Whirlpool (криптографія)

Whirlpool — криптографічна геш-функція, розроблена Вінсентом Рейменом і Пауло Баррето. Опублікована в листопаді 2000 року. Гешування вхідне повідомлення з довжиною до $2^{256}$ біт. Вихідне значення геш-функції Whirlpool, називане гешем, становить 512 біт.

Назва

Геш-функцію Whirlpool названо на честь Галактики Вир в сузір'ї Гончі Пси — першої галактики зі спостережуваною спіральною структурою.

Модифікації

З моменту створення у 2000 році Whirlpool двічі модифікувалась.

Першу версію, Whirlpool-0, представлено як кандидата в проекті NESSIE (Шаблон:Lang-en, нові європейські проекти з цифрового підпису, цілісності й шифрування).

Модифікацію Whirlpool-0, названу Whirlpool-T, у 2003 році додано в перелік рекомендованих до використання криптографічних функцій NESSIE Шаблон:Webarchive. Зміни стосувалися блоку підстановки (S-скриня) Whirlpool: у першій версії структуру S-скрині не було описано, і він генерувався довільно, що створювало певні проблеми при апаратній реалізації Whirlpool. У версії Whirlpool-T S-скриня «набула» чіткої структури.

Дефект в дифузних матрицях Whirlpool-T, виявлений Taizo Shirai і Kyoji Shibutani^[1], пізніше було виправлено, і кінцеву (третю) версію, названу просто Whirlpool, прийнято ISO в стандарті ISO/IEC 10118-3:2004 Шаблон:Webarchive у 2004 році.

Опис

Вступ

У даній статті описується остання (третя) версія Whirlpool. На відміну від першої версії, S-скриню визначено, а дифузну матрицю замінено новою після доповіді Taizo Shirai і Kyoji Shibutani^[1].

Whirlpool складається з повторного застосування функції стиснення, основою якої є спеціальний 512-бітний блочний шифр $W$ з 512-бітним ключем.

Використовувані позначення та операції

В алгоритмі використовуються операції в полі Галуа $G F (2^{8})$ за модулем незвідного многочлена $p_{8} (x) = x^{8} + x^{4} + x^{3} + x^{2} + 1$ .

Многочлени для коротко записуються в шістнадцятковому поданні. Наприклад, запис $11 D_{x}$ означає $p_{8} (x)$ .

Символом $\circ$ позначається Шаблон:Нп. Вираз $f \circ g$ означає композицію функцій $g$ і $f$ .

Для позначення композиції послідовності функцій

f_{m}, f_{m + 1}, . . ., f_{n - 1}, f_{n}, m \leq n

використовується символ

◯_{m}^{r = n}

:

◯_{m}^{r = n} f_{r} \equiv f_{n} \circ f_{n - 1} \circ \dots \circ f_{m + 1} \circ f_{m} .

$M_{m \times n} [G F (2^{8})]$ — множина матриць $m \times n$ над $G F (2^{8}) .$

$c i r (a_{0}, a_{1}, . . ., a_{m - 1})$ — циркулянтна матриця $m \times m$ , перший рядок якої складається з елементів $a_{0}, a_{1}, . . ., a_{m - 1},$ тобто:

c i r (a_{0}, a_{1}, . . ., a_{m - 1}) \equiv [\begin{matrix} a_{0} & a_{1} & \dots & a_{m - 1} \\ a_{m - 1} & a_{0} & \dots & a_{m - 2} \\ ⋮ & ⋮ & ⋱ & ⋮ \\ a_{1} & a_{2} & \dots & a_{0} \end{matrix}],

або просто

c i r (a_{0}, a_{1}, . . ., a_{m - 1}) = c \Leftrightarrow c_{i j} = a_{(j - i) m o d m}, 0 \leq i, j \leq m - 1 .

Формат даних

Як було сказано вище, Whirlpool побудовано на спеціальному блочному шифрі $W$ , який працює з 512-бітними даними.

У перетвореннях проміжний результат обчислень гешу називається геш-станом або просто станом. При обчисленнях стан зазвичай подається матрицею стану. Для Whirlpool це матриця в $M_{8 \times 8} [G F (2^{8})]$ . Отже, 512-бітні блоки даних перед подальшими обчисленнями слід перетворити в цей формат. Цього досягають уведенням функції $μ$ :

μ : G F (2^{8})^{64} \to M_{8 \times 8} [G F (2^{8})], μ (a) = b \Leftrightarrow b_{i j} = a_{8 i + j}, 0 \leq i, j \leq 7 .

Простіше кажучи, заповнення матриці стану даними виконується порядково. При цьому кожен байт матриці являє собою відповідний многочлен в $G F (2^{8})$ .

Перетворення

Нелінійне перетворення $γ$ (S-скриня)

Функція $γ : M_{8 \times 8} [G F (2^{8})] \to M_{8 \times 8} [G F (2^{8})]$ складається з паралельного застосування блоку підстановки (S-скрині) $S : G F (2^{8}) \to G F (2^{8}), x \to S [x]$ до всіх байтів матриці стану:

γ (a) = b \Leftrightarrow b_{i j} = S [a_{i j}], 0 \leq i, j \leq 7 .

Блок підстановки описується такою таблицею замін:

Таблиця 1. Блок підстановки
	$0 0_{x}$	$0 1_{x}$	$0 2_{x}$	$0 3_{x}$	$0 4_{x}$	$0 5_{x}$	$0 6_{x}$	$0 7_{x}$	$0 8_{x}$	$0 9_{x}$	$0 A_{x}$	$0 B_{x}$	$0 c_{x}$	$0 d_{x}$	$0 E_{x}$	$0 F_{x}$
$0 0_{x}$	$1 8_{x}$	$2 3_{x}$	$c 6_{x}$	$E 8_{x}$	$8 7_{x}$	$B 8_{x}$	$0 1_{x}$	$4 F_{x}$	$3 6_{x}$	$A 6_{x}$	$d 2_{x}$	$F 5_{x}$	$7 9_{x}$	$6 F_{x}$	$9 1_{x}$	$5 2_{x}$
$1 0_{x}$	$6 0_{x}$	$B c_{x}$	$9 B_{x}$	$8 E_{x}$	$A 3_{x}$	$0 c_{x}$	$7 B_{x}$	$3 5_{x}$	$1 d_{x}$	$E 0_{x}$	$d 7_{x}$	$c 2_{x}$	$2 E_{x}$	$4 B_{x}$	$F E_{x}$	$5 7_{x}$
$2 0_{x}$	$1 5_{x}$	$7 7_{x}$	$3 7_{x}$	$E 5_{x}$	$9 F_{x}$	$F 0_{x}$	$4 A_{x}$	$d A_{x}$	$5 8_{x}$	$c 9_{x}$	$2 9_{x}$	$0 A_{x}$	$B 1_{x}$	$A 0_{x}$	$6 B_{x}$	$8 5_{x}$
$3 0_{x}$	$B d_{x}$	$5 d_{x}$	$1 0_{x}$	$F 4_{x}$	$c B_{x}$	$3 E_{x}$	$0 5_{x}$	$6 7_{x}$	$E 4_{x}$	$2 7_{x}$	$4 1_{x}$	$8 B_{x}$	$A 7_{x}$	$7 d_{x}$	$9 5_{x}$	$d 8_{x}$
$4 0_{x}$	$F B_{x}$	$E E_{x}$	$7 c_{x}$	$6 6_{x}$	$d d_{x}$	$1 7_{x}$	$4 7_{x}$	$9 E_{x}$	$c A_{x}$	$2 d_{x}$	$B F_{x}$	$0 7_{x}$	$A d_{x}$	$5 A_{x}$	$8 3_{x}$	$3 3_{x}$
$5 0_{x}$	$6 3_{x}$	$0 2_{x}$	$A A_{x}$	$7 1_{x}$	$c 8_{x}$	$1 9_{x}$	$4 9_{x}$	$d 9_{x}$	$F 2_{x}$	$E 3_{x}$	$5 B_{x}$	$8 8_{x}$	$9 A_{x}$	$2 6_{x}$	$3 2_{x}$	$B 0_{x}$
$6 0_{x}$	$E 9_{x}$	$0 F_{x}$	$d 5_{x}$	$8 0_{x}$	$B E_{x}$	$c d_{x}$	$3 4_{x}$	$4 8_{x}$	$F F_{x}$	$7 A_{x}$	$9 0_{x}$	$5 F_{x}$	$2 0_{x}$	$6 8_{x}$	$1 A_{x}$	$A E_{x}$
$7 0_{x}$	$B 4_{x}$	$5 4_{x}$	$9 3_{x}$	$2 2_{x}$	$6 4_{x}$	$F 1_{x}$	$7 3_{x}$	$1 2_{x}$	$4 0_{x}$	$0 8_{x}$	$c 3_{x}$	$E c_{x}$	$d B_{x}$	$A 1_{x}$	$8 d_{x}$	$3 d_{x}$
$8 0_{x}$	$9 7_{x}$	$0 0_{x}$	$c F_{x}$	$2 B_{x}$	$7 6_{x}$	$8 2_{x}$	$d 6_{x}$	$1 B_{x}$	$B 5_{x}$	$A F_{x}$	$6 A_{x}$	$5 0_{x}$	$4 5_{x}$	$F 3_{x}$	$3 0_{x}$	$E F_{x}$
$9 0_{x}$	$3 F_{x}$	$5 5_{x}$	$A 2_{x}$	$E A_{x}$	$6 5_{x}$	$B A_{x}$	$2 F_{x}$	$c 0_{x}$	$d E_{x}$	$1 c_{x}$	$F d_{x}$	$4 d_{x}$	$9 2_{x}$	$7 5_{x}$	$0 6_{x}$	$8 A_{x}$
$A 0_{x}$	$B 2_{x}$	$E 6_{x}$	$0 E_{x}$	$1 F_{x}$	$6 2_{x}$	$d 4_{x}$	$A 8_{x}$	$9 6_{x}$	$F 9_{x}$	$c 5_{x}$	$2 5_{x}$	$5 9_{x}$	$8 4_{x}$	$7 2_{x}$	$3 9_{x}$	$4 c_{x}$
$B 0_{x}$	$5 E_{x}$	$7 8_{x}$	$3 8_{x}$	$8 c_{x}$	$d 1_{x}$	$A 5_{x}$	$E 2_{x}$	$6 1_{x}$	$B 3_{x}$	$2 1_{x}$	$9 c_{x}$	$1 E_{x}$	$4 3_{x}$	$c 7_{x}$	$F c_{x}$	$0 4_{x}$
$c 0_{x}$	$5 1_{x}$	$9 9_{x}$	$6 d_{x}$	$0 d_{x}$	$F A_{x}$	$d F_{x}$	$7 E_{x}$	$2 4_{x}$	$3 B_{x}$	$A B_{x}$	$c E_{x}$	$1 1_{x}$	$8 F_{x}$	$4 E_{x}$	$B 7_{x}$	$E B_{x}$
$d 0_{x}$	$3 c_{x}$	$8 1_{x}$	$9 4_{x}$	$F 7_{x}$	$B 9_{x}$	$1 3_{x}$	$2 c_{x}$	$d 3_{x}$	$E 7_{x}$	$6 E_{x}$	$c 4_{x}$	$0 3_{x}$	$5 6_{x}$	$4 4_{x}$	$7 F_{x}$	$A 9_{x}$
$E 0_{x}$	$2 A_{x}$	$B B_{x}$	$c 1_{x}$	$5 3_{x}$	$d c_{x}$	$0 B_{x}$	$9 d_{x}$	$6 c_{x}$	$3 1_{x}$	$7 4_{x}$	$F 6_{x}$	$4 6_{x}$	$A c_{x}$	$8 9_{x}$	$1 4_{x}$	$E 1_{x}$
$F 0_{x}$	$1 6_{x}$	$3 A_{x}$	$6 9_{x}$	$0 9_{x}$	$7 0_{x}$	$B 6_{x}$	$d 0_{x}$	$E d_{x}$	$c c_{x}$	$4 2_{x}$	$9 8_{x}$	$A 4_{x}$	$2 8_{x}$	$5 c_{x}$	$F 8_{x}$	$8 6_{x}$

Циклічна перестановка $π$

Перестановка $π : M_{8 \times 8} [G F (2^{8})] \to M_{8 \times 8} [G F (2^{8})]$ циклічно зсуває кожен стовпець матриці стану так, що стовпець $j$ зсувається вниз на $j$ позицій:

π (a) = b \Leftrightarrow b_{i j} = a_{(i - j) m o d 8, j}, 0 \leq i, j \leq 7 .

Завдання даного перетворення — перемішати байти рядків матриці стану між собою.

Лінійна дифузія $θ$

Лінійна дифузія $θ : M_{8 \times 8} [G F (2^{8})] \to M_{8 \times 8} [G F (2^{8})]$ — це лінійне перетворення, матрицею якого є MDS-матриця $C = c i r (0 1_{x}, 0 1_{x}, 0 4_{x}, 0 1_{x}, 0 8_{x}, 0 5_{x}, 0 2_{x}, 0 9_{x})$ , тобто:

C = c i r (0 1_{x}, 0 1_{x}, 0 4_{x}, 0 1_{x}, 0 8_{x}, 0 5_{x}, 0 2_{x}, 0 9_{x}) = [\begin{matrix} 0 1_{x} & 0 1_{x} & 0 4_{x} & 0 1_{x} & 0 8_{x} & 0 5_{x} & 0 2_{x} & 0 9_{x} \\ 0 9_{x} & 0 1_{x} & 0 1_{x} & 0 4_{x} & 0 1_{x} & 0 8_{x} & 0 5_{x} & 0 2_{x} \\ 0 2_{x} & 0 9_{x} & 0 1_{x} & 0 1_{x} & 0 4_{x} & 0 1_{x} & 0 8_{x} & 0 5_{x} \\ 0 5_{x} & 0 2_{x} & 0 9_{x} & 0 1_{x} & 0 1_{x} & 0 4_{x} & 0 1_{x} & 0 8_{x} \\ 0 8_{x} & 0 5_{x} & 0 2_{x} & 0 9_{x} & 0 1_{x} & 0 1_{x} & 0 4_{x} & 0 1_{x} \\ 0 1_{x} & 0 8_{x} & 0 5_{x} & 0 2_{x} & 0 9_{x} & 0 1_{x} & 0 1_{x} & 0 4_{x} \\ 0 4_{x} & 0 1_{x} & 0 8_{x} & 0 5_{x} & 0 2_{x} & 0 9_{x} & 0 1_{x} & 0 1_{x} \\ 0 1_{x} & 0 4_{x} & 0 1_{x} & 0 8_{x} & 0 5_{x} & 0 2_{x} & 0 9_{x} & 0 1_{x} \end{matrix}],

так що

θ (a) = b \Leftrightarrow b = a \cdot C .

Іншими словами, матриця стану множиться справа на матрицю $C$ . Нагадаємо, що операції додавання і множення елементів матриць виконуються в $G F (2^{8})$ .

MDS-матриця — це така матриця над скінченним полем $K$ , що якщо взяти її в якості матриці лінійного перетворення $f (x) = (M D S) x$ з простору $K^{n}$ в простір $K^{m}$ , то будь-які два вектори з простору $K^{n + m}$ виду $(x, f (x))$ будуть мати принаймні $m + 1$ відмінностей в компонентах. Тобто набір векторів виду $(x, f (x))$ утворює код, що має властивість максимальної рознесеності (Шаблон:Lang-en). Таким кодом є, наприклад, код Ріда-Соломона.

У Whirlpool властивість максимальної рознесеності MDS-матриці означає, що загальна кількість мінливих байтів вектора $x$ і вектора $f (x) = (M D S) x$ не менша ніж $8 + 1 = 9$ . Іншими словами, будь-яке змінення тільки одного байта $x$ призводить до змінення всіх 8 байтів $f (x)$ . В цьому і полягає завдання лінійної дифузії.

Як уже згадувалося вище, MDS-матрицю в останній (третій) версії Whirlpool було змінено завдяки статті Taizo Shirai і Kyoji Shibutani^[1]. Вони проаналізували MDS-матрицю другої версії Whirlpool і вказали на можливість підвищення стійкості Whirlpool до диференціального криптоаналізу. Також вони запропонували 224 кандидати на місце нової MDS-матриці. З цього списку автори Whirlpool вибрали варіант, який найлегше реалізується в апаратному забезпеченні.

Додавання ключа $σ [k]$

Функція додавання ключа $σ [k] : M_{8 \times 8} [G F (2^{8})] \to M_{8 \times 8} [G F (2^{8})]$ являє собою побітове додавання (XOR) матриць стану $a$ і ключа $k \in M_{8 \times 8} [G F (2^{8})]$ :

σ [k] (a) = b \Leftrightarrow b_{i, j} = a_{i, j} \oplus k_{i, j}, 0 \leq i, j \leq 7 .

Константи раунду $c^{r}$

В кожному раунді $r, r > 0$ використовується матриця констант $c^{r} \in M_{8 \times 8} [G F (2^{8})]$ , така, що:

c_{0 j}^{r} \equiv S [8 (r - 1) + j], 0 \leq j \leq 7,

c_{i j}^{r} \equiv 0, 1 \leq i \leq 7, 0 \leq j \leq 7 .

Звідси видно, що перший рядок матриці $c^{r}$ є результатом застосування блоку підстановки $S$ до байтових чисел $[8 (r - 1) + j], 0 \leq j \leq 7$ .

Решта 7 рядків — нульові.

Функція раунду $ρ [k]$

Для кожного раунду $r$ функція раунду — це складене перетворення $ρ [k] : M_{8 \times 8} [G F (2^{8})] \to M_{8 \times 8} [G F (2^{8})]$ , параметром $k$ якого є матриця ключа $k \in M_{8 \times 8} [G F (2^{8})]$ . Описується функція раунду таким чином:

ρ [k] \equiv σ [k] \circ θ \circ π \circ γ .

Розширення ключа

Для кожного раунду $r, 0 \leq r \leq R$ необхідний 512-бітний ключ шифрування. Для вирішення даної проблеми в багатьох алгоритмах вводиться так звана процедура розширення ключа. У Whirlpool розширення ключа реалізується в такий спосіб:

K^{0} = K,

K^{r} = ρ [c^{r}] (K^{r - 1}), r > 0 .

Таким чином, з відомого ключа $K$ створюється необхідна послідовність $K^{0}, . . ., K^{R}$ ключів для кожного раунду блочного шифру $W$ .

Блочний шифр $W$

Спеціальний 512-бітовий блочний шифр $W [K] : M_{8 \times 8} [G F (2^{8})] \to M_{8 \times 8} [G F (2^{8})]$ як параметр використовує 512-бітовий ключ $K$ і виконує таку послідовність перетворень:

W [K] = (◯_{1}^{r = R} ρ [K^{r}]) \circ σ [K^{0}],

де ключі $K^{0}, . . ., K^{R}$ породжені описаною вище процедурою розширення ключа. В геш-функції Whirlpool число раундів $R = 10$ .

Доповнення вхідного повідомлення

Whirlpool, як і будь-яка інша геш-функція, повинна здійснювати гешування повідомлення довільної довжини. Оскільки внутрішній блок шифрування $W$ працює з 512-бітними вхідними повідомленнями, то вихідне повідомлення необхідно розбити на блоки по 512 біт. При цьому останній блок, який містить кінець повідомлення, може виявитися неповним.

Для вирішення даного завдання Whirlpool використовує алгоритм Меркла-Демґарда доповнення вхідного повідомлення. Результатом доповнення повідомлення $M$ є повідомлення $M^{'}$ , довжина якого кратна 512. Нехай $L$ — довжина початкового повідомлення. Тоді $M^{'}$ отримується за декілька кроків:

До кінця повідомлення $M$ приписати біт «1».
Приписати $x$ бітів «0» так, щоб довжина отриманого рядка $L + 1 + x$ була кратна $256$ непарне число разів.
Нарешті, приписати 256-бітне подання числа $L$ .

Доповнене повідомлення $M^{'}$ записується у вигляді

M^{'} = \overset{L}{\overset{⏞}{M}} ‖ 1 ‖ \overset{x}{\overset{⏞}{0 \dots 0}} ‖ \overset{256}{\overset{⏞}{L}}

і розбивається на 512-бітові блоки для подальшої обробки.

Функція стиснення

У Whirlpool застосовується схема гешування Miyaguchi-Preneel.

$t$ блоків $m_{i}, 1 \leq i \leq t$ доповненого повідомлення $M^{'}$ послідовно шифруються блочним шифром $W$ :

η_{i} = μ (m_{i}),

H_{0} = μ (I V),

H_{i} = W [H_{i - 1}] (η_{i}) \oplus H_{i - 1} \oplus η_{i}, 1 \leq i \leq t,

де $I V$ (ініціалізаційний вектор) — 512-бітний рядок, заповнений «0».

Обчислення гешу

Дайджестом для повідомлення $M$ є початкове значення $H_{t}$ функції стиснення, перетворене назад у 512-бітний рядок:

W h i r l p o o l (M) \equiv μ^{- 1} (H_{t}) .

Криптостійкість

Геш-функція $H$ вважається криптографічно стійкою, якщо вона задовольняє трьом основним вимогам, на яких ґрунтується більшість застосувань геш-функцій у криптографії: незворотність, стійкість до колізій першого роду і стійкість до колізій другого роду.

Нехай $h_{n}$ — довільний $n$ -бітний підрядок 512-бітного гешу Whirlpool. Автори Whirlpool стверджують, що створена ними хеш-функція задовольняє таким вимогам криптостійкості:

Генерування колізії потребує порядку $2^{n / 2}$ обчислень гешу WHIRLPOOL (стійкість до колізій другого роду).
Для заданої $h_{n}$ пошук такого повідомлення $M$ , що $H (M) = h_{n}$ , потребує порядку $2^{n}$ обчислень гешу WHIRLPOOL (необоротність).
Для заданого повідомлення $M$ виявлення іншого повідомлення $N$ , для якого $H (N) = H (M)$ , потребує порядку $2^{n}$ обчислень гешу WHIRLPOOL (стійкість до колізій]] першого роду).
Неможливо виявити систематичні кореляції між будь-якою лінійною комбінацією вхідних біт і будь-якою лінійною комбінацією біт гешу або передбачити, які біти гешу змінять своє значення при зміні певних вхідних бітів (стійкість до лінійного криптоаналізу і диференціального криптоаналізу).

До даної заяви автори Whirlpool додали примітку:

Ці твердження випливають зі значного запасу міцності щодо всіх відомих атак. Проте, ми розуміємо, що неможливо робити не спекулятивні твердження щодо невідомих речей.

Криптоаналіз

На нинішній день WHIRLPOOL стійка до всіх видів криптоаналізу. Протягом 8 років існування Whirlpool не було зареєстровано жодної атаки на неї.

Однак у 2009 році було опубліковано новий спосіб атаки на геш-функції — Шаблон:Нп^[2]^[3]. Першими «піддослідними» нової атаки стали геш-функції Whirlpool і Шаблон:Нп. Результати проведеного криптоаналізу наведено в таблиці.

Таблиця 2. Результати криптоаналізу геш-функцій Whirlpool і Grøstl методом Rebound attack^[2]^[3]
Геш-функція	Число раундів	Складність	Потрібний обсяг пам'яті	Тип колізії
Whirlpool	$4.5 / 10$	$2^{120}$	$2^{16}$	колізія
	$5.5 / 10$	$2^{120}$	$2^{16}$	напіввільна колізія
	$7.5 / 10$	$2^{128}$	$2^{16}$	напіввільна майже колізія
Grøstl-256	$6 / 10$	$2^{120}$	$2^{70}$	напіввільна колізія

Автори дослідження використовували такі поняття і терміни:

$I V$ — ініціалізаційний вектор
$M$ — повідомлення, яке підлягає гешуванню
$h (M, I V)$ — геш-функція
функція стиснення $f : H_{t} = f (M_{t}, H_{t - 1}), H_{0} = I V$

Типи колізій:

колізія:
- $I V$ — фіксований
- $f (M_{t}, I V) = f ({M_{t}}^{'}, I V), M_{t} \neq {M_{t}}^{'}$
майже колізія:
- $I V$ — фіксований
- $f_{M_{t}} = f (M_{t}, I V), f_{{M_{t}}^{'}} = f ({M_{t}}^{'}, I V), M_{t} \neq {M_{t}}^{'}$
- невелике число біт гешів $f_{M_{t}}$ і $f_{{M_{t}}^{'}}$ різні
напіввільна колізія:
- $f (M_{t}, H_{t - 1}) = f ({M_{t}}^{'}, H_{t - 1}), M_{t} \neq {M_{t}}^{'}$
вільна колізія:
- $f (M_{t}, H_{t - 1}) = f ({M_{t}}^{'}, H_{t^{'} - 1}), M_{t} \neq M_{t^{'} - 1}, H_{t} \neq H_{t^{'} - 1}$

Як видно з таблиці, згенерувати колізію для Whirlpool вдалося лише для її «урізаного» варіанту в 4.5 раунду. До того ж складність необхідних обчислень досить висока.

Застосування

Whirlpool — вільно поширювана геш-функція. Тому вона знаходить широке застосування у відкритому програмному забезпеченні. Тут наведено деякі приклади використання Whirlpool:

Jacksum — вільно поширювана утиліта для обчислення контрольних сум
Шаблон:Нп — вільно поширювана C++ бібліотека класів криптографічних примітивів
TrueCrypt — програма для шифрування «на льоту»
FreeOTFE — вільна безплатна програма з відкритим кодом, призначена для шифрування «на льоту». Випускається для операційних систем Windows і Windows Mobile (FreeOTFE4PDA)
DarkCrypt — вільно поширювана крипто- і стеганографічна утиліта у вигляді плагіну для Total Commander

Приклади гешів

Для зручності 512 біт (64 байти) гешу Whirlpool часто подають у вигляді 128-значного шістнадцяткового числа.

Як говорилося вище, алгоритм зазнав дві зміни з моменту випуску в 2000 році. Нижче наведено приклади гешів, обчислених для ASCII-тексту панграми The quick brown fox jumps over the lazy dog для всіх трьох версій Whirlpool:

Whirlpool-0("The quick brown fox jumps over the lazy dog") =
4F8F5CB531E3D49A61CF417CD133792CCFA501FD8DA53EE368FED20E5FE0248C
3A0B64F98A6533CEE1DA614C3A8DDEC791FF05FEE6D971D57C1348320F4EB42D

Whirlpool-T("The quick brown fox jumps over the lazy dog") =
3CCF8252D8BBB258460D9AA999C06EE38E67CB546CFFCF48E91F700F6FC7C183
AC8CC3D3096DD30A35B01F4620A1E3A20D79CD5168544D9E1B7CDF49970E87F1

Whirlpool("The quick brown fox jumps over the lazy dog") =
B97DE512E91E3828B40D2B0FDCE9CEB3C4A71F9BEA8D88E75C4FA854DF36725F
D2B52EB6544EDCACD6F8BEDDFEA403CB55AE31F03AD62A5EF54E42EE82C3FB35

Навіть невелика зміна вихідного тексту повідомлення (в даному випадку підміняється одна буква: символ «d» замінюється на символ «e») призводить до повної зміни гешу: Whirlpool-0(«The quick brown fox jumps over the lazy eog») =

228FBF76B2A93469D4B25929836A12B7D7F2A0803E43DABA0C7FC38BC11C8F2A
9416BBCF8AB8392EB2AB7BCB565A64AC50C26179164B26084A253CAF2E012676

Whirlpool-T("The quick brown fox jumps over the lazy eog") =
C8C15D2A0E0DE6E6885E8A7D9B8A9139746DA299AD50158F5FA9EECDDEF744F9
1B8B83C617080D77CB4247B1E964C2959C507AB2DB0F1F3BF3E3B299CA00CAE3

Whirlpool("The quick brown fox jumps over the lazy eog") =
C27BA124205F72E6847F3E19834F925CC666D0974167AF915BB462420ED40CC5
0900D85A1F923219D832357750492D5C143011A76988344C2635E69D06F2D38C

Додавання символів у рядок, конкатенація рядків й інші зміни також впливають на результат.

Приклади гешів для «нульового» рядка:

Whirlpool-0("") =
B3E1AB6EAF640A34F784593F2074416ACCD3B8E62C620175FCA0997B1BA23473
39AA0D79E754C308209EA36811DFA40C1C32F1A2B9004725D987D3635165D3C8

Whirlpool-T("") =
470F0409ABAA446E49667D4EBE12A14387CEDBD10DD17B8243CAD550A089DC0F
EEA7AA40F6C2AAAB71C6EBD076E43C7CFCA0AD32567897DCB5969861049A0F5A

Whirlpool("") =
19FA61D75522A4669B44E39C1D2E1726C530232130D407F89AFEE0964997F7A7
3E83BE698B288FEBCF88E3E03C4F0757EA8964E59B63D93708B138CC42A66EB3

Приклади в програмуванні

Середовище виконання

Код

Результат

PHP 5.0

echo hash( 'whirlpool', 'test' );

b913d5bbb8e461c2c5961cbe0edcdadfd29f068225ceb37da6defcf89849368f
8c6c2eb6a4c4ac75775d032a0ecfdfe8550573062b653fe92fc7b8fb3b7be8d6

Ruby

puts Whirlpool.calc_hex('test')

b913d5bbb8e461c2c5961cbe0edcdadfd29f068225ceb37da6defcf89849368f
8c6c2eb6a4c4ac75775d032a0ecfdfe8550573062b653fe92fc7b8fb3b7be8d6

Примітки

Шаблон:Примітки

Посилання

Стандарти

Програмні реалізації

Апаратні реалізації

Шаблон:Геш-функції та коди аутентифікації повідомлення Шаблон:Стандарти ISO

↑ ^1,0 ^1,1 ^1,2 Шаблон:Cite web
↑ ^2,0 ^2,1 Шаблон:Cite web
↑ ^3,0 ^3,1 Шаблон:Cite web Шаблон:Недоступне посилання

[Shirai&Shibutani-1] 1,0 ^1,1 ^1,2 Шаблон:Cite web

[RApresentation-2] 2,0 ^2,1 Шаблон:Cite web

[RAarticle-3] 3,0 ^3,1 Шаблон:Cite web Шаблон:Недоступне посилання

[1]

[2]

[3]

Whirlpool (криптографія)

Зміст

Назва

Модифікації

Опис

Вступ

Використовувані позначення та операції

Формат даних

Перетворення

Нелінійне перетворення $γ$ (S-скриня)

Циклічна перестановка $π$

Лінійна дифузія $θ$

Додавання ключа $σ [k]$

Константи раунду $c^{r}$

Функція раунду $ρ [k]$

Розширення ключа

Блочний шифр $W$

Доповнення вхідного повідомлення

Функція стиснення

Обчислення гешу

Криптостійкість

Криптоаналіз

Застосування

Приклади гешів

Приклади в програмуванні

Примітки

Посилання

Стандарти

Програмні реалізації

Апаратні реалізації

Навігаційне меню

Whirlpool (криптографія)

Назва

Модифікації

Опис

Вступ

Використовувані позначення та операції

Формат даних

Перетворення

Нелінійне перетворення γ (S-скриня)

Циклічна перестановка π

Лінійна дифузія θ

Додавання ключа σ[k]

Константи раунду cr

Функція раунду ρ[k]

Розширення ключа

Блочний шифр W

Доповнення вхідного повідомлення

Функція стиснення

Обчислення гешу

Криптостійкість

Криптоаналіз

Застосування

Приклади гешів

Приклади в програмуванні

Примітки

Посилання

Стандарти

Програмні реалізації

Апаратні реалізації

Навігаційне меню

Пошук

Нелінійне перетворення $γ$ (S-скриня)

Циклічна перестановка $π$

Лінійна дифузія $θ$

Додавання ключа $σ [k]$

Константи раунду $c^{r}$

Функція раунду $ρ [k]$

Блочний шифр $W$