Whirlpool (хеш-функция)

Шаблон:Карточка хеш функции Whirlpool — криптографическая хеш-функция, разработанная шаблон не поддерживает такой синтаксис и шаблон не поддерживает такой синтаксис. Впервые опубликована в ноябре 2000 года. Осуществляет хеширование входного сообщения с длиной до ${\displaystyle 2^{256}}$ бит. Выходное значение хеш-функции Whirlpool, называемое хешем, составляет 512 бит.

Хеш-функция Whirlpool названа в честь Галактики Водоворот (M51) в созвездии Гончие Псы — первой галактики с наблюдаемой спиральной структурой.

С момента создания в 2000 году Whirlpool дважды подвергалась модификации.

Первая версия, WHIRLPOOL-0, была представлена в качестве кандидата в проекте NESSIE (англ. New European Schemes for Signatures, Integrity and Encryption, новые европейские проекты по цифровой подписи, целостности и шифрованию).

Модификация WHIRLPOOL-0, названная WHIRLPOOL-T, в 2003 году была добавлена в перечень рекомендованных к использованию криптографических функций NESSIE. Изменения касались блока подстановки (шаблон не поддерживает такой синтаксис) Whirlpool: в первой версии структура шаблон не поддерживает такой синтаксис не была описана, и он генерировался совершенно произвольно, что создавало определённые проблемы при аппаратной реализации Whirlpool. В версии WHIRLPOOL-T шаблон не поддерживает такой синтаксис «приобрёл» чёткую структуру.

Дефект в диффузных матрицах WHIRLPOOL-T, обнаруженный шаблон не поддерживает такой синтаксис и шаблон не поддерживает такой синтаксис^[1], был впоследствии исправлен, и конечная (третья) версия, названная для краткости просто WHIRLPOOL, была принята ISO (англ. International Organization for Standardization, международная организация по стандартизации) в стандарте ISO/IEC 10118-3:2004 в 2004 году.

В данной статье описывается последняя (третья) версия Whirlpool. В отличие от первой версии, шаблон не поддерживает такой синтаксис определен, а диффузная матрица заменена на новую после доклада шаблон не поддерживает такой синтаксис и шаблон не поддерживает такой синтаксис^[1].

Whirlpool состоит из повторного применения шаблон не поддерживает такой синтаксис, основой которой является специальный 512-битный блочный шифр ${\displaystyle W}$ с 512-битным ключом.

В алгоритме используются операции в поле Галуа ${\displaystyle \ GF(2^{8})}$ по модулю неприводимого многочлена ${\displaystyle \ p_{8}(x)=x^{8}+x^{4}+x^{3}+x^{2}+1}$.

Многочлены для краткости записываются в шестнадцатеричном представлении. Например, запись ${\displaystyle \ 11D_{x}}$ означает ${\displaystyle \ p_{8}(x)}$.

• Символом ${\displaystyle \circ }$ обозначается шаблон не поддерживает такой синтаксис. Выражение ${\displaystyle f\circ g}$ означает композицию функций ${\displaystyle \ g}$ и ${\displaystyle \ f}$.

Для обозначения композиции последовательности функций ${\displaystyle f_{m},f_{m+1},...,f_{n-1},f_{n},m\leq n}$ используется символ ${\displaystyle \bigcirc _{m}^{r=n}}$:

${\displaystyle \bigcirc _{m}^{r=n}f_{r}\equiv f_{n}\circ f_{n-1}\circ \dots \circ f_{m+1}\circ f_{m}.}$

• ${\displaystyle M_{m\times n}[GF(2^{8})]}$ — множество матриц ${\displaystyle m\times n}$ над ${\displaystyle \ GF(2^{8}).}$

• ${\displaystyle \ cir(a_{0},a_{1},...,a_{m-1})}$ — шаблон не поддерживает такой синтаксис ${\displaystyle m\times m}$, первая строка которой состоит из элементов ${\displaystyle \ a_{0},a_{1},...,a_{m-1},}$ то есть:

${\displaystyle cir(a_{0},a_{1},...,a_{m-1})\equiv {\begin{bmatrix}a_{0}&a_{1}&\dots &a_{m-1}\\a_{m-1}&a_{0}&\dots &a_{m-2}\\\vdots &\vdots &\ddots &\vdots \\a_{1}&a_{2}&\dots &a_{0}\\\end{bmatrix}},}$

или просто ${\displaystyle \ cir(a_{0},a_{1},...,a_{m-1})=c\Leftrightarrow c_{ij}=a_{(j-i)modm},0\leq i,j\leq m-1.}$

Как уже говорилось выше, Whirlpool построена на специальном блочном шифре ${\displaystyle W}$, который работает с 512-битными данными.

В преобразованиях промежуточный результат вычисления хеша называется хеш-состоянием или просто состоянием. При вычислениях состояние обычно представляется матрицей состояния. Для Whirlpool это матрица в ${\displaystyle M_{8\times 8}[GF(2^{8})]}$. Следовательно, 512-битные блоки данных должны быть преобразованы в этот формат перед дальнейшими вычислениями. Это достигается введением функции ${\displaystyle \ \mu }$:

${\displaystyle \mu :GF(2^{8})^{64}\to M_{8\times 8}[GF(2^{8})],\qquad \mu (a)=b\Leftrightarrow b_{ij}=a_{8i+j},0\leq i,j\leq 7.}$

Проще говоря, заполнение матрицы состояния данными происходит построчно. При этом каждый байт матрицы представляет собой соответствующий многочлен в ${\displaystyle \ GF(2^{8})}$.

Функция ${\displaystyle \gamma :M_{8\times 8}[GF(2^{8})]\to M_{8\times 8}[GF(2^{8})]}$ состоит из параллельного применения блока подстановки (шаблон не поддерживает такой синтаксис) ${\displaystyle S:GF(2^{8})\to GF(2^{8}),x\to S[x]}$ ко всем байтам матрицы состояния:

${\displaystyle \gamma (a)=b\Leftrightarrow b_{ij}=S[a_{ij}],0\leq i,j\leq 7.}$

Блок подстановки описывается следующей таблицей замен:

Таблица 1. Блок подстановки

	${\displaystyle 00_{x}}$	${\displaystyle 01_{x}}$	${\displaystyle 02_{x}}$	${\displaystyle 03_{x}}$	${\displaystyle 04_{x}}$	${\displaystyle 05_{x}}$	${\displaystyle 06_{x}}$	${\displaystyle 07_{x}}$	${\displaystyle 08_{x}}$	${\displaystyle 09_{x}}$	${\displaystyle 0A_{x}}$	${\displaystyle 0B_{x}}$	${\displaystyle 0c_{x}}$	${\displaystyle 0d_{x}}$	${\displaystyle 0E_{x}}$	${\displaystyle 0F_{x}}$
${\displaystyle 00_{x}}$	${\displaystyle 18_{x}}$	${\displaystyle 23_{x}}$	${\displaystyle c6_{x}}$	${\displaystyle E8_{x}}$	${\displaystyle 87_{x}}$	${\displaystyle B8_{x}}$	${\displaystyle 01_{x}}$	${\displaystyle 4F_{x}}$	${\displaystyle 36_{x}}$	${\displaystyle A6_{x}}$	${\displaystyle d2_{x}}$	${\displaystyle F5_{x}}$	${\displaystyle 79_{x}}$	${\displaystyle 6F_{x}}$	${\displaystyle 91_{x}}$	${\displaystyle 52_{x}}$
${\displaystyle 10_{x}}$	${\displaystyle 60_{x}}$	${\displaystyle Bc_{x}}$	${\displaystyle 9B_{x}}$	${\displaystyle 8E_{x}}$	${\displaystyle A3_{x}}$	${\displaystyle 0c_{x}}$	${\displaystyle 7B_{x}}$	${\displaystyle 35_{x}}$	${\displaystyle 1d_{x}}$	${\displaystyle E0_{x}}$	${\displaystyle d7_{x}}$	${\displaystyle c2_{x}}$	${\displaystyle 2E_{x}}$	${\displaystyle 4B_{x}}$	${\displaystyle FE_{x}}$	${\displaystyle 57_{x}}$
${\displaystyle 20_{x}}$	${\displaystyle 15_{x}}$	${\displaystyle 77_{x}}$	${\displaystyle 37_{x}}$	${\displaystyle E5_{x}}$	${\displaystyle 9F_{x}}$	${\displaystyle F0_{x}}$	${\displaystyle 4A_{x}}$	${\displaystyle dA_{x}}$	${\displaystyle 58_{x}}$	${\displaystyle c9_{x}}$	${\displaystyle 29_{x}}$	${\displaystyle 0A_{x}}$	${\displaystyle B1_{x}}$	${\displaystyle A0_{x}}$	${\displaystyle 6B_{x}}$	${\displaystyle 85_{x}}$
${\displaystyle 30_{x}}$	${\displaystyle Bd_{x}}$	${\displaystyle 5d_{x}}$	${\displaystyle 10_{x}}$	${\displaystyle F4_{x}}$	${\displaystyle cB_{x}}$	${\displaystyle 3E_{x}}$	${\displaystyle 05_{x}}$	${\displaystyle 67_{x}}$	${\displaystyle E4_{x}}$	${\displaystyle 27_{x}}$	${\displaystyle 41_{x}}$	${\displaystyle 8B_{x}}$	${\displaystyle A7_{x}}$	${\displaystyle 7d_{x}}$	${\displaystyle 95_{x}}$	${\displaystyle d8_{x}}$
${\displaystyle 40_{x}}$	${\displaystyle FB_{x}}$	${\displaystyle EE_{x}}$	${\displaystyle 7c_{x}}$	${\displaystyle 66_{x}}$	${\displaystyle dd_{x}}$	${\displaystyle 17_{x}}$	${\displaystyle 47_{x}}$	${\displaystyle 9E_{x}}$	${\displaystyle cA_{x}}$	${\displaystyle 2d_{x}}$	${\displaystyle BF_{x}}$	${\displaystyle 07_{x}}$	${\displaystyle Ad_{x}}$	${\displaystyle 5A_{x}}$	${\displaystyle 83_{x}}$	${\displaystyle 33_{x}}$
${\displaystyle 50_{x}}$	${\displaystyle 63_{x}}$	${\displaystyle 02_{x}}$	${\displaystyle AA_{x}}$	${\displaystyle 71_{x}}$	${\displaystyle c8_{x}}$	${\displaystyle 19_{x}}$	${\displaystyle 49_{x}}$	${\displaystyle d9_{x}}$	${\displaystyle F2_{x}}$	${\displaystyle E3_{x}}$	${\displaystyle 5B_{x}}$	${\displaystyle 88_{x}}$	${\displaystyle 9A_{x}}$	${\displaystyle 26_{x}}$	${\displaystyle 32_{x}}$	${\displaystyle B0_{x}}$
${\displaystyle 60_{x}}$	${\displaystyle E9_{x}}$	${\displaystyle 0F_{x}}$	${\displaystyle d5_{x}}$	${\displaystyle 80_{x}}$	${\displaystyle BE_{x}}$	${\displaystyle cd_{x}}$	${\displaystyle 34_{x}}$	${\displaystyle 48_{x}}$	${\displaystyle FF_{x}}$	${\displaystyle 7A_{x}}$	${\displaystyle 90_{x}}$	${\displaystyle 5F_{x}}$	${\displaystyle 20_{x}}$	${\displaystyle 68_{x}}$	${\displaystyle 1A_{x}}$	${\displaystyle AE_{x}}$
${\displaystyle 70_{x}}$	${\displaystyle B4_{x}}$	${\displaystyle 54_{x}}$	${\displaystyle 93_{x}}$	${\displaystyle 22_{x}}$	${\displaystyle 64_{x}}$	${\displaystyle F1_{x}}$	${\displaystyle 73_{x}}$	${\displaystyle 12_{x}}$	${\displaystyle 40_{x}}$	${\displaystyle 08_{x}}$	${\displaystyle c3_{x}}$	${\displaystyle Ec_{x}}$	${\displaystyle dB_{x}}$	${\displaystyle A1_{x}}$	${\displaystyle 8d_{x}}$	${\displaystyle 3d_{x}}$
${\displaystyle 80_{x}}$	${\displaystyle 97_{x}}$	${\displaystyle 00_{x}}$	${\displaystyle cF_{x}}$	${\displaystyle 2B_{x}}$	${\displaystyle 76_{x}}$	${\displaystyle 82_{x}}$	${\displaystyle d6_{x}}$	${\displaystyle 1B_{x}}$	${\displaystyle B5_{x}}$	${\displaystyle AF_{x}}$	${\displaystyle 6A_{x}}$	${\displaystyle 50_{x}}$	${\displaystyle 45_{x}}$	${\displaystyle F3_{x}}$	${\displaystyle 30_{x}}$	${\displaystyle EF_{x}}$
${\displaystyle 90_{x}}$	${\displaystyle 3F_{x}}$	${\displaystyle 55_{x}}$	${\displaystyle A2_{x}}$	${\displaystyle EA_{x}}$	${\displaystyle 65_{x}}$	${\displaystyle BA_{x}}$	${\displaystyle 2F_{x}}$	${\displaystyle c0_{x}}$	${\displaystyle dE_{x}}$	${\displaystyle 1c_{x}}$	${\displaystyle Fd_{x}}$	${\displaystyle 4d_{x}}$	${\displaystyle 92_{x}}$	${\displaystyle 75_{x}}$	${\displaystyle 06_{x}}$	${\displaystyle 8A_{x}}$
${\displaystyle A0_{x}}$	${\displaystyle B2_{x}}$	${\displaystyle E6_{x}}$	${\displaystyle 0E_{x}}$	${\displaystyle 1F_{x}}$	${\displaystyle 62_{x}}$	${\displaystyle d4_{x}}$	${\displaystyle A8_{x}}$	${\displaystyle 96_{x}}$	${\displaystyle F9_{x}}$	${\displaystyle c5_{x}}$	${\displaystyle 25_{x}}$	${\displaystyle 59_{x}}$	${\displaystyle 84_{x}}$	${\displaystyle 72_{x}}$	${\displaystyle 39_{x}}$	${\displaystyle 4c_{x}}$
${\displaystyle B0_{x}}$	${\displaystyle 5E_{x}}$	${\displaystyle 78_{x}}$	${\displaystyle 38_{x}}$	${\displaystyle 8c_{x}}$	${\displaystyle d1_{x}}$	${\displaystyle A5_{x}}$	${\displaystyle E2_{x}}$	${\displaystyle 61_{x}}$	${\displaystyle B3_{x}}$	${\displaystyle 21_{x}}$	${\displaystyle 9c_{x}}$	${\displaystyle 1E_{x}}$	${\displaystyle 43_{x}}$	${\displaystyle c7_{x}}$	${\displaystyle Fc_{x}}$	${\displaystyle 04_{x}}$
${\displaystyle c0_{x}}$	${\displaystyle 51_{x}}$	${\displaystyle 99_{x}}$	${\displaystyle 6d_{x}}$	${\displaystyle 0d_{x}}$	${\displaystyle FA_{x}}$	${\displaystyle dF_{x}}$	${\displaystyle 7E_{x}}$	${\displaystyle 24_{x}}$	${\displaystyle 3B_{x}}$	${\displaystyle AB_{x}}$	${\displaystyle cE_{x}}$	${\displaystyle 11_{x}}$	${\displaystyle 8F_{x}}$	${\displaystyle 4E_{x}}$	${\displaystyle B7_{x}}$	${\displaystyle EB_{x}}$
${\displaystyle d0_{x}}$	${\displaystyle 3c_{x}}$	${\displaystyle 81_{x}}$	${\displaystyle 94_{x}}$	${\displaystyle F7_{x}}$	${\displaystyle B9_{x}}$	${\displaystyle 13_{x}}$	${\displaystyle 2c_{x}}$	${\displaystyle d3_{x}}$	${\displaystyle E7_{x}}$	${\displaystyle 6E_{x}}$	${\displaystyle c4_{x}}$	${\displaystyle 03_{x}}$	${\displaystyle 56_{x}}$	${\displaystyle 44_{x}}$	${\displaystyle 7F_{x}}$	${\displaystyle A9_{x}}$
${\displaystyle E0_{x}}$	${\displaystyle 2A_{x}}$	${\displaystyle BB_{x}}$	${\displaystyle c1_{x}}$	${\displaystyle 53_{x}}$	${\displaystyle dc_{x}}$	${\displaystyle 0B_{x}}$	${\displaystyle 9d_{x}}$	${\displaystyle 6c_{x}}$	${\displaystyle 31_{x}}$	${\displaystyle 74_{x}}$	${\displaystyle F6_{x}}$	${\displaystyle 46_{x}}$	${\displaystyle Ac_{x}}$	${\displaystyle 89_{x}}$	${\displaystyle 14_{x}}$	${\displaystyle E1_{x}}$
${\displaystyle F0_{x}}$	${\displaystyle 16_{x}}$	${\displaystyle 3A_{x}}$	${\displaystyle 69_{x}}$	${\displaystyle 09_{x}}$	${\displaystyle 70_{x}}$	${\displaystyle B6_{x}}$	${\displaystyle d0_{x}}$	${\displaystyle Ed_{x}}$	${\displaystyle cc_{x}}$	${\displaystyle 42_{x}}$	${\displaystyle 98_{x}}$	${\displaystyle A4_{x}}$	${\displaystyle 28_{x}}$	${\displaystyle 5c_{x}}$	${\displaystyle F8_{x}}$	${\displaystyle 86_{x}}$

Перестановка ${\displaystyle \pi :M_{8\times 8}[GF(2^{8})]\to M_{8\times 8}[GF(2^{8})]}$ циклически сдвигает каждый столбец матрицы состояния так, что столбец ${\displaystyle j}$ сдвигается вниз на ${\displaystyle j}$ позиций:

${\displaystyle \pi (a)=b\Leftrightarrow b_{ij}=a_{(i-j)mod8,j},0\leq i,j\leq 7.}$

Задача данного преобразования — перемешать байты строк матрицы состояния между собой.

Линейная диффузия ${\displaystyle \theta :M_{8\times 8}[GF(2^{8})]\to M_{8\times 8}[GF(2^{8})]}$ — это линейное преобразование, матрицей которого является шаблон не поддерживает такой синтаксис ${\displaystyle \ C=cir(01_{x},01_{x},04_{x},01_{x},08_{x},05_{x},02_{x},09_{x})}$, то есть:

${\displaystyle C=cir(01_{x},01_{x},04_{x},01_{x},08_{x},05_{x},02_{x},09_{x})={\begin{bmatrix}01_{x}&01_{x}&04_{x}&01_{x}&08_{x}&05_{x}&02_{x}&09_{x}\\09_{x}&01_{x}&01_{x}&04_{x}&01_{x}&08_{x}&05_{x}&02_{x}\\02_{x}&09_{x}&01_{x}&01_{x}&04_{x}&01_{x}&08_{x}&05_{x}\\05_{x}&02_{x}&09_{x}&01_{x}&01_{x}&04_{x}&01_{x}&08_{x}\\08_{x}&05_{x}&02_{x}&09_{x}&01_{x}&01_{x}&04_{x}&01_{x}\\01_{x}&08_{x}&05_{x}&02_{x}&09_{x}&01_{x}&01_{x}&04_{x}\\04_{x}&01_{x}&08_{x}&05_{x}&02_{x}&09_{x}&01_{x}&01_{x}\\01_{x}&04_{x}&01_{x}&08_{x}&05_{x}&02_{x}&09_{x}&01_{x}\\\end{bmatrix}},}$

так что

${\displaystyle \theta (a)=b\Leftrightarrow b=a\cdot C.}$

Другими словами, матрица состояния умножается справа на матрицу ${\displaystyle \ C}$. Напомним, что операции сложения и умножения элементов матриц производятся в ${\displaystyle \ GF(2^{8})}$.

шаблон не поддерживает такой синтаксис — это такая матрица над конечным полем ${\displaystyle \ K}$, что если взять её в качестве матрицы линейного преобразования ${\displaystyle \ f(x)=(MDS)x}$ из пространства ${\displaystyle \ K^{n}}$ в пространство ${\displaystyle \ K^{m}}$, то любые два вектора из пространства ${\displaystyle \ K^{n+m}}$ вида ${\displaystyle \ (x,f(x))}$ будут иметь как минимум ${\displaystyle \ m+1}$ различий в компонентах. То есть набор векторов вида ${\displaystyle \ (x,f(x))}$ образует код, обладающий свойством максимальной разнесённости (англ. Maximum Distance Separable code). Таким кодом является, например, код Рида-Соломона.

В Whirlpool свойство максимальной разнесённости шаблон не поддерживает такой синтаксис означает, что общее количество меняющихся байт вектора ${\displaystyle \ x}$ и вектора ${\displaystyle \ f(x)=(MDS)x}$ не меньше ${\displaystyle \ 8+1=9}$. Другими словами, любое изменение только одного байта ${\displaystyle \ x}$ приводит к изменению всех 8 байтов ${\displaystyle \ f(x)}$. В этом и состоит задача линейной шаблон не поддерживает такой синтаксис.

Как уже упоминалось выше, шаблон не поддерживает такой синтаксис в последней (третьей) версии Whirlpool была изменена благодаря статье шаблон не поддерживает такой синтаксис и шаблон не поддерживает такой синтаксис^[1]. Они проанализировали шаблон не поддерживает такой синтаксис второй версии Whirlpool и указали на возможность повышения устойчивости Whirlpool к дифференциальному криптоанализу. Также они предложили 224 кандидата на место новой шаблон не поддерживает такой синтаксис. Из этого списка авторы Whirlpool выбрали вариант, наиболее легко реализуемый в аппаратном обеспечении.

Функция добавления ключа ${\displaystyle \sigma [k]:M_{8\times 8}[GF(2^{8})]\to M_{8\times 8}[GF(2^{8})]}$ представляет собой побитовое сложение (XOR) матриц состояния ${\displaystyle \ a}$ и ключа ${\displaystyle k\in M_{8\times 8}[GF(2^{8})]}$:

${\displaystyle \sigma [k](a)=b\Leftrightarrow b_{i,j}=a_{i,j}\oplus k_{i,j},0\leq i,j\leq 7.}$

В каждом раунде ${\displaystyle \ r,r>0}$ используется матрица констант ${\displaystyle c^{r}\in M_{8\times 8}[GF(2^{8})]}$, такая, что:

${\displaystyle c_{0j}^{r}\equiv S[8(r-1)+j],\qquad 0\leq j\leq 7,}$

${\displaystyle c_{ij}^{r}\equiv 0,\qquad \qquad \qquad \qquad 1\leq i\leq 7,0\leq j\leq 7.}$

Отсюда видно, что первая строка матрицы ${\displaystyle c^{r}}$ является результатом применения блока подстановки ${\displaystyle S}$ к байтовым числам ${\displaystyle [8(r-1)+j],0\leq j\leq 7}$.

Остальные 7 строк — нулевые.

Для каждого раунда ${\displaystyle \ r}$ функция раунда — это составное преобразование ${\displaystyle \rho [k]:M_{8\times 8}[GF(2^{8})]\to M_{8\times 8}[GF(2^{8})]}$, параметром ${\displaystyle k}$ которого является матрица ключа ${\displaystyle k\in M_{8\times 8}[GF(2^{8})]}$. Описывается функция раунда следующим образом:

${\displaystyle \rho [k]\equiv \sigma [k]\circ \theta \circ \pi \circ \gamma .}$

Для каждого раунда ${\displaystyle \ r,0\leq r\leq R}$ необходим 512-битный ключ шифрования. Для решения данной проблемы во многих алгоритмах вводится так называемая процедура расширения ключа. В Whirlpool расширение ключа реализуется следующим образом:

${\displaystyle \ K^{0}=K,}$

${\displaystyle \ K^{r}=\rho [c^{r}](K^{r-1}),r>0.}$

Таким образом, из известного ключа ${\displaystyle K}$ производится необходимая последовательность ${\displaystyle K^{0},...,K^{R}}$ ключей для каждого раунда блочного шифра ${\displaystyle W}$.

Специальный 512-битный блочный шифр ${\displaystyle W[K]:M_{8\times 8}[GF(2^{8})]\to M_{8\times 8}[GF(2^{8})]}$ в качестве параметра использует 512-битный ключ ${\displaystyle K}$ и выполняет следующую последовательность преобразований:

${\displaystyle W[K]=\left(\bigcirc _{1}^{r=R}\rho [K^{r}]\right)\circ \sigma [K^{0}],}$

где ключи ${\displaystyle K^{0},...,K^{R}}$ порождены описанной выше процедурой расширения ключа. В хеш-функции Whirlpool число раундов ${\displaystyle R=10}$.

Whirlpool, как и любая другая хеш-функция, должна осуществлять хеширование сообщения произвольной длины. Поскольку внутренний блок шифрования ${\displaystyle W}$ работает с 512-битными входными сообщениями, то исходное сообщение необходимо разбить на блоки по 512 бит. При этом последний блок, который содержит конец сообщения, может оказаться неполным.

Для решения данной задачи Whirlpool использует алгоритм шаблон не поддерживает такой синтаксис дополнения входного сообщения. Результатом дополнения сообщения ${\displaystyle M}$ является сообщение ${\displaystyle M'}$, длина которого кратна 512. Пусть ${\displaystyle L}$ — длина исходного сообщения. Тогда ${\displaystyle M'}$ получается в несколько шагов:

1. К концу сообщения ${\displaystyle M}$ приписать бит «1».
2. Приписать ${\displaystyle x}$ битов «0» так, чтобы длина полученной строки ${\displaystyle L+1+x}$ была кратна ${\displaystyle 256}$ нечетное число раз.
3. Наконец, приписать 256-битное представление числа ${\displaystyle L}$.

Дополненное сообщение ${\displaystyle M'}$ записывается в виде

${\displaystyle M'=\overbrace {M} ^{L}\|1\|\overbrace {0\dots 0} ^{x}\|\overbrace {L} ^{256}}$

и разбивается на 512-битные блоки для дальнейшей обработки.

В Whirlpool применяется схема хеширования шаблон не поддерживает такой синтаксис.

${\displaystyle \ t}$ блоков ${\displaystyle m_{i},1\leq i\leq t}$ дополненного сообщения ${\displaystyle M'}$ последовательно шифруются блочным шифром ${\displaystyle W}$:

${\displaystyle \ \eta _{i}=\mu (m_{i}),}$

${\displaystyle \ H_{0}=\mu (IV),}$

${\displaystyle H_{i}=W[H_{i-1}](\eta _{i})\oplus H_{i-1}\oplus \eta _{i},1\leq i\leq t,}$

где ${\displaystyle IV}$ (англ. initialization vector, шаблон не поддерживает такой синтаксис) — 512-битная строка, заполненная "0".

Дайджестом для сообщения ${\displaystyle M}$ является выходное значение ${\displaystyle H_{t}}$ функции сжатия, преобразованное обратно в 512-битную строку:

${\displaystyle Whirlpool(M)\equiv \mu ^{-1}(H_{t}).}$

Хеш-функция ${\displaystyle H}$ считается криптографически стойкой, если она удовлетворяет трём основным требованиям, на которых основано большинство применений хеш-функций в криптографии: необратимость, стойкость к коллизиям первого рода и стойкость к коллизиям второго рода.

Пусть ${\displaystyle h_{n}}$ — произвольная ${\displaystyle n}$-битная подстрока 512-битного хеша Whirlpool. Авторы Whirlpool утверждают, что созданная ими хеш-функция удовлетворяет следующим требованиям криптостойкости:

• Генерация коллизии требует порядка ${\displaystyle 2^{n/2}}$ вычислений хеша WHIRLPOOL (стойкость к коллизиям второго рода).
• Для заданной ${\displaystyle h_{n}}$ поиск такого сообщения ${\displaystyle M}$, что ${\displaystyle H(M)=h_{n}}$, потребует порядка ${\displaystyle 2^{n}}$ вычислений хеша WHIRLPOOL (необратимость).
• Для заданного сообщения ${\displaystyle M}$ обнаружение другого сообщения ${\displaystyle N}$, для которого ${\displaystyle H(N)=H(M)}$, потребует порядка ${\displaystyle 2^{n}}$ вычислений хеша WHIRLPOOL (стойкость к коллизиям первого рода).
• Невозможно обнаружить систематические корреляции между любой линейной комбинацией входных бит и любой линейной комбинацией бит хеша или предсказать, какие биты хеша изменят свое значение при изменении определенных входных бит (стойкость к линейному криптоанализу и дифференциальному криптоанализу).

К данному заявлению авторы Whirlpool добавили примечание:

Эти утверждения вытекают из значительного запаса прочности относительно всех известных атак. Тем не менее, мы понимаем, что невозможно сделать не спекулятивные утверждения о неизвестных вещах.

На сегодняшний день WHIRLPOOL устойчива ко всем видам криптоанализа. На протяжении 8 лет существования Whirlpool не было зарегистрировано ни одной атаки на неё.

Однако в 2009 году был опубликован новый способ атаки на хеш-функции — шаблон не поддерживает такой синтаксис^[2][3]. Первыми «подопытными» новой атаки стали хеш-функции Whirlpool и Grøstl. Результаты проведённого криптоанализа приведены в таблице.

Таблица 2. Результаты криптоанализа хеш-функций Whirlpool и Grøstl по методу шаблон не поддерживает такой синтаксис^[2][3]

Хеш-функция	Число раундов	Сложность	Требуемый объём памяти	Тип коллизии
Whirlpool	${\displaystyle 4.5/10}$	${\displaystyle 2^{120}}$	${\displaystyle 2^{16}}$	коллизия
	${\displaystyle 5.5/10}$	${\displaystyle 2^{120}}$	${\displaystyle 2^{16}}$	полусвободная коллизия
	${\displaystyle 7.5/10}$	${\displaystyle 2^{128}}$	${\displaystyle 2^{16}}$	полусвободная почти коллизия
Grøstl-256	${\displaystyle 6/10}$	${\displaystyle 2^{120}}$	${\displaystyle 2^{70}}$	полусвободная коллизия

Авторы исследования использовали следующие понятия и термины:

• ${\displaystyle \ IV}$ — шаблон не поддерживает такой синтаксис
• ${\displaystyle \ M}$ — сообщение, подлежащее хешированию
• ${\displaystyle \ h(M,IV)}$ — хеш-функция
• функция сжатия ${\displaystyle \ f:H_{t}=f(M_{t},H_{t-1}),H_{0}=IV}$

Типы коллизий:

• коллизия:
  • ${\displaystyle \ IV}$ — фиксирован
  • ${\displaystyle f(M_{t},IV)=f(M_{t}',IV),M_{t}\neq M_{t}'}$

• почти коллизия:
  • ${\displaystyle \ IV}$ — фиксирован
  • ${\displaystyle f_{M_{t}}=f(M_{t},IV),f_{M_{t}'}=f(M_{t}',IV),M_{t}\neq M_{t}'}$
  • небольшое число бит хешей ${\displaystyle f_{M_{t}}}$ и ${\displaystyle f_{M_{t}'}}$ различны

• полусвободная коллизия:
  • ${\displaystyle f(M_{t},H_{t-1})=f(M_{t}',H_{t-1}),M_{t}\neq M_{t}'}$

• свободная коллизия:
  • ${\displaystyle f(M_{t},H_{t-1})=f(M_{t}',H_{t-1}'),M_{t}\neq M_{t-1}',H_{t}\neq H_{t-1}'}$

Как видно из таблицы, сгенерировать коллизию для Whirlpool удалось лишь для её «урезанного» варианта в 4.5 раунда. К тому же сложность необходимых вычислений довольно высока.

Whirlpool — свободно распространяемая хеш-функция. Поэтому она находит широкое применение в открытом программном обеспечении. Здесь перечислены некоторые примеры использования Whirlpool:

• Jacksum — свободно распространяемая утилита для вычисления контрольных сумм

• Crypto++ — свободно распространяемая C++ библиотека классов криптографических примитивов

• TrueCrypt — программа для шифрования «на лету»

• FreeOTFE — это свободная бесплатная программа с открытым кодом, предназначенная для шифрования «на лету». Выпускается для операционных систем Windows и Windows Mobile (FreeOTFE4PDA)

• DarkCrypt — свободно распространяемая крипто- и стеганографическая утилита в виде плагина для Total Commander

Для удобства 512 бит (64 байта) хеша Whirlpool часто представляются в виде 128-значного шестнадцатеричного числа.

Как говорилось выше, алгоритм потерпел два изменения с момента выпуска в 2000 году. Ниже приведены примеры хешей, вычисленных по ASCII тексту панграммы шаблон не поддерживает такой синтаксис для всех трех версий Whirlpool:

Whirlpool-0("The quick brown fox jumps over the lazy dog") =
4F8F5CB531E3D49A61CF417CD133792CCFA501FD8DA53EE368FED20E5FE0248C
3A0B64F98A6533CEE1DA614C3A8DDEC791FF05FEE6D971D57C1348320F4EB42D

Whirlpool-T("The quick brown fox jumps over the lazy dog") =
3CCF8252D8BBB258460D9AA999C06EE38E67CB546CFFCF48E91F700F6FC7C183
AC8CC3D3096DD30A35B01F4620A1E3A20D79CD5168544D9E1B7CDF49970E87F1

Whirlpool("The quick brown fox jumps over the lazy dog") =
B97DE512E91E3828B40D2B0FDCE9CEB3C4A71F9BEA8D88E75C4FA854DF36725F
D2B52EB6544EDCACD6F8BEDDFEA403CB55AE31F03AD62A5EF54E42EE82C3FB35

Даже небольшое изменение исходного текста сообщения (в данном случае подменяется одна буква: символ «d» заменяется на символ «e») приводит к полному изменению хеша:

Whirlpool-0("The quick brown fox jumps over the lazy eog") =
228FBF76B2A93469D4B25929836A12B7D7F2A0803E43DABA0C7FC38BC11C8F2A
9416BBCF8AB8392EB2AB7BCB565A64AC50C26179164B26084A253CAF2E012676

Whirlpool-T("The quick brown fox jumps over the lazy eog") =
C8C15D2A0E0DE6E6885E8A7D9B8A9139746DA299AD50158F5FA9EECDDEF744F9
1B8B83C617080D77CB4247B1E964C2959C507AB2DB0F1F3BF3E3B299CA00CAE3

Whirlpool("The quick brown fox jumps over the lazy eog") =
C27BA124205F72E6847F3E19834F925CC666D0974167AF915BB462420ED40CC5
0900D85A1F923219D832357750492D5C143011A76988344C2635E69D06F2D38C

Добавление символов в строку, конкатенация строк и другие изменения также влияют на результат.

Примеры хешей для «нулевой» строки:

Whirlpool-0("") =
B3E1AB6EAF640A34F784593F2074416ACCD3B8E62C620175FCA0997B1BA23473
39AA0D79E754C308209EA36811DFA40C1C32F1A2B9004725D987D3635165D3C8

Whirlpool-T("") =
470F0409ABAA446E49667D4EBE12A14387CEDBD10DD17B8243CAD550A089DC0F
EEA7AA40F6C2AAAB71C6EBD076E43C7CFCA0AD32567897DCB5969861049A0F5A

Whirlpool("") =
19FA61D75522A4669B44E39C1D2E1726C530232130D407F89AFEE0964997F7A7
3E83BE698B288FEBCF88E3E03C4F0757EA8964E59B63D93708B138CC42A66EB3

echo hash( 'whirlpool', 'test' );

b913d5bbb8e461c2c5961cbe0edcdadfd29f068225ceb37da6defcf89849368f
8c6c2eb6a4c4ac75775d032a0ecfdfe8550573062b653fe92fc7b8fb3b7be8d6

puts Whirlpool.calc_hex('test')

b913d5bbb8e461c2c5961cbe0edcdadfd29f068225ceb37da6defcf89849368f
8c6c2eb6a4c4ac75775d032a0ecfdfe8550573062b653fe92fc7b8fb3b7be8d6

• Whirlpool homepage (англ.). — главная страница Whirlpool. Дата обращения: 15 ноября 2009. Архивировано 29 февраля 2012 года.
• Calculate a Whirlpool hash (англ.). — он-лайн вычисление хешей Whirlpool. Дата обращения: 16 ноября 2009. Архивировано 29 февраля 2012 года.

• The ISO/IEC 10118-3:2004 standard (англ.). — стандарт ISO/IEC 10118-3:2004. Дата обращения: 15 ноября 2009. Архивировано 29 февраля 2012 года.
• NESSIE (англ.). — англ. New European Schemes for Signatures, Integrity and Encryption, новые европейские проекты по цифровой подписи, целостности и шифрованию. Дата обращения: 15 ноября 2009. Архивировано 29 февраля 2012 года.
• Portfolio of recommended cryptographic primitives (англ.). — перечень рекомендованных к использованию криптографических функций NESSIE. Дата обращения: 15 ноября 2009.

• A Java implementation of all three revisions of Whirlpool (англ.). — реализация всех трех модификаций Whirlpool на языке программирования Java. Дата обращения: 15 ноября 2009. Архивировано 29 февраля 2012 года.
• A Matlab Implementation of the Whirlpool Hashing Function (англ.). — реализация Whirlpool в пакете Matlab. Дата обращения: 15 ноября 2009. Архивировано 29 февраля 2012 года.
• Perl Whirlpool module at CPAN (англ.). — модуль Whirlpool на языке Perl в CPAN.
• Ruby Whirlpool library (англ.). — библиотека Ruby с реализацией Whirlpool. Дата обращения: 15 ноября 2009. Архивировано 29 февраля 2012 года.

• Efficient architecture and hardware implementation of the Whirlpool hash function (англ.). — Эффективная аппаратная реализация Whirlpool. Статья IEEE Transactions on Consumer Electronics. Дата обращения: 18 ноября 2009. Архивировано 29 февраля 2012 года.
• High-Speed Parallel Architecture of the Whirlpool Hash Function (англ.). — Высокоскоростная параллельная архитектура Whirlpool. Статья журнала International Journal of Advanced Science and Technology, выпуск 7, Июнь, 2009. Дата обращения: 18 ноября 2009. Архивировано 29 февраля 2012 года.