LSH (хэш-функция)

LSH — это криптографическая хэш-функция, разработанная в 2014 году Южной Кореей для обеспечения целостности программных сред общего назначения, таких как ПК и интеллектуальные устройства . ^[1] LSH — один из криптографических алгоритмов, одобренных Корейской программой проверки криптографических модулей (KCMVP).И это национальный стандарт Южной Кореи (KS X 3262).

Спецификация [ править ]

Общая структура хеш-функции LSH показана на следующем рисунке.

Хэш-функция LSH имеет структуру Меркла-Дамгорда с широким каналом и заполнением одним нулем.Процесс хеширования сообщений LSH состоит из следующих трех этапов.

Инициализация :
- Заполнение заданной битовой строки сообщением одним нулем.
- Преобразование в блоки сообщений массива из 32 слов из сообщения дополненной битовой строки.
- Инициализация связывающей переменной вектором инициализации.
Сжатие :
- Обновление переменных цепочки путем итерации функции сжатия с блоками сообщений.
Завершение :
- Создание $n$ -битное хеш-значение из последней переменной цепочки.

функция Хэш-функция LSH ввод: сообщение битовой строки $m$ вывод: хэш-значение $h\in \{0,1\}^{n}$ процедура $\qquad$ Заполнение одним нулем $m$ $\qquad$ Генерация $t$ блоки сообщений $\{{\textsf {M}}^{(i)}\}_{i=0}^{t-1}$ , где $t={\Big \lceil }{\frac {\|m\|+1}{32w}}{\Big \rceil }$ из дополненной битовой строки $\qquad$ ${\textsf {CV}}^{(0)}\leftarrow {\textsf {IV}}$ $\qquad$ для $i=0$ к $(t-1)$ делать $\qquad$ $\qquad$ ${\textsf {CV}}^{(i+1)}\leftarrow {\textrm {CF}}({\textsf {CV}}^{(i)},{\textsf {M}}^{(i)})$ $\qquad$ конец для $\qquad$ $h\leftarrow {\textrm {FIN}}_{n}({\textsf {CV}}^{(t)})$ $\qquad$ возвращаться $h$

Характеристики хеш-функции LSH следующие.

Спецификации хэш-функции LSH
Алгоритм	Размер дайджеста в битах ( $n$ )	Количество ступенчатых функций ( $N_{s}$ )	Объединение размера переменной в битах	Размер блока сообщения в битах	Размер слова в битах ( $w$ )
ЛШ-256-224	224	26	512	1024	32
ЛШ-256-256	256	26	512	1024	32
ЛШ-512-224	224	28	1024	2048	64
ЛШ-512-256	256
ЛШ-512-384	384
ЛШ-512-512	512

Инициализация [ править ]

Позволять $m$ быть заданным сообщением битовой строки.данный $m$ дополняется одними нулями, т. е. бит «1» добавляется в конец $m$ , и биты '0' добавляются до тех пор, пока длина дополненного сообщения не станет $32wt$ , где $t=\lceil (|m|+1)/32w\rceil$ и $\lceil x\rceil$ — наименьшее целое число, не меньшее $x$ .

Позволять $m_{p}=m_{0}\|m_{1}\|\ldots \|m_{(32wt-1)}$ быть дополненным одним нолем $32wt$ -битовая строка $m$ .Затем $m_{p}$ рассматривается как $4wt$ -байтовый массив $m_{a}=(m[0],\ldots ,m[4wt-1])$ , где $m[k]=m_{8k}\|m_{(8k+1)}\|\ldots \|m_{(8k+7)}$ для всех $0\leq k\leq (4wt-1)$ . $4wt$ -байтовый массив $m_{a}$ превращается в $32t$ -массив слов ${\textsf {M}}=(M[0],\ldots ,M[32t-1])$ следующее.

$M[s]\leftarrow m[ws/8+(w/8-1)]\|\ldots \|m[ws/8+1]\|m[ws/8]$ $(0\leq s\leq (32t-1))$

Из массива слов ${\textsf {M}}$ , мы определяем $t$ Блоки сообщений массива из 32 слов $\{{\textsf {M}}^{(i)}\}_{i=0}^{t-1}$ следующее.

${\textsf {M}}^{(i)}\leftarrow (M[32i],M[32i+1],\ldots ,M[32i+31])$ $(0\leq i\leq (t-1))$

Переменная цепочки массивов из 16 слов ${\textsf {CV}}^{(0)}$ инициализируется вектором инициализации ${\textsf {IV}}$ .

${\textsf {CV}}^{(0)}[l]\leftarrow {\textsf {IV}}[l]$ $(0\leq l\leq 15)$

Вектор инициализации ${\textsf {IV}}$ заключается в следующем.В следующих таблицах все значения выражены в шестнадцатеричной форме.

Вектор инициализации ЛШ-256-224
${\textsf {IV}}[0]$	${\textsf {IV}}[1]$	${\textsf {IV}}[2]$	${\textsf {IV}}[3]$	${\textsf {IV}}[4]$	${\textsf {IV}}[5]$	${\textsf {IV}}[6]$	${\textsf {IV}}[7]$
068608D3	62Д8Ф7А7	D76652AB	4C600A43	БДК40АА8	1ECA0B68	DA1A89BE	3147D354
${\textsf {IV}}[8]$	${\textsf {IV}}[9]$	${\textsf {IV}}[10]$	${\textsf {IV}}[11]$	${\textsf {IV}}[12]$	${\textsf {IV}}[13]$	${\textsf {IV}}[14]$	${\textsf {IV}}[15]$
707EB4F9	F65B3862	6B0B2ABE	56B8EC0A	CF237286	EE0D1727	33636595	8BB8D05F

Вектор инициализации ЛШ-256-256
${\textsf {IV}}[0]$	${\textsf {IV}}[1]$	${\textsf {IV}}[2]$	${\textsf {IV}}[3]$	${\textsf {IV}}[4]$	${\textsf {IV}}[5]$	${\textsf {IV}}[6]$	${\textsf {IV}}[7]$
46А10Ф1Ф	FDDCE486	Б41443А8	198E6B9D	3304388D	B0F5A3C7	B36061C4	7ADBD553
${\textsf {IV}}[8]$	${\textsf {IV}}[9]$	${\textsf {IV}}[10]$	${\textsf {IV}}[11]$	${\textsf {IV}}[12]$	${\textsf {IV}}[13]$	${\textsf {IV}}[14]$	${\textsf {IV}}[15]$
105Д5378	2Ф74ДЕ54	5C2F2D95	F2553FBE	8051357А	138668C8	47АА4484	E01AFB41

Вектор инициализации ЛШ-512-224
${\textsf {IV}}[0]$	${\textsf {IV}}[1]$	${\textsf {IV}}[2]$	${\textsf {IV}}[3]$
0C401E9FE8813A55	4A5F446268FD3D35	FF13E452334F612A	F8227661037E354A
${\textsf {IV}}[4]$	${\textsf {IV}}[5]$	${\textsf {IV}}[6]$	${\textsf {IV}}[7]$
A5F223723C9CA29D	95D965A11AED3979	01E23835B9AB02CC	52D49CBAD5B30616
${\textsf {IV}}[8]$	${\textsf {IV}}[9]$	${\textsf {IV}}[10]$	${\textsf {IV}}[11]$
9E5C2027773F4ED3	66A5C8801925B701	22BBC85B4C6779D9	C13171A42C559C23
${\textsf {IV}}[12]$	${\textsf {IV}}[13]$	${\textsf {IV}}[14]$	${\textsf {IV}}[15]$
31E2B67D25BE3813	D522C4DEED8E4D83	A79F5509B43FBAFE	E00D2CD88B4B6C6A

Вектор инициализации ЛШ-512-256
${\textsf {IV}}[0]$	${\textsf {IV}}[1]$	${\textsf {IV}}[2]$	${\textsf {IV}}[3]$
6DC57C33DF989423	D8EA7F6E8342C199	76DF8356F8603AC4	40F1B44DE838223A
${\textsf {IV}}[4]$	${\textsf {IV}}[5]$	${\textsf {IV}}[6]$	${\textsf {IV}}[7]$
39FFE7CFC31484CD	39C4326CC5281548	8А2ФФ85А346045Д8	FF202AA46DBDD61E
${\textsf {IV}}[8]$	${\textsf {IV}}[9]$	${\textsf {IV}}[10]$	${\textsf {IV}}[11]$
CF785B3CD5FCDB8B	1F0323B64A8150BF	FF75D972F29EA355	2E567F30BF1CA9E1
${\textsf {IV}}[12]$	${\textsf {IV}}[13]$	${\textsf {IV}}[14]$	${\textsf {IV}}[15]$
B596875BF8FF6DBA	FCCA39B089EF4615	ECFF4017D020B4B6	7E77384C772ED802

Вектор инициализации ЛШ-512-384
${\textsf {IV}}[0]$	${\textsf {IV}}[1]$	${\textsf {IV}}[2]$	${\textsf {IV}}[3]$
53156A66292808F6	B2C4F362B204C2BC	B84B7213BFA05C4E	976CEB7C1B299F73
${\textsf {IV}}[4]$	${\textsf {IV}}[5]$	${\textsf {IV}}[6]$	${\textsf {IV}}[7]$
DF0CC63C0570AE97	DA4441BAA486CE3F	6559F5D9B5F2ACC2	22DACF19B4B52A16
${\textsf {IV}}[8]$	${\textsf {IV}}[9]$	${\textsf {IV}}[10]$	${\textsf {IV}}[11]$
BBCDACEFDE80953A	C9891A2879725B3E	7C9FE6330237E440	A30BA550553F7431
${\textsf {IV}}[12]$	${\textsf {IV}}[13]$	${\textsf {IV}}[14]$	${\textsf {IV}}[15]$
BB08043FB34E3E30	A0DEC48D54618EAD	150317267464BC57	32D1501FDE63DC93

Вектор инициализации ЛШ-512-512
${\textsf {IV}}[0]$	${\textsf {IV}}[1]$	${\textsf {IV}}[2]$	${\textsf {IV}}[3]$
АДД50F3C7F07094E	E3F3CEE8F9418A4F	B527ECDE5B3D0AE9	2EF6DEC68076F501
${\textsf {IV}}[4]$	${\textsf {IV}}[5]$	${\textsf {IV}}[6]$	${\textsf {IV}}[7]$
8CB994CAE5ACA216	FBB9EAE4BBA48CC7	650А526174725ФЭА	1F9A61A73F8D8085
${\textsf {IV}}[8]$	${\textsf {IV}}[9]$	${\textsf {IV}}[10]$	${\textsf {IV}}[11]$
B6607378173B539B	1BC99853B0C0B9ED	DF727FC19B182D47	ДБЕФ360CF893A457
${\textsf {IV}}[12]$	${\textsf {IV}}[13]$	${\textsf {IV}}[14]$	${\textsf {IV}}[15]$
4981F5E570147E80	D00C4490CA7D3E30	5D73940C0E4AE1EC	894085E2EDB2D819

Сжатие [ править ]

На этом этапе $t$ Блоки сообщений массива из 32 слов $\{{\textsf {M}}^{(i)}\}_{i=0}^{t-1}$ , которые генерируются из сообщения $m$ на этапе инициализации сжимаются путем итерации функций сжатия.Функция сжатия ${\textrm {CF}}:{\mathcal {W}}^{16}\times {\mathcal {W}}^{32}\rightarrow {\mathcal {W}}^{16}$ имеет два входа; тот $i$ -я переменная цепочки из 16 слов ${\textsf {CV}}^{(i)}$ и $i$ -ый блок сообщения из 32 слов ${\textsf {M}}^{(i)}$ .И он возвращает $(i+1)$ -я переменная цепочки из 16 слов ${\textsf {CV}}^{(i+1)}$ .Здесь и далее ${\mathcal {W}}^{t}$ обозначает множество всех $t$ -массивы слов для $t\geq 1$ .

В функции сжатия используются следующие четыре функции:

Функция расширения сообщений ${\textrm {MsgExp}}:{\mathcal {W}}^{32}\rightarrow {\mathcal {W}}^{16(Ns+1)}$
Функция добавления сообщения ${\textrm {MsgAdd}}:{\mathcal {W}}^{16}\times {\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$
Функция смешивания ${\textrm {Mix}}_{j}:{\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$
Функция перестановки слов ${\textrm {WordPerm}}:{\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$

Общая структура функции сжатия показана на следующем рисунке.

В функции сжатия функция расширения сообщения ${\textrm {MsgExp}}$ генерирует $(N_{s}+1)$ Подсообщения массива из 16 слов $\{{\textsf {M}}_{j}^{(i)}\}_{j=0}^{N_{s}}$ из данного ${\textsf {M}}^{(i)}$ .Позволять ${\textsf {T}}=(T[0],\ldots ,T[15])$ быть временным массивом из 16 слов, установленным в $i$ -я переменная цепочки ${\textsf {CV}}^{(i)}$ . $j$ -я ступенчатая функция ${\textrm {Step}}_{j}$ наличие двух входов ${\textsf {T}}$ и ${\textsf {M}}_{j}^{(i)}$ обновления ${\textsf {T}}$ , то есть, ${\textsf {T}}\leftarrow {\textrm {Step}}_{j}\left({\textsf {T}},{\textsf {M}}_{j}^{(i)}\right)$ .Все пошаговые функции выполняются по порядку. $j=0,\ldots ,N_{s}-1$ .Тогда еще один ${\textrm {MsgAdd}}$ операция по ${\textsf {M}}_{N_{s}}^{(i)}$ продолжается, и $(i+1)$ -я переменная цепочки ${\textsf {CV}}^{(i+1)}$ установлено на ${\textsf {T}}$ .Подробно процесс функции сжатия выглядит следующим образом.

функция Функция сжатия ${\textrm {CF}}$ : ввод $i$ -я переменная цепочки ${\textsf {CV}}^{(i)}\in {\mathcal {W}}^{16}$ и $i$ -ый блок сообщений ${\textsf {M}}^{(i)}\in {\mathcal {W}}^{32}$ : вывод $(i+1)$ -я переменная цепочки ${\textsf {CV}}^{(i+1)}\in {\mathcal {W}}^{16}$ процедура $\qquad$ $\{{\textsf {M}}_{j}^{(i)}\}_{j=0}^{N_{s}}\leftarrow {\textrm {MsgExp}}\left({\textsf {M}}^{(i)}\right)$ $\qquad$ ${\textsf {T}}\leftarrow {\textsf {CV}}^{(i)}$ $\qquad$ для $j=0$ к $(N_{s}-1)$ делать $\qquad$ $\qquad$ ${\textsf {T}}\leftarrow {\textrm {Step}}_{j}\left({\textsf {T}},{\textsf {M}}_{j}^{(i)}\right)$ $\qquad$ конец для $\qquad$ ${\textsf {CV}}^{(i+1)}\leftarrow {\textrm {MsgAdd}}\left({\textsf {T}},{\textsf {M}}_{N_{s}}^{(i)}\right)$ $\qquad$ возвращаться ${\textsf {CV}}^{(i+1)}$

Здесь $j$ -я ступенчатая функция ${\textrm {Step}}_{j}:{\mathcal {W}}^{16}\times {\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$ заключается в следующем.

${\textrm {Step}}_{j}:={\textrm {WordPerm}}\circ {\textrm {Mix}}_{j}\circ {\textrm {MsgAdd}}$ $(0\leq j\leq (N_{s}-1))$

На следующем рисунке показано $j$ -я ступенчатая функция ${\textrm {Step}}_{j}$ функции сжатия.

{\displaystyle j} — The $j$ -я ступенчатая функция ${\textrm {Step}}_{j}$

Функция расширения сообщений MsgExp [ править ]

Позволять ${\textsf {M}}^{(i)}=(M^{(i)}[0],\ldots ,M^{(i)}[31])$ быть $i$ -th блок сообщения массива из 32 слов.Функция расширения сообщения ${\textrm {MsgExp}}$ генерирует $(N_{s}+1)$ Подсообщения массива из 16 слов $\{{\textsf {M}}_{j}^{(i)}\}_{j=0}^{N_{s}}$ из блока сообщений ${\textsf {M}}^{(i)}$ .Первые два подсообщения ${\textsf {M}}_{0}^{(i)}=(M_{0}^{(i)}[0],\ldots ,M_{0}^{(i)}[15])$ и ${\textsf {M}}_{1}^{(i)}=(M_{1}^{(i)}[0],\ldots ,M_{1}^{(i)}[15])$ определяются следующим образом.

${\textsf {M}}_{0}^{(i)}\leftarrow (M^{(i)}[0],M^{(i)}[1],\ldots ,M^{(i)}[15])$
${\textsf {M}}_{1}^{(i)}\leftarrow (M^{(i)}[16],M^{(i)}[17],\ldots ,M^{(i)}[31])$

Следующие подсообщения $\{{\textsf {M}}_{j}^{(i)}=(M_{j}^{(i)}[0],\ldots ,M_{j}^{(i)}[15])\}_{j=2}^{N_{s}}$ генерируются следующим образом.

${\textsf {M}}_{j}^{(i)}[l]\leftarrow {\textsf {M}}_{j-1}^{(i)}[l]\boxplus {\textsf {M}}_{j-2}^{(i)}[\tau (l)]$ $(0\leq l\leq 15,\ 2\leq j\leq N_{s})$

Здесь $\tau$ перестановка закончилась $\mathbb {Z} _{16}$ определяется следующим образом.

Перестановка $\tau :\mathbb {Z} _{16}\rightarrow \mathbb {Z} _{16}$
$l$	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15
$\tau (l)$	3	2	0	1	7	4	5	6	11	10	8	9	15	12	13	14

Функция добавления сообщений MsgAdd [ править ]

Для двух массивов из 16 слов ${\textsf {X}}=(X[0],\ldots ,X[15])$ и ${\textsf {Y}}=(Y[0],\ldots ,Y[15])$ , функция добавления сообщений ${\textrm {MsgAdd}}:{\mathcal {W}}^{16}\times {\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$ определяется следующим образом.

${\textrm {MsgAdd}}({\textsf {X}},{\textsf {Y}}):=(X[0]\oplus Y[0],\ldots ,X[15]\oplus Y[15])$

Функция микширования Микс [ править ]

The $j$ -я функция смешивания ${\textrm {Mix}}_{j}:{\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$ обновляет массив из 16 слов ${\textsf {T}}=(T[0],\ldots ,T[15])$ смешивая каждую пару из двух слов; $T[l]$ и $T[l+8]$ для $(0\leq l<8)$ .Для $0\leq j<N_{s}$ , функция смешивания ${\textrm {Mix}}_{j}$ происходит следующим образом.

$(T[l],T[l+8])\leftarrow {\textrm {Mix}}_{j,l}(T[l],T[l+8])$ $(0\leq l<8)$

Здесь ${\textrm {Mix}}_{j,l}$ представляет собой функцию смешивания двух слов.Позволять $X$ и $Y$ быть словами.Функция смешивания двух слов ${\textrm {Mix}}_{j,l}:{\mathcal {W}}^{2}\rightarrow {\mathcal {W}}^{2}$ определяется следующим образом.

функция Функция смешивания двух слов ${\textrm {Mix}}_{j,l}$ ввод: Слова $X$ и $Y$ вывод: Слова $X$ и $Y$ процедура $\qquad$ $X\leftarrow X\boxplus Y$ ; $\qquad X\leftarrow X^{\lll \alpha _{j}}$ ; $\qquad$ $X\leftarrow X\oplus SC_{j}[l]$ ; $\qquad$ $Y\leftarrow X\boxplus Y$ ; $\qquad Y\leftarrow Y^{\lll \beta _{j}}$ ; $\qquad$ $X\leftarrow X\boxplus Y$ ; $\qquad Y\leftarrow Y^{\lll \gamma _{l}}$ ; $\qquad$ возвращаться $X$ , $Y$ ;

Функция смешивания двух слов ${\textrm {Mix}}_{j,l}$ показано на следующем рисунке.

Количество оборотов битов $\alpha _{j}$ , $\beta _{j}$ , $\gamma _{l}$ используется в ${\textrm {Mix}}_{j,l}$ показаны в следующей таблице.

Величина ротации битов $\alpha _{j}$ , $\beta _{j}$ , и $\gamma _{l}$
$w$	$j$	$\alpha _{j}$	$\beta _{j}$	$\gamma _{1}$	$\gamma _{2}$	$\gamma _{3}$	$\gamma _{4}$	$\gamma _{5}$	$\gamma _{6}$	$\gamma _{7}$
32	даже	29	1	8	16	24	24	16	8	0
32	странный	5	17	8	16	24	24	16	8	0
64	даже	23	59	16	32	48	8	24	40	56
64	странный	7	3	16	32	48	8	24	40	56

The $j$ -я константа массива из 8 слов ${\textsf {SC}}_{j}=(SC_{j}[0],\ldots ,SC_{j}[7])$ используется в ${\textrm {Mix}}_{j,l}$ для $0\leq l<8$ определяется следующим образом.Начальная константа массива из 8 слов ${\textsf {SC}}_{0}=(SC_{0}[0],\ldots ,SC_{0}[7])$ определяется в следующей таблице.Для $1\leq j<N_{s}$ , $j$ -я константа ${\textsf {SC}}_{j}=(SC_{j}[0],\ldots ,SC_{j}[7])$ генерируется $SC_{j}[l]\leftarrow SC_{j-1}[l]\boxplus SC_{j-1}[l]^{\lll 8}$ для $0\leq l<8$ .

Начальная константа массива из 8 слов ${\textsf {SC}}_{0}$
	$w=32$	$w=64$
$SC_{0}[0]$	917caf90	97884283c938982a
$SC_{0}[1]$	6c1b10a2	ba1fca93533e2355
$SC_{0}[2]$	6f352943	c519a2e87aeb1c03
$SC_{0}[3]$	cf778243	9a0fc95462af17b1
$SC_{0}[4]$	2ceb7472	fc3dda8ab019a82b
$SC_{0}[5]$	29e96ff2	02825d079a895407
$SC_{0}[6]$	8a9ba428	79f2d0a7ee06a6f7
$SC_{0}[7]$	2eeb2642	d76d15eed9fdf5fe

Функция перестановки слов WordPerm [ править ]

Позволять ${\textsf {X}}=(X[0],\ldots ,X[15])$ быть массивом из 16 слов.Функция перестановки слов ${\textrm {WordPerm}}:{\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$ определяется следующим образом.

${\textrm {WordPerm}}({\textsf {X}})=(X[\sigma (0)],\ldots ,X[\sigma (15)])$

Здесь $\sigma$ перестановка закончилась $\mathbb {Z} _{16}$ определяется следующей таблицей.

Перестановка $\sigma :\mathbb {Z} _{16}\rightarrow \mathbb {Z} _{16}$
$l$	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15
$\sigma (l)$	6	4	5	7	12	15	14	13	2	0	1	3	8	11	10	9

Завершение [ править ]

Функция финализации ${\textrm {FIN}}_{n}:{\mathcal {W}}^{16}\rightarrow \{0,1\}^{n}$ возвращает $n$ -битное хэш-значение $h$ из последней переменной цепочки ${\textsf {CV}}^{(t)}=(CV^{(t)}[0],\ldots ,CV^{(t)}[15])$ .Когда ${\textsf {H}}=(H[0],\ldots ,H[7])$ представляет собой переменную из 8 слов и ${\textsf {h}}_{\textsf {b}}=(h_{b}[0],\ldots ,h_{b}[w-1])$ это $w$ -байтовая переменная, функция финализации ${\textrm {FIN}}_{n}$ выполняет следующую процедуру.

$H[l]\leftarrow CV^{(t)}[l]\oplus CV^{(t)}[l+8]$ $(0\leq l\leq 7)$
$h_{b}[s]\leftarrow H[\lfloor 8s/w\rfloor ]_{[7:0]}^{\ggg (8s\mod w)}$ $(0\leq s\leq (w-1))$
$h\leftarrow (h_{b}[0]\|\ldots \|h_{b}[w-1])_{[0:n-1]}$

Здесь, $X_{[i:j]}$ обозначает $x_{i}\|x_{i-1}\|\ldots \|x_{j}$ , подбитовая строка слова $X$ для $i\geq j$ .И $x_{[i:j]}$ обозначает $x_{i}\|x_{i+1}\|\ldots \|x_{j}$ , суббитовая строка $l$ -битовая строка $x=x_{0}\|x_{1}\|\ldots \|x_{l-1}$ для $i\leq j$ .

Безопасность [ править ]

LSH защищен от известных на данный момент атак на хэш-функции.LSH устойчив к столкновениям $q<2^{n/2}$ и устойчивость к прообразу и устойчивость к второму прообразу для $q<2^{n}$ в модели идеального шифра, где $q$ — это количество запросов к структуре LSH. ^[1]LSH-256 защищен от всех существующих атак хеш-функций, когда количество шагов составляет 13 или более, а LSH-512 защищен, если количество шагов составляет 14 или более.Обратите внимание, что шаги, которые работают как запас безопасности, составляют 50% функции сжатия. ^[1]

Производительность [ править ]

LSH превосходит SHA-2/3 на различных программных платформах.В следующей таблице показаны показатели скорости хеширования сообщений LSH размером 1 МБ на нескольких платформах.

Скорость хеширования сообщений LSH размером 1 МБ (циклов/байт) ^[1]
Платформа	П1 ^[а]	П2 ^[б]	П3 ^[с]	П4 ^[д]	П5 ^[и]	П6 ^[ф]	Р7 ^[г]	Р8 ^[час]
ЛШ-256- $n$	3.60	3.86	5.26	3.89	11.17	15.03	15.28	14.84
ЛШ-512- $n$	2.39	5.04	7.76	5.52	8.94	18.76	19.00	18.10

^ Intel Core i7-4770K @ 3,5 ГГц (Haswell), Ubuntu 12.04 64-разрядная версия, GCC 4.8.1 с «-m64 -mavx2 -O3»
^ Intel Core i7-2600K @ 3,40 ГГц (Sandy Bridge), Ubuntu 12.04 64-разрядная версия, GCC 4.8.1 с «-m64 -msse4 -O3»
^ Intel Core 2 Quad Q9550 @ 2,83 ГГц (Йоркфилд), Windows 7, 32-разрядная версия, Visual Studio 2012
^ AMD FX-8350 @ 4 ГГц (Piledriver), Ubuntu 12.04 64-разрядная версия, GCC 4.8.1 с «-m64 -mxop -O3»
^ Samsung Exynos 5250 ARM Cortex-A15 @ 1,7 ГГц, двухъядерный (Huins ACHRO 5250), Android 4.1.1
^ Четырехъядерный процессор Qualcomm Snapdragon 800 Krait 400 @ 2,26 ГГц (LG G2), Android 4.4.2
^ Четырехъядерный процессор Qualcomm Snapdragon 800 Krait 400 @ 2,3 ГГц (Samsung Galaxy S4), Android 4.2.2
^ Двухъядерный процессор Qualcomm Snapdragon 400 Krait 300 @ 1,7 ГГц (Samsung Galaxy S4 mini), Android 4.2.2

В следующей таблице приведено сравнение платформы на базе Haswell, LSH измерен на четырехъядерной платформе Intel Core i7-4770k с частотой 3,5 ГГц, а остальные измерены на четырехъядерной платформе Intel Core i5-4570S с частотой 2,9 ГГц.

Тест скорости финалистов LSH, SHA-2 и SHA-3 на платформе на базе процессора Haswell (циклов/байт) ^[1]
Алгоритм	Размер сообщения в байтах
Алгоритм	длинный	4,096	1,536	576	64	8
ЛШ-256-256	3.60	3.71	3.90	4.08	8.19	65.37
Моток-512-256	5.01	5.58	5.86	6.49	13.12	104.50
Блейк-256	6.61	7.63	7.87	9.05	16.58	72.50
Грёстль-256	9.48	10.68	12.18	13.71	37.94	227.50
Кечак-256	10.56	10.52	9.90	11.99	23.38	187.50
ША-256	10.82	11.91	12.26	13.51	24.88	106.62
JH-256	14.70	15.50	15.94	17.06	31.94	257.00
ЛШ-512-512	2.39	2.54	2.79	3.31	10.81	85.62
Моток-512-512	4.67	5.51	5.80	6.44	13.59	108.25
Блейк-512	4.96	6.17	6.82	7.38	14.81	116.50
ША-512	7.65	8.24	8.69	9.03	17.22	138.25
Грёстль-512	12.78	15.44	17.30	17.99	51.72	417.38
JH-512	14.25	15.66	16.14	17.34	32.69	261.00
Кечак-512	16.36	17.86	18.46	20.35	21.56	171.88

В следующей таблице измерены результаты на двухъядерной платформе Samsung Exynos 5250 ARM Cortex-A15 с частотой 1,7 ГГц.

Тест скорости финалистов LSH, SHA-2 и SHA-3 на платформе на базе процессора Exynos 5250 ARM Cortex-A15 (циклов/байт) ^[1]
Алгоритм	Размер сообщения в байтах
Алгоритм	длинный	4,096	1,536	576	64	8
ЛШ-256-256	11.17	11.53	12.16	12.63	22.42	192.68
Моток-512-256	15.64	16.72	18.33	22.68	75.75	609.25
Блейк-256	17.94	19.11	20.88	25.44	83.94	542.38
ША-256	19.91	21.14	23.03	28.13	90.89	578.50
JH-256	34.66	36.06	38.10	43.51	113.92	924.12
Кечак-256	36.03	38.01	40.54	48.13	125.00	1000.62
Грёстль-256	40.70	42.76	46.03	54.94	167.52	1020.62
ЛШ-512-512	8.94	9.56	10.55	12.28	38.82	307.98
Блейк-512	13.46	14.82	16.88	20.98	77.53	623.62
Моток-512-512	15.61	16.73	18.35	22.56	75.59	612.88
JH-512	34.88	36.26	38.36	44.01	116.41	939.38
ША-512	44.13	46.41	49.97	54.55	135.59	1088.38
Кечак-512	63.31	64.59	67.85	77.21	121.28	968.00
Грёстль-512	131.35	138.49	150.15	166.54	446.53	3518.00

Тестовые векторы [ править ]

Тестовые векторы для LSH для каждой длины дайджеста следующие.Все значения выражаются в шестнадцатеричной форме.

LSH-256-224("abc") = F7 C5 3B A4 03 4E 70 8E 74 FB A4 2E 55 99 7C A5 12 6B B7 62 36 88 F8 53 42 F7 37 32

LSH-256-256("abc") = 5F BF 36 5D AE A5 44 6A 70 53 C5 2B 57 40 4D 77 A0 7A 5F 48 A1 F7 C1 96 3A 08 98 BA 1B 71 47 41

LSH-512-224("abc") = D1 68 32 34 51 3E C5 69 83 94 57 1E AD 12 8A 8C D5 37 3E 97 66 1B A2 0D CF 89 E4 89

LSH-512-256("abc") = CD 89 23 10 53 26 02 33 2B 61 3F 1E C1 1A 69 62 FC A6 1E A0 9E CF FC D4 BC F7 58 58 D8 02 ED EC

LSH-512-384("abc") = 5F 34 4E FA A0 E4 3C CD 2E 5E 19 4D 60 39 79 4B 4F B4 31 F1 0F B4 B6 5F D4 5E 9D A4 EC DE 0F 27 B6 6E 8D BD FA 47 25 2E 0D 0B 74 1B FD 91 F9 FE

LSH-512-512("abc") = A3 D9 3C FE 60 DC 1A AC DD 3B D4 BE F0 A6 98 53 81 A3 96 C7 D4 9D 9F D1 77 79 56 97 C3 53 52 08 B5 C5 72 24 BE F2 10 84 D4 20 83 E9 5A 4B D8 EB 33 E8 69 81 2B 65 03 1C 42 88 19 A1 E7 CE 59 6D

Реализации [ править ]

LSH бесплатен для любого использования: публичного или частного, коммерческого или некоммерческого.Исходный код для распространения LSH, реализованный на C, Java и Python, можно загрузить с веб-страницы активации использования криптографии KISA. ^[2]

КЦМВП [ править ]

LSH — один из криптографических алгоритмов, одобренных Корейской программой проверки криптографических модулей (KCMVP). ^[3]

Стандартизация [ править ]

LSH включен в следующий стандарт.

KS X 3262, Хэш-функция LSH (на корейском языке) ^[4]

Ссылки [ править ]

^ Jump up to: Перейти обратно: ^а ^б ^с ^д ^и ^ж Ким, Донг-Чан; Хонг, Дыкджо; Ли, Юнг-Гын; Ким, Ву-Хван; Квон, Дэсон (2015). «LSH: новое семейство быстрых и безопасных хэш-функций» . Информационная безопасность и криптология — ICISC 2014 . Конспекты лекций по информатике. Том. 8949. Международное издательство Springer. стр. 286–313. дои : 10.1007/978-3-319-15943-0_18 . ISBN 978-3-319-15943-0 .
^ «Активация использования криптографии KISA — исходный код криптографического алгоритма» . семя.киса.ор.кр.
^ «Активация использования пароля KISA – обзор» . семя.киса.ор.кр.
^ «Корейские стандарты и сертификаты (на корейском языке)» .

[2] Intel Core i7-4770K @ 3,5 ГГц (Haswell), Ubuntu 12.04 64-разрядная версия, GCC 4.8.1 с «-m64 -mavx2 -O3»

[3] Intel Core i7-2600K @ 3,40 ГГц (Sandy Bridge), Ubuntu 12.04 64-разрядная версия, GCC 4.8.1 с «-m64 -msse4 -O3»

[4] Intel Core 2 Quad Q9550 @ 2,83 ГГц (Йоркфилд), Windows 7, 32-разрядная версия, Visual Studio 2012

[5] AMD FX-8350 @ 4 ГГц (Piledriver), Ubuntu 12.04 64-разрядная версия, GCC 4.8.1 с «-m64 -mxop -O3»

[6] Samsung Exynos 5250 ARM Cortex-A15 @ 1,7 ГГц, двухъядерный (Huins ACHRO 5250), Android 4.1.1

[7] Четырехъядерный процессор Qualcomm Snapdragon 800 Krait 400 @ 2,26 ГГц (LG G2), Android 4.4.2

[8] Четырехъядерный процессор Qualcomm Snapdragon 800 Krait 400 @ 2,3 ГГц (Samsung Galaxy S4), Android 4.2.2

[9] Двухъядерный процессор Qualcomm Snapdragon 400 Krait 300 @ 1,7 ГГц (Samsung Galaxy S4 mini), Android 4.2.2

[KHL+14-1] Jump up to: Перейти обратно: ^а ^б ^с ^д ^и ^ж Ким, Донг-Чан; Хонг, Дыкджо; Ли, Юнг-Гын; Ким, Ву-Хван; Квон, Дэсон (2015). «LSH: новое семейство быстрых и безопасных хэш-функций» . Информационная безопасность и криптология — ICISC 2014 . Конспекты лекций по информатике. Том. 8949. Международное издательство Springer. стр. 286–313. дои : 10.1007/978-3-319-15943-0_18 . ISBN 978-3-319-15943-0 .

[LSH_source-10] «Активация использования криптографии KISA — исходный код криптографического алгоритма» . семя.киса.ор.кр.

[KCMVP-11] «Активация использования пароля KISA – обзор» . семя.киса.ор.кр.

[KS_X_3262-12] «Корейские стандарты и сертификаты (на корейском языке)» .

[1]

[а]

[б]

[с]

[д]

[и]

[ф]

[г]

[час]

[2]

[3]

[4]