LSH (хеш-функция)

LSH - это криптографическая хэш-функция, разработанная в 2014 году в Южной Корее для обеспечения целостности программных сред общего назначения, таких как ПК и интеллектуальные устройства . ^[1] LSH - это один из криптографических алгоритмов, утвержденных Корейской программой проверки криптографических модулей (KCMVP). И это национальный стандарт Южной Кореи (KS X 3262).

Спецификация [ править ]

Общая структура хэш-функции LSH показана на следующем рисунке.

Общая структура ЛШ

Хэш-функция LSH имеет широкую структуру Меркла-Дамгарда с заполнением одним нулем. Процесс хеширования сообщений LSH состоит из следующих трех этапов.

Инициализация :
- Заполнение заданной битовой строкой одним нулем.
- Преобразование в блоки сообщения с массивом из 32 слов из сообщения с дополненной битовой строкой.
- Инициализация цепочки переменной вектором инициализации.
Сжатие :
- Обновление переменных цепочки путем повторения функции сжатия с блоками сообщений.
Доработка :
- Генерация -битного хеш-значения из последней переменной цепочки. ${\ displaystyle n}$

функция Хеш-функция LSH
ввод: сообщение битовой строки ${\ displaystyle m}$
вывод: значение хэша ${\ Displaystyle ч \ ин \ {0,1 \} ^ {п}}$
процедура

${\ displaystyle \ qquad}$ Заполнение одним нулем ${\ displaystyle m}$

${\ displaystyle \ qquad}$ Генерация блоков сообщений , где из дополненной битовой строки ${\ displaystyle t}$ $\{{\textsf {M}}^{(i)}\}_{i=0}^{t-1}$ $t={\Big \lceil }{\frac {|m|+1}{32w}}{\Big \rceil }$

$\qquad$ ${\textsf {CV}}^{(0)}\leftarrow {\textsf {IV}}$

$\qquad$ для , чтобы сделать $i=0$ $(t-1)$

$\qquad$ $\qquad$ ${\textsf {CV}}^{(i+1)}\leftarrow {\textrm {CF}}({\textsf {CV}}^{(i)},{\textsf {M}}^{(i)})$

$\qquad$ конец для

$\qquad$ $h\leftarrow {\textrm {FIN}}_{n}({\textsf {CV}}^{(t)})$

$\qquad$ возвращаться $h$

Технические характеристики хэш-функции LSH следующие.

Характеристики хэш-функции LSH
Алгоритм	Размер дайджеста в битах ( ) $n$	Количество ступенчатых функций ( ) $N_{s}$	Цепочка переменного размера в битах	Размер блока сообщения в битах	Размер слова в битах ( ) $w$
ЛШ-256-224	224	26	512	1024	32
ЛШ-256-256	256	26	512	1024	32
ЛШ-512-224	224	28	1024	2048	64
ЛШ-512-256	256
ЛШ-512-384	384
ЛШ-512-512	512

Инициализация [ править ]

Позвольте быть заданной битовой строкой сообщения. Данные дополняются нулями, т. Е. Бит «1» добавляется в конец , а биты «0» добавляются до тех пор, пока длина дополненного сообщения в битах не будет , где и является наименьшим целым числом не меньше . $m$ $m$ $m$ $32wt$ $t=\lceil (|m|+1)/32w\rceil$ $\lceil x\rceil$ $x$

Позвольте быть битовой строкой с одним нулями . Тогда рассматривается как -байтовый массив , где для всех . В -байт массив превращается в -Word массив следующим образом . $m_{p}=m_{0}\|m_{1}\|\ldots \|m_{(32wt-1)}$ $32wt$ $m$ $m_{p}$ $4wt$ $m_{a}=(m[0],\ldots ,m[4wt-1])$ $m[k]=m_{8k}\|m_{(8k+1)}\|\ldots \|m_{(8k+7)}$ $0\leq k\leq (4wt-1)$ $4wt$ $m_{a}$ $32t$ ${\textsf {M}}=(M[0],\ldots ,M[32t-1])$

$M[s]\leftarrow m[ws/8+(w/8-1)]\|\ldots \|m[ws/8+1]\|m[ws/8]$ $(0\leq s\leq (32t-1))$

Из массива слов мы определяем блоки сообщений массива из 32 слов следующим образом. ${\textsf {M}}$ $t$ $\{{\textsf {M}}^{(i)}\}_{i=0}^{t-1}$

${\textsf {M}}^{(i)}\leftarrow (M[32i],M[32i+1],\ldots ,M[32i+31])$ $(0\leq i\leq (t-1))$

Переменная цепочки массива из 16 слов инициализируется вектором инициализации . ${\textsf {CV}}^{(0)}$ ${\textsf {IV}}$

${\textsf {CV}}^{(0)}[l]\leftarrow {\textsf {IV}}[l]$ $(0\leq l\leq 15)$

Вектор инициализации выглядит следующим образом. В следующих таблицах все значения выражены в шестнадцатеричной форме. ${\textsf {IV}}$

Вектор инициализации LSH-256-224
${\textsf {IV}}[0]$	${\textsf {IV}}[1]$	${\textsf {IV}}[2]$	${\textsf {IV}}[3]$	${\textsf {IV}}[4]$	${\textsf {IV}}[5]$	${\textsf {IV}}[6]$	${\textsf {IV}}[7]$
068608D3	62D8F7A7	D76652AB	4C600A43	BDC40AA8	1ECA0B68	DA1A89BE	3147D354
${\textsf {IV}}[8]$	${\textsf {IV}}[9]$	${\textsf {IV}}[10]$	${\textsf {IV}}[11]$	${\textsf {IV}}[12]$	${\textsf {IV}}[13]$	${\textsf {IV}}[14]$	${\textsf {IV}}[15]$
707EB4F9	F65B3862	6B0B2ABE	56B8EC0A	CF237286	EE0D1727	33636595	8BB8D05F

Вектор инициализации LSH-256-256
${\textsf {IV}}[0]$	${\textsf {IV}}[1]$	${\textsf {IV}}[2]$	${\textsf {IV}}[3]$	${\textsf {IV}}[4]$	${\textsf {IV}}[5]$	${\textsf {IV}}[6]$	${\textsf {IV}}[7]$
46A10F1F	FDDCE486	B41443A8	198E6B9D	3304388D	B0F5A3C7	B36061C4	7ADBD553
${\textsf {IV}}[8]$	${\textsf {IV}}[9]$	${\textsf {IV}}[10]$	${\textsf {IV}}[11]$	${\textsf {IV}}[12]$	${\textsf {IV}}[13]$	${\textsf {IV}}[14]$	${\textsf {IV}}[15]$
105D5378	2F74DE54	5C2F2D95	F2553FBE	8051357A	138668C8	47AA4484	E01AFB41

Вектор инициализации LSH-512-224
${\textsf {IV}}[0]$	${\textsf {IV}}[1]$	${\textsf {IV}}[2]$	${\textsf {IV}}[3]$
0C401E9FE8813A55	4A5F446268FD3D35	FF13E452334F612A	F8227661037E354A
${\textsf {IV}}[4]$	${\textsf {IV}}[5]$	${\textsf {IV}}[6]$	${\textsf {IV}}[7]$
A5F223723C9CA29D	95D965A11AED3979	01E23835B9AB02CC	52D49CBAD5B30616
${\textsf {IV}}[8]$	${\textsf {IV}}[9]$	${\textsf {IV}}[10]$	${\textsf {IV}}[11]$
9E5C2027773F4ED3	66A5C8801925B701	22BBC85B4C6779D9	C13171A42C559C23
${\textsf {IV}}[12]$	${\textsf {IV}}[13]$	${\textsf {IV}}[14]$	${\textsf {IV}}[15]$
31E2B67D25BE3813	D522C4DEED8E4D83	A79F5509B43FBAFE	E00D2CD88B4B6C6A

Вектор инициализации LSH-512-256
${\textsf {IV}}[0]$	${\textsf {IV}}[1]$	${\textsf {IV}}[2]$	${\textsf {IV}}[3]$
6DC57C33DF989423	D8EA7F6E8342C199	76DF8356F8603AC4	40F1B44DE838223A
${\textsf {IV}}[4]$	${\textsf {IV}}[5]$	${\textsf {IV}}[6]$	${\textsf {IV}}[7]$
39FFE7CFC31484CD	39C4326CC5281548	8A2FF85A346045D8	FF202AA46DBDD61E
${\textsf {IV}}[8]$	${\textsf {IV}}[9]$	${\textsf {IV}}[10]$	${\textsf {IV}}[11]$
CF785B3CD5FCDB8B	1F0323B64A8150BF	FF75D972F29EA355	2E567F30BF1CA9E1
${\textsf {IV}}[12]$	${\textsf {IV}}[13]$	${\textsf {IV}}[14]$	${\textsf {IV}}[15]$
B596875BF8FF6DBA	FCCA39B089EF4615	ECFF4017D020B4B6	7E77384C772ED802

Вектор инициализации LSH-512-384
${\textsf {IV}}[0]$	${\textsf {IV}}[1]$	${\textsf {IV}}[2]$	${\textsf {IV}}[3]$
53156A66292808F6	B2C4F362B204C2BC	B84B7213BFA05C4E	976CEB7C1B299F73
${\textsf {IV}}[4]$	${\textsf {IV}}[5]$	${\textsf {IV}}[6]$	${\textsf {IV}}[7]$
DF0CC63C0570AE97	DA4441BAA486CE3F	6559F5D9B5F2ACC2	22DACF19B4B52A16
${\textsf {IV}}[8]$	${\textsf {IV}}[9]$	${\textsf {IV}}[10]$	${\textsf {IV}}[11]$
BBCDACEFDE80953A	C9891A2879725B3E	7C9FE6330237E440	A30BA550553F7431
${\textsf {IV}}[12]$	${\textsf {IV}}[13]$	${\textsf {IV}}[14]$	${\textsf {IV}}[15]$
BB08043FB34E3E30	A0DEC48D54618EAD	150317267464BC57	32D1501FDE63DC93

Вектор инициализации LSH-512-512
${\textsf {IV}}[0]$	${\textsf {IV}}[1]$	${\textsf {IV}}[2]$	${\textsf {IV}}[3]$
ADD50F3C7F07094E	E3F3CEE8F9418A4F	B527ECDE5B3D0AE9	2EF6DEC68076F501
${\textsf {IV}}[4]$	${\textsf {IV}}[5]$	${\textsf {IV}}[6]$	${\textsf {IV}}[7]$
8CB994CAE5ACA216	FBB9EAE4BBA48CC7	650A526174725FEA	1F9A61A73F8D8085
${\textsf {IV}}[8]$	${\textsf {IV}}[9]$	${\textsf {IV}}[10]$	${\textsf {IV}}[11]$
B6607378173B539B	1BC99853B0C0B9ED	DF727FC19B182D47	DBEF360CF893A457
${\textsf {IV}}[12]$	${\textsf {IV}}[13]$	${\textsf {IV}}[14]$	${\textsf {IV}}[15]$
4981F5E570147E80	D00C4490CA7D3E30	5D73940C0E4AE1EC	894085E2EDB2D819

Сжатие [ править ]

На этом этапе блоки сообщений массива из 32 слов , которые генерируются из сообщения на этапе инициализации, сжимаются путем повторения функций сжатия. Функция сжатия имеет два входа; -й 16 слов переменной цепочки и -й блок сообщений 32 слов . И он возвращает -ю цепочку из 16 слов . Здесь и далее, обозначает набор массивов всех слов для . $t$ $\{{\textsf {M}}^{(i)}\}_{i=0}^{t-1}$ $m$ ${\textrm {CF}}:{\mathcal {W}}^{16}\times {\mathcal {W}}^{32}\rightarrow {\mathcal {W}}^{16}$ $i$ ${\textsf {CV}}^{(i)}$ $i$ ${\textsf {M}}^{(i)}$ $(i+1)$ ${\textsf {CV}}^{(i+1)}$ ${\mathcal {W}}^{t}$ $t$ $t\geq 1$

В функции сжатия используются следующие четыре функции:

Функция расширения сообщения ${\textrm {MsgExp}}:{\mathcal {W}}^{32}\rightarrow {\mathcal {W}}^{16(Ns+1)}$
Функция добавления сообщений ${\textrm {MsgAdd}}:{\mathcal {W}}^{16}\times {\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$
Функция смешивания ${\textrm {Mix}}_{j}:{\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$
Функция перестановки слов ${\textrm {WordPerm}}:{\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$

Общая структура функции сжатия показана на следующем рисунке.

Функция сжатия LSH

В функции сжатия функция расширения сообщения генерирует вложенные сообщения массива из 16 слов из данного . Пусть будет временным массивом из 16 слов, установленным для -й переменной цепочки . -Й функция шага , имеющая два входа и обновление , то есть . Все пошаговые функции выполняются по порядку . Затем выполняется еще одна операция по , и -я переменная цепочки устанавливается в . Подробно процесс функции сжатия выглядит следующим образом. ${\textrm {MsgExp}}$ $(N_{s}+1)$ $\{{\textsf {M}}_{j}^{(i)}\}_{j=0}^{N_{s}}$ ${\textsf {M}}^{(i)}$ ${\textsf {T}}=(T[0],\ldots ,T[15])$ $i$ ${\textsf {CV}}^{(i)}$ $j$ ${\textrm {Step}}_{j}$ ${\textsf {T}}$ ${\textsf {M}}_{j}^{(i)}$ ${\textsf {T}}$ ${\textsf {T}}\leftarrow {\textrm {Step}}_{j}\left({\textsf {T}},{\textsf {M}}_{j}^{(i)}\right)$ $j=0,\ldots ,N_{s}-1$ ${\textrm {MsgAdd}}$ ${\textsf {M}}_{N_{s}}^{(i)}$ $(i+1)$ ${\textsf {CV}}^{(i+1)}$ ${\textsf {T}}$

функция Функция сжатия ${\textrm {CF}}$
ввод: -й переменной цепочки и блок -м сообщение $i$ ${\textsf {CV}}^{(i)}\in {\mathcal {W}}^{16}$ $i$ ${\textsf {M}}^{(i)}\in {\mathcal {W}}^{32}$
Выход: -й переменной цепочки $(i+1)$ ${\textsf {CV}}^{(i+1)}\in {\mathcal {W}}^{16}$
процедура

$\qquad$ $\{{\textsf {M}}_{j}^{(i)}\}_{j=0}^{N_{s}}\leftarrow {\textrm {MsgExp}}\left({\textsf {M}}^{(i)}\right)$

$\qquad$ ${\textsf {T}}\leftarrow {\textsf {CV}}^{(i)}$

$\qquad$ для , чтобы сделать $j=0$ $(N_{s}-1)$

$\qquad$ $\qquad$ ${\textsf {T}}\leftarrow {\textrm {Step}}_{j}\left({\textsf {T}},{\textsf {M}}_{j}^{(i)}\right)$

$\qquad$ конец для

$\qquad$ ${\textsf {CV}}^{(i+1)}\leftarrow {\textrm {MsgAdd}}\left({\textsf {T}},{\textsf {M}}_{N_{s}}^{(i)}\right)$

$\qquad$ возвращаться ${\textsf {CV}}^{(i+1)}$

Здесь функция -го шага выглядит следующим образом. $j$ ${\textrm {Step}}_{j}:{\mathcal {W}}^{16}\times {\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$

${\textrm {Step}}_{j}:={\textrm {WordPerm}}\circ {\textrm {Mix}}_{j}\circ {\textrm {MsgAdd}}$ $(0\leq j\leq (N_{s}-1))$

На следующем рисунке показана функция -го шага функции сжатия. $j$ ${\textrm {Step}}_{j}$

Функция -го шага

j

{\textrm {Step}}_{j}

Функция расширения сообщения MsgExp [ править ]

Позвольте быть -м блоком сообщения массива из 32 слов. Функция расширения сообщения генерирует вложенные сообщения массива из 16 слов из блока сообщения . Первые два вложенных сообщения и определяются следующим образом. ${\textsf {M}}^{(i)}=(M^{(i)}[0],\ldots ,M^{(i)}[31])$ $i$ ${\textrm {MsgExp}}$ $(N_{s}+1)$ $\{{\textsf {M}}_{j}^{(i)}\}_{j=0}^{N_{s}}$ ${\textsf {M}}^{(i)}$ ${\textsf {M}}_{0}^{(i)}=(M_{0}^{(i)}[0],\ldots ,M_{0}^{(i)}[15])$ ${\textsf {M}}_{1}^{(i)}=(M_{1}^{(i)}[0],\ldots ,M_{1}^{(i)}[15])$

${\textsf {M}}_{0}^{(i)}\leftarrow (M^{(i)}[0],M^{(i)}[1],\ldots ,M^{(i)}[15])$
${\textsf {M}}_{1}^{(i)}\leftarrow (M^{(i)}[16],M^{(i)}[17],\ldots ,M^{(i)}[31])$

Следующие суб-сообщения генерируются следующим образом. $\{{\textsf {M}}_{j}^{(i)}=(M_{j}^{(i)}[0],\ldots ,M_{j}^{(i)}[15])\}_{j=2}^{N_{s}}$

${\textsf {M}}_{j}^{(i)}[l]\leftarrow {\textsf {M}}_{j-1}^{(i)}[l]\boxplus {\textsf {M}}_{j-2}^{(i)}[\tau (l)]$ $(0\leq l\leq 15,\ 2\leq j\leq N_{s})$

Вот перестановка, определяемая следующим образом. $\tau$ $\mathbb {Z} _{16}$

Перестановка $\tau :\mathbb {Z} _{16}\rightarrow \mathbb {Z} _{16}$
$l$	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15
$\tau (l)$	3	2	0	1	7	4	5	6	11	10	8	9	15	12	13	14

Функция добавления сообщений MsgAdd [ править ]

Для двух массивов из 16 слов и функция добавления сообщений определяется следующим образом. ${\textsf {X}}=(X[0],\ldots ,X[15])$ ${\textsf {Y}}=(Y[0],\ldots ,Y[15])$ ${\textrm {MsgAdd}}:{\mathcal {W}}^{16}\times {\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$

${\textrm {MsgAdd}}({\textsf {X}},{\textsf {Y}}):=(X[0]\oplus Y[0],\ldots ,X[15]\oplus Y[15])$

Mix Function Mix [ править ]

Функция -й смеси обновляет массив 16 слов путем смешивания каждой пары из двух слов; и для . Для , функция микширования работает следующим образом. $j$ ${\textrm {Mix}}_{j}:{\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$ ${\textsf {T}}=(T[0],\ldots ,T[15])$ $T[l]$ $T[l+8]$ $(0\leq l<8)$ $0\leq j<N_{s}$ ${\textrm {Mix}}_{j}$

$(T[l],T[l+8])\leftarrow {\textrm {Mix}}_{j,l}(T[l],T[l+8])$ $(0\leq l<8)$

Вот функция смешивания двух слов. Пусть и будут словами. Функция смешивания двух слов определяется следующим образом. ${\textrm {Mix}}_{j,l}$ $X$ $Y$ ${\textrm {Mix}}_{j,l}:{\mathcal {W}}^{2}\rightarrow {\mathcal {W}}^{2}$

функция Функция смешивания двух слов ${\textrm {Mix}}_{j,l}$
ввод: слова и $X$ $Y$
вывод: слова и $X$ $Y$
процедура

$\qquad$ $X\leftarrow X\boxplus Y$ ; ; $\qquad X\leftarrow X^{\lll \alpha _{j}}$

$\qquad$ $X\leftarrow X\oplus SC_{j}[l]$ ;

$\qquad$ $Y\leftarrow X\boxplus Y$ ; ; $\qquad Y\leftarrow Y^{\lll \beta _{j}}$

$\qquad$ $X\leftarrow X\boxplus Y$ ; ; $\qquad Y\leftarrow Y^{\lll \gamma _{l}}$

$\qquad$ вернуться , ; $X$ $Y$

Функция смешивания двух слов показана на следующем рисунке. ${\textrm {Mix}}_{j,l}$

Функция смешивания двух слов

{\textrm {Mix}}_{j,l}(X,Y)

Суммы вращения бит , , используемые в приведены в следующей таблице. $\alpha _{j}$ $\beta _{j}$ $\gamma _{l}$ ${\textrm {Mix}}_{j,l}$

Величины вращения битов , и $\alpha _{j}$ $\beta _{j}$ $\gamma _{l}$
$w$	$j$	$\alpha _{j}$	$\beta _{j}$	$\gamma _{1}$	$\gamma _{2}$	$\gamma _{3}$	$\gamma _{4}$	$\gamma _{5}$	$\gamma _{6}$	$\gamma _{7}$
32	четное	29	1	8	16	24	24	16	8	0
32	странный	5	17	8	16	24	24	16	8	0
64	четное	23	59	16	32	48	8	24	40	56
64	странный	7	3	16	32	48	8	24	40	56

-Й 8-слово константа массива используется в течение определяется следующим образом . Исходная константа массива из 8 слов определена в следующей таблице. For , -я константа создается for . $j$ ${\textsf {SC}}_{j}=(SC_{j}[0],\ldots ,SC_{j}[7])$ ${\textrm {Mix}}_{j,l}$ $0\leq l<8$ ${\textsf {SC}}_{0}=(SC_{0}[0],\ldots ,SC_{0}[7])$ $1\leq j<N_{s}$ $j$ ${\textsf {SC}}_{j}=(SC_{j}[0],\ldots ,SC_{j}[7])$ $SC_{j}[l]\leftarrow SC_{j-1}[l]\boxplus SC_{j-1}[l]^{\lll 8}$ $0\leq l<8$

Начальная константа массива из 8 слов ${\textsf {SC}}_{0}$
	$w=32$	$w=64$
$SC_{0}[0]$	917caf90	97884283c938982a
$SC_{0}[1]$	6c1b10a2	ba1fca93533e2355
$SC_{0}[2]$	6f352943	c519a2e87aeb1c03
$SC_{0}[3]$	cf778243	9a0fc95462af17b1
$SC_{0}[4]$	2ceb7472	fc3dda8ab019a82b
$SC_{0}[5]$	29e96ff2	02825d079a895407
$SC_{0}[6]$	8a9ba428	79f2d0a7ee06a6f7
$SC_{0}[7]$	2eeb2642	d76d15eed9fdf5fe

Функция перестановки слов WordPerm [ править ]

Позвольте быть массивом из 16 слов. Функция перестановки слов определяется следующим образом. ${\textsf {X}}=(X[0],\ldots ,X[15])$ ${\textrm {WordPerm}}:{\mathcal {W}}^{16}\rightarrow {\mathcal {W}}^{16}$

${\textrm {WordPerm}}({\textsf {X}})=(X[\sigma (0)],\ldots ,X[\sigma (15)])$

Вот перестановка, определенная в следующей таблице. $\sigma$ $\mathbb {Z} _{16}$

Перестановка $\sigma :\mathbb {Z} _{16}\rightarrow \mathbb {Z} _{16}$
$l$	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15
$\sigma (l)$	6	4	5	7	12	15	14	13	2	0	1	3	8	11	10	9

Завершение [ править ]

Функция финализации возвращает -битное хеш-значение из последней переменной цепочки . Когда это переменная из 8 слов и переменная размером в байты, функция завершения выполняет следующую процедуру. ${\textrm {FIN}}_{n}:{\mathcal {W}}^{16}\rightarrow \{0,1\}^{n}$ $n$ $h$ ${\textsf {CV}}^{(t)}=(CV^{(t)}[0],\ldots ,CV^{(t)}[15])$ ${\textsf {H}}=(H[0],\ldots ,H[7])$ ${\textsf {h}}_{\textsf {b}}=(h_{b}[0],\ldots ,h_{b}[w-1])$ $w$ ${\textrm {FIN}}_{n}$

$H[l]\leftarrow CV^{(t)}[l]\oplus CV^{(t)}[l+8]$ $(0\leq l\leq 7)$
$h_{b}[s]\leftarrow H[\lfloor 8s/w\rfloor ]_{[7:0]}^{\ggg (8s\mod w)}$ $(0\leq s\leq (w-1))$
$h\leftarrow (h_{b}[0]\|\ldots \|h_{b}[w-1])_{[0:n-1]}$

Здесь обозначает строку суббитов слова для . И обозначает , суб-битовая строка из битовых строк для . $X_{[i:j]}$ $x_{i}\|x_{i-1}\|\ldots \|x_{j}$ $X$ $i\geq j$ $x_{[i:j]}$ $x_{i}\|x_{i+1}\|\ldots \|x_{j}$ $l$ $x=x_{0}\|x_{1}\|\ldots \|x_{l-1}$ $i\leq j$

Безопасность [ править ]

LSH до сих пор защищен от известных атак на хэш-функции. LSH устойчив к коллизиям, устойчив к прообразу и устойчив к второму прообразу для идеальной модели шифра, где есть ряд запросов для структуры LSH. ^[1] LSH-256 защищен от всех существующих атак хеш-функции, когда количество шагов равно 13 или больше, тогда как LSH-512 защищен, если количество шагов равно 14 или больше. Обратите внимание, что шаги, которые работают как запас прочности, составляют 50% от функции сжатия. ^[1] $q<2^{n/2}$ $q<2^{n}$ $q$

Производительность [ править ]

LSH превосходит SHA-2/3 на различных программных платформах. В следующей таблице показана скорость хеширования LSH-сообщений размером 1 МБ на нескольких платформах.

Скорость хеширования LSH-сообщений 1 МБ (циклов / байт) ^[1]
Платформа	P1 ^[a]	P2 ^[b]	P3 ^[c]	P4 ^[d]	P5 ^[e]	P6 ^[f]	P7 ^[г]	P8 ^[ч]
ЛШ-256- $n$	3,60	3,86	5,26	3,89	11,17	15.03	15,28	14,84
ЛШ-512- $n$	2.39	5,04	7,76	5,52	8,94	18,76	19.00	18.10

^ Intel Core i7-4770K @ 3,5 ГГц (Haswell), Ubuntu 12.04 64-бит, GCC 4.8.1 с «-m64 -mavx2 -O3»
^ Intel Core i7-2600K @ 3,40 ГГц (Sandy Bridge), Ubuntu 12.04 64-бит, GCC 4.8.1 с «-m64 -msse4 -O3»
^ Intel Core 2 Quad Q9550 @ 2,83 ГГц (Yorkfield), 32-разрядная версия Windows 7, Visual Studio 2012
^ AMD FX-8350 @ 4 ГГц (Piledriver), Ubuntu 12.04 64-бит, GCC 4.8.1 с «-m64 -mxop -O3»
^ Samsung Exynos 5250 ARM Cortex-A15 @ 1,7 ГГц, двухъядерный (Huins ACHRO 5250), Android 4.1.1
^ Qualcomm Snapdragon 800 Krait 400, четырехъядерный процессор 2,26 ГГц (LG G2), Android 4.4.2
^ Qualcomm Snapdragon 800 Krait 400 @ 2,3 ГГц, четырехъядерный (Samsung Galaxy S4), Android 4.2.2
^ Qualcomm Snapdragon 400 Krait 300 @ 1,7 ГГц, двухъядерный (Samsung Galaxy S4 mini), Android 4.2.2

Следующая таблица представляет собой сравнение на платформе на базе Haswell, LSH измеряется на четырехъядерной платформе Intel Core i7-4770k @ 3,5 ГГц, а другие измеряются на платформе Intel Core i5-4570S @ 2,9 ГГц.

Тест скорости финалистов LSH, SHA-2 и SHA-3 на платформе на базе процессора Haswell (циклов / байт) ^[1]
Алгоритм	Размер сообщения в байтах
Алгоритм	длинный	4096	1,536	576	64	8
ЛШ-256-256	3,60	3,71	3,90	4,08	8,19	65,37
Скейн-512-256	5.01	5,58	5,86	6,49	13.12	104,50
Блейк-256	6,61	7,63	7,87	9,05	16,58	72,50
Grøstl-256	9,48	10,68	12,18	13,71	37,94	227,50
Кечак-256	10,56	10,52	9,90	11,99	23,38	187,50
SHA-256	10,82	11,91	12,26	13,51	24,88	106,62
JH-256	14,70	15,50	15,94	17.06	31,94	257,00
ЛШ-512-512	2.39	2,54	2,79	3,31	10,81	85,62
Скейн-512-512	4,67	5,51	5,80	6,44	13,59	108,25
Блейк-512	4,96	6,17	6,82	7,38	14,81	116,50
SHA-512	7,65	8,24	8,69	9,03	17,22	138,25
Grøstl-512	12,78	15,44	17.30	17,99	51,72	417,38
JH-512	14,25	15,66	16,14	17,34	32,69	261,00
Кечак-512	16,36	17,86	18,46	20,35	21,56	171,88

Следующая таблица измерена на двухъядерной платформе Samsung Exynos 5250 ARM Cortex-A15 @ 1,7 ГГц.

Тест скорости финалистов LSH, SHA-2 и SHA-3 на платформе на базе процессора Exynos 5250 ARM Cortex-A15 (циклов / байт) ^[1]
Алгоритм	Размер сообщения в байтах
Алгоритм	длинный	4096	1,536	576	64	8
ЛШ-256-256	11,17	11,53	12,16	12,63	22,42	192,68
Скейн-512-256	15,64	16,72	18,33	22,68	75,75	609,25
Блейк-256	17,94	19.11	20,88	25,44	83,94	542,38
SHA-256	19,91	21,14	23.03	28,13	90,89	578,50
JH-256	34,66	36.06	38,10	43,51	113,92	924,12
Кечак-256	36,03	38.01	40,54	48,13	125.00	1000,62
Grøstl-256	40,70	42,76	46,03	54,94	167,52	1020,62
ЛШ-512-512	8,94	9,56	10,55	12,28	38,82	307,98
Блейк-512	13,46	14,82	16,88	20,98	77,53	623,62
Скейн-512-512	15,61	16,73	18,35	22,56	75,59	612,88
JH-512	34,88	36,26	38,36	44.01	116,41	939,38
SHA-512	44,13	46,41	49,97	54,55	135,59	1088,38
Кечак-512	63,31	64,59	67,85	77,21	121,28	968,00
Grøstl-512	131,35	138,49	150,15	166,54	446,53	3518,00

Тестовые векторы [ править ]

Тестовые векторы для LSH для каждой длины дайджеста следующие. Все значения выражены в шестнадцатеричной форме.

LSH-256-224 ("abc") = F7 C5 3B A4 03 4E 70 8E 74 FB A4 2E 55 99 7C A5 12 6B B7 62 36 88 F8 53 42 F7 37 32

LSH-256-256 ("abc") = 5F BF 36 5D AE A5 44 6A 70 53 C5 2B 57 40 4D 77 A0 7A 5F 48 A1 F7 C1 96 3A 08 98 BA 1B 71 47 41

LSH-512-224 ("abc") = D1 68 32 34 51 3E C5 69 83 94 57 1E AD 12 8A 8C D5 37 3E 97 66 1B A2 0D CF 89 E4 89

LSH-512-256 ("abc") = CD 89 23 10 53 26 02 33 2B 61 3F 1E C1 1A 69 62 FC A6 1E A0 9E CF FC D4 BC F7 58 58 D8 02 ED EC

LSH-512-384 ("abc") = 5F 34 4E FA A0 E4 3C CD 2E 5E 19 4D 60 39 79 4B 4F B4 31 F1 0F B4 B6 5F D4 5E 9D A4 EC DE 0F 27 B6 6E 8D BD FA 47 25 2E 0D 0B 74 1B FD 91 F9 FE

LSH-512-512 ("abc") = A3 D9 3C FE 60 DC 1A AC DD 3B D4 BE F0 A6 98 53 81 A3 96 C7 D4 9D 9F D1 77 79 56 97 C3 53 52 08 B5 C5 72 24 BE F2 10 84 D4 20 83 E9 5A 4B D8 EB 33 E8 69 81 2B 65 03 1C 42 88 19 A1 E7 CE 59 6D

Реализации [ править ]

LSH бесплатен для использования в общественных или частных, коммерческих или некоммерческих целях. Исходный код для распространения LSH, реализованного на C, Java и Python, можно загрузить с веб-страницы активации криптографии KISA. ^[2]

KCMVP [ править ]

LSH - это один из криптографических алгоритмов, одобренных Корейской программой проверки криптографических модулей (KCMVP). ^[3]

Стандартизация [ править ]

LSH включен в следующий стандарт.

KS X 3262, Хеш-функция LSH (на корейском языке) ^[4]

Ссылки [ править ]

^ a b c d e f Ким, Донг-Чан; Хонг, Деукджо; Ли, Юнг-Гын; Ким, Ву-Хван; Квон, Дэсон (2015). LSH: новое семейство функций Fast Secure Hash . Издательство Springer International. С. 286–313. ISBN 978-3-319-15943-0.
^ "KISA 암호 이용 활성화 - 암호 알고리즘 소스 코드" . seed.kisa.or.kr .
^ "KISA 암호 이용 활성화 - 개요" . seed.kisa.or.kr .
^ «Корейские стандарты и сертификаты (на корейском языке)» .

[2] Intel Core i7-4770K @ 3,5 ГГц (Haswell), Ubuntu 12.04 64-бит, GCC 4.8.1 с «-m64 -mavx2 -O3»

[3] Intel Core i7-2600K @ 3,40 ГГц (Sandy Bridge), Ubuntu 12.04 64-бит, GCC 4.8.1 с «-m64 -msse4 -O3»

[4] Intel Core 2 Quad Q9550 @ 2,83 ГГц (Yorkfield), 32-разрядная версия Windows 7, Visual Studio 2012

[5] AMD FX-8350 @ 4 ГГц (Piledriver), Ubuntu 12.04 64-бит, GCC 4.8.1 с «-m64 -mxop -O3»

[6] Samsung Exynos 5250 ARM Cortex-A15 @ 1,7 ГГц, двухъядерный (Huins ACHRO 5250), Android 4.1.1

[7] Qualcomm Snapdragon 800 Krait 400, четырехъядерный процессор 2,26 ГГц (LG G2), Android 4.4.2

[8] Qualcomm Snapdragon 800 Krait 400 @ 2,3 ГГц, четырехъядерный (Samsung Galaxy S4), Android 4.2.2

[9] Qualcomm Snapdragon 400 Krait 300 @ 1,7 ГГц, двухъядерный (Samsung Galaxy S4 mini), Android 4.2.2

[KHL+14-1] Ким, Донг-Чан; Хонг, Деукджо; Ли, Юнг-Гын; Ким, Ву-Хван; Квон, Дэсон (2015). LSH: новое семейство функций Fast Secure Hash . Издательство Springer International. С. 286–313. ISBN 978-3-319-15943-0.

[LSH_source-10] "KISA 암호 이용 활성화 - 암호 알고리즘 소스 코드" . seed.kisa.or.kr .

[KCMVP-11] "KISA 암호 이용 활성화 - 개요" . seed.kisa.or.kr .

[KS_X_3262-12] «Корейские стандарты и сертификаты (на корейском языке)» .

[1]