Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Hi=EHi(Mi⊕Hi - l )⊕Mi⊕Hi - l
Hi=EHi(Mi)⊕Hi - l ⊕Mi
Hi=EHi(Mi⊕Hi - l )⊕Mi
Д. =£м_ (#,.-,)⊕#,-,
Hi=EK(Mi⊕Hi-1)⊕Mi⊕Hi-1
Hi=EK(Hi - l )⊕Mi⊕Hi - l
Д. =£М_(М,. ⊕#,.-,)⊕#,-, Hi=Eu ⊕ HJMi)⊕Mi H i =EUi ⊕ H - H i - l)⊕H i - l Hi=EUi ⊕ HJMi)⊕Hi - l
Hi=EU ⊕ H(Hi-1)⊕Mi
Три различные переменные могут принимать одно из четырех возможных значений, поэтому всего сущее т-вует 64 варианта схем этого типа. Они все были изучены Бартом Пренелом (Bart Preneel) [1262].
Пятнадцать из них тривиально слабы, так как результат не зависит от одного из входов. Тридцать семь небезопасны по более тонким причинам. В 17-й перечислены оставшиеся 12 безопасных схем: первые четыре безопасны против всех вскрытий (см. 9th), а последние 8 безопасны против всех типов вскрытий, кроме вскрытия с фиксированной точкой, о котором в реальных условиях не стоит беспокоиться.
Mi
Hi-1
Hi-1 ■
I Ключ! Шифрование
-+Ф
+• Hi
Mi
►е->
Ключ
Шифрование
Ф-Ф--------- ► Hi
Hi-1
Hi-1
Mi
I Ключ! Шифрование
е->е-
> Hi
Mi
►е->
I Ключ! Шифрование
©------- ► Hi
Рис. 18-9. Четыре безопасных хэш-функции, у которых длина хэш-значения равна длине блока
Первая схема была описана в [1028]. Третья схема была описана в [1555, 1105, 1106] и предлагалась в качестве стандарта ISO [766]. Пятая схема была предложена Карлом Майером (Carl Meyer), но в литературе обычно называется Davies-Meyer [1606, 1607, 434, 1028]. Десятая схема была предложена в качестве режима хэш-функции для LOKI [273].
Скорость хэширования первой, второй, третьей, четвертой, пятой и одиннадцатой схем равна 1 - длина кл точа равна длине блока. Скорость хэширования других схем составляет kin, где к -длина ключа. Это означает, что если длина ключа короче длины блока, то блок сообщения должен быть по длине равен ключу. Не рекомендуется, чтобы блок сообщения был длиннее ключа, даже если длина ключа алгоритма шифрования больше, чем длина блока.
Если блочный алгоритм подобно DES обладает свойством комплиментарности и слабыми ключами, для всех 12 схем существует возможность дополнительного вскрытия. Оно не слишком опасно и в действительности не стоит об это м беспокоиться. Однако вы можете обезопасить себя от такого вскрытия, зафиксировав значение второго и третьего битов ключа, равное "01" или "10" [1081,1107]. Конечно же это уменьшит длину А: с 56 битов до 54 битов (для DES) и уменьшит скорость хэширования.
Было показано, что следующие схемы, описанные в литературе, небезопасны.
Эта схема [1282] была взломана в [369]:
Н,=ЕК(Н - )
Дэвис (Davies) и Прайс (Price) предложили вариант, в котором все сообщение циклически обрабатывается алгоритмом дважды [432, 433]. Вскрытие Копперсмита взламывает такую схему даже при небольшой вычисл и-тельной мощности [369]. В [1606] была показана небезопасность еще одной схемы [432, 458]:
H i =E M,⊕tf,-1№-l)
В [1028] была показана небезопасность следующей схемы (с - константа):
Hi = Ec(Mi ⊕ Hi - l ) ⊕ Mi ⊕ Hi - l
Дата публикования: 2014-11-03; Прочитано: 444 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!