2025年10月24日 security

可并行Keccak-based哈希：KangarooTwelve与TurboSHAKE在嵌入式加密应用中的高效海绵构造

介绍KangarooTwelve和TurboSHAKE的并行化哈希机制，针对嵌入式系统的变长输出和高效海绵构造，提供工程参数。

内容加载中...

在嵌入式加密应用中，资源受限的设备往往需要高效且安全的哈希函数来处理数据完整性验证、密钥派生或消息认证。传统的SHA-3和SHAKE函数虽然安全，但其串行处理方式难以充分利用现代CPU的并行能力，导致在高吞吐量场景下性能瓶颈。KangarooTwelve和TurboSHAKE作为基于Keccak的扩展，提供了一种并行可扩展的解决方案，能够显著提升嵌入式系统的哈希效率，同时维持高安全级别。本文将探讨这些函数的核心构造原理、性能优势，以及在实际部署中的可落地参数和最佳实践。

首先，理解TurboSHAKE的核心机制。它是Keccak-p[1600, nr=12]海绵函数的变体，其中nr=12表示仅使用12轮置换，比SHAKE128/256的24/12轮更少，从而实现约2倍的速度提升。根据RFC 9861的定义，TurboSHAKE128的速率r=1344位（168字节），容量c=256位，提供128位安全强度；TurboSHAKE256的r=1088位（136字节），c=512位，提供256位安全强度。这种减少轮数的优化在嵌入式环境中特别有益，因为它降低了计算开销，同时依赖Keccak的广泛密码分析来确保安全性。证据显示，TurboSHAKE在处理输入时采用吸收-挤压模式：输入消息M附加域分离字节D（默认0x1F），填充后分块吸收，每块后应用KP置换，然后挤压出任意长度的输出。这种变长输出（XOF）特性允许灵活适应不同应用需求，而无需固定长度哈希。

KangarooTwelve（KT）则在TurboSHAKE基础上引入树哈希模式，实现并行化处理，特别适合处理大消息的嵌入式场景。KT将输入S（消息M与自定义字符串C的组合，加上长度编码）分成8192字节的块。对于小消息（|S| ≤ 8192字节），直接使用TurboSHAKE处理；对于大消息，先并行计算后续块的链值CV_i = TurboSHAKE(S_i, 0x0B, 32/64字节)，然后构建FinalNode = S_0 || 0x03 || 00^7 || CV_1 || ... || CV_{n-1} || length_encode(n-1) || FF FF，最后应用TurboSHAKE(FinalNode, 0x06/0x07, L)。这种树状结构利用Sakura编码确保安全性，避免了传统并行哈希如ParallelHash的短消息开销。RFC 9861指出，KT128使用TurboSHAKE128，KT256使用TurboSHAKE256，二者分别针对128/256位安全。在嵌入式应用中，这种并行性允许利用多核或SIMD指令加速，例如在ARM Cortex-M系列处理器上，通过分块并行计算CV来提升吞吐量达数倍。

从性能角度看，这些函数在嵌入式 crypto 中的优势显而易见。相比SHA-256，TurboSHAKE和KT避免长度扩展攻击，且输出速率等于输入速率（而MGF构造的SHA仅为一半）。此外，它们使用代数度为2的轮函数，更适合掩码实现以抵抗侧信道攻击，这在IoT设备中至关重要。实测数据显示，在资源受限的微控制器上，KT128处理1MB消息的吞吐量可达数百KB/s，远高于串行SHAKE。同时，无需额外填充开销确保短消息高效。

为实现可落地的部署，以下是关键参数和清单：

选择变体：对于大多数嵌入式应用，选择KT128以平衡安全与性能（128位足够抵御当前威胁）；若需更高安全，如密钥派生，使用KT256。输出长度L至少为128/256位以实现预像抵抗；碰撞安全需256/512位。
自定义字符串C：用于域分离，默认空字符串。对于多协议场景，C可为协议标识（如"iot-auth"），长度<256^255。使用length_encode(|C|)附加，确保可逆合并S = M || C || length_encode(|C|)。
域分离字节D：TurboSHAKE中D在0x01-0x7F；KT中避免0x06、0x07、0x0B以防冲突。嵌入式MAC应用中，推荐HopMAC：HopMAC128(Key, M, C, L) = KT128(Key, KT128(M, C, 32), L)，仅外层需侧信道保护。
块处理参数：固定块大小8192字节，支持并行。阈值：若消息>8192字节，启用树模式；否则单节点。监控并行度：利用设备SIMD单元（如NEON on ARM）计算CV_i，目标利用率>80%。
安全阈值与回滚：输出L >= log2(T) + 安全位（T为目标数）。风险：轮数减少可能引入未来攻击；限制造成依赖Keccak cryptanalysis。回滚策略：若检测异常，fallback到SHAKE128；定期更新固件监控NIST/IETF更新。
监控要点：实现时记录吸收/挤压迭代次数；侧信道防护使用常量时间KP实现。测试向量：使用RFC提供的ptn(n)模式验证，如KT128(空, 空, 32) = 1A C2 D4 50 FC 3B 42 05 D1 9D A7 BF CA 1B 37 51 3C 08 03 57 7A C7 16 7F 06 FE 2C E1 F0 EF 39 E5。

在实际嵌入式项目中，如智能传感器网络，可将KT集成到固件中处理固件更新哈希或数据聚合。相比BLAKE3等非Keccak方案，KT继承SHA-3的量子抗性，并通过IETF标准化确保互操作性。总体而言，KangarooTwelve和TurboSHAKE为嵌入式crypto注入高效并行活力，推动IoT安全演进。

资料来源：RFC 9861 (KangarooTwelve and TurboSHAKE)，Keccak Team cryptanalysis summary。