden sind?
+  - Wir wollen also lösen: $\frac{1}{2}=1-e^{\frac{-k\times(k-1)}{2n}}\Leftrightarrow 2=e^{\frac{k\times(k-1)}{2n}}\Leftrightarrow ln(2)=\frac{k\times(k-1)}{2n}$
+  - Für große k können wir $k\times(k-1)$ durch $k^2$ approximieren, und wir erhalten: $k=\sqrt{2 ln(2)n}\ca. 1,18\sqrt{n}$
+  - Für $n=365$ erhalten wir $k=22,54$, was der richtigen Antwort recht nahe kommt 23
+- Was hat das mit MDCs zu tun?
+- Wir haben gezeigt, dass bei n möglichen unterschiedlichen Werten die Anzahl k der Werte, die man zufällig wählen muss, um mindestens ein Paar identischer Werte zu erhalten, in der Größenordnung von $\sqrt{n}$ liegt.
+- Betrachten wir nun den folgenden Angriff [Yuv79a]:
+  - Eve möchte, dass Alice eine Nachricht m1 signiert, die Alice normalerweise nie signieren würde. Eve weiß, dass Alice die Funktion MDC1(m) verwendet, um eine MDC von m zu berechnen, die eine Länge von r Bit hat, bevor sie diese MDC mit ihrem privaten Schlüssel signiert, was ihre digitale Signatur ergibt.
+  - Zunächst erzeugt Eve ihre Nachricht m1. Würde sie nun MDC1(m1) berechnen und dann versuchen, eine zweite harmlose Nachricht m2 zu finden, die zu demselben MDC führt, wäre ihr Suchaufwand im durchschnittlichen Fall in der Größenordnung von $2^{(r-1)}$.
+  - Stattdessen nimmt sie eine beliebige harmlose Nachricht m2 und beginnt, Variationen m1' und m2' der beiden Nachrichten zu produzieren, z.B. durch Hinzufügen von <space> <backspace>-Kombinationen oder Variationen mit semantisch identischen Wörtern.
+- Wie wir aus dem Geburtstagsphänomen gelernt haben, muss sie nur etwa $\sqrt{2^r}=2^{r/2}$ Variationen von jeder der beiden Nachrichten produzieren, so dass die Wahrscheinlichkeit, dass sie zwei Nachrichten m1' und m2' mit demselben MDC erhält, mindestens 0,5 beträgt
+- Da sie die Nachrichten zusammen mit ihren MDCs speichern muss, um eine Übereinstimmung zu finden, liegt der Speicherbedarf ihres Angriffs in der Größenordnung von $2^{\frac{r}{2}}$ und der Rechenzeitbedarf in der gleichen Größenordnung
+- Nachdem sie m1' und m2' mit $MDC1(m1')=MDC1(m2')$ gefunden hat, fordert sie Alice auf, $m2'$ zu signieren. Eve kann dann diese Unterschrift nehmen und behaupten, dass Alice $m1'$ unterschrieben hat.
+- Angriffe nach dieser Methode werden Geburtstagsangriffe genannt.
+- Nehmen wir nun an, dass Alice RSA mit Schlüsseln der Länge 2048 Bit und eine kryptographische Hashfunktion verwendet, die MDCs der Länge 96 Bit erzeugt.
+  - Eves durchschnittlicher Aufwand, zwei Nachrichten m1' und m2' wie oben beschrieben zu erzeugen, liegt in der Größenordnung von $2^{48}$, was heute machbar ist. Das Knacken von RSA-Schlüsseln der Länge 2048 Bit ist mit den heutigen Algorithmen und Technologien bei weitem nicht möglich.
+
+## Übersicht über die gebräuchlichen MDCs
+- Kryptografische Hash-Funktionen zur Erstellung von MDCs:
+  - Message Digest 5 (MD5):
+    - Erfunden von R. Rivest
+    - Nachfolger von MD
+  - Sicherer Hash-Algorithmus 1 (SHA-1):
+    - Erfunden von der National Security Agency (NSA)
+    - Der Entwurf wurde von MD inspiriert.
+  - Sicherer Hash-Algorithmus 2 (SHA-2, auch SHA-256 und SHA-512)
+    - Ebenfalls von der National Security Agency (NSA) entwickelt
+    - Auch Merkle-Dåmgard-Verfahren
+    - Größere Blockgröße & komplexere Rundenfunktion
+  - Sicherer Hash-Algorithmus 3 (SHA-3, Keccak)
+    - Gewinner eines offenen Wettbewerbs
+    - Sogenannte Sponge-Konstruktion
+    - Vielseitiger als frühere Hash-Funktionen
+- Nachrichten-Authentifizierungs-Codes (MACs):
+  - DES-CBC-MAC:
+    - Verwendet den Data Encryption Standard im Cipher Block Chaining Modus
+    - Im Allgemeinen kann die CBC-MAC-Konstruktion mit jeder Blockchiffre verwendet werden.
+  - MACs, die aus MDCs aufgebaut sind:
+    - Dieser sehr verbreitete Ansatz wirft einige kryptografische Bedenken auf, da er einige implizite, aber nicht verifizierte Annahmen über die Eigenschaften der MDCs trifft.
+- Authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD)
+  - Galois-Counter-Verfahren (GCM)
+    - Verwendet eine Blockchiffre zur Verschlüsselung und Authentifizierung von Daten
+    - Schnell in Netzwerkanwendungen
+  - Sponge Wrap
+    - Verwendet eine SHA-3 ähnliche Hash-Funktion zur Verschlüsselung und Authentifizierung von Daten
+
+## Gemeinsame Struktur von kryptografischen Hash-Funktionen
+- So wie viele der heutigen Blockchiffren der allgemeinen Struktur eines Feistel-Netzwerks folgen, folgen auch viele der heute verwendeten kryptografischen Hash-Funktionen einer gemeinsamen Struktur, der sogenannten Merkle-Dåmgard-Struktur:
+  - Sei y eine beliebige Nachricht. Normalerweise wird die Länge der Nachricht an die Nachricht angehängt und auf ein Vielfaches einer Blockgröße b aufgefüllt. Bezeichnen wir $(y_0,y_1,...,y_{L-1})$ die resultierende Nachricht, die aus L Blöcken der Größe b
+  - Die allgemeine Struktur ist wie folgt abgebildet: ![](Assets/NetworkSecurity-feistel.png)
+  - CV ist ein Verkettungswert, mit $CV_0:= IV$ und $MDC(y) := CV_L$
+  - f ist eine spezifische Kompressionsfunktion, die $(n+b)$ Bit auf n Bit komprimiert
+- Die Hash-Funktion H lässt sich wie folgt zusammenfassen:
+  - $CV_0 = IV =$ anfänglicher n-Bit-Wert
+  - $CV_i = f(CV_{i -1}, y_{i-1}) \quad\quad 1\leq i \leq L$
+  - $H(y) = CV_L$
+- Es wurde gezeigt [Mer89a], dass, wenn die Kompressionsfunktion f kollisionssicher ist, die resultierende iterierte Hash-Funktion H ebenfalls kollisionssicher ist.
+- Die Kryptoanalyse kryptographischer Hash-Funktionen konzentriert sich daher auf die interne Struktur der Funktion f und die Suche nach effizienten Techniken zur Erzeugung von Kollisionen bei einer einzigen Ausführung von f
+- In erster Linie durch Geburtstagsangriffe motiviert, ist ein gängiger Mindestvorschlag für n , die Bitlänge des Hashwerts, 160 Bit, da dies einen Aufwand der Größenordnung $2^{80}$ für einen Angriff impliziert, der heute als undurchführbar gilt
+
+## Der Message Digest 5
+- MD5 folgt der zuvor skizzierten allgemeinen Struktur (z. B. [Riv92a]):
+  - Die Nachricht y wird mit einer ,,1'' aufgefüllt, gefolgt von 0 bis 511 ,,0'' Bits, so dass die Länge der resultierenden Nachricht kongruent 448 modulo 512 ist
+  - Die Länge der ursprünglichen Nachricht wird als 64-Bit-Wert hinzugefügt, so dass eine Nachricht entsteht, deren Länge ein ganzzahliges Vielfaches von 512 Bit ist.
+  - Diese neue Nachricht wird in Blöcke der Länge $b=512$ Bit unterteilt.
+  - Die Länge des Verkettungswertes ist $n=128$ Bit
+    - Der Verkettungswert ist ,,strukturiert'' als vier 32-Bit-Register A, B, C, D
+    - Initialisierung: 
+      - A := 0x 01 23 45 67 
+      - B := 0x 89 AB CD EF
+      - C := 0x FE DC BA 98 
+      - D := 0x 76 54 32 10
+  - Jeder Block der Nachricht $y_i$ wird mit dem Verkettungswert $CV_i$ mit der Funktion f verarbeitet, die intern durch 4 Runden zu je 16 Schritten realisiert ist
+    - Jede Runde ist ähnlich aufgebaut und verwendet eine Tabelle T, die 64 konstante Werte von je 32 Bit enthält,
+    - Jede der vier Runden verwendet eine bestimmte logische Funktion g
+- ![](Assets/NetzwerkSicherheit-md5.png) 
+  - Die Funktion g ist eine von vier verschiedenen logischen Funktionen
+  - $y_i[k]$ bezeichnet das k-te$ 32-Bit-Wort des Nachrichtenblocks i
+  - $T[j]$ ist der j-te Eintrag der Tabelle t, wobei j bei jedem Schritt modulo 64 inkrementiert wird
+  - CLS s bezeichnet die zyklische Linksverschiebung um s Bits, wobei s einem bestimmten Schema folgt.
+- Der MD5-MDC über eine Nachricht ist der Inhalt des Verkettungswertes CV nach Verarbeitung des letzten Nachrichtenblocks.
+- Sicherheit von MD5:
+  - Jedes Bit des 128-Bit-Hash-Codes ist eine Funktion eines jeden Eingabebits
+  - 1996 veröffentlichte H. Dobbertin einen Angriff, der es erlaubt, eine Kollision für die Funktion f zu erzeugen (realisiert durch die oben beschriebenen 64 Schritte).
+  - Es dauerte bis 2004, bis eine erste Kollision gefunden wurde [WLYF04].
+  - Inzwischen ist es möglich, Kollisionen innerhalb von Sekunden auf allgemeiner Hardware zu erzeugen [Kl06].
+  - MD5 darf nicht in Betracht gezogen werden, wenn Kollisionssicherheit erforderlich ist!
+    - Dies ist oft der Fall!
+    - Beispiele: Zwei Postskripte mit unterschiedlichen Texten, aber gleichen Hashes [LD05], Zertifikate, eines für eine gesicherte Domain und eines für eine eigene Zertifizierungsstelle [LWW05], Jede Nachricht, die erweiterbar ist [KK06]
+  - Die Resistenz gegen Preimage-Angriffe ist mit 2123.4 Berechnungen noch o.k[SA09]
+
+## Der sichere Hash-Algorithmus SHA-1
+- Auch SHA-1 folgt der gleichen Struktur wie oben beschrieben:
+  - SHA-1 arbeitet mit 512-Bit-Blöcken und erzeugt einen 160-Bit-Hash-Wert.
+  - Da sein Design auch vom MD4-Algorithmus inspiriert wurde, ist seine Initialisierung im Grunde dieselbe wie die von MD5:
+    - Die Daten werden aufgefüllt, ein Längenfeld wird hinzugefügt und die resultierende Nachricht wird als Blöcke der Länge 512 Bit verarbeitet.
+    - Der Verkettungswert ist als fünf 32-Bit-Register A, B, C, D, E strukturiert
+    - Initialisierung: 
+        - A = 0x 67 45 23 01 
+        - B = 0x EF CD AB 89
+        - C = 0x 98 BA DC FE 
+        - D = 0x 10 32 54 76
+        - E = 0x C3 D2 E1 F
+    - Die Werte werden im Big-Endian-Format gespeichert.
+  - Jeder Block yi der Nachricht wird zusammen mit CVi in einem Modul verarbeitet, das die Kompressionsfunktion f in vier Runden zu je 20 Schritten realisiert.
+    - Die Runden haben eine ähnliche Struktur, aber jede Runde verwendet eine andere primitive logische Funktion $f_1, f_2, f_3, f_4$.
+    - Bei jedem Schritt wird eine feste additive Konstante $K_t$ verwendet, die während einer Runde unverändert bleibt
+- ![](Assets/NetworkSecurity-sha1.png)
+  - $t\in\{0,...,15\}\Rechtspfeil W_t:= y_i[t]$
+  - $t\in\{16,...,79\}\Pfeil nach rechts W_t:=CLS_1(W_{t-16}\oplus W_{t-14}\oplus W_{t-8} \oplus W_{t-3})$
+  - Nach Schritt 79 wird jedes Register A, B, C, D, E modulo $2^{32}$ mit dem Wert des entsprechenden Registers vor Schritt 0 addiert, um $CV_{i+1}$ zu berechnen
+- Der SHA-1-MDC über eine Nachricht ist der Inhalt des Verkettungswertes CV nach Verarbeitung des letzten Nachrichtenblocks.
+- Vergleich zwischen SHA-1 und MD5:
+  - Geschwindigkeit: SHA-1 ist etwa 25% langsamer als MD5 (CV ist etwa 25% größer)
+  - Einfachheit und Kompaktheit: beide Algorithmen sind einfach zu beschreiben und zu implementieren und erfordern keine großen Programme oder Ersetzungstabellen
+- Sicherheit von SHA-1:
+  - Da SHA-1 MDCs der Länge 160 Bit erzeugt, wird erwartet, dass es eine bessere Sicherheit gegen Brute-Force- und Geburtstagsangriffe bietet als MD5.
+  - Einige inhärente Schwächen von Merkle-Dåmgard-Konstruktionen, z. B. [KK06], sind vorhanden
+  - Im Februar 2005 veröffentlichten X. Wang et. al. einen Angriff, der es erlaubt, eine Kollision mit einem Aufwand von $2^{69}$ zu finden, der in den folgenden Monaten auf $2^{63}$ verbessert und in [WYY05a] veröffentlicht wurde
+  - Die Forschung ging weiter (z.B. [Man11]), und im Februar 2017 wurde die erste tatsächliche Kollision gefunden (demonstriert mit einem veränderten PDF-Dokument)
+- SHA-2-Familie
+  - Im Jahr 2001 veröffentlichte das NIST einen neuen Standard FIPS PUB 180-2, der neue Varianten mit den Bezeichnungen SHA-256, SHA-384 und SHA-512 [NIST02] mit 256, 384 und 512 Bits enthält.
+    - SHA-224 wurde im Jahr 2004 hinzugefügt.
+  - SHA-224 und SHA-384 sind verkürzte Versionen von SHA-256 und SHA-512 mit unterschiedlichen Initialisierungswerten
+  - SHA-2 verwendet ebenfalls die Merkle-Dåmgard-Konstruktion mit einer Blockgröße von 512 Bit (SHA-256) und 1024 Bit (SHA-512)
+  - Der interne Zustand ist in 8 Registern von 32 Bit (SHA-256) und 64 Bit (SHA-512) organisiert
+  - 64 Runden (SHA-256) oder 80 Runden (SHA-512)
+- Ein Schritt
+  - ![](Assets/NetworkSecurity-sha-2.png)
+  - $t\in\{0, ..., 15\}\Rechtspfeil W_t:=y_i[t]$
+  - $t\in\{16, ..., r\}\Rightarrow W_t:=W_{t-16}\oplus \delta_0(W_{t-15})\oplus W_{t-7}\oplus\delta_1(W_{t-2})$
+  - $K_t$ ist der gebrochene Teil der Kubikwurzel aus der t-ten Primzahl
+  - Die ROTR- und Funktionen XOR-verknüpfen verschiedene Verschiebungen des Eingangswertes
+  - Ch und Maj sind logische Kombinationen der Eingabewerte
+- SHA-2-Familie
+  - Alles in allem sehr ähnlich zu SHA-1
+  - Aufgrund der Größe und der komplizierteren Rundungsfunktionen etwa 30-50 Prozent langsamer als SHA-1 (variiert für 64-Bit- und 32-Bit-Systeme!)
+  - Sicherheitsdiskussion:
+    - Bereits 2004 wurde entdeckt, dass eine vereinfachte Version des Algorithmus (mit XOR statt Addition und symmetrischen Konstanten) hochkorrelierte Ausgaben erzeugt [GH04]
+    - Für rundenreduzierte Versionen von SHA-2 gibt es Pre-Image-Angriffe, die schneller sind als Brute-Force, aber sehr unpraktisch (z.B. [AGM09])
+    - Auch wenn Größe und Komplexität derzeit keine Angriffe zulassen, ist die Situation unangenehm
+    - Dies führte zur Notwendigkeit eines neuen SHA-3-Standards
+
+## Der sichere Hash-Algorithmus SHA-3
+- Sicherheitsbedenken bezüglich SHA-1 und SHA-2 führten zu einem offenen Wettbewerb des NIST, der 2007 begann
+  - 5 Finalisten ohne nennenswerte Schwächen
+  - Oktober 2012: NIST gibt bekannt, dass Keccak zu SHA-3 wird
+  - 4 europäische Erfinder
+  - Einer davon ist Joan Daemen, der AES mitentwickelt hat
+  - SHA-3 ist sehr schnell, besonders in der Hardware
+  - Sehr gut dokumentiert und analysierbar
+- Keccak basiert auf einer so genannten Schwammkonstruktion anstelle der früheren Merkle-Dåmgard-Konstruktionen
+  - Vielseitiges Design, um fast alle symmetrischen kryptographischen Funktionen zu implementieren (allerdings ist nur das Hashing standardisiert)
+- Arbeitet normalerweise in 2 Phasen
+  - ,,Absorbieren'' von Informationen beliebiger Länge in 1600 Bit des internen Zustands
+  - ,,Auspressen'' (d.h. Ausgeben) von Hash-Daten beliebiger Länge (nur 224, 256, 384 und 512 Bit standardisiert)
+- Der interne Zustand ist in 2 Registern organisiert
+  - Ein Register der Größe r ist ,,public'': Eingabedaten werden in der Absorptionsphase mit XOR verknüpft, Ausgabedaten werden in der Quetschungsphase daraus abgeleitet
+  - Das Register der Größe c ist ,,privat''; Ein- und Ausgabe wirken sich nicht direkt auf es aus.
+  - In Keccak ist die Größe der Register 1600 Bits (d.h. $c+r=1600$ Bits)
+  - Die Größe von c ist doppelt so groß wie die Länge des Ausgangsblocks
+  - Beide Register werden mit ,,0'' initialisiert
+- Das Hashing erfolgt durch eine Funktion f, die die Register liest und einen neuen Zustand ausgibt
+- Sponge-Konstruktion
+  - ![](Assets/NetzwerkSicherheit-sha-3.png)
+  - Absorptionsphase: $k + 1$ Eingabeblöcke der Größe r werden in den Zustand gemischt
+  - Quetschphase: $l + 1$ Ausgangsblöcke der Größe r werden erzeugt (oft nur einer)
+  - Der letzte Eingabe- und Ausgabeblock kann aufgefüllt oder abgeschnitten werden.
+- Die Funktion f
+  - Offensichtlich hängt die Sicherheit einer Sponge-Konstruktion von der Sicherheit von f
+  - Keccak verwendet 24 Runden von 5 verschiedenen Unterfunktionen $(\Sigma, \ro,\pi,𝜒,ɩ)$, um f zu implementieren.
+  - Die Unterfunktionen operieren auf einem ,,dreidimensionalen'' Bit-Array a $[5][5][w]$, wobei w entsprechend der Größe r und c gewählt wird
+  - Alle Operationen werden über $GF(2^n)$ durchgeführt.
+  - Jede der Unterfunktionen gewährleistet bestimmte Eigenschaften, z.B,
+    - Schnelle Diffusion der geänderten Bits im gesamten Zustand ($\Sigma$)
+    - Langfristige Diffusion ($\pi$)
+    - Sicherstellung, dass f nichtlinear wird (𝜒)
+    - Rundenspezifische Substitution (ɩ)
+- $\Sigma$ wird zuerst ausgeführt, um sicherzustellen, dass sich der geheime und der öffentliche Zustand schnell vermischen, bevor andere Unterfunktionen angewendet werden.
+- Sicherheit
+  - Derzeit gibt es keine nennenswerten Schwachstellen in SHA-3
+    - Die bekanntesten Pre-Image-Angriffe funktionieren nur mit einer Funktion f mit bis zu 8 Runden
+    - Zum Schutz vor internen Kollisionen sollten 11 Runden ausreichen.
+  - Im Vergleich zu SHA-1 und SHA-2 werden zusätzliche Sicherheitseigenschaften garantiert, da der interne Zustand nie öffentlich gemacht wird
+    - Verhindert Angriffe, bei denen beliebige Informationen zu einer gültigen geheimen Nachricht hinzugefügt werden
+    - Bietet Chosen Target Forced Prefix (CTFP) Preimage-Resistenz [KK06], d.h. es ist nicht möglich, eine Nachricht $m=P||S$ zu konstruieren, wobei P fest und S beliebig gewählt ist, s.t., $H(m)=y$
+    - Für Merkle-Dåmgard-Konstruktionen ist dies nur so schwer wie die Kollisionssicherheit
+    - Keine schnelle Möglichkeit, Multikollisionen schnell zu erzeugen [Jou04]
+
+## Cipher Block Chaining Message Authentication Codes
+- Ein CBC-MAC wird berechnet, indem eine Nachricht im CBC-Modus verschlüsselt wird und der letzte Chiffretextblock oder ein Teil davon als MAC verwendet wird:
+  - ![](Assets/NetworkSecurity-CBC-mac.png)
+- Dieser MAC muss nicht mehr signiert werden, da er bereits mit einem gemeinsamen Geheimnis K erzeugt wurde.
+  - Es ist jedoch nicht möglich zu sagen, wer genau einen MAC erstellt hat, da jeder (Sender, Empfänger), der den geheimen Schlüssel K kennt, dies tun kann
+- Dieses Verfahren funktioniert mit jeder Blockchiffre (DES, IDEA, ...)
+- Sicherheit von CBC-MAC:
+  - Da ein Angreifer K nicht kennt, ist ein Geburtstagsangriff sehr viel schwieriger (wenn nicht gar unmöglich) zu starten
+  - Ein Angriff auf einen CBC-MAC erfordert bekannte Paare (Nachricht, MAC)
+  - Dies ermöglicht kürzere MACs
+  - Ein CBC-MAC kann optional verstärkt werden, indem man sich auf einen zweiten Schlüssel $K'\not= K$ einigt und eine dreifache Verschlüsselung des letzten Blocks durchführt: $MAC:=E(K,D(K',E(K,C_{n-1})))$
+  - Dadurch verdoppelt sich der Schlüsselraum bei nur geringem Rechenaufwand
+  - Die Konstruktion ist nicht sicher, wenn die Nachrichtenlängen variieren!
+- Es gibt auch einige Vorschläge, MDCs aus symmetrischen Blockchiffren zu erzeugen, indem der Schlüssel auf einen festen (bekannten) Wert gesetzt wird:
+  - Wegen der relativ kleinen Blockgröße von 64 Bit der meisten gängigen Blockchiffren bieten diese Verfahren keine ausreichende Sicherheit gegen Geburtstagsangriffe.
+  - Da symmetrische Blockchiffren mehr Rechenaufwand erfordern als spezielle kryptografische Hash-Funktionen, sind diese Verfahren relativ langsam.
+
+## Konstruktion eines MAC aus einem MDC
+- Grund für die Konstruktion von MACs aus MDCs Kryptografische Hash-Funktionen laufen im Allgemeinen schneller ab als symmetrische Blockchiffren
+- Grundidee: ,,mix'' einen geheimen Schlüssel K mit der Eingabe und berechne einen MDC
+- Die Annahme, dass ein Angreifer K kennen muss, um einen gültigen MAC zu erzeugen, wirft dennoch einige kryptografische Probleme auf (zumindest für Merkle-Dåmgard-Hash-Funktionen):
+  - Die Konstruktion $H(K||m)$ ist nicht sicher (siehe Anmerkung 9.64 in [Men97a])
+  - Die Konstruktion $H(m||K)$ ist nicht sicher (siehe Bemerkung 9.65 in [Men97a])
+  - Die Konstruktion $H(K||p||m||K)$, bei der p ein zusätzliches Auffüllfeld bezeichnet, bietet keine ausreichende Sicherheit (siehe Anmerkung 9.66 in [Men97a])
+- Die am häufigsten verwendete Konstruktion ist: $H(K\oplus p_1|| H(K\oplus p_2|| m))$
+  - Der Schlüssel wird mit 0's aufgefüllt, um den Schlüssel zu einem Eingabeblock der kryptographischen Hashfunktion aufzufüllen
+  - Zwei verschiedene konstante Muster $p_1$ und $p_2$ werden mit dem aufgefüllten Schlüssel XOR-verknüpft
+  - Dieses Schema scheint sicher zu sein (siehe Anmerkung 9.67 in [Men97a])
+  - Es wurde in RFC 2104 [Kra97a] standardisiert und wird HMAC genannt.
+
+## Authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD) Modi
+- Normalerweise sind die Daten nicht authentifiziert oder verschlüsselt, sondern verschlüsselt UND authentifiziert (Blöcke $P_0...P_n$)
+- Manchmal müssen zusätzliche Daten authentifiziert werden (z.B. Paketköpfe), im Folgenden mit $A_0...A_m$ bezeichnet
+- führte zur Entwicklung von AEAD-Betriebsarten
+- Beispiele hierfür sind
+  - Galois/Zähler-Modus (GCM)
+  - Zähler mit CBC-MAC (CCM)
+  - Offset-Codebuch-Modus (OCM)
+  - SpongeWrap - eine Methode zur Verwendung von Keccak für den AEAD-Betrieb
+
+### Galois/Zähler-Modus (GCM) [MV04]
+- Beliebter AEAD-Modus
+- NIST-Standard, Teil von IEEE 802.1AE, IPsec, TLS, SSH usw.
+- Frei von Patenten
+- Wird wegen seiner hohen Geschwindigkeit hauptsächlich in Netzwerkanwendungen eingesetzt
+  - Äußerst effizient in der Hardware
+  - Prozessorunterstützung auf neueren x86-CPUs
+  - Zeitintensive Aufgaben können vorberechnet und parallelisiert werden
+  - Keine Notwendigkeit für Auffüllungen
+- Verwendet konventionelle Blockchiffre mit 128-Bit-Blockgröße (z. B. AES)
+- Berechnet MAC durch Multiplikationen und Additionen in $GF(2^{128})$ über das irreduzible Polynom $x^{128}+x^{7}+x^{2}+x+1$
+- Erfordert nur $n+1$ Blockchiffre-Aufrufe pro Paket (n = Länge der verschlüsselten und authentifizierten Daten)
+- ![](Assets/NetworkSecurity-gcm.png)
+  - $I_0$ wird mit dem IV und einem Padding oder einem Hash des IV initialisiert (wenn er nicht 96 Bit beträgt)
+  - $\circ H$ ist $GF(2^{128})$ Multiplikation mit $H=E(K,0^{128})$
+  - Die Eingabeblöcke $A_m$ und $P_n$ werden auf 128 Bit aufgefüllt
+  - $A_m$ und $C_n$ werden vor der Ausgabe auf die Originalgröße gekürzt
+  - Die letzte Authentifizierung verwendet 64 Bit kodierte Bitlängen von A und C
+- Sicherheit
+  - Schneller Modus, erfordert aber einige Sorgfalt:
+    - Erwiesenermaßen sicher (unter bestimmten Voraussetzungen, z. B. wenn die verwendete Blockchiffre nicht von Zufallszahlen unterscheidbar ist), aber die Konstruktion ist anfällig:
+  - IVs MÜSSEN NICHT wiederverwendet werden, da sonst Datenströme XOR-verknüpft werden können und das XOR der Datenströme wiederhergestellt werden kann, was zu einer sofortigen Wiederherstellung des geheimen Werts ,,H'' führen kann
+  - H hat einen möglichen schwachen Wert $0^{128}$, in diesem Fall wird die Authentifizierung nicht funktionieren, und wenn IVs mit einer anderen Länge als 96 Bits verwendet werden, wird $C_0$ immer gleich sein!
+  - Einige andere Schlüssel erzeugen Hash-Schlüssel mit einer niedrigen Ordnung, was vermieden werden muss... [Saa11]
+  - Erfolgreiche Fälschungsversuche können Informationen über H durchsickern lassen, daher MÜSSEN kurze MAC-Längen vermieden oder risikominimiert werden [Dwo07]
+  - Die erreichte Sicherheit ist nur $2^{t-k}$ und nicht $2^t$ (für MAC-Länge t und Anzahl der Blöcke $2^k$), da Blöcke modifiziert werden können, um nur Teile des MAC zu ändern [Fer05]
+
+### Kleiner Exkurs: Rechenoperationen in $GF(2^n)$
+- Galoisfeld-Arithmetik definiert über Termen (z.B. $a_3x^3+a_2x^2+a_1x+a_0$)
+- Koeffizienten sind Elemente des Feldes $\matbb{Z}_2$, d.h. entweder 0 oder 1
+- Oft werden nur die Koeffizienten gespeichert, so wird aus x^4 +x^2 +x^1 0x16
+- Die Addition in $GF(2^n)$ ist einfach die Addition von Termen
+  - Da gleiche Koeffizienten auf 0 abbilden, einfach XOR der Werte!
+  - Extrem schnell in Hard- und Software!
+- Multiplikation in $GF(2^n)$ ist Polynommultiplikation und anschließende Modulodivision durch ein irreduzibles Polynom vom Grad n
+  - Irreduzible Polynome sind nicht ohne Rest durch irgendein anderes Polynom teilbar, außer durch ,,1'', ähnlich wie Primzahlen in GF
+  - Kann durch eine Reihe von Verschiebe- und XOR-Operationen implementiert werden
+  - Sehr schnell in Hardware oder auf neueren Intel-CPUs (mit CLMUL-Operationen)
+  - Modulo-Operation kann wie bei einer regulären CRC-Berechnung durchgeführt werden
+- Addition Beispiel:
+  - $x^3 +x+1 x\oplus x^2+x = x^3 +x^2 +1 \leftrightarrow$ 0x0B XOR 0x06 = 0x0D
+- Multiplikationsbeispiel (über $x^4 +x+1$):
+  - $x^3 +x+1\circ x^2+x = x^5+x^3+x^2\oplus x^4+x^2+x\ MOD\ x^4+x+1=x^5+x^4+x^3+x\ MOD\ x^4+x+1 = x^3 +x^2 +x+1$
+- Elemente von $GF(2^n)$ (mit Ausnahme von 1 und dem irreduziblen Polynom) können ein Generator für die Gruppe sein
+- Beispiel für x und das Polynom $x^4+x+1:x,x^2,x^3,x+1,x^2+x,x^3+x^2,x^3+x+1,x^2 +1,x^3+x,x^2+x+1,x^3+x^2+x,x^3+x^2+x+1,x^3+x^2+1,x^3+1,1,x,...$
+- Andere Konzepte endlicher Gruppen gelten ebenfalls, z. B. hat jedes Element ein multiplikatives inverses Element
+  - Kann durch eine angepasste Version des Erweiterten Euklidischen Algorithmus gefunden werden
+
+## SpongeWrap
+- Durch Verwendung von SHA-3 ist es auch möglich, ein AEAD-Konstrukt zu implementieren [BDP11a]
+- Die Konstruktion ist sehr einfach und vergleichsweise leicht zu verstehen
+- Verwendet den sogenannten Duplex-Modus für Sponge-Funktionen, bei dem Schreib- und Leseoperationen verschachtelt werden
+- Erfordert kein Auffüllen der Daten auf eine bestimmte Blockgröße
+- Kann nicht parallelisiert werden
+- Sicherheit:
+  - Noch nicht weit verbreitet, aber mehrere Aspekte haben sich als genauso sicher wie SHA-3 im standardisierten Modus erwiesen
+  - Wenn die authentifizierten Daten A keine eindeutige IV enthalten, wird derselbe Schlüsselstrom erzeugt (ermöglicht die Wiederherstellung eines Blocks XOR-verschlüsselter Daten)
+- ![](Assets/NetworkSecurity-sponge-wrap.png)
+  - Vereinfachte Version, bei der die Länge von Schlüssel und MAC kleiner sein muss als die Blockgröße
+  - Auffüllungen mit einem einzelnen ,,0''- oder ,,1''-Bit stellen sicher, dass verschiedene Datenblocktypen gut voneinander getrennt sind
+
 # Zufallszahlengenerierung
 # Kryptographische Protokolle
 # Sichere Gruppenkommunikation
@ -1280,3 +1656,28 @@ Größter gemeinsamer Teiler
 - [SM09] A. Sorniotti, R. Molva - A provably secure secret handshake with dynamic controlled matching
 - [BF03] D. Boneh, M. Franklin - Identity-Based Encryption from the Weil Pairing
 - [Sch85] R. Schoof - Elliptic Curves over Finite Fields and the Computation of Square Roots mod p
+- [Kra97a] H. Krawczyk, M. Bellare, R. Canetti. HMAC: Keyed-Hashing for Message Authentication. Internet RFC 2104, February 1997.
+- [Mer89a] R. Merkle. One Way Hash Functions and DES. Proceedings of Crypto ‘89, Springer, 1989
+- [Men97a] A. J. Menezes, P. C. Van Oorschot, S. A. Vanstone. Handbook of Applied Cryptography, CRC Press Series on Discrete Mathematics and Its Applications, Hardcover, 816 pages, CRC Press, 1997
+- [NIST02] National Institute of Standards and Technology (NIST). Secure Hash Standard. Federal Information Processing Standards Publication (FIPS PUB), 180-2, 2002
+- [Riv92a] R. L. Rivest. The MD5 Message Digest Algorithm. Internet RFC 1321, April 1992
+- [Rob96a] M. Robshaw. On Recent Results for MD2, MD4 and MD5. RSA Laboratories' Bulletin, No. 4, November 1996
+- [WYY05a] X. Wang, Y. L. Yin, H. Yu. Finding collisions in the full SHA-1. In Advances in Cryptology - CRYPTO'05, pages 18-36, 2005
+- [Yuv79a] G. Yuval. How to Swindle Rabin. Cryptologia, July 1979.
+- [WLYF04] X. Wang, D. Feng, X. Lai, H. Yu. Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD. IACR Eprint archive, 2004.
+- [LWW05] A. Lenstra, X. Wang, B. de Weger. Colliding X.509 Certificates. Cryptology ePrint Archive: Report 2005/067. 2005
+- [LD05] S. Lucks, M. Daum. The Story of Alice and her Boss. In Rump session of Eurocrypt’05. 2005.
+- [Kl06] V. Klima. Tunnels in Hash Functions: MD5 Collisions Within a Minute (extended abstract), Cryptology ePrint Archive: Report 2006/105, 2006
+- [SA09] Y. Sasaki, K. Aoki. Finding Preimages in Full MD5 Faster Than Exhaustive Search. Advances in Cryptology - EUROCRYPT’09. 2009
+- [Man11] M. Manuel. Classification and Generation of Disturbance Vectors for Collision Attacks against SHA-1. Journal Designs, Codes and Cryptography. Volume 59, Issue 1-3, pages 247-263, 2011
+- [GH04] H. Gilbert, H. Handschuh. Security Analysis of SHA-256 and Sisters. Lecture Notes in Computer Science, 2004, Volume 3006/2004, pages 175-193. 2004
+- [AGM09] K. Aoki, J. Guo, K. Matusiewicz, V. Sasaki, L. Wang. Preimages for Step-Reduced SHA-2. Advances in Cryptology - ASIACRYPT 2009. pages 578-597, 2009
+- [KK06] J. Kelsey, T. Kohno. Herding Hash Functions and the Nostradamus Attack. Advances in Cryptology - EUROCRYPT’06. 2006
+- [Jou04] A. Joux: Multicollisions in Iterated Hash Functions. Application to Cascaded Constructions. CRYPTO 2004: pages 306-316. 2004
+- [MV04] D. McGrew, J. Viega. The Security and Performance of the Galois/Counter Mode (GCM) of Operation (Full Version). [http://eprint.iacr.org/2004/193.](http://eprint.iacr.org/2004/193.)
+- [Fer05] N. Ferguson. Authentication weaknesses in GCM. 2005
+- [Dwo07] M. Dworkin. Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC. NIST Special Publication 800-38D. 2007
+- [Saa11] M. Saarinen. GCM, GHASH and Weak Keys. Cryptology ePrint Archive, Report 2011/202, [http://eprint.iacr.org/2011/202,](http://eprint.iacr.org/2011/202,) 2011
+- [BDP07] G. Bertoni, J. Daemen, M. Peeters, G. Van Assche. Sponge Functions. Ecrypt Hash Workshop 2007
+- [BDP11a] G. Bertoni, J. Daemen, M. Peeters, G. Van Assche. Cryptographic sponge functions. Research report. Version 0.1. 2011
+- [BDP11b] G. Bertoni, J. Daemen, M. Peeters, G. Van Assche. The Keccak reference. Research report. Version 3.0. 2011