---

Для цієї циклової функції початкове значення, IV, завжди буде таким 128-бітним рядком, по­даним тут як послідовність з чотирьох слів У_о, У^ У₂, Y₃ у шістнадцятковому зображенні, де У_о подає найлівіші 32 біти з 128 бітів:

Ус = 67452301.

У, = EFCDAB89,

Метод заповнювання для використання в цій геш-функції має бути таким самим, як і метод за­повнювання, визначений у 7.2.

Циклова функція Ф діє так. Треба зауважити, що в цьому описі використано символи IV, Х_о, X, Х₂, Х_3>Xq, Х'_ьХ₂, Х₃ для позначення дев’яти різних слів, які містять значення, необхідні для об­числень.

1. Вважають, що 512-бітовий (перший) вхід до Ф міститься в Z_o, Z-i, ..., Z₁₅, де Z_o містить 32 найлівіших з 512 бітів. Вважають також, що 128 бітний (другий) вхід до Ф розміщено в чотирьох словах Y_o, У₂, Y₃.

2. Нехай Х₀:=У₀- Х₂:=У₂та Х₃:=У₃.

З Нехай Xq := У_о, X' := У_1; Х₂ := У₂ та Х₃ := У₃.

4. Для /> 0 до 63 здійснюють такі чотири кроки у зазначеному порядку:

1. W - SX₀ у д{Х,, Х₂, Х₃) w Z* у Q);

2. Х_о := Х₃; Х₃ := Х₂; Х₂ := X; X := IV;

3. W - 3%У'_С w двз.ХХ, Х₂, Хз) w 07);

4. Х_о :=Х'₃, Х₃ := Х₂; X^r₂ := Х; X, := IV.

4. Нехай

W :=У₀,

У_о У і±і X Х₃,

X :=У₂уХ₃уХ₀,

У₂ := Уз w Х_с w Х_ь

Уз := ІУь>Х у Х₂.

6 Чотири слова У₀₁ X, У_2і Уз зображають вихід циклової функції Ф. Після останньої ітерації циклової функції чотири слова У_о, У_ь У₂, У₃ треба перетворити в послідовність з 16 байтів, ви­користовуючи обернення процедури, визначеної в 7.1.2, і де У_о дає перші чотири байти, Yj — на­ступні чотири байти і т. д. Таким чином перший (найлівіший) байт буде відповідати найменш зна­чущому байту з У_о, та 16-й (найправіший) байт буде відповідати найбільш значущому байту з У₃. 16 байтів будуть перетворені в рядок з 128 бітів, використовуючи обернення процедури, зазначе­ної в розділі 6, тобто перший (найлівіший) біт буде відповідати найбільш значущому біту першого (найлівішого) байта, та 128-й (найправіший) біт буде відповідати найменш значущому біту 16-ого (найправішого) байта.

На рисунку 2 показані кроки (а) та (Ь) пункту 4 циклової функції Ф спеціалізованої геш-функції 2 (RIPEMD-128) (решта частин, тобто кроки (с) та (d) аналогічні). У цикловій функції Ф кроки від (а) до (d) пункту 4 виконано 64 рази (/ =0, 63).

(до циклу і)

(після циклу /)

9 СПЕЦІАЛІЗОВАНА ГЕШ-ФУНКЦІЯ З (SHA-1)

У цьому розділі визначено метод заповнювання, початкове значення та циклову функцію, яку використовують у загальній моделі для геш-функцій, описаних в ISO/IEC 10118-1:2000. Застосо­вуючи метод заповнювання, початкове значення та циклову функцію, визначені тут, до загальної моделі, що визначено вище, то таким чином буде визначено спеціалізовану геш-функцію 3. Спеціа­лізовану геш-функцію можна застосовувати до будь-яких рядків даних D, що містять щонайбіль­ше 2⁶⁴-1 бітів.

Міжнародний стандартизований ідентифікатор ISO/IEC для спеціалізованої геш-функції 3 до­рівнює 33 (у шістнадцятковому зображенні).

Примітка. Спеціалізовану геш-функцію 3, визначену вцьому розділі, зазвичай називають SHA-1, [2].

Для цієї геш-функції Z.^512, 0₂=160 та L_H не перевищує 160.

У специфікації циклової функції цього розділу означено, що блок на вході циклової функції подають у формі послідовності 32-бітних слів, кожен 512-бітний блок складено з 16 таких слів. По­слідовність з 64 байтів, В_о, S-і,..., S₆₃, буде інтерпретовано як послідовність із 16 слів, Z_o, Z-i, ..., Z₁₅, таким чином кожну групу з чотирьох послідовних байтів вважають словом, перший байт слова вважають найбільш значущим. Звідси

Z, = 2²⁴В_4; + 2¹⁶В_4/+і + 2⁸Є_4/+2 + В_4/+з, (0 < І < 15).

Щоб перетворити геш-код із послідовності слів у послідовність байтів, треба здійснити обер­нений процес.

Примітка. Порядок байтів, визначений тут, відрізняється від описаного у 7.1.2.

Щоб полегшити програмну реалізацію, циклову функцію Ф визначають у термінах операцій над 32-бітними словами. Послідовність функцій f₀, f₇₉ використовують у цикловій функції, де

кожна функція f_h 0 < і < 79 приймає три слова Х_о, та Х₂ на вході та видає єдине слово на виході.

Функцію f, визначають так:

ДХ₀,Х₁,Х₂) = (Х₀ЛХ,)У(-Х₀ЛХ₂), ( 0</< 19),

^X_D,X₁,X₂) = X₀©X₁©X₂. (20</<39),

ДХ₀, Х_ь Х₂) - (X_D A X,) V (Х_о A Х₂) V (X, А Х₂), 00 < І < 59),

IXX_DlX₁,X₂) = X₀©X₁©X_2> (60</<79).

У цій цикловій функції використовують послідовність слів, що визначають константи С_о, С_ъ .... С₇₉. У шістнадцятковому зображенні (де найбільш значущий біт відповідає найлівішому біту) їх визна­чають так:

С

( 0</<19), (20 < і < 39), (40 < і < 59), (60 < /< 79).

і = 5А827999.

С,,= 6ED9EBA1,

C,= 8F1BBCDC, Cf= CA62C1D6,

Для цієї циклової функції початкове значення, IV, завжди буде таким 160-бітним рядком, по­даним тут як послідовність з п’яти слів У_о, ^1- ^y2, Y₃, ^y4 У шістнадцятковому вигляді, де У_о подає найлівіші 32 біти з 160 бітів:

У_о = 67452301.

У, = EFCDAB89,

У₂ = 98BADCFE,

У, = 10325476, У, = C3D2E1F0.

Рядок даних D має бути заповнений так, щоб він містив кількість бітів, кратну 512. Процедуру заповнювання виконують так:

1 D приєднують до єдиного біт ‘1’.

2 Результат попереднього кроку приєднують до нульових (‘0’) бітів у кількості від нуля до 511 так, щоб довжина (в бітах) результівного рядка була конгруентною 448 за модулем 512. Точніше, якщо первинна довжина рядка D є L_D, та г— залишок від ділення L_D на 512, то кількість нулів для приєднання рівна або 447-г (якщо г < 447), або 959-г (якщо г > 447). Результатом буде бітовий ря­док, довжина якого менша на 64 біта від числа кратного 512 бітів.

З Приєднують результівний рядок з попереднього кроку з 64-бітним двійковим зображенням L_d, у якому найбільш значущий біт — перший.

В описі циклової функції, що буде наведено далі, кожний 512-бітний блок даних D_h 1 < і < q подано як послідовність із 16 слів, Z_o, Z₁₅, де Z_o відповідає найлівішим 32 бітам D₍.

Примітка. Приєднання 64-бітного рядка L_Dу кроці 3 таке, що найбільш значущий 32-бітний рядок та найменш зна­чущий 32-бітний рядок L_d використовуються відповідно як слова Z₁₄Ta Z₁₅ останнього блоку; відповідно до узгодження послідовності байтів згідно з 9.1.2, найбільш значущий байт з L_D— найлівіший байт, а найменш значущий байт — най- правіший байт.

Циклова функція Ф діє так. Треба зауважити, що в цьому описі використано символи И/, Х_о, Хі, Х₂, Х₃, Х₄, Z_o, Z_b ..., Z₇₉ для позначення 86 різних слів, які містять значення, необхідні для об­числень.

1. Вважають, що 512-бітний (перший) вхід до Ф розміщено в Z_o, Z_b .... Z₁₅, де Z_o містить 32 най- лівіших з 512 бітів. Вважають також, що 160-бітний (другий) вхід до Ф розміщено в п’яти словах Уо. Уі. У_2> Уз, У₄-

2. Для і = 16 до 79 нехай

Z, := S’(Zj.3 © Zf-a © Zj.14 © Zj-ie).

З Нехай X₀:=Y₀, X₁:=Y₁, X₂:=Y₂, X₃:=Y₃ та X₄:=Y₄.

4. Для і = 0 до 79 виконати такі два кроки:

1. tV:=S⁶(X₀)©/;{X₁,X₂,X₃)wX₄te>Z_?©C_i,-

2. Х₄ := Х₃; Х₃ := Х₂; Х₂ := S³⁰(X); X, := Х_о; Х_о := IV.

5 Нехай Ус -= Уо w Х_о, У, У w X, '6 := У₂ у Х₂, У₂ := У_г у Х₃ та У< := У₄ и X,

6 П’ять слів У_о, У-і, У₂, У₃, У₄ подають вихід циклової функції Ф. Після останньої ітерації цик­лової функції п’ять слів У_о, Уі, У₂, У₃, У₄ треба перетворити в послідовність з 20 байтів, викорис­товуючи обернення процедури, описаної в 9.1.2, де У_о дає перші чотири байти, — наступні чо­тири байти і т. д. Таким чином перший (найлівіший) байт буде відповідати найбільш значущому байту з У_о, та 20-й (найправіший) байт буде відповідати найменш значущому байту з У₄. 20 байтів будуть перетворені в рядок з 160 бітів, використовуючи обернення процедури, зазначе­ної в розділі 6, тобто перший (найлівіший) біт буде відповідати найбільш значущому біту першо­го (найлівішого) байта, та 160-й (найправіший) біт буде відповідати найменш значущому біту 20- ого (найправішого) байта.

На рисунку 3 зображені кроки (а) та (Ь) пункту 4 циклової функції Ф спеціалізованої геш- функції З (SHA-1). У цикловій функції Ф кроки (а) та (Ь) пункту 4 виконують 80 разів (/ = 0, ..., 79).

(до циклу /■)

(після циклу і)

Рисунок 3 — Частина циклової функції в спеціалізованій геш-функції З

10 СПЕЦІАЛІЗОВАНА ГЕШ-ФУНКЦІЯ 4 (SHA-256)

У цьому розділі визначено метод заповнювання, початкове значення та циклову функцію, яку використовують у загальній моделі для геш-функцій, описаних в ISO/IEC 10118-1:2000. Якщо за­стосувати метод заповнювання, початкове значення та циклову функцію, визначені тут, до загаль­ної моделі, згаданої вище, то таким чином визначають спеціалізовану геш-функцію 4. Спеціалізо­вану геш-функцію можна застосовувати до будь-яких рядків даних D, що містять щонайбільш 2⁶⁴-1 бітів.

Міжнародний стандартизований ідентифікатор ISO/IEC для спеціалізованої геш-функції 4 дорів­нює 34 (у шістнадцятковому зображенні).

Примітка. Спеціалізовану геш-функцію 4, визначену в цьому розділі, зазвичай називають SHA-256, [2].

Для цієї геш-функції Li=512, L₂=256, a L_H не перевищує 256.

Узгодження порядку байтів у цій геш-функції, як зазначено в 9.1.2.

Щоб полегшити програмну реалізацію, циклову функцію Ф визначають в термінах операцій над 32-бітними словами. Послідовність функцій е₀, е_1: е₂, ©з, е₄, е₅ використовують у цикловій функції, де е₀ та є-, приймає три слова Х_о, Хі та Х₂ на вході, е₂, е₃, е₄ та е₅ приймає єдине слово Х_о на вході, та кожна із цих шести функцій видає єдине 32-бітове слово на виході.

Функції е₀, e_1f е₂, е₃, е₄ та е₅ визначають так:

e_D(X₀, X, Х₂) =(Х₀ A X,) © ЩХ₀ А Х₂),

©і(Хо, Х₂) =(Х₀Л X,) © (Х_о А Х₂) © (X, А Х₂),

Є₂(Х₀) =S’²(X₀) © S'¹³(X₃) ® S^,22(Xo),

©з(Хо) =S'^s(X₀) © S'¹¹(X_a) © S'^2S(X₀),

e₄(X₃) =S'⁷(X₀) © S'¹⁸(X_a) © R³(X₀),

e₅(X_a) =S'¹⁷(X₀) © S'¹⁸ (X_o) © R^,0(X₀).

У цій циклової функції використовують послідовність слів, що визначають константи С_о, C-і, ..., С₆₃. У шістнадцятковому зображенні (де найбільш значущий біт відповідає найлівішо- му біту) їх визначають так, як зазначено нижче, де список слів наведено в порядку С_о, С_1т ..., С₆₃.

428a2f98 71374491 b5c0fbcf e9b5dba5 d807aa98 12835b01 243185be 550c7dc3 e49b69c1 efbe4786 0fc19dc6 240ca1cc 983e5152 a831c66d b00327c8 bf597fc7 27b70a85 2e1b2138 4d2c6dfc 53380d13 a2bfe8a1 a81a664b с24Ь8Ь70 c76c51a3 19a4c116 1e376c08 2748774c 34b0bcb5 748f82ee 78a5636f 84c87814 8cc70208

3956c25b 59f111f1 923f82a4 ab1c5ed5

72be5d74 80deb1fe 9bdc06a7 c19bf174 2de92c6f 4a7484aa 5cb0a9dc 76f988da сбеООЬЇЗ d5a79147 06ca6351 14292967 650a7354 766a0abb 81c2c92e 92722c85 d192e819 d6990624 f40e3585 106aa070 391c0cb3 4ed8aa4a 5b9cca4f 682e6ff3 90befffa a4506ceb bef9a3f7 c67178f2

Примітка. Ці значення — це перші тридцять два біти дробових частин кубічних коренів перших шістдесяти чоти­рьох простих чисел.

Для цієї циклової функції початкове значення, IV, завжди буде таким 256-бітним рядком, на­веденим тут як послідовність з восьми слів У_о, У_ь У₂, У₃, У₄, У₅, У₆, У? У шістнадцятковому зобра­женні, де У_о представляє найлівіші 32 біти з 256 бітів:

У_о - 6а09е667,

У, = ЬЬ67ае85,

У₂ = 3c6ef372,

У₃ = a54ff53a,

У = 510e527f,

У₆ = 9Ь05688с,

У₆ = 1 f83d9ab,

y₇ = 5be0cd19.

Примітка. Ці значення — це дробові частини квадратних коренів перших восьми простих чисел.

Метод заповнювання, використовуваний у цій геш-функції, має бути таким, як і метод запов­нювання, описаний у 9.2.