Hızlı sendroma dayalı karma - Fast syndrome-based hash - Wikipedia

Hızlı sendrom tabanlı karma işlevi (FSB)
Genel
Tasarımcılar	Daniel Augot, Matthieu Finiasz, Nicolas Sendrier
İlk yayınlandı	2003
Elde edilen	McEliece şifreleme sistemi ve Niederreiter şifreleme sistemi
Halefler	Geliştirilmiş hızlı sendrom tabanlı hash işlevi
İle ilgili	Sendrom tabanlı karma işlevi
Detay
Özet boyutları	Ölçeklenebilir

İçinde kriptografi, hızlı sendrom tabanlı hash fonksiyonları (FSB) bir aileyiz kriptografik hash fonksiyonları 2003 yılında Daniel Augot, Matthieu Finiasz ve Nicolas Sendrier tarafından tanıtıldı.^[1]Günümüzde kullanılan diğer şifreleme hash fonksiyonlarının çoğundan farklı olarak, FSB'nin bir dereceye kadar güvenli olduğu kanıtlanabilir. Daha doğrusu, FSB'yi kırmanın en az belirli bir sorunu çözmek kadar zor olduğu kanıtlanabilir. NP tamamlandı bilinen sorun düzenli sendrom kod çözme yani FSB kanıtlanabilir şekilde güvenli. Bilinmemekle birlikte NP tamamlandı sorunlar çözülebilir polinom zamanı, genellikle olmadığı varsayılır.

FSB'nin çeşitli versiyonları önerilmiş ve en sonuncusu SHA-3 kriptografi yarışması ancak ilk turda reddedildi. FSB'nin tüm sürümleri kanıtlanabilir güvenlik iddiasında bulunsa da, bazı ön sürümler sonunda bozuldu. ^[2] FSB'nin en son sürümünün tasarımı bu saldırıyı hesaba katmış ve şu anda bilinen tüm saldırılara karşı güvenli kalmıştır.

Her zamanki gibi, kanıtlanabilir güvenliğin bir bedeli vardır. FSB, geleneksel hash işlevlerinden daha yavaştır ve oldukça fazla bellek kullanır, bu da onu bellek kısıtlı ortamlarda kullanışsız kılar. Ayrıca, FSB'de kullanılan sıkıştırma işlevi, güvenliği garanti etmek için büyük bir çıktı boyutuna ihtiyaç duyar. Bu son sorun, son sürümlerde çıktıyı başka bir sıkıştırma işleviyle basitçe sıkıştırarak çözüldü. Girdap. Bununla birlikte, yazarlar bu son sıkıştırmanın eklenmesinin güvenliği azaltmadığını iddia etse de, resmi bir güvenlik kanıtını imkansız hale getiriyor. ^[3]

Karma işlevinin açıklaması

Bir sıkıştırma işlevi ile başlıyoruz ${ displaystyle phi}$ parametrelerle ${ displaystyle {n, r, w}}$ öyle ki ${ displaystyle n> w}$ ve ${ displaystyle w log (n / w)> r}$ . Bu işlev yalnızca uzunluktaki mesajlarda çalışacaktır. ${ displaystyle s = w log (n / w)}$ ; ${ displaystyle r}$ çıktının boyutu olacaktır. Dahası, istiyoruz ${ displaystyle n, r, w, s}$ ve ${ displaystyle günlük (n / w)}$ doğal sayılar, nerede ${ displaystyle log}$ gösterir ikili logaritma. Nedeni ${ displaystyle w cdot log (n / w)> r}$ istediğimiz bu mu ${ displaystyle phi}$ bir sıkıştırma işlevi olması için girdinin çıktıdan daha büyük olması gerekir. Daha sonra kullanacağız Merkle-Damgård inşaatı alanı rastgele uzunluktaki girişlere genişletmek için.

Bu işlevin temeli (rastgele seçilen) bir ikili dosyadan oluşur ${ displaystyle r kere n}$ matris ${ displaystyle H}$ mesajına göre hareket eden ${ displaystyle n}$ bitler matris çarpımı. Burada kodluyoruz ${ displaystyle w log (n / w)}$ vektör olarak bit mesajı ${ displaystyle ( mathbf {F} _ {2}) ^ {n}}$ , ${ displaystyle n}$ -boyutlu vektör alanı üzerinde alan iki öğeden oluştuğundan, çıktı bir mesaj olacak ${ displaystyle r}$ bitler.

Güvenlik amaçlarının yanı sıra daha hızlı bir hash hızı elde etmek için yalnızca "normal ağırlık kelimeleri kullanmak istiyoruz ${ displaystyle w}$ "Matrisimiz için girdi olarak.

Tanımlar

Bir mesaja denir ağırlık kelimesi ${ displaystyle w}$ ve uzunluk ${ displaystyle n}$ eğer oluşursa ${ displaystyle n}$ bit ve tam olarak ${ displaystyle w}$ bu bitlerden biri.
Bir ağırlık kelimesi ${ displaystyle w}$ ve uzunluk ${ displaystyle n}$ denir düzenli eğer her aralıkta ${ displaystyle [(i-1) (n / w), ben (n / w))}$ tümü için tam olarak sıfır olmayan bir giriş içerir ${ displaystyle 0$ . Daha sezgisel olarak, bu şu anlama gelir: w eşit parçalar varsa, her bölüm tam olarak sıfır olmayan bir giriş içerir.

Sıkıştırma işlevi

Tam olarak var ${ displaystyle (n / w) ^ {w}}$ farklı düzenli kelimeler ${ displaystyle w}$ ve uzunluk ${ displaystyle n}$ yani tam olarak ihtiyacımız var ${ displaystyle log ((n / w) ^ {w}) = w log (n / w) = s}$ bu normal kelimeleri kodlamak için veri bitleri. Uzunluktaki bit dizilerinden bir eşleme düzeltiriz ${ displaystyle s}$ normal kelimeler kümesine ${ displaystyle w}$ ve uzunluk ${ displaystyle n}$ ve ardından FSB sıkıştırma işlevi aşağıdaki gibi tanımlanır:

girdi: boyutta bir mesaj ${ displaystyle s}$
normal uzunlukta kelimeye dönüştür ${ displaystyle n}$ ve ağırlık ${ displaystyle w}$
matrisle çarp ${ displaystyle H}$
çıktı: boyut karması ${ displaystyle r}$

Bu sürüm genellikle sendroma dayalı sıkıştırma. Çok yavaştır ve pratikte farklı ve daha hızlı bir şekilde yapılır ve sonuçta hızlı sendroma dayalı sıkıştırma. Biz ayrıldık ${ displaystyle H}$ alt matrislere ${ displaystyle H_ {i}}$ boyut ${ displaystyle r kere n / w}$ ve uzunluktaki bit dizilerinden bir bijeksiyon düzeltiyoruz ${ displaystyle w log (n / w)}$ dizi dizisine ${ displaystyle w}$ 1 ile arasındaki sayılar ${ displaystyle n / w}$ . Bu, normal uzunluktaki kelimeler kümesine bir eşleştirme ile eşdeğerdir ${ displaystyle n}$ ve ağırlık ${ displaystyle w}$ , böyle bir kelimeyi 1 ile 1 arasındaki sayılar dizisi olarak görebildiğimiz için ${ displaystyle n / w}$ . Sıkıştırma işlevi aşağıdaki gibi görünür:

Giriş: boyutta mesaj ${ displaystyle s}$
Dönüştürmek ${ displaystyle s}$ bir dizi ${ displaystyle w}$ sayılar ${ displaystyle s_ {1}, noktalar, s_ {w}}$ 1 ile ${ displaystyle n / w}$
Matrislerin karşılık gelen sütunlarını ekleyin ${ displaystyle H_ {i}}$ bir ikili dizi elde etmek için ${ displaystyle r}$
Çıktı: boyut karması ${ displaystyle r}$

Şimdi kullanabiliriz Merkle-Damgård inşaatı keyfi uzunluktaki girdileri kabul etmek için sıkıştırma işlevini genelleştirmek.

Sıkıştırma örneği

Durum ve başlatma: Bir mesajı karma hale getirin ${ displaystyle s = 010011}$ kullanma ${ displaystyle 4 times 12}$ matris H
${ displaystyle H = left ({ begin {array} {llllcllllcll} 1 & 0 & 1 & 1 & ~ & 0 & 1 & 0 & 0 & ~ & 1 & 0 & 1 & 1 0 & 1 & 0 & 0 & 0 & ~ & 0 & 1 & 1 & 1 & ~ & 0 & 1 & 0 & 0 & 0 & 1 & 1 & ~ & 0 & 1 & 0 & 0 & 0 & 1 & 1 & 0 & 0 & 0 & 0 & 0 & 0 & 0 & 1 & 1 & 0 & 0 & 0 & 0 & 0 & 0 & 0 & 1 & 1 & 0 & 0 & 0 & 1 & sağ)}$
ayrılan ${ displaystyle w = 3}$ alt bloklar ${ displaystyle H_ {1}}$ , ${ displaystyle H_ {2}}$ , ${ displaystyle H_ {3}}$ .

Algoritma:

Girişi böldük ${ displaystyle s}$ içine ${ displaystyle w = 3}$ uzunluk kısımları ${ displaystyle log _ {2} (12/3) = 2}$ ve anlıyoruz ${ displaystyle s_ {1} = 01}$ , ${ displaystyle s_ {2} = 00}$ , ${ displaystyle s_ {3} = 11}$ .
Her birini dönüştürüyoruz ${ displaystyle s_ {i}}$ bir tam sayıya girin ve ${ displaystyle s_ {1} = 1}$ , ${ displaystyle s_ {2} = 0}$ , ${ displaystyle s_ {3} = 3}$ .
İlk alt matristen ${ displaystyle H_ {1}}$ , ikinci alt matristen 2. sütunu seçiyoruz ${ displaystyle H_ {2}}$ sütun 1 ve üçüncü alt matristen sütun 4.
Seçilen sütunları ekliyoruz ve sonucu alıyoruz ${ displaystyle r = 0111 oplus 0001 oplus 1001 = 1111}$ .

FSB'nin güvenlik kanıtı

Merkle-Damgård inşaatı güvenliğini yalnızca kullanılan sıkıştırma işlevinin güvenliğine dayandırdığı kanıtlanmıştır. Bu nedenle, yalnızca sıkıştırma işlevinin ${ displaystyle phi}$ güvenlidir.
Kriptografik bir hash işlevinin üç farklı açıdan güvenli olması gerekir:
Ön görüntü direnci: Bir Özet Verilmiş h bir mesaj bulmak zor olmalı m öyle ki Hash (m)=h
İkinci görüntü öncesi direnç: Bir mesaj verildi m₁ bir mesaj bulmak zor olmalı m₂ öyle ki Hash (m₁) = Karma (m₂)
Çarpışma direnci: İki farklı mesaj bulmak zor olmalı m₁ ve m₂ öyle ki Hash (m₁) = Karma (m₂)
Bir düşman ikinci bir ön görüntü bulabilirse, kesinlikle bir çarpışma bulabileceğini unutmayın. Bu, sistemimizin çarpışmaya dirençli olduğunu ispatlayabilirsek, kesinlikle ikinci görüntü öncesi dirençli olacağı anlamına gelir.
Genellikle kriptografide zor, “sistemi kırması engellenmesi gereken herhangi bir düşmanın neredeyse kesinlikle ulaşamayacağı bir yerde” gibi bir anlama gelir. Bununla birlikte, hard kelimesinin daha kesin bir anlamına ihtiyacımız olacak. "Bir çarpışma veya ön görüntü bulan herhangi bir algoritmanın çalışma zamanı, hash değerinin boyutuna katlanarak bağlı olacaktır" demek zor olacaktır. Bu, hash boyutuna nispeten küçük eklemelerle hızlı bir şekilde yüksek güvenliğe ulaşabileceğimiz anlamına gelir.
Ön görüntü direnci ve düzenli sendrom kod çözme (RSD)
Daha önce de söylendiği gibi, FSB'nin güvenliği şu soruna bağlıdır: düzenli sendrom kod çözme (RSD). Sendrom kod çözme, aslında kodlama teorisi ancak NP-bütünlüğü onu kriptografi için güzel bir uygulama haline getiriyor. Düzenli sendrom kod çözme özel bir durumdur sendrom kod çözme ve aşağıdaki gibi tanımlanır:
RSD'nin tanımı: verilen ${ displaystyle w}$ matrisler ${ displaystyle H_ {i}}$ boyut ${ displaystyle r times (n / w)}$ ve biraz ip ${ displaystyle S}$ uzunluk ${ displaystyle r}$ öyle ki bir dizi var ${ displaystyle w}$ sütunlar, her biri ${ displaystyle H_ {i}}$ , özetlemek ${ displaystyle S}$ . Böyle bir sütun kümesi bulun.
Bu sorunun olduğu kanıtlandı NP tamamlandı bir azalma ile 3 boyutlu eşleştirme. Yine var olup olmadığı bilinmemekle birlikte polinom zamanı NP-tam problemleri çözmek için algoritmalar, hiçbiri bilinmiyor ve birini bulmak çok büyük bir keşif olurdu.
Belirli bir karmanın ön görüntüsünü bulmanın ${ displaystyle S}$ tam olarak bu probleme eşdeğerdir, bu nedenle FSB'de ön görüntüleri bulma problemi de NP-tam olmalıdır.
Hala çarpışma direncini kanıtlamamız gerekiyor. Bunun için başka bir NP-tam RSD varyasyonuna ihtiyacımız var: 2-düzenli boş sendrom çözme.
Çarpışma direnci ve 2 düzenli boş sendrom çözme (2-RNSD)
2-RNSD'nin Tanımı: Verildi ${ displaystyle w}$ matrisler ${ displaystyle H_ {i}}$ boyut ${ displaystyle r times (n / w)}$ ve biraz ip ${ displaystyle S}$ uzunluk ${ displaystyle r}$ öyle ki bir dizi var ${ displaystyle w '}$ sütun, her birinde iki veya sıfır ${ displaystyle H_ {i}}$ , sıfıra toplanıyor. ${ displaystyle (0$ . Böyle bir sütun kümesi bulun.
2-RNSD'nin de kanıtlanmıştır NP tamamlandı bir azalma ile 3 boyutlu eşleştirme.
Tıpkı RSD'nin özünde normal bir kelime bulmaya eşdeğer olması gibi ${ displaystyle w}$ öyle ki ${ displaystyle Hw = S}$ , 2-RNSD, 2 normal kelimeyi bulmaya eşdeğerdir ${ displaystyle w '}$ öyle ki ${ displaystyle Hw '= 0}$ . 2 normal uzunlukta bir kelime ${ displaystyle n}$ ve ağırlık ${ displaystyle w}$ bir bit uzunluk dizisidir ${ displaystyle n}$ öyle ki her aralıkta ${ displaystyle [(i-1) w, iw)}$ tam olarak iki veya sıfır giriş 1'e eşittir. 2 normal kelimenin yalnızca iki normal kelimenin toplamı olduğuna dikkat edin.
Bir çarpışma bulduğumuzu varsayalım, bu yüzden Hash (m₁) = Karma (m₂) ile ${ displaystyle m_ {1} neq m_ {2}}$ . O zaman iki normal kelime bulabiliriz ${ displaystyle w_ {1}}$ ve ${ displaystyle w_ {2}}$ öyle ki ${ displaystyle Hw_ {1} = Hw_ {2}}$ . O zaman bizde ${ displaystyle H (w_ {1} + w_ {2}) = Hw_ {1} + Hw_ {2} = 2Hw_ {1} = 0}$ ; ${ displaystyle (w_ {1} + w_ {2})}$ iki farklı normal kelimenin toplamıdır ve dolayısıyla hash değeri sıfır olan 2 düzenli bir kelime olmalıdır, bu yüzden 2-RNSD örneğini çözdük. FSB'de çarpışmaları bulmanın en az 2-RNSD'yi çözmek kadar zor olduğu ve dolayısıyla NP-tamamlanmış olması gerektiği sonucuna vardık.
FSB'nin en son sürümleri sıkıştırma işlevini kullanır Girdap hash çıktısını daha da sıkıştırmak için. Bu kanıtlanamasa da, yazarlar bu son sıkıştırmanın güvenliği azaltmadığını savunuyorlar. Whirlpool'da çarpışmalar bulunsa bile, FSB'de bir çarpışma bulmak için orijinal FSB sıkıştırma işlevinde çarpışmaların ön görüntülerini bulmaya ihtiyaç duyulacağını unutmayın.
Örnekler
RSD'yi çözerken, hash işleminde olduğu gibi tam ters durumdayız. Önceki örnekteki ile aynı değerleri kullanarak, bize ${ displaystyle H}$ Ayrılmış ${ displaystyle w = 3}$ alt bloklar ve bir dize ${ displaystyle r = 1111}$ . Her alt blokta, hepsinin toplamı olacak şekilde tam olarak bir sütun bulmamız isteniyor ${ displaystyle r}$ . Beklenen cevap böyledir ${ displaystyle s_ {1} = 1}$ , ${ displaystyle s_ {2} = 0}$ , ${ displaystyle s_ {3} = 3}$ . Bunu büyük matrisler için hesaplamanın zor olduğu bilinmektedir.
2-RNSD'de, her bir alt blokta bir sütun değil, toplamları 0000 olacak şekilde iki veya sıfır bulmak istiyoruz ( ${ displaystyle r}$ ). Örnekte, (0'dan itibaren) 2 ve 3 numaralı sütunu kullanabiliriz. ${ displaystyle H_ {1}}$ , sütun yok ${ displaystyle H_ {2}}$ sütun 0 ve 2'den ${ displaystyle H_ {3}}$ . Daha fazla çözüm mümkündür, örneğin ${ displaystyle H_ {3}}$ .
Doğrusal kriptanaliz
kanıtlanabilir güvenlik FSB, çarpışmaları bulmanın NP-tam olduğu anlamına gelir. Ancak kanıt, asimptotik olarak zor olan bir soruna indirgemedir. en kötü durum karmaşıklığı. Sorun alanının bir alt kümesi için sorunu kolayca çözen bir algoritma hala mevcut olabileceğinden, bu yalnızca sınırlı güvenlik güvencesi sunar. Örneğin, bir doğrusallaştırma FSB'nin iddia edilen 2 ^ 128 güvenliğe sahip erken varyantları için bir masaüstü bilgisayarda birkaç saniye içinde çarpışmalar üretmek için kullanılabilen yöntem. Karma işlevinin, mesaj alanı belirli bir şekilde seçildiğinde minimum ön görüntü veya çarpışma direnci sağladığı gösterilmiştir.
Pratik güvenlik sonuçları
Aşağıdaki tablo, FSB'ye karşı en iyi bilinen saldırıların karmaşıklığını göstermektedir.
Çıktı boyutu (bit) Çarpışma aramasının karmaşıklığı Ters çevirmenin karmaşıklığı
160 2^100.3 2^163.6
224 2^135.3 2^229.0
256 2^190.0 2^261.0
384 2^215.5 2^391.5
512 2^285.6 2^527.4
Yaratılış

FSB, sendrom tabanlı hash fonksiyonunun (SB) hızlandırılmış bir versiyonudur. SB durumunda sıkıştırma işlevi, kodlama işlevine çok benzer. Niederreiter'in versiyonu nın-nin McEliece şifreleme sistemi. Permütasyonlu bir parite kontrol matrisini kullanmak yerine Goppa kodu SB rastgele bir matris kullanır ${ displaystyle H}$ . Güvenlik açısından bu sadece sistemi güçlendirebilir.
Diğer özellikler

Hash fonksiyonunun hem blok boyutu hem de çıktı boyutu tamamen ölçeklenebilir.
Hız, giriş biti başına FSB tarafından kullanılan bitsel işlemlerin sayısı ayarlanarak ayarlanabilir.
Güvenlik, çıktı boyutu ayarlanarak ayarlanabilir.
Kötü durumlar vardır ve matrisi seçerken dikkatli olunmalıdır ${ displaystyle H}$ .
Sıkıştırma işlevinde kullanılan matris, belirli durumlarda büyüyebilir. Bu, bellek kısıtlı cihazlarda FSB'yi kullanmaya çalışırken bir sınırlama olabilir. Bu sorun, halen devam eden Geliştirilmiş FSB adlı ilgili hash işlevinde çözüldü. kanıtlanabilir şekilde güvenli, ancak biraz daha güçlü varsayımlara dayanır.
Varyantlar

2007'de IFSB yayınlandı.^[4] 2010 yılında, orijinalinden% 30 daha hızlı olan S-FSB yayınlandı.^[5]
2011 yılında, D. J. Bernstein ve Tanja Lange orijinal FSB-256'dan 10 kat daha hızlı olan RFSB yayınladı.^[6] RFSB'nin çok hızlı çalıştığı görüldü. Spartalı 6 FPGA, yaklaşık 5 Gbit / sn'lik iş hacmine ulaşıyor.^[7]
Referanslar

^ Augot, D .; Finiasz, M .; Sendrier, N. (2003), Hızlı, kanıtlanabilir şekilde güvenli bir kriptografik hash işlevi (PDF)
^ Saarinen, Markku-Juhani O. (2007), Sendrom Temelli Hash'lara Karşı Doğrusallaştırma Saldırıları, Kriptolojide İlerleme - INDOCRYPT 2007
^ Finiasz, M .; Gaborit, P .; Sendrier, N. (2007), Geliştirilmiş Hızlı Sendrom Tabanlı Kriptografik Hash Fonksiyonları (PDF), ECRYPT Hash Workshop 2007
^ https://www.rocq.inria.fr/secret/Matthieu.Finiasz/research/2007/finiasz-gaborit-sendrier-ecrypt-hash-workshop07.pdf
^ "Arşivlenmiş kopya" (PDF). Arşivlenen orijinal (PDF) 2015-12-22 tarihinde. Alındı 2014-12-10.CS1 Maint: başlık olarak arşivlenmiş kopya (bağlantı)
^ http://cr.yp.to/codes/rfsb-20110214.pdf
^ https://www.ei.rub.de/media/sh/veroeffentlichungen/2012/12/10/embedded_syndrome-based_hashing.pdf
Dış bağlantılar

SHA-3 yarışması için FSB web sitesi
Kriptografik hash fonksiyonları & mesaj doğrulama kodları
Liste
Karşılaştırma
Bilinen saldırılar
Ortak işlevler
MD5
SHA-1
SHA-2
SHA-3
BLAKE2
SHA-3 finalistleri
BLAKE
Grøstl
JH
Skein
Keccak (kazanan)
Diğer fonksiyonlar
BLAKE3
CubeHash
ECOH
FSB
GOST
HAS-160
HAVAL
Kupyna
LSH
MD2
MD4
MD6
MDC-2
N-hash
RIPEMD
RadioGatún
SM3
SWIFFT
Snefru
Streebog
Kaplan
VSH
Girdap
Parola hashing /
anahtar germe fonksiyonlar
Argon2
Balon
bcrypt
Catena
mezar odası
LM karması
Lyra2
Makwa
PBKDF2
şifrelemek
evet şifre
Genel amaç
anahtar türetme işlevleri
HKDF
KDF1 / KDF2
MAC fonksiyonları
DAA
CBC-MAC
GMAC
HMAC
NMAC
OMAC /CMAC
PMAC
VMAC
UMAC
Poly1305
SipHash
Kimliği doğrulandı
şifreleme modlar
CCM
CWC
EAX
GCM
IAPM
OCB
Saldırılar
Çarpışma saldırısı
Ön görüntü saldırısı
Doğum günü saldırısı
Kaba kuvvet saldırısı
Gökkuşağı masası
Yan kanal saldırısı
Uzunluk uzatma saldırısı
Tasarım
Çığ etkisi
Hash çarpışması
Merkle-Damgård inşaatı
Sünger işlevi
HAIFA yapımı
Standardizasyon
CRYPTREC
NESSIE
NIST karma işlevi rekabeti
Kullanım
Hash tabanlı kriptografi
Merkle ağacı
Mesaj doğrulama
İşin kanıtı
Tuz
Biber
Kriptografi
Kriptografi tarihi
Kriptanaliz
Kriptografinin ana hatları
Simetrik anahtar algoritması
Blok şifresi
Kesintisiz şifreleme
Açık anahtarlı şifreleme
Kriptografik karma işlevi
Mesaj doğrulama kodu
Rastgele numaralar
Steganografi
Kategori

[1] Augot, D .; Finiasz, M .; Sendrier, N. (2003), Hızlı, kanıtlanabilir şekilde güvenli bir kriptografik hash işlevi (PDF)

[2] Saarinen, Markku-Juhani O. (2007), Sendrom Temelli Hash'lara Karşı Doğrusallaştırma Saldırıları, Kriptolojide İlerleme - INDOCRYPT 2007

[3] Finiasz, M .; Gaborit, P .; Sendrier, N. (2007), Geliştirilmiş Hızlı Sendrom Tabanlı Kriptografik Hash Fonksiyonları (PDF), ECRYPT Hash Workshop 2007

[4] ttps://www.rocq.inria.fr/secret/Matthieu.Finiasz/research/2007/finiasz-gaborit-sendrier-ecrypt-hash-workshop07.pdf

[5] "Arşivlenmiş kopya" (PDF). Arşivlenen orijinal (PDF) 2015-12-22 tarihinde. Alındı 2014-12-10.CS1 Maint: başlık olarak arşivlenmiş kopya (bağlantı)

[6] ttp://cr.yp.to/codes/rfsb-20110214.pdf

[7] ttps://www.ei.rub.de/media/sh/veroeffentlichungen/2012/12/10/embedded_syndrome-based_hashing.pdf

[1]

[2]

[3]

[4]

[5]

[6]

[7]

Çıktı boyutu (bit)	Çarpışma aramasının karmaşıklığı	Ters çevirmenin karmaşıklığı
160	2^100.3	2^163.6
224	2^135.3	2^229.0
256	2^190.0	2^261.0
384	2^215.5	2^391.5
512	2^285.6	2^527.4