Whirlpool (hashfunktion)

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 25 februari 2022; kontroller kräver 2 redigeringar .

Bubbelpool

Utvecklare	Vincent Rayman , Barreto
Först publicerad	november 2000
Standarder	NESSIE Portfolio ( 2003 ), ISO/IEC 10118-3:2004 ( 2004 )
Hash storlek	512 bitar
Antal omgångar	tio
Sorts	hash-funktion

Whirlpool är en kryptografisk hashfunktion utvecklad av Vincent Rayman och Paulo Barreto . Publicerad i november 2000 . Hashar inmatningsmeddelandet upp till bitar långt. Utgångsvärdet för Whirlpool- hashfunktionen , kallad hash , är 512 bitar. $2^{256}$

Historik

Titel

Whirlpool- hashfunktionen är uppkallad efter Whirlpoolgalaxen (M51) i stjärnbilden Canis Hounds , den första galaxen med en observerbar spiralstruktur.

Ändringar

Sedan starten 2000 har Whirlpool modifierats två gånger.

Den första versionen, Whirlpool-0, presenteras som en kandidat i NESSIE-projektet ( eng. New European Schemes for Signatures, Integrity and Encryption , new European projects on digital signatur , integrity and encryption).

En modifiering av Whirlpool-0, kallad Whirlpool-T, lades till i NESSIE-listan över rekommenderade kryptografiska funktioner 2003 . Ändringarna gällde ersättningsblocket ( S-box ) av Whirlpool: i den första versionen beskrevs inte S-box-strukturen, och den genererades godtyckligt, vilket skapade vissa problem i hårdvaruimplementeringen av Whirlpool. I Whirlpool-T-versionen "fick" S-boxen en tydlig struktur.

En defekt i Whirlpool-T diffusa matriser upptäckt av Taizō Shirai och Kyoji Shibutani [1] korrigerades därefter, och den slutliga (tredje) versionen, kallad helt enkelt Whirlpool, antogs av ISO i ISO/IEC 10118-3:2004 år 2004.

Beskrivning

Huvudversionen - hashfunktioner - är den tredje; till skillnad från den första versionen är S-boxen definierad och den diffusa matrisen ersätts med en ny efter rapporten från Shirai och Shibutani [1] .

Whirlpool består av att återanvända komprimeringsfunktionen , som är baserad på ett speciellt 512-bitars blockchiffer med en 512-bitars nyckel. $W$

Algoritmen använder operationer i Galois-fältet modulo ett irreducerbart polynom . $\GF(2^8)$ $\ p_8(x) = x^8 + x^4 + x^3 + x^2 + 1$

Polynom skrivs i hexadecimal för korthetens skull. Till exempel betyder posten . $\11D_x$ $\p_8(x)$

Symbolen anger kompositionsoperatorn . Uttryck betyder sammansättning av funktioner och . $\cirkel$ $f \cirkel g$ $\g$ $\f$

Symbolen används för att beteckna sammansättningen av en sekvens av funktioner :

f_m, f_{m+1},...,f_{n-1}, f_n, m \leq n

\bigcirc_m^{r=n}

\bigcirc_m^{r=n} f_r \equiv f_n \circ f_{n-1} \circ \dots \circ f_{m+1} \circ f_m.

$M_{m \times n}[GF(2^8)]$ är uppsättningen matriser över $m\ gånger n$ $\GF(2^8).$

$\cir(a_0, a_1, . . . , a_{m-1})$ är en cirkulerande matris , vars första rad består av element , dvs. $m \ gånger m$ $\ a_0, a_1, . . . , a_{m-1},$

cir(a_0, a_1, . . . , a_{m-1}) \equiv \begin{bmatrix} a_0 & a_1 & \dots & a_{m-1} \\ a_{m-1} & a_0 & \dots & a_{m-2} \\ \vdots & \vdots & \ddots & \vdots \\ a_1 & a_2 & \dots & a_0 \\ \end{bmatrix},

eller bara

\cir(a_0, a_1, . . . , a_{m-1}) = c \Leftrightarrow c_{ij} = a_{(ji) mod m}, 0 \leq i,j \leq m-1.

Dataformat

Whirlpool är byggt på ett speciellt blockchiffer som fungerar med 512-bitars data. $W$

I transformationer kallas det mellanliggande resultatet av en hashberäkning ett hashtillstånd, eller helt enkelt ett tillstånd . Vid beräkning representeras ett tillstånd vanligtvis av en tillståndsmatris . För Whirlpool är detta en matris i . Därför måste 512-bitars datablock konverteras till detta format innan ytterligare beräkningar. Detta uppnås genom att introducera funktionen : $M_{8 \times 8}[GF(2^8)]$ $\\mu$

\mu: GF(2^8)^{64} \to M_{8 \times 8}[GF(2^8)], \qquad \mu(a) = b \Leftrightarrow b_{ij} = a_{8i +j}, 0 \leq i,j \leq 7.

Enkelt uttryckt är tillståndsmatrisen fylld med data rad för rad. I det här fallet är varje byte i matrisen motsvarande polynom i . $\GF(2^8)$

Transformationer

Icke-linjär transformation (S-box)

\gamma

Funktionen består av att applicera en ersättningsbox ( S-box ) parallellt på alla bytes i tillståndsmatrisen: $\gamma: M_{8 \times 8}[GF(2^8)] \to M_{8 \times 8}[GF(2^8)]$ $S: GF(2^8) \till GF(2^8), x \till S[x]$

\gamma(a)=b \Leftrightarrow b_{ij} = S[a_{ij}], 0 \leq i,j \leq 7.

Ersättningsblocket beskrivs av följande ersättningstabell:

Tabell 1. Substitutionsblock

	$00_x$	$01_x$	$02_x$	$03_x$	$04_x$	$05_x$	$06_x$	$07_x$	$08_x$	$09_x$	$0A_x$	$0B_x$	$0c_x$	$0d_x$	$0E_x$	$0F_x$
$00_x$	$18_x$	$23_x$	$c6_x$	$E8_x$	$87_x$	$B8_x$	$01_x$	$4F_x$	$36_x$	$A6_x$	$d2_x$	$F5_x$	$79_x$	$6F_x$	$91_x$	$52_x$
$10_x$	$60_x$	$Bc_x$	$9B_x$	$8E_x$	$A3_x$	$0c_x$	$7B_x$	$35_x$	$1d_x$	$E0_x$	$d7_x$	$c2_x$	$2E_x$	$4B_x$	$FE_x$	$57_x$
$20_x$	$15_x$	$77_x$	$37_x$	$E5_x$	$9F_x$	$F0_x$	$4A_x$	$dA_x$	$58_x$	$c9_x$	$29_x$	$0A_x$	$B1_x$	$A0_x$	$6B_x$	$85_x$
$30_x$	$Bd_x$	$5d_x$	$10_x$	$F4_x$	$cB_x$	$3E_x$	$05_x$	$67_x$	$E4_x$	$27_x$	$41_x$	$8B_x$	$A7_x$	$7d_x$	$95_x$	$d8_x$
$40_x$	$FB_x$	$EE_x$	$7c_x$	$66_x$	$dd_x$	$17_x$	$47_x$	$9E_x$	$cA_x$	$2d_x$	$BF_x$	$07_x$	$Ad_x$	$5A_x$	$83_x$	$33_x$
$50_x$	$63_x$	$02_x$	$AA_x$	$71_x$	$c8_x$	$19_x$	$49_x$	$d9_x$	$F2_x$	$E3_x$	$5B_x$	$88_x$	$9A_x$	$26_x$	$32_x$	$B0_x$
$60_x$	$E9_x$	$0F_x$	$d5_x$	$80_x$	$BE_x$	$cd_x$	$34_x$	$48_x$	$FF_x$	$7A_x$	$90_x$	$5F_x$	$20_x$	$68_x$	$1A_x$	$AE_x$
$70_x$	$B4_x$	$54_x$	$93_x$	$22_x$	$64_x$	$F1_x$	$73_x$	$12_x$	$40_x$	$08_x$	$c3_x$	$Ec_x$	$dB_x$	$A1_x$	$8d_x$	$3d_x$
$80_x$	$97_x$	$00_x$	$cF_x$	$2B_x$	$76_x$	$82_x$	$d6_x$	$1B_x$	$B5_x$	$AF_x$	$6A_x$	$50_x$	$45_x$	$F3_x$	$30_x$	$EF_x$
$90_x$	$3F_x$	$55_x$	$A2_x$	$EA_x$	$65_x$	$BA_x$	$2F_x$	$c0_x$	$dE_x$	$1c_x$	$Fd_x$	$4d_x$	$92_x$	$75_x$	$06_x$	$8A_x$
$A0_x$	$B2_x$	$E6_x$	$0E_x$	$1F_x$	$62_x$	$d4_x$	$A8_x$	$96_x$	$F9_x$	$c5_x$	$25_x$	$59_x$	$84_x$	$72_x$	$39_x$	$4c_x$
$B0_x$	$5E_x$	$78_x$	$38_x$	$8c_x$	$d1_x$	$A5_x$	$E2_x$	$61_x$	$B3_x$	$21_x$	$9c_x$	$1E_x$	$43_x$	$c7_x$	$Fc_x$	$04_x$
$c0_x$	$51_x$	$99_x$	$6d_x$	$0d_x$	$Fax$	$dF_x$	$7E_x$	$24_x$	$3B_x$	$AB_x$	$cE_x$	$11_x$	$8F_x$	$4E_x$	$B7_x$	$EB_x$
$d0_x$	$3c_x$	$81_x$	$94_x$	$F7_x$	$B9_x$	$13_x$	$2c_x$	$d3_x$	$E7_x$	$6E_x$	$c4_x$	$03_x$	$56_x$	$44_x$	$7F_x$	$A9_x$
$E0_x$	$2A_x$	$BB_x$	$c1_x$	$53_x$	$dc_x$	$0B_x$	$9d_x$	$6c_x$	$31_x$	$74_x$	$F6_x$	$46_x$	$Ac_x$	$89_x$	$14_x$	$E1_x$
$F0_x$	$16_x$	$3A_x$	$69_x$	$09_x$	$70_x$	$B6_x$	$d0_x$	$Ed_x$	$cc_x$	$42_x$	$98_x$	$A4_x$	$28_x$	$5c_x$	$F8_x$	$86_x$

Cyklisk permutation

\pi

Permutationen roterar varje kolumn i tillståndsmatrisen så att kolumnen flyttas nedåt : $\pi: M_{8 \times 8}[GF(2^8)] \to M_{8 \times 8}[GF(2^8)]$ $j$ $j$

\pi(a)=b \Leftrightarrow b_{ij} = a_{(ij) mod 8, j}, 0 \leq i,j \leq 7.

Uppgiften med denna omvandling är att blanda byten i tillståndsmatrisraderna med varandra.

Linjär diffusion

\theta

Linjär diffusion är en linjär transformation vars matris är MDS-matrisen , det vill säga: $\theta: M_{8 \times 8}[GF(2^8)] \to M_{8 \times 8}[GF(2^8)]$ $\ C = cir(01_x, 01_x, 04_x, 01_x, 08_x, 05_x, 02_x, 09_x)$

C = cir(01_x, 01_x, 04_x, 01_x, 08_x, 05_x, 02_x, 09_x) = \begin{bmatrix} 01_x & 01_x & 04_x & 01_x & \ 08_x & 09_x & 1_x & 09_x & 09_x & 1 & 08_x & 05_x & 02_x \\ 02_x & 09_x & 01_x & 01_x & 04_x & 01_x & 08_x & 05_x \\ 05_x & 02_x & 09_x & 01_x & 01_x & 01_ & 01_x & 01_ & 01_x & 01_ & 01_x & 01_ 01_x \\ 01_x & 08_x & 05_x & 02_x & 09_x & 01_x & 01_x & 04_x \\ 04_x & 01_x & 08_x & 05_x & 02_x & 09_x & 01_x & 01_x & 01_x & 01_x & 01_x & 01_x & 01_x & 01_x & 01_x {bmatrix},

så

\theta(a)=b \Vänsterhögerpil b = a \cdot C.

Med andra ord multipliceras tillståndsmatrisen från höger med matrisen . Kom ihåg att operationerna för addition och multiplikation av matriselement utförs i . $\C$ $\GF(2^8)$

En MDS-matris är en sådan matris över ett ändligt fält att om vi tar den som en matris för en linjär transformation från rymdentill rymden, så kommer alla två vektorer frånvyrummetatt ha åtminstoneskillnader i komponenter. Det vill säga en uppsättning vyvektorerbildar en kod som har egenskapen maximalt mellanrum ( engelska. Maximum Distance Separable code ). En sådan kod är till exempel Reed-Solomon-koden . $\K$ $\ f(x)=(MDS)x$ $\K^n$ $\K^m$ $\ K^{n+m}$ $\ (x, f(x))$ $\m+1$ $\ (x, f(x))$

I Whirlpool betyder den maximala diversitetsegenskapen för en MDS-matris att det totala antalet byte av vektorn och vektorn är minst . Med andra ord, varje ändring av bara en byte resulterar i en ändring av alla 8 byte . Detta är problemet med linjär diffusion . $\x$ $\ f(x)=(MDS)x$ $\ 8+1=9$ $\x$ $\f(x)$

Som nämnts ovan har MDS-matrisen i den senaste (tredje) versionen av Whirlpool modifierats tack vare en artikel av Taizo Shirai och Kyoji Shibutani[1] . De analyserade MDS-matrisen för den andra versionen av Whirlpool och påpekade möjligheten att förbättra Whirlpools motståndskraft mot differentiell kryptoanalys . De föreslog också 224 kandidater för den nya MDS-matrisen. Från den här listan valde Whirlpool-författarna det alternativ som är lättast att implementera i hårdvara.

Lägga till en nyckel

\sigma[k]

Nyckeladditionsfunktionen är en bitvis addition ( XOR ) av tillståndet och nyckelmatriserna : $\sigma[k]: M_{8 \times 8}[GF(2^8)] \to M_{8 \times 8}[GF(2^8)]$ $\a$ $k \in M_{8 \times 8}[GF(2^8)]$

\sigma[k](a)=b \Leftrightarrow b_{i,j} = a_{i,j} \oplus k_{i,j}, 0 \leq i,j \leq 7.

Runda konstanter

c^r

Varje omgång använder en matris av konstanter så att: $\r, r > 0$ $c^r \in M_{8 \times 8}[GF(2^8)]$

c_{0j}^r \equiv S[8(r-1)+j], \qquad 0 \leq j \leq 7,

c_{ij}^r \equiv 0, \qquad \qquad \qquad \qquad 1 \leq i \leq 7, 0 \leq j \leq 7.

Detta visar att den första raden i matrisen är resultatet av att ett substitutionsblock har tillämpats på bytenummer . $c^r$ $S$ $[8(r-1)+j], 0 \leq j \leq 7$

De återstående 7 raderna är noll.

Runda funktion

\rho[k]

För varje omgång är rundfunktionen en sammansatt transformation vars parameter är nyckelmatrisen . Den runda funktionen beskrivs så här: $\r$ $\rho[k]: M_{8 \times 8}[GF(2^8)] \to M_{8 \times 8}[GF(2^8)]$ $k$ $k \in M_{8 \times 8}[GF(2^8)]$

\rho[k] \equiv \sigma[k] \circ \theta \circ \pi \circ \gamma.

Nyckelförlängning

En 512-bitars krypteringsnyckel krävs för varje omgång . För att lösa detta problem introducerar många algoritmer den så kallade nyckelexpansionsproceduren . I Whirlpool implementeras nyckelexpansion enligt följande: $\ r, 0 \leq r \leq R$

\ K^0 = K,

\ K^r = \rho[c^r](K^{r-1}), r > 0.

Sålunda, från den kända nyckeln , produceras den erforderliga sekvensen av nycklar för varje omgång av blockchifferet . $K$ $K^0,...,K^R$ $W$

Blockera chiffer $W$

Ett speciellt 512-bitars blockchiffer använder en 512-bitars nyckel som parameter och utför följande sekvens av transformationer: $W[K]: M_{8 \times 8}[GF(2^8)] \to M_{8 \times 8}[GF(2^8)]$ $K$

W[K] = \left( \bigcirc_1^{r=R} \rho[K^r] \right) \circ \sigma[K^0],

där nycklarna genereras av nyckelexpansionsproceduren som beskrivs ovan . I Whirlpool- hashfunktionen är antalet rundor . $K^0,...,K^R$ $R=10$

Kompletterar inmatningsmeddelandet

Whirlpool, precis som alla andra hashfunktioner , måste hasha ett meddelande av godtycklig längd. Eftersom det interna krypteringsblocket fungerar med 512-bitars ingångsmeddelanden måste det ursprungliga meddelandet delas upp i block om 512 bitar. I detta fall kan det sista blocket, som innehåller slutet av meddelandet, vara ofullständigt. $W$

För att lösa detta problem använder Whirlpool Merkle-Damgors algoritm för att förstärka meddelandet. Resultatet av slutförandet av meddelandet är ett meddelande vars längd är en multipel av 512. Låt vara längden på det ursprungliga meddelandet. Sedan visar det sig i flera steg: $M$ $M'$ $L$ $M'$

Lägg till en "1"-bit i slutet av meddelandet . $M$
Tilldela bitar "0" så att längden på den mottagna strängen är en multipel av ett udda antal gånger. $x$ $L+1+x$ $256$
Tilldela slutligen en 256-bitars nummerrepresentation till . $L$

Det kompletterade meddelandet skrivs som $M'$

M' = \overbrace{M}^{L} \| 1 \| \overbrace{0 \dots 0}^{x} \| \overbrace{L}^{256}

och delas upp i 512-bitars block för vidare bearbetning.

Kompressionsfunktion

Whirlpool använder - Preneel hashing-

$\t$ block av det vadderade meddelandet krypteras sekventiellt med ett blockchiffer : $m_i, 1 \leq i \leq t$ $M'$ $W$

\ \eta_i = \mu(m_i),

\H_0 = \mu(IV),

H_i = W[H_{i-1}](\eta_i)\oplus H_{i-1}\oplus \eta_i, 1 \leq i \leq t,

där ( eng. initieringsvektor , initieringsvektor ) är en 512-bitars sträng fylld med "0". $IV$

Hashberäkning

Meddelandesammandraget är utdatavärdet för komprimeringsfunktionen, konverterad tillbaka till en 512-bitars sträng: $M$ $H_t$

Whirlpool(M) \equiv \mu^{-1}(H_t).

Säkerhet

En hashfunktion sägs vara kryptografiskt säker om den uppfyller de tre grundläggande kraven som de flesta tillämpningar av hashfunktioner inom kryptografi är baserade på : irreversibilitet , typ 1- kollisionsmotstånd och typ 2 - kollisionsmotstånd . $H$

Låt vara en godtycklig -bitars delsträng av en 512-bitars Whirlpool - hash . Författarna till Whirlpool hävdar att hashfunktionen de skapade uppfyller följande krav för kryptografisk styrka : $h_{n}$ $n$

Kollisionsgenerering kräver en WHIRLPOOL - hashberäkningsordning ( kollisionsmotstånd av det andra slaget ). $2^{{n/2}}$
För en given sökning efter ett sådant meddelande kommer det att kräva en WHIRLPOOL- hashberäkningsordning ( oåterkallelighet ) . $h_{n}$ $M$ $H(M)=h_n$ $2^{{n}}$
För ett givet meddelande skulle det krävas en WHIRLPOOL - hashberäkningsordning för att hitta ett annat meddelande för vilket ( kollisionsmotstånd av det första slaget ). $M$ $N$ $H(N)=H(M)$ $2^{{n}}$
Det är omöjligt att upptäcka systematiska korrelationer mellan någon linjär kombination av ingångsbitar och någon linjär kombination av hashbitar , eller att förutsäga vilka hashbitar som kommer att ändra sitt värde när vissa inmatningsbitar ändras (motstånd mot linjär kryptoanalys och differentiell kryptoanalys ).

Whirlpool-författarna lade till en anteckning till detta uttalande:

Dessa uttalanden följer av en betydande säkerhetsmarginal mot alla kända attacker. Vi förstår dock att det är omöjligt att göra icke-spekulativa uttalanden om okända saker.

Kryptanalys

Hittills är WHIRLPOOL resistent mot alla typer av kryptoanalys . Under de 8 åren av Whirlpools existens har inte en enda attack mot den registrerats.

Men 2009 publicerades en ny metod för att attackera hashfunktioner - The Rebound Attack [2] [3] . De första "marsvinen" i den nya attacken var hashfunktionerna Whirlpool och Grøstl . Resultaten av den genomförda kryptoanalysen visas i tabellen.

Tabell 2. Resultat av kryptoanalys av Whirlpool och Grøstl hashfunktioner med hjälp av metoden Rebound Attack [2] [3]

hash-funktion	Antal omgångar	Komplexitet	Erforderlig mängd minne	Kollisionstyp
Bubbelpool	$4,5/10$	$2^{120}$	$2^{16}$	kollision
	$5,5/10$	$2^{120}$	$2^{16}$	halvfri kollision
	$7,5/10$	$2^{128}$	$2^{16}$	halvfri nästan kollision
Grøstl-256	$6/10$	$2^{120}$	$2^{70}$	halvfri kollision

Författarna till studien använde följande begrepp och termer:

$\IV$ - initieringsvektor
$\M$ - meddelandet som ska hashas
$\h(M,IV)$ - hashfunktion
kompressionsfunktion $\f: H_t = f(M_t, H_{t-1}), H_0 = IV$

Kollisionstyper : _

kollision :
- $\IV$ - fixat
- $f(M_t, IV) = f(M_t', IV), M_t \neq M_t'$
nästan en kollision :
- $\IV$ - fixat
- $f_{M_t} = f(M_t, IV), f_{M_t'} = f(M_t', IV), M_t \neq M_t'$
- ett litet antal bithaschar och är olika $f_{M_t}$ $f_{M_t'}$
halvfri kollision :
- $f(M_t, H_{t-1}) = f(M_t', H_{t-1}), M_t \neq M_t'$
fri kollision :
- $f(M_t, H_{t-1}) = f(M_t', H_{t-1}'), M_t \neq M_{t-1}', H_t \neq H_{t-1}'$

Som framgår av tabellen lyckades vi generera en kollision för Whirlpool endast för dess "cut down" version på 4,5 omgångar. Dessutom är komplexiteten i de nödvändiga beräkningarna ganska hög.

Applikation

Whirlpool är en fritt tillgänglig hashfunktion . Därför används det ofta i programvara med öppen källkod . Här är några exempel på hur du använder Whirlpool:

Jacksum är ett gratisprogram för kontrollsumma .
Crypto++ är ett fritt distribuerat C++-klassbibliotek för kryptografiska primitiver.
TrueCrypt är en gratis on-the-fly krypteringsprogramvara.
FreeOTFE är ett gratis och öppen källkodsprogram designat för kryptering i farten .
DarkCrypt är ett gratis krypto- och steganografiskt verktyg som plugin för Total Commander

Exempel på hash

För enkelhetens skull representeras de 512 bitarna (64 byte) i Whirlpool-hash ofta som ett 128-siffrigt hexadecimalt tal.

Som nämnts ovan har algoritmen genomgått två förändringar sedan den släpptes 2000. Nedan finns exempel på hash som beräknats från ASCII- texten till Den snabba bruna räven hoppar över den lata hundens pangram för alla tre versionerna av Whirlpool:

Whirlpool-0("Den kvicka bruna räven hoppar över den lata hunden") = 4F8F5CB531E3D49A61CF417CD133792CCFA501FD8DA53EE368FED20E5FE0248C 3A0B64F98A6533CEE1DA614C3A8DDEC791FF05FEE6D971D57C1348320F4EB42D Whirlpool-T("Den kvicka bruna räven hoppar över den lata hunden") = 3CCF8252D8BBB258460D9AA999C06EE38E67CB546CFFCF48E91F700F6FC7C183 AC8CC3D3096DD30A35B01F4620A1E3A20D79CD5168544D9E1B7CDF49970E87F1 Whirlpool("Den kvicka bruna räven hoppar över den lata hunden") = B97DE512E91E3828B40D2B0FDCE9CEB3C4A71F9BEA8D88E75C4FA854DF36725F D2B52EB6544EDCACD6F8BEDDFEA403CB55AE31F03AD62A5EF54E42EE82C3FB35

Även en liten ändring i meddelandets originaltext (i det här fallet ersätts en bokstav: tecknet "d" ersätts med tecknet "e") leder till en fullständig förändring i hashen :

Whirlpool-0("Den kvicka bruna räven hoppar över den lata eog") = 228FBF76B2A93469D4B25929836A12B7D7F2A0803E43DABA0C7FC38BC11C8F2A 9416BBCF8AB8392EB2AB7BCB565A64AC50C26179164B26084A253CAF2E012676 Whirlpool-T("Den kvicka bruna räven hoppar över den lata eog") = C8C15D2A0E0DE6E6885E8A7D9B8A9139746DA299AD50158F5FA9EECDDEF744F9 1B8B83C617080D77CB4247B1E964C2959C507AB2DB0F1F3BF3E3B299CA00CAE3 Whirlpool("Den kvicka bruna räven hoppar över den lata eog") = C27BA124205F72E6847F3E19834F925CC666D0974167AF915BB462420ED40CC5 0900D85A1F923219D832357750492D5C143011A76988344C2635E69D06F2D38C

Att lägga till tecken i en sträng, strängsammansättning och andra ändringar påverkar också resultatet.

Exempel på hash för "null"-strängen:

Whirlpool-0("") = B3E1AB6EAF640A34F784593F2074416ACCD3B8E62C620175FCA0997B1BA23473 39AA0D79E754C308209EA36811DFA40C1C32F1A2B9004725D987D3635165D3C8 Whirlpool-T("") = 470F0409ABAA446E49667D4EBE12A14387CEDBD10DD17B8243CAD550A089DC0F EEA7AA40F6C2AAAB71C6EBD076E43C7CFCA0AD32567897DCB5969861049A0F5A Whirlpool("") = 19FA61D75522A4669B44E39C1D2E1726C530232130D407F89AFEE0964997F7A7 3E83BE698B288FEBCF88E3E03C4F0757EA8964E59B63D93708B138CC42A66EB3

Exempel i programmering

Körning	Koden	Resultat
PHP 5.0	echo hash( 'whirlpool', 'test' );	b913d5bbb8e461c2c5961cbe0edcdadfd29f068225ceb37da6defcf89849368f 8c6c2eb6a4c4ac75775d032a0ecfdfe8550573062b653fe92fc7b8fb3b7be8d6
rubin	sätter Whirlpool.calc_hex('test')	b913d5bbb8e461c2c5961cbe0edcdadfd29f068225ceb37da6defcf89849368f 8c6c2eb6a4c4ac75775d032a0ecfdfe8550573062b653fe92fc7b8fb3b7be8d6

Anteckningar

↑ 1 2 3 Kyoji, Shibutani; Shirai, Taizo. På diffusionsmatrisen som används i Whirlpools hashfunktion : journal . - 2003. - 11 mars.
↑ 1 2 Florian Mendel, Christian Rechberger, Martin Schläffer, Søren S. Thomsen. The Rebound Attack: Cryptanalysis of Reduced Whirlpool and Grøstl ( 24 februari 2009). — Presentation av en ny kryptoanalysmetod och dess tillämpning för kryptoanalys av Whirlpool och Grøstl hashfunktioner . Hämtad 25 juni 2019. Arkiverad från originalet 28 september 2011.
↑ 1 2 Florian Mendel, Christian Rechberger, Martin Schläffer, Søren S. Thomsen. The Rebound Attack: Cryptanalysis of Reduced Whirlpool and Grøstl (engelska) (2009). — en artikel om en ny kryptoanalysmetod och dess tillämpning för kryptoanalys av Whirlpool och Grøstl hashfunktioner . Hämtad 25 juni 2019. Arkiverad från originalet 18 november 2018.

Länkar

Whirlpool hemsida . - Whirlpools hemsida. Hämtad 25 juni 2019. Arkiverad från originalet 29 november 2017.

Standarder

ISO/IEC 10118-3 : 2004-standarden . — ISO/IEC 10118-3:2004 standard. Tillträdesdatum: 25 juni 2019.
NESSIE (engelska) . - Engelska. Nya europeiska system för signaturer, integritet och kryptering , nya europeiska projekt om digital signatur, integritet och kryptering. Tillträdesdatum: 25 juni 2019.
Portfölj med rekommenderade kryptografiska primitiver . — En lista över NESSIE-krypteringsfunktioner som rekommenderas för användning. Tillträdesdatum: 25 juni 2019.

Programvaruimplementeringar

En Java-implementering av alla tre versionerna av Whirlpool . - Implementering av alla tre Whirlpool-modifieringar i programmeringsspråket Java . Hämtad 15 november 2009. Arkiverad från originalet 29 februari 2012.
En Matlab-implementering av Whirlpool Hashing- funktionen . - Whirlpool-implementering i Matlab -paketet . Hämtad 15 november 2009. Arkiverad från originalet 29 februari 2012.
Perl Whirlpool-modul på CPAN . - Whirlpool Perl -modul i CPAN .
Ruby Whirlpool bibliotek . - Ruby- bibliotekmed Whirlpool-implementering. Hämtad 15 november 2009. Arkiverad från originalet 29 februari 2012.

Hårdvaruimplementationer

Effektiv arkitektur och hårdvaruimplementering av Whirlpools hashfunktion . - Effektiv hårdvaruimplementering av Whirlpool. Artikel IEEE Transaktioner på konsumentelektronik . Hämtad 18 november 2009. Arkiverad från originalet 29 februari 2012.
Höghastighets-parallell arkitektur för Whirlpool Hash-funktionen . - Whirlpool höghastighets parallell arkitektur. Artikel i International Journal of Advanced Science and Technology , nummer 7, juni 2009. Hämtad 18 november 2009. Arkiverad från originalet 29 februari 2012.

Hash-funktioner
generell mening	Adler-32 CRC Fletcher kontrollsumma FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH - Hashträd jenkins hash hash summa
Kryptografisk	Stribog GOST R 34,11-94 Bälte BLAKE bmw CubeHash EKO edonkey2k FSB Fuga Grostl HAVAL Hamsi J H Kupyna LM hash Luffa MD2 MD4 MD5 MD6 N-hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 Keccak (SHA-3) SHABAL SHAvite-3 SIMD SWIFFT Hud Snefru Tiger Bubbelpool
Nyckelgenereringsfunktioner	bcrypt PBKDF2 kryptera Argon 2 Lyra2
Kontrollnummer ( jämförelse )	Kontrollera summan Verhouffs algoritm Månen algoritm Jävla algoritm Streckkod bankkonton bankkort ÄR I SNILS OKPO TENN OKATO ISBN OGRN och OGRNIP VIN
Hashes	Jämförelse av checknummer Autentiseringsprotokoll Streckkodsjämförelse Kryptografi Magnet länk Merkle signatur ed2k URNA