WikiSort.ru - Не сортированное

Инициализация

В начале хеширования счетчик ${\displaystyle C}$ устанавливается в 0: ${\displaystyle C_{0}=0}$ . Начальное значение переменной цепочки устанавливается таким образом, что каждое её слово является 128 битовым представлением числа ${\displaystyle {\mbox{HSIZE}}}$ , то есть размера результата хеширования. В том случае, когда используется ${\displaystyle {\mbox{COMPRESS}}_{512}}$ (${\displaystyle {\mbox{HSIZE}}}$ лежит в пределах от 128 до 256 бит) переменная цепочки ${\displaystyle V_{0}}$ состоит из 4 слов:

${\displaystyle V_{0}=(v_{0}^{0},v_{0}^{1},v_{0}^{2},v_{0}^{3}),}$

${\displaystyle v_{0}^{i}={\begin{cases}{\mbox{E0000000 00000000 00000000 00000000}},&{\mbox{HSIZE}}=224\\{\mbox{00010000 00000000 00000000 00000000}},&{\mbox{HSIZE}}=256\end{cases}}{\mbox{ }},{\mbox{ }}0\leq i\leq 3}$

Когда применяется ${\displaystyle {\mbox{COMPRESS}}_{1024}}$ (${\displaystyle {\mbox{HSIZE}}}$ от 257 до 512 бит),

${\displaystyle V_{0}=(v_{0}^{0},v_{0}^{1},v_{0}^{2},v_{0}^{3},v_{0}^{4},v_{0}^{5},v_{0}^{6},v_{0}^{7}),}$

${\displaystyle v_{0}^{i}={\begin{cases}{\mbox{80010000 00000000 00000000 00000000}},&{\mbox{HSIZE}}=384\\{\mbox{00020000 00000000 00000000 00000000}},&{\mbox{HSIZE}}=512\end{cases}}{\mbox{ }},{\mbox{ }}0\leq i\leq 7}$

Дополнение сообщения

Результатом дополнения сообщения ${\displaystyle M}$ является сообщение ${\displaystyle M'}$ , длина которого кратна 128. Обозначим через ${\displaystyle L}$ длину исходного сообщения. Тогда ${\displaystyle M'}$ получается в несколько шагов:

1. К концу сообщения ${\displaystyle M}$ приписать бит «1».
2. Приписать ${\displaystyle x}$ битов «0», где ${\displaystyle x={\mbox{MSIZE}}-((L+144){\mbox{ }}{\bmod {\mbox{MSIZE}}})-1}$
3. Приписать 16-битное представление числа ${\displaystyle {\mbox{HSIZE}}}$
4. Наконец, приписать 128-битное представление числа ${\displaystyle L}$

Дополненное сообщение ${\displaystyle M'}$ записывается в виде

${\displaystyle M'=\overbrace {M} ^{L}\|1\|\overbrace {0.....0} ^{x}\|\overbrace {\mbox{HSIZE}} ^{16}\|\overbrace {L} ^{128}}$

BIG.SUBWORDS(S, SALT, κ)

${\displaystyle {\mbox{BIG.SUBWORDS}}(S,{\mbox{ SALT}},{\mbox{ }}\kappa )}$  — это 2 AES раунда. Обозначим действие одного раунда AES с ключом ${\displaystyle k}$ на 128-битное слово ${\displaystyle w}$ как

${\displaystyle w'={\mbox{AES}}(w,k)}$

Здесь ${\displaystyle {\mbox{AES}}}$ состоит из операций ${\displaystyle {\mbox{SubBytes}}}$ , ${\displaystyle {\mbox{ShiftRows}}}$ , ${\displaystyle {\mbox{MixColumns}}}$ и ${\displaystyle {\mbox{AddRoundKey}}}$ . Ключи ${\displaystyle k}$ для вычисления ${\displaystyle w'}$ создаются из параметров ${\displaystyle {\mbox{SALT}}}$ и ${\displaystyle \kappa }$ . Последний представляет собой внутренний счетчик, который инициализируется значением ${\displaystyle C_{i}}$ и увеличивается во время вычисления ${\displaystyle {\mbox{COMPRESS}}_{512}}$ . Важно заметить, что, если в последнем блоке ${\displaystyle M_{t}}$ биты исходного сообщения отсутствуют (что могло случится, например, при длине сообщения ${\displaystyle L}$ , кратной ${\displaystyle {\mbox{MSIZE}}}$ ), то ${\displaystyle C_{t}}$ полагается равным 0.

Значения ключей для двух раундов AES получаются следующим образом:

${\displaystyle k_{1}=\kappa \|\overbrace {0..0} ^{64}{\mbox{, }}k_{2}={\mbox{SALT}},}$

если счетчик ${\displaystyle C_{i}}$ выбран 64-битным, и

${\displaystyle k_{1}=\kappa {\mbox{ , }}k_{2}={\mbox{SALT}}}$

для 128-битного счетчика.

Операцию ${\displaystyle {\mbox{BIG.SUBWORDS}}(S,{\mbox{ SALT}},{\mbox{ }}\kappa )}$ можно описать равенствами

${\displaystyle w_{0}'=AES(AES(w_{0},k_{1}),k_{2})}$ , увеличить ${\displaystyle \kappa }$ на 1 по модулю ${\displaystyle 2^{64}}$ (${\displaystyle 2^{128}}$ )

${\displaystyle w_{1}'=AES(AES(w_{1},k_{1}),k_{2})}$ , увеличить ${\displaystyle \kappa }$ на 1 по модулю ${\displaystyle 2^{64}}$ (${\displaystyle 2^{128}}$ )

${\displaystyle ...}$

${\displaystyle w_{15}'=AES(AES(w_{15},k_{1}),k_{2})}$ , увеличить ${\displaystyle \kappa }$ на 1 по модулю ${\displaystyle 2^{64}}$ (${\displaystyle 2^{128}}$ )

Счетчик ${\displaystyle \kappa }$ увеличивается на протяжении всех восьми раундов (которые выше названы ${\displaystyle {\mbox{BIG.ROUND}}}$ ), то есть, например, в начале второго раунда ${\displaystyle \kappa =C_{i}+16}$ .

BIG.SHIFTROWS(S)

Операция ${\displaystyle {\mbox{BIG.SHIFTROWS}}(S)}$ проводит циклический сдвиг влево строк матрицы состояния ${\displaystyle S}$ :

${\displaystyle w_{i+4j}'=w_{i+4((i+j){\bmod {4}})},{\mbox{ }}0\leq i,j\leq 3}$ .

Более наглядно:

${\displaystyle w_{0}}$ ${\displaystyle w_{4}}$ ${\displaystyle w_{8}}$ ${\displaystyle w_{12}}$ ${\displaystyle w_{1}}$ ${\displaystyle w_{5}}$ ${\displaystyle w_{9}}$ ${\displaystyle w_{13}}$ ${\displaystyle w_{2}}$ ${\displaystyle w_{6}}$ ${\displaystyle w_{10}}$ ${\displaystyle w_{14}}$ ${\displaystyle w_{3}}$ ${\displaystyle w_{7}}$ ${\displaystyle w_{11}}$ ${\displaystyle w_{15}}$

${\displaystyle \longrightarrow }$ ${\displaystyle {\mbox{ }}}$

${\displaystyle w_{0}}$ ${\displaystyle w_{4}}$ ${\displaystyle w_{8}}$ ${\displaystyle w_{12}}$ ${\displaystyle w_{5}}$ ${\displaystyle w_{9}}$ ${\displaystyle w_{13}}$ ${\displaystyle w_{1}}$ ${\displaystyle w_{10}}$ ${\displaystyle w_{14}}$ ${\displaystyle w_{2}}$ ${\displaystyle w_{6}}$ ${\displaystyle w_{15}}$ ${\displaystyle w_{3}}$ ${\displaystyle w_{7}}$ ${\displaystyle w_{11}}$

BIG.MIXCOLUMNS(S)

${\displaystyle {\mbox{BIG.MIXCOLUMNS}}(S)}$ состоит из последовательного применения операции ${\displaystyle {\mbox{MixColumns}}}$ , определенной в AES. Рассмотрим столбцы матрицы ${\displaystyle S}$ , состоящие из 128-битных слов ${\displaystyle w_{i},...,w_{i+3}}$ , где ${\displaystyle i\in \{0,4,8,12\}}$ . Элементы столбцов можно представить в виде байтовых строк:

${\displaystyle w_{i}}$	${\displaystyle =}$	${\displaystyle (B_{16i},B_{16i+1},...,B_{16i+15})}$
${\displaystyle w_{i+1}}$	${\displaystyle =}$	${\displaystyle (B_{16i+16},B_{16i+17},...,B_{16i+31})}$
${\displaystyle w_{i+2}}$	${\displaystyle =}$	${\displaystyle (B_{16i+32},B_{16i+33},...,B_{16i+47})}$
${\displaystyle w_{i+3}}$	${\displaystyle =}$	${\displaystyle (B_{16i+48},B_{16i+49},...,B_{16i+63})}$

Тогда ${\displaystyle {\mbox{BIG.MIXCOLUMNS}}(S)}$ вычисляется как

${\displaystyle {\begin{pmatrix}B_{16i+j}'\\B_{16i+16+j}'\\B_{16i+32+j}'\\B_{16i+48+j}'\end{pmatrix}}={\begin{pmatrix}02&03&01&01\\01&02&03&01\\01&01&02&03\\03&01&01&02\end{pmatrix}}\cdot {\begin{pmatrix}B_{16i+j}\\B_{16i+16+j}\\B_{16i+32+j}\\B_{16i+48+j}\end{pmatrix}},{\mbox{ }}i\in \{0,4,8,12\},{\mbox{ }}0\leq j\leq 15}$

Последняя формула представляет собой операцию ${\displaystyle {\mbox{MixColumns}}}$ , в которой сложение и умножение определены в поле ${\displaystyle GF(2^{8})}$ по модулю многочлена ${\displaystyle x^{8}+x^{4}+x^{3}+x+1}$ .

Окончание вычисления COMPRESS₅₁₂

Функцию ${\displaystyle {\mbox{COMPRESS}}_{512}}$ можно описать, используя определенные выше операции:

${\displaystyle {\mbox{for i := 1 to 8 do}}}$

${\displaystyle {\mbox{begin}}}$

${\displaystyle {\mbox{BIG.SUBWORDS}}(S,{\mbox{ SALT}},{\mbox{ }}\kappa )}$

${\displaystyle {\mbox{BIG.SHIFTROWS}}(S)}$

${\displaystyle {\mbox{BIG.MIXCOLUMNS}}(S)}$

${\displaystyle {\mbox{end}}}$

${\displaystyle {\mbox{BIG.FINAL}}}$

Операция ${\displaystyle {\mbox{BIG.FINAL}}}$ вычисляет значение переменной цепочки ${\displaystyle V_{i}}$ , используя полученную в результате применения 8 раундов матрицу состояния ${\displaystyle S}$ , блок сообщения ${\displaystyle M_{i}}$ и предыдущее значение переменной цепочки ${\displaystyle V_{i-1}}$ :

${\displaystyle v_{i}^{0}}$	${\displaystyle =}$	${\displaystyle v_{i-1}^{0}\oplus m_{i}^{0}\oplus m_{i}^{4}\oplus m_{i}^{8}\oplus w_{0}\oplus w_{4}\oplus w_{8}\oplus w_{12}}$
${\displaystyle v_{i}^{1}}$	${\displaystyle =}$	${\displaystyle v_{i-1}^{1}\oplus m_{i}^{1}\oplus m_{i}^{5}\oplus m_{i}^{8}\oplus w_{1}\oplus w_{5}\oplus w_{9}\oplus w_{13}}$
${\displaystyle v_{i}^{2}}$	${\displaystyle =}$	${\displaystyle v_{i-1}^{2}\oplus m_{i}^{2}\oplus m_{i}^{6}\oplus m_{i}^{9}\oplus w_{2}\oplus w_{6}\oplus w_{10}\oplus w_{14}}$
${\displaystyle v_{i}^{3}}$	${\displaystyle =}$	${\displaystyle v_{i-1}^{3}\oplus m_{i}^{3}\oplus m_{i}^{7}\oplus m_{i}^{10}\oplus w_{3}\oplus w_{7}\oplus w_{11}\oplus w_{15}}$

Здесь за ${\displaystyle w_{0},...,w_{15}}$ обозначены элементы матрицы ${\displaystyle S}$ , ${\displaystyle \oplus }$  — операция исключающего ИЛИ.

Конечное значение хеш-функции

Конечное значение переменной цепочки — это строка из 512 бит:

${\displaystyle v_{t}^{0}\|v_{t}^{1}\|v_{t}^{2}\|v_{t}^{3}}$

Результатом хеширования с битовой длиной ${\displaystyle {\mbox{HSIZE}}}$ , принимающей значения от 128 до 256, являются ${\displaystyle {\mbox{HSIZE}}}$ крайних левых бит переменной цепочки. Например, для значения хеш-функции ${\displaystyle h}$ с длиной ${\displaystyle {\mbox{HSIZE}}=256}$ :

${\displaystyle h=v_{t}^{0}\|v_{t}^{1}.}$

Конечное значение хеш-функции

Длина переменной цепочки для ${\displaystyle {\mbox{COMPRESS}}_{1024}}$  — 1024 бит, поэтому её конечное значение:

${\displaystyle V_{t}=v_{t}^{0}\|v_{t}^{1}\|v_{t}^{2}\|v_{t}^{3}\|v_{t}^{4}\|v_{t}^{5}\|v_{t}^{6}\|v_{t}^{7}}$

Как и в ${\displaystyle {\mbox{COMPRESS}}_{512}}$ , результатом хеширования ${\displaystyle h}$ являются ${\displaystyle {\mbox{HSIZE}}}$ крайних левых бит ${\displaystyle V_{t}}$ . Например, для ${\displaystyle {\mbox{HSIZE}}=384}$

${\displaystyle h=v_{t}^{0}\|v_{t}^{1}\|v_{t}^{2}\|v_{t}^{3}}$