Параллельная схема Davies-Meyer

Это еще одна попытка создать алгоритм со скоростью хэширования 1, который выдает хэш-значение, в два раза большее длины блока. [736].

Go = I_G, где I_G - случайное начальное значение

Н₀ = 1_Н,, где 1„ - другое случайное начальное значение

К сожалению эта схема тоже небезопасна [928, 861]. Оказывается, что хэш-функция удвоенной длины со скоростью хэширования, равной 1, не может быть безопаснее, чем Davies-Meyer [861].

Тандемная (Tandem) и одновременная (Abreast) схемы Davies-Meyer

Другой способ обойти ограничения, присущие блочным шифрам с 64-битовым ключом, использует алг о-ритм, подобный IDEA (см. раздел 13.9), с 64-битовым блоком и 128-битовым ключом. Следующие две схемы выдают 128-битовхэш-значение, а их скорость хэширования равна V₂ [930, 925].

Н_И

Шифрование

Ключ

Т~^' Mj

Г->0

W;

H_i

G_M ■

I Ключ! Шифрование

►®------- ► G,

Рис. 18-11. Тандемная (Tandem) схема Davies-Meyer.

В первой схеме две модифицированные функции Davies-Meyer работают тандемом, конвейерно (см. 7-й).

Go = I_G, где I_G - случайное начальное значение

Н₀ = /_я,, где /_я - другое случайное начальное значение

Щ = Е

(Д - i)

G,. = £,.-,©£„ Л£,.-,)

н = щ® я

В следующей схеме используются две модифицированные функции, работающие одновременно (см. 6-й).

Go = I_G, где I_G - случайное начальное значение

Я₀ = /_я,, где /_я - другое случайное начальное значение

Gi = Gi - _l®E„„(­Gi - _l)

Н = Н^Е^ЛН - )

Н_и ■

Шифрование

Ключ

-+©

H_i

M_i

G_M ■

I Ключ! Шифрование

-+Ф

G,

Рис. 18-12. Одновременная (Abreast) схема Davies-Meyer.

В обеих схемах два 64-битовых значения, Gi и H_i„ объединяются, образуя единое 128-битовое хэш-значение.

Насколько известно, безопасность 128-битовой хэш-функции этих алгоритмов идеальна: для обнаружения сообщения с заданным хэш-значением требуется 2 ¹²⁸ попыток, а для нахождения двух случайных сообщений с одинаковым хэш-значением - 2^м попыток, при условии, что лучшим способом вскрытия является применение грубой силы.