Студопедия.Орг Главная | Случайная страница | Контакты | Мы поможем в написании вашей работы!  
 

Длина хэш-значения равна длине блока



Hi=EHi(Mi⊕Hi - l )⊕Mi⊕Hi - l

Hi=EHi(Mi)⊕Hi - l ⊕Mi

Hi=EHi(Mi⊕Hi - l )⊕Mi

Д. =£м_ (#,.-,)⊕#,-,

Hi=EK(Mi⊕Hi-1)⊕Mi⊕Hi-1

Hi=EK(Hi - l )⊕Mi⊕Hi - l

Д. =£М_(М,. ⊕#,.-,)⊕#,-, Hi=Eu HJMi)⊕Mi H i =EUiH - H i - l)⊕H i - l Hi=EUi HJMi)⊕Hi - l

Hi=EU H(Hi-1)⊕Mi

Три различные переменные могут принимать одно из четырех возможных значений, поэтому всего сущее т-вует 64 варианта схем этого типа. Они все были изучены Бартом Пренелом (Bart Preneel) [1262].

Пятнадцать из них тривиально слабы, так как результат не зависит от одного из входов. Тридцать семь не­безопасны по более тонким причинам. В 17-й перечислены оставшиеся 12 безопасных схем: первые четыре безопасны против всех вскрытий (см. 9th), а последние 8 безопасны против всех типов вскрытий, кроме вскры­тия с фиксированной точкой, о котором в реальных условиях не стоит беспокоиться.


Mi


Hi-1



Hi-1


I Ключ! Шифрование


-+Ф


+• Hi


Mi


►е->


Ключ

Шифрование


Ф-Ф--------- ► Hi



Hi-1


Hi-1



Mi


I Ключ! Шифрование


е->е-


> Hi


Mi


►е->


I Ключ! Шифрование


©------- ► Hi


Рис. 18-9. Четыре безопасных хэш-функции, у которых длина хэш-значения равна длине блока

Первая схема была описана в [1028]. Третья схема была описана в [1555, 1105, 1106] и предлагалась в каче­стве стандарта ISO [766]. Пятая схема была предложена Карлом Майером (Carl Meyer), но в литературе обычно называется Davies-Meyer [1606, 1607, 434, 1028]. Десятая схема была предложена в качестве режима хэш-функции для LOKI [273].

Скорость хэширования первой, второй, третьей, четвертой, пятой и одиннадцатой схем равна 1 - длина кл то­ча равна длине блока. Скорость хэширования других схем составляет kin, где к -длина ключа. Это означает, что если длина ключа короче длины блока, то блок сообщения должен быть по длине равен ключу. Не рекомендует­ся, чтобы блок сообщения был длиннее ключа, даже если длина ключа алгоритма шифрования больше, чем длина блока.

Если блочный алгоритм подобно DES обладает свойством комплиментарности и слабыми ключами, для всех 12 схем существует возможность дополнительного вскрытия. Оно не слишком опасно и в действительности не стоит об это м беспокоиться. Однако вы можете обезопасить себя от такого вскрытия, зафиксировав значение второго и третьего битов ключа, равное "01" или "10" [1081,1107]. Конечно же это уменьшит длину А: с 56 битов до 54 битов (для DES) и уменьшит скорость хэширования.

Было показано, что следующие схемы, описанные в литературе, небезопасны.

Эта схема [1282] была взломана в [369]:

Н,=ЕК - )

Дэвис (Davies) и Прайс (Price) предложили вариант, в котором все сообщение циклически обрабатывается алгоритмом дважды [432, 433]. Вскрытие Копперсмита взламывает такую схему даже при небольшой вычисл и-тельной мощности [369]. В [1606] была показана небезопасность еще одной схемы [432, 458]:


H i =E M,⊕tf,-1№-l)

В [1028] была показана небезопасность следующей схемы (с - константа):

Hi = Ec(Mi Hi - l ) Mi Hi - l





Дата публикования: 2014-11-03; Прочитано: 444 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!



studopedia.org - Студопедия.Орг - 2014-2024 год. Студопедия не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования (0.006 с)...