Winter crypto

此 crate 包含用于 STARK 证明生成和验证所需的加密操作模块。

哈希

哈希 模块定义了一组可用于加密操作的哈希函数。目前，支持以下哈希函数

• SHA3 输出 256 位。
• BLAKE3 输出 256 位或 192 位。较小的输出版本可用于减少 STARK 证明大小，但这也将证明的安全性级别限制在最多 96 位。
• 在 64 位字段上的 Rescue Prime，输出 256 位，在 62 位字段上输出 248 位。Rescue 是一个适合算术化的哈希函数，当需要递归证明组合时可以在 STARK 协议中使用。然而，Winterfell STARK 证明器和验证器尚未支持此函数。
• 与上述相同的 64 位字段上的 Rescue Prime，输出 256 位，但使用新颖的 Jive 压缩模式 以获得更小的状态和更快的 2-to-1 压缩。

Rescue 哈希函数实现

Rescue 哈希函数是根据 Rescue Prime 规范 实现的，但有以下例外

• 我们将轮数设置为 7，这意味着比规范中使用的 50% 安全边际提高了 40%（50% 边际向上取整为 8 轮）。这样做的主要动机是，将轮数设为小于 2 的幂的数可以简化涉及哈希函数的计算的 AIR 设计。
• 在散列一系列元素时，我们不会在序列末尾追加Fp(1)后跟Fp(0)个元素作为填充。相反，我们将容量元素之一初始化为要散列的元素数量，并且只使用Fp(0)元素填充序列。这确保了当我们使用merge()函数（例如，构建Merkle树）散列8个域元素来计算2-to-1散列时，以及当我们使用hash_elements()函数将8个域元素作为元素序列散列时，散列函数的输出是相同的。然而，这也意味着我们的Rescue Prime实例不能以流模式使用，因为必须事先知道要散列的元素数量。
• 对于实例RP64_256，我们还进行了以下修改
  • 我们使用状态的前4个元素（而不是状态的最后一个4个元素）作为容量，其余8个元素作为速率。散列函数的输出来自状态速率部分的第一个四个元素（元素4，5，6和7）。这实际上在XLIX置换之前和之后应用了一个固定的位置换。我们断言这不会影响构造的安全性。
  • 我们不是使用Rescue Prime论文中描述的标准方法，即使用Vandermonde矩阵生成MDS矩阵，而是使用Polygon Zero开发的方法来找到一个系数在频域中是两个小的二进制幂的MDS矩阵。这使我们能够显著减少MDS矩阵乘法的时间。使用不同的MDS矩阵不会影响散列函数的安全性，因为任何MDS矩阵都满足Rescue Prime构造（如论文第4.2节所述）。
• 使用Jive作为压缩模式的RPJive64_256实例的Rescue Prime实现了与Rp64_256类似的修改，唯一的例外是其填充规则实现了Hirose填充。此外，由于使用了Jive，当我们使用hash_elements()函数将8个域元素作为元素序列散列时，以及当我们使用2-to-1 Jive压缩模式将8个域元素压缩为4（例如，构建Merkle树）时，散列函数的输出并不相同。

用于实例化函数的参数是

• 对于RP64_256
  • 域：模数为2⁶⁴ - 2³² + 1的64位素域。
  • 状态宽度：12个域元素。
  • 容量大小：4个域元素。
  • 摘要大小：4个域元素（可以序列化为32字节）。
  • 找到的数量：7。
  • S-Box度：7。
  • 目标安全级别：128位。
• 对于RPJive64_256
  • 域：模数为2⁶⁴ - 2³² + 1的64位素域。
  • 状态宽度：8个域元素。
  • 容量大小：4个域元素。
  • 摘要大小：4个域元素（可以序列化为32字节）。
  • 找到的数量：7。
  • S-Box度：7。
  • 目标安全级别：128位。
• 对于RP62_248
  • 域：模数为2⁶² - 111 * 2³⁹ + 1的62位素域。
  • 状态宽度：12个域元素。
  • 容量大小：4个域元素。
  • 摘要大小：4个域元素（可以序列化为31字节）。
  • 找到的数量：7。
  • S-Box度：3。
  • 目标安全级别：124位。