8. Verfahren, bei denen Hashlänge und Blockgröße gleich sind

8.1 Allgemeines Verfahren

H₀=I_H, I_H ist ein zufälliger Startwert

H_i=E_A(B) C

A, B, C können die Werte Mi, Hi-1, (Mi Hi-1) annehmen oder konstant sein. Nachricht wird in Fragmente Mi von der Größe eines Blocks unterteilt, die einzeln verarbeitet werden.

Allgemeine Hashfunktion, bei der die Hashlänge der Blockgröße entspricht

H_i=E_Hi-1(M_i) M_i

Hi=E_Hi-1(M_i H_i-1) M_i H_i-1

Hi=E_Hi-1(M_i) H_i-1 M_i

Hi=E_Hi-1(M_i H_i-1) M_i

Absolut sichere Hashfunktionen

H_i=E_Mi(H_i-1) M_i

H_i=E_Mi(M_i H_i-1) M_i H_i-1

H_i=E_Mi(H_i-1) M_i H_i-1

H_i=E_Mi(M_i H_i-1) H_i-1

H_i=E_Mi Hi-1(M_i) M_i

H_i=E_Mi Hi-1(H_i-1) H_i-1

H_i=E_Mi Hi-1(M_i) H_i-1

H_i=E_Mi Hi-1(H_i-1) M_i

Das erste, zweite, dritte, vierte, neunte und elfte Verfahren hat eine Hashrate von 1.

Bei den übrigen beträgt die Hashrate k/n, wobei k die Schlüssellänge bezeichnet.

Wenn der Blockalgorithmus eine Komplementäreigenschaft und schwache Schlüssel besitzt, wäre bei allen 12 ein zusätzlicher Angriff möglich der jedoch nicht besonders gefährlich wäre.

Mann könnte ihn verhindern indem man die Bits 2 und 3 des Schlüssels auf "10" oder "01" setzt.

Folgende Verfahren gelten als unsicher:

H_i=E_Mi Hi-1(H_i-1)

H_i=E_c(M_i H_i-1) M_i H_i-1

c ist eine Konstante

8.2 Modifiziertes Davies-Meyer-Verfahren

Das Verfahren wurde von Lai und Massey modiffiziert, so das es mit der IDEA-Chiffrierung arbeitet [Buch [930, 925]]. IDEA benutzt eine Blockgröße von 64 Bit und eine Schlüssellänge von 128 Bit.

Das Verfahren lautet:

Funktion hasht die Nachricht in 64 Bit Blöcke und produziert einen Hashwert der Länge 64 Bit.

Gegen dieses Verfahren ist kein einfacherer Angriff wie Brute-Force bekannt.

Modifiziertes Davies Meyer-Verfahren

8.3 Preneel-Bosselaers-Govaerts-Vandewalle

Diese Funktion produziert einen Hashwert, der doppelt so lang ist wie ein Block des Verschlüsselungsverfahrens.Ein 64-Bit-Algorithmus liefert zum Beispiel einen 128 Bit langen Hashwert.

Diese Hashfunftion wird in[[1266]] näher behandelt.

G_i=E_Li Hi-1(R_i G_i-1) R_i G_i-1 H_i-1

H_i=E_Li Ri(H_i-1 G_i-1) L_i G_i-1 H_i-1

I_G und I_H sind zufällige Startwerte.

Lai führte Angriffe gegen dieses Verfahren.

Benutzen Sie dieses Verfahren nicht!

8.4 Quisquater-Girault

Generiert einen Hashwert mit doppelter Blocklänge und hat die Hashrate 1.

Es gibt zwei Hashwerte Gi und Hi, zwei Blöcke Li und Ri werden zusammen gehasht.

Näheres über dieses Verfahren erhalten sie in [[1279]].

W_i=E_Li(G_i-1 R_i) R_i H_i-1

G_i=E_Ri(W_i L_i) G_i-1 H_i-1 L_i

H_i=W_i G_i-1

I_G und I_H sind zufällige Anfangswerte.

Das Verfahren erschien 1989, wurde aufgrund von Sicherheitsproblemen jedoch später wieder entfernt. Benutzen Sie dieses Verfahren nicht!

8.5 LOKI-Doppelbock

Dies ist eine Modifikation von Quisquater-Girault, die speziell für den Einsatz von LOKI entwickelt wurde[[273]].

W_i=E_Li G_i-1(G_i-1 R_i) R_i H_i-1

G_i=E_Ri Hi-1(W_i L_i) G_i-1 H_i-1 L_i

H_i=W_i G_i-1

Auch dieses Verfahren sollte man nicht benutzen!

8.6 Paralleles Davies-Meyer-Verfahren

Ein weiterer Versuch, ein Verfahren mit der Hashrate 1 und Hashwert mit der doppelten Blocklänge zu produzieren [[736]].

G_i=E_Li Ri(G_i-1 L_i) L_i H_i-1

H_i=E_Li(H_i-1 R_i) R_i H_i-1

Dieses Verfahren ist auch unsicher. Es gibt keine Hashfunktion mit doppelter Blocklänge und der Hashrate die sicherer ist als Davies-Meyer.

8.7 Tandem- und Abreast-Davies-Meyer

Die beiden Verfahren produzieren 128 Bit lange Hashwerte und haben die Hashrate 1/2[[930,925]].

Beim ersten Verfahren arbeiten zwei modifizierte Davies-Meyer-Funktionen als Tandem.

G_i=G_i-1 E_MiWi(Gi-1)

H_i=W_i H_i-1

Tandem-Davies-Meyer

Das folgende Verfahren benutzt zwei modifizierte Davies-Meyer-Verfahren nebeneinander.

G_i=G_i-1 E_Mi,Hi-1(G_i-1)

H_i=H_i-1 E_Gi-1,Mi(H_i-1)

Abreast-Davies-Meyer

Soweit bisher bekannt, bieten diese Algorithmen ideale Sicherheit für eine 128-Bit Hashfunktion.

Gegen diesen Algorithmus gibt es keinen effektiveren Angriff als Brute-Force.