Модификация схемы Davies-Meyer

Лай (Lai) и Массей (Massey) модифицировали метод Davies-Meyer, чтобы можно было использовать шифр IDEA [930, 925]. IDEA использует 64-битовый блок и 128-битовый ключ. Вот предложенная ими схема:

Я₀ = 1_Н,, где 1„ - случайное начальное значение

Д = E H, _{- u} M,(H i - l)

Эта функция хэширует сообщение 64-битовыми блоками и выдает 64-битовое значение (см. 8-й). Более простое вскрытие этой схемы, чем метод грубой силы, неизвестно.

Mi

Hi _И

I Ключ! Шифрование

+ H_i

Рис. 18-10. Модификация схемы Davies-Meyer.

Preneel-Bosselaers-Govaerts-Vandewalle

Эта хэш-функция, впервые предложенная в [1266], выдает хэш-значение, в два раза большее длины блока алгоритма шифрования: при 64-битовом алгоритме получается 128-битовое хэш-значение.

При 64-битовом блочном алгоритме схема выдает два 64-битовых хэш-значения, G, и Я„ объединение кото­рых и дает 128-битовое хэш-значение. У большинства блочных алгоритмов длина блока равна 64 битам. Два соседних блока, Ц и R_h размер каждого равен размеру блока, хэшируются вместе.

Go = I_G, где I_G - случайное начальное значение

Н₀ = /_я,, где 1_Н - другое случайное начальное значение

G, = e l, ⊕ я, _-, (В, ⊕ З - i) ⊕ R, ⊕ G_t - _x ⊕ Д. -,

Н, = E ⊕ (Д-, ⊕ G,-,) ⊕ L, ⊕ G,-, ⊕ H_t - _x

Лай приводит вскрытие этой схемы, которое в некоторых случаях делает вскрытие методом дня рождения тривиальным [925, 926]. Пренел (Preneel) [1262] и Копперсмит (CoppersmithO [372] также успешно взломали эту схему. Не используйте ее.