Grøstl - Grøstl

Grøstl
Общий
ДизайнеровПравин Гаураварам, Ларс Кнудсен, Кристиан Матусевич, Флориан Мендель, Кристиан Рехбергер, Мартин Шлеффер, и Сорен С. Томсен
Относится кAES
СертификацияФиналист SHA-3
Деталь
Размеры дайджестапроизвольно (от 8 до 512 бит с шагом 8 бит)[1]
Раундов10 (размер дайджеста 8-256) или 14 (размер дайджеста 264-512)
Скорость21.4 cpb на Ядро 2 для дайджеста 224/256 бит; 30,1 бит за бит для дайджеста 384/512 бит.
Лучшая публика криптоанализ
Атака столкновения на 5 туров[2]

Grøstl это криптографическая хеш-функция представлен в Конкурс хеш-функций NIST Правин Гаураварам, Ларс Кнудсен, Кристиан Матусевич, Флориан Мендель, Кристиан Рехбергер, Мартин Шлеффер и Сорен С. Томсен. Грёстль был выбран одним из пяти финалистов конкурса. Он использует тот же S-коробка в качестве AES в нестандартной конструкции. Авторы заявляют о скорости до 21,4 циклов на байт на Intel Core 2 Duo, и 9,6 цикла / байт на Intel i7 с AES-NI.

Согласно представленному документу, название «Grøstl» - это игра слов на нескольких языках, относящаяся к австрийскому блюду, которое очень похоже на хеш (еда).

Как и другие хэш-функции в семействе MD5 / SHA, Грёстль делит ввод на блоки и итеративно вычисляет чася = ж(чася−1, мя). Однако Грёстль поддерживает состояние хеширования, по крайней мере, в два раза превышающее размер окончательного вывода (512 или 1024 бит), которое обрезается только в конце вычисления хеша.

Функция сжатия ж основан на паре 256- или 512-битных функций перестановки п и Q, и определяется как:

ж(час, м) = п(часм) ⊕ Q(м) ⊕ час

Функции перестановки п и Q в значительной степени основаны на Rijndael (AES) блочный шифр, но работает с массивами байтов 8 × 8 или 8 × 16, а не 4 × 4. Как и в AES, каждый раунд состоит из четырех операций:

  1. AddRoundKey (круглые клавиши Грёстля фиксированы, но различаются между P и Q)
  2. SubBytes (здесь используется S-блок Rijndael, позволяющий использовать совместно с реализациями AES)
  3. ShiftBytes (расширен по сравнению с AES, он также отличается между P и Q и версиями с 512 и 1024 битами)
  4. MixColumns (используя матрицу 8 × 8, а не матрицу Rijndael 4 × 4)

В отличие от Rijndael, все раунды идентичны, и нет окончательной операции AddRoundKey. Рекомендуется 10 раундов для 512-битной перестановки и 14 раундов для 1024-битной версии.

Конечный хэш двойной ширины получает окончательное преобразование вывода

Ω (час) = часп(час)

и затем обрезается до желаемой ширины. Это эквивалентно применению последней итерации функции сжатия с использованием блока сообщения с нулевым значением. м, за которым следует (криптографически несущественное) исключающее или с фиксированной константой Q(0).

Примеры хешей Грёстля

Хеш-значения пустой строки.

Grøstl-224 ("")0x f2e180fb5947be964cd584e22e496242c6a329c577fc4ce8c36d34c3Грёстль-256 ("")0x 1a52d11d550039be16107f9c58db9ebcc417f16f736adb2502567119f0083467Grøstl-384 ("")0x ac353c1095ace21439251007862d6c62f829ddbe6de4f78e68d310a9205a736d8b11d99bffe448f57a1cfa2934f044a5Grøstl-512 ("")0x 6d3ad29d279110eef3adbd66de2a0345a77baede1557f5d099fce0c03d6dc2ba8e6d4a6633dfbd66053c20faa87d1a11f39a7fbe4a6c2f009801370308fc4ad8

Даже небольшое изменение в сообщении (с огромной вероятностью) приведет к в основном другому хешу из-за лавинный эффект. Например, добавив точку в конце предложения:

Grøstl-256 ("Быстрая коричневая лиса прыгает через ленивую собаку ")0x 8c7ad62eb26a21297bc39c2d7293b4bd4d3399fa8afab29e970471739e28b301Grøstl-256 ("Быстрая коричневая лиса прыгает через ленивую собаку.")0x f48290b1bcacee406a0429b993adb8fb3d065f4b09cbcdb464a631d4a0080aaf

Рекомендации

  1. ^ Правин Гаураварам, Ларс Р. Кнудсен, Кристиан Матусевич, Флориан Мендель, Кристиан Рехбергер, Мартин Шлеффер и Сорен С. Томсен (02 марта 2011 г.), Грёстль - кандидат SHA-3 (PDF)CS1 maint: использует параметр авторов (связь)
  2. ^ Мендель, Флориан; Риджмен, Винсент; Шлеффер, Мартин (30 апреля 2014 г.), "Столкновение на 5 раундах Грёстля", Архив криптологии ePrint, Отчет 2014/305

внешняя ссылка