Эта схема, впервые предложенная в [1279], генерирует хэш-значение, в два раза большее длины блока. Ее скорость хэширования равна 1. Она использует два хэш-значения, G, и Я„ и хэширует вместе два блока, Ц и Rt.
G0 = IG, где IG - случайное начальное значение
Но = /я, , где /я - другое случайное начальное значение
Hf=£A(G-⊕^)⊕^⊕ff-
Gi = ER(Wi⊕Li)⊕Gi-l⊕Hi-l⊕Li
Эта схема появилась в 1989 году в проекте стандарта ISO [764], но была заменена более поздней версией [765]. Проблемы безопасности этой схемы были описаны в [1107, 925, 1262, 372]. (В действительности, версия, описанная в материалах конференции, была после того, как версия, представленная на конференции, была вскрыта.) В ряде случаев сложность вскрытия методом дня рождения имеет равна 2 39, а не 2м, как у вскрытия грубой. Не используйте эту схему.
LOKI с удвоенным блоком
Этот алгоритм представляет собой модификацию Quisquater-Cirault, специально спроектированную для ра-
боты с LOKI [273]. Все параметры - те же, что и в Quisquater-Girault.
Go = IG, где IG - случайное начальное значение
Я0 = 1Н, , где 1Н - другое случайное начальное значение
G = Е
(щеь^ео-ен-ец
И снова в некоторых случаях вскрытие методом дня рождения оказывается тривиальным [925, 926, 1262, 372, 736]. Не используйте эту схему.