Длина хэш-значения равна длине блока

H_i=E_Hi(M_i⊕H_{i - l} )⊕M_i⊕H_{i - l}

H_i=E_Hi(M_i)⊕H_{i - l} ⊕M_i

H_i=E_Hi(M_i⊕H_{i - l} )⊕M_i

Д. =£_м_ (#,._-,)⊕#,-,

H_i=E_K(M_i⊕H_i-₁)⊕M_i⊕H_i-₁

H_i=E_K(H_{i - l} )⊕M_i⊕H_{i - l}

Д. =£_М_(М,. ⊕#,._-,)⊕#,-, H_i=E_{u ⊕ H}JM_i)⊕M_i H i =E_Ui ⊕ H _- H i - _l)⊕H i - _l H_i=E_{Ui ⊕ H}JM_i)⊕H_{i - l}

H_i=E_{U ⊕ H}(H_i-₁)⊕M_i

Три различные переменные могут принимать одно из четырех возможных значений, поэтому всего сущее т-вует 64 варианта схем этого типа. Они все были изучены Бартом Пренелом (Bart Preneel) [1262].

Пятнадцать из них тривиально слабы, так как результат не зависит от одного из входов. Тридцать семь не­безопасны по более тонким причинам. В 17-й перечислены оставшиеся 12 безопасных схем: первые четыре безопасны против всех вскрытий (см. 9th), а последние 8 безопасны против всех типов вскрытий, кроме вскры­тия с фиксированной точкой, о котором в реальных условиях не стоит беспокоиться.

M_i

Hi-1

Hi-1 ■

I Ключ! Шифрование

-+Ф

+• H_i

M_i

►е->

Ключ

Шифрование

Ф-Ф--------- ► H_i

Hi-1

Hi-1

M_i

I Ключ! Шифрование

е->е-

> H_i

M_i

►е->

I Ключ! Шифрование

©------- ► H_i

Рис. 18-9. Четыре безопасных хэш-функции, у которых длина хэш-значения равна длине блока

Первая схема была описана в [1028]. Третья схема была описана в [1555, 1105, 1106] и предлагалась в каче­стве стандарта ISO [766]. Пятая схема была предложена Карлом Майером (Carl Meyer), но в литературе обычно называется Davies-Meyer [1606, 1607, 434, 1028]. Десятая схема была предложена в качестве режима хэш-функции для LOKI [273].

Скорость хэширования первой, второй, третьей, четвертой, пятой и одиннадцатой схем равна 1 - длина кл то­ча равна длине блока. Скорость хэширования других схем составляет kin, где к -длина ключа. Это означает, что если длина ключа короче длины блока, то блок сообщения должен быть по длине равен ключу. Не рекомендует­ся, чтобы блок сообщения был длиннее ключа, даже если длина ключа алгоритма шифрования больше, чем длина блока.

Если блочный алгоритм подобно DES обладает свойством комплиментарности и слабыми ключами, для всех 12 схем существует возможность дополнительного вскрытия. Оно не слишком опасно и в действительности не стоит об это м беспокоиться. Однако вы можете обезопасить себя от такого вскрытия, зафиксировав значение второго и третьего битов ключа, равное "01" или "10" [1081,1107]. Конечно же это уменьшит длину А: с 56 битов до 54 битов (для DES) и уменьшит скорость хэширования.

Было показано, что следующие схемы, описанные в литературе, небезопасны.

Эта схема [1282] была взломана в [369]:

Н,=Е_К(Н _- )

Дэвис (Davies) и Прайс (Price) предложили вариант, в котором все сообщение циклически обрабатывается алгоритмом дважды [432, 433]. Вскрытие Копперсмита взламывает такую схему даже при небольшой вычисл и-тельной мощности [369]. В [1606] была показана небезопасность еще одной схемы [432, 458]:

H i =E M,⊕tf,-₁№-l)

В [1028] была показана небезопасность следующей схемы (с - константа):

H_i = E_c(M_i ⊕ H_{i - l} ) ⊕ M_i ⊕ H_{i - l}