MD6
| Общий | |
|---|---|
| Дизайнеры | Рональд Ривест , Бенджамин Агре, Дэн Бэйли, Сара Ченг, Кристофер Кратчфилд, Евгений Додис, Кермин Флеминг, Асиф Хан, Джаянт Кришнамурти, Юньчэн Линь, Лео Рейзин, Эмили Шен, Джим Сукха, Эран Тромер, Ицюнь Лиза Инь |
| Впервые опубликовано | 2008 |
| Ряд | МД2 , МД4 , МД5 , МД6 |
| Деталь | |
| Размеры дайджеста | Переменная, 0<d≤512 бит |
| Структура | Дерево Меркла |
| Раунды | Переменная. По умолчанию, без ключа=40+[d/4], с ключом=макс(80,40+(d/4)) [1] |
| Лучший публичный криптоанализ | |
| Атака с восстановлением ключа 14-раундовой функции MD6 в 2 22 операции. [2] | |
Алгоритм дайджеста сообщений MD6 представляет собой криптографическую хэш-функцию . Он использует древовидную структуру Меркла , позволяющую выполнять огромные параллельные вычисления хэшей для очень длинных входных данных. Авторы заявляют о производительности 28 циклов на байт для MD6-256 на процессоре Intel Core 2 Duo и доказуемой устойчивости к дифференциальному криптоанализу . [3] Исходный код эталонной реализации был выпущен под лицензией MIT . [4]
Сообщается, что для длинных сообщений на 16-ядерной архитектуре ЦП возможна скорость, превышающая 1 ГБ/с. [1]
В декабре 2008 года Дуглас Хелд из Fortify Software обнаружил переполнение буфера в эталонной реализации исходного алгоритма хеширования MD6. Эта ошибка была позже обнародована Роном Ривестом 19 февраля 2009 года, когда перед выпуском отчета Fortify была выпущена исправленная эталонная реализация. [5]
MD6 был представлен на конкурс NIST SHA-3 . Однако 1 июля 2009 года Ривест опубликовал в NIST комментарий о том, что MD6 еще не готов стать кандидатом на SHA-3 из-за проблем со скоростью, «пробела в доказательстве того, что представленная версия MD6 устойчива к дифференциальным атакам». ", и неспособность предоставить такое доказательство для более быстрой версии с уменьшенным числом раундов, [6] хотя Ривест также заявил на сайте MD6, что формально он не отозван. [7] MD6 не прошла во второй тур конкурса SHA-3. В сентябре 2011 года был опубликован документ, представляющий улучшенное доказательство того, что MD6 и более быстрые версии с сокращенным числом раундов устойчивы к дифференциальным атакам. [8] был размещен на сайте MD6. [9]
Хэш строки нулевой длины:
MD6("") = bca38b24a804aa37d821d31af00f5598230122c5bbfc4c4ad5ed40e4258f04ca
См. также [ править ]
Ссылки [ править ]
- ^ Jump up to: а б Рональд Л. Ривест ; и др. «Хеш-функция MD6» (PDF) . Архивировано из оригинала (PDF) 12 августа 2017 г. Проверено 29 января 2024 г.
- ^ Омассон, Жан-Филипп; Динур, Итай; Мейер, Вилли; Шамир, Ади (2009). «Тестеры кубов и атаки с восстановлением ключей на MD6 и Trivium с сокращенным раундом». Быстрое программное шифрование . Том. 5665. Берлин, Гейдельберг: Springer Berlin Heidelberg. п. 1–22. дои : 10.1007/978-3-642-03317-9_1 . ISBN 978-3-642-03316-2 .
- ^ Рональд Л. Ривест . «Хеш-функция MD6. Предложение NIST для SHA-3» . Архивировано из оригинала 09.11.2020 . Проверено 7 октября 2008 г. (файл Microsoft PowerPoint)
- ^ readme.txt
- ^ «Отчет Fortify-SHA-3» (PDF) . Архивировано из оригинала (PDF) 22 февраля 2012 г.
- ^ Ривест, Рональд (1 июля 2009 г.). «ОФИЦИАЛЬНЫЙ КОММЕНТАРИЙ: MD6» . Проверено 27 сентября 2011 г.
- ^ Шнайер, Брюс (1 июля 2009 г.). «MD6 снят с конкурса SHA-3» . Проверено 9 июля 2009 г.
- ^ Хейлман, Итан (10 июля 2011 г.). «Восстановление дифференциального сопротивления MD6» . Проверено 27 сентября 2011 г.
- ^ Хейлман, Итан (сентябрь 2011 г.). «Улучшенный дифференциальный анализ» . Проверено 27 сентября 2011 г.
