Скользящий хеш

Скользящий хеш (Шаблон:Lang-en, также кольцевой хеш) — хеш-функция, обрабатывающая вход в рамках некоторого окна. Получение значения хеш-функции для сдвинутого окна в таких функциях является дешевой операцией. Для пересчета значения требуется знать лишь предыдущее значение хеша, значение входных данных, которые остались за пределами окна, и значение данных, которые попали в окно. Другими словами, если ${\displaystyle x=h(a_1{a}_2\cdots a_n)}$ представляет собой хеш последовательности ${\displaystyle a_1{a}_2\cdots a_n}$, то хеш ${\displaystyle h(a_2{a}_3\cdots a_n{a}_{n+1})}$ для «сдвинутой» последовательности ${\displaystyle a_2{a}_3\cdots a_n{a}_{n+1}}$ может быть получен с помощью легко вычислимой функции ${\displaystyle f(x,a_1,a_{n+1})}$.

Возможность быстрого «сдвига» хеша накладывает некоторые ограничения на теоретические гарантии. В частности, показаноШаблон:Sfn, что семейства кольцевых хешей не могут быть Шаблон:Iw; максимум — универсальными или Шаблон:Iw. Впрочем, для большинства приложений достаточно универсальности (даже приблизительной).

Кольцевой хеш применяется для поиска подстроки в алгоритме Рабина — Карпа, для вычисления хешей N-грамм в текстеШаблон:Sfn, а также в программе rsync для сравнения двоичных файлов (используется кольцевая версия adler-32).

В алгоритме Рабина — Карпа часто используется простой полиномиальный кольцевой хеш, построенный на операциях умножения и сложенияШаблон:SfnШаблон:Sfn:

${\displaystyle h(a_1{a}_2\cdots a_n)=(a_1{x}^{n-1}+a_2{x}^{n-2}+a_3{x}^{n-3}+\cdots +a_n{x}^0)modq}$.

Чтобы избежать использования целочисленной арифметики произвольной точности, используется арифметика в кольце вычетов по модулю ${\displaystyle q}$, умещающемуся в одно машинное слово. Выбор констант ${\displaystyle x}$ и ${\displaystyle q}$ очень важен для получения качественного хеша. В исходном варианте хеша предполагалось, что ${\displaystyle q}$ должно быть случайно выбранным простым числом, а ${\displaystyle x=2}$.Шаблон:Sfn Но ввиду того, что алгоритм выбора случайного простого числа не такой простой, предпочитают использовать вариант хеша, в котором ${\displaystyle q}$ является фиксированным простым числом, а ${\displaystyle x}$ выбирается случайно из диапазона ${\displaystyle \{0,1,\dots ,q-1\}}$. Дитзфелбингер и др.Шаблон:Sfn показали, что такой вариант хеша имеет те же теоретические характеристики, что и исходный. В частности, вероятность совпадения значений хешей двух различных строк ${\displaystyle a_1{a}_2\cdots a_n}$ и ${\displaystyle b_1{b}_2\cdots b_n}$ не превосходит ${\displaystyle 1/n^c}$, если ${\displaystyle a_1,\dots ,a_n}$ и ${\displaystyle b_1,\dots ,b_n}$ представляют собой целые числа из диапазона ${\displaystyle [0,q)}$, ${\displaystyle q>n^{c+1}}$ и ${\displaystyle x}$ выбирается действительно случайно.

Удаление старых входных символов и добавление новых производится путём прибавления или вычитания первого или последнего члена формулы (по модулю ${\displaystyle q}$). Для удаления члена ${\displaystyle a_1{x}^{n-1}}$ хранят заранее посчитанное значение ${\displaystyle x^{n-1}modq}$. Сдвиг окна производится путём домножения всего многочлена ${\displaystyle h(a_1{a}_2\cdots a_n)}$ на ${\displaystyle x}$ либо делением на ${\displaystyle x}$ (если ${\displaystyle q}$ простое, то в кольце вычетов возможно вместо деления производить умножение на обратную величину). На практике удобнее всего полагать ${\displaystyle q=2^{31}-1}$ или ${\displaystyle q=2^{61}-1}$ для, соответственно, 32- и 64-битовых машинных слов (это так называемые простые числа Мерсенна). В таком случае операция взятия модуля может быть выполнена на многих компьютерах с помощью быстрых операций побитового сдвига и сложения^[1]. Другой возможный выбор — значения ${\displaystyle q=2^{32}-5}$ или ${\displaystyle q=2^{64}-59}$, для которых тоже существуют быстрые алгоритмы взятия остатка от деления на ${\displaystyle q}$ (при этом диапазон допустимых значений ${\displaystyle x}$ немного сужают)Шаблон:Sfn. Частое заблуждение — полагать ${\displaystyle q=2^{32}}$. Существуют семейства строк, на которых хеш с ${\displaystyle q=2^L}$ будет всегда давать множество коллизий, независимо от выбора ${\displaystyle L}$.Шаблон:Sfn Эти и другие дальнейшие детали реализации и теоретического анализ полиномиального хеша можно найти в статье об алгоритме Рабина — Карпа.

Данный хеш похож на обычный полиномиальный хеш, но все вычисления в нём производятся в конечном поле ${\displaystyle \mathrm{G}\mathrm{F}(2^L)}$. Обычно ${\displaystyle L}$ выбирается равным 64. Элементы поля — это числа ${\displaystyle 0,1,\dots ,2^L-1}$. Сложение в поле реализуется с помощью операции побитового исключающего «или» ${\displaystyle \oplus }$, а умножение выполняется с помощью операции ${\displaystyle a\star b}$, которая сначала Шаблон:Iw ${\displaystyle a}$ на ${\displaystyle b}$, а потом берёт остаток от «беспереносного» деления результата на некоторый выбранный фиксированный элемент ${\displaystyle q\in \{2^L,2^L+1,\dots ,2^{L+1}-1\}}$ (беспереносным делением здесь названа операция, обратная беспереносному умножению). Элемент ${\displaystyle q=2^{i_1}+2^{i_2}+\cdots +2^{i_k}}$ должен быть выбран так, что ${\displaystyle L=i_1>i_2>\cdots >i_k\ge 0}$ и ${\displaystyle x^{i_1}+x^{i_2}+\cdots +x^{i_0}}$ — это неприводимый многочлен над полем ${\displaystyle GF(2)}$ (на поле ${\displaystyle \mathrm{G}\mathrm{F}(2^L)}$ часто смотрят как на множество многочленов над полем ${\displaystyle \mathrm{G}\mathrm{F}(2)}$ по модулю произвольного неприводимого многочлена степени ${\displaystyle L}$). Например, можно положить ${\displaystyle q=2^{64}+2^4+2^3+2+1}$Шаблон:Sfn. Тогда хеш вычисляется следующим образомШаблон:Sfn:

${\displaystyle h(a_1{a}_2\cdots a_n)=(a_1\star x^{n-1})\oplus (a_2\star x^{n-2})\oplus \cdots \oplus (a_{n-1}\star x)\oplus a_n}$,

где ${\displaystyle x}$ — это случайно выбранное на этапе инициализации хеша число из диапазона ${\displaystyle \{0,1,\dots ,2^L-1\}}$, а ${\displaystyle x^m}$ — это короткая запись для ${\displaystyle x\star x\star \cdots \star x}$, где ${\displaystyle x}$ повторён ${\displaystyle m}$ раз. С помощью основной теоремы алгебры можно показать, что вероятность коллизии хешей двух различных строк длины ${\displaystyle n}$ не превосходит ${\displaystyle n/2^L}$. ПоказаноШаблон:Sfn, что на современных процессорах Intel и AMD вся необходимая для хеша арифметика над полем ${\displaystyle \mathrm{G}\mathrm{F}(2^L)}$ может быть эффективно вычислена с помощью инструкций из расширения Шаблон:Iw.

Пусть ${\displaystyle h^{\prime }}$ — какой-то хеш, который отображает символы ${\displaystyle a_1,\dots ,a_n}$ хешируемой строки в ${\displaystyle L}$-битовые числа (обычно ${\displaystyle L=32}$ или ${\displaystyle L=64}$). Хеш циклическими полиномами определяется следующим образомШаблон:Sfn:

${\displaystyle h(a_1{a}_2\cdots a_n)=s^{n-1}(h^{\prime }(a_1))\oplus s^{n-2}(h^{\prime }(a_2))\oplus \cdots \oplus s(h^{\prime }(a_{n-1}))\oplus h^{\prime }(a_n),}$

где ${\displaystyle \oplus }$ — это операция побитового исключающего «или», а ${\displaystyle s^i(x)}$ — это операция циклического сдвига ${\displaystyle L}$-битового числа ${\displaystyle x}$ на ${\displaystyle i}$ битов влево. Несложно показать, что данный хеш кольцевой:

${\displaystyle h(a_2{a}_3\dots a_{n+1})=s(h(a_1{a}_2\dots a_n))\oplus s^n(h^{\prime }(a_1))\oplus h^{\prime }(a_{n+1}).}$

Главное преимущество этого хеша в том, что он использует только быстрые побитовые операции доступные на многих современных компьютерах. Качество хеша напрямую зависит от выбора функции ${\displaystyle h^{\prime }}$. Лемире и КасерШаблон:Sfn доказали, что если функция ${\displaystyle h^{\prime }}$ выбирается случайно из семейства Шаблон:Iw, то вероятность совпадения хешей двух различных строк длины ${\displaystyle n}$ не превосходит ${\displaystyle 1/2^{L-n+1}}$. Это накладывает определённые ограничения на диапазон задач, в которых данный хеш может использоваться. Во-первых, длина хешируемых строк должна быть меньше ${\displaystyle L}$. Для алгоритмов хеширования общего назначения это условие может быть проблемой, но, например, для хеширования ${\displaystyle n}$-грамм, где ${\displaystyle n}$ обычно не превосходит 16, такое ограничение является естественным (в случае ${\displaystyle n}$-грамм роль символов играют отдельные лексемы текста). Во-вторых, выбор семейства независимых функций ${\displaystyle h^{\prime }}$ в некоторых случаях тоже может быть проблемой. Для байтового алфавита свойством независимости обладает семейство функций ${\displaystyle h^{\prime }}$, закодированных таблицей из 256-и различных случайных ${\displaystyle L}$-битовых чисел (выбор функции — это заполнение таблицы). Для хеширования ${\displaystyle n}$-грамм можно присваивать различные случайные ${\displaystyle L}$-битовые числа различным лексемам (обычно число разных лексем в таких задачах относительно невелико) и такое семейство хеш-функций ${\displaystyle h^{\prime }}$ тоже имеет свойство независимости.

Данный хеш применим только в специальном случае, когда символы хешируемой строки ${\displaystyle a_1{a}_2\cdots a_n}$ суть числа 0 и 1. Идея хеша в том, чтобы смотреть на входную строку ${\displaystyle a_1{a}_2\cdots a_n}$ как на многочлен ${\displaystyle A(x)=a_1{x}^{n-1}\oplus a_2{x}^{n-2}\oplus \cdots \oplus a_{n-1}x\oplus a_n{x}^0}$ над полем ${\displaystyle \mathrm{G}\mathrm{F}(2)}$, а сам хеш представляет собой взятие остатка от деления ${\displaystyle A(x)}$ на случайно выбранный на этапе инициализации хеша неприводимый многочлен ${\displaystyle P(x)}$ степени ${\displaystyle L}$ над полем ${\displaystyle \mathrm{G}\mathrm{F}(2)}$. По существу это та же процедура, что используется в CRC. Рассмотрим её более подробно.

Результат хеширования строки ${\displaystyle a_1{a}_2\cdots a_n}$ — это последовательность битов ${\displaystyle b_{L-1}{b}_{L-2}\cdots b_0}$. Число ${\displaystyle L}$ выбирается простымШаблон:Sfn и достаточно большим, но так чтобы последовательность ${\displaystyle b_{L-1}{b}_{L-2}\cdots b_0}$ умещалась в одно машинное слово (обычно берут ${\displaystyle L=31}$ или ${\displaystyle L=61}$Шаблон:Sfn). Пусть ${\displaystyle P(x)=p_L{x}^L\oplus p_{L-1}{x}^{L-1}\oplus \cdots \oplus p_{1}x\oplus p_0}$ представляет собой некоторый неприводимый многочлен степени ${\displaystyle L}$ над полем ${\displaystyle \mathrm{G}\mathrm{F}(2)}$. Обозначим через ${\displaystyle p}$ соответствующее число с битовым представлением ${\displaystyle p_L{p}_{L-1}\cdots p_0}$. Хеш-функция ${\displaystyle h(a_1{a}_2\cdots a_n)}$ определяется как число с битовым представлением ${\displaystyle b_{L-1}{b}_{L-2}\cdots b_0,}$ таким что многочлен ${\displaystyle B(x)=b_{L-1}{x}^{L-1}\oplus b_{L-2}{x}^{L-2}\oplus \cdots \oplus b_{1}x\oplus b_0}$ является остатком от деления многочлена ${\displaystyle A(x)=a_1{x}^{n-1}\oplus a_2{x}^{n-2}\oplus \cdots \oplus a_{n-1}x\oplus a_n}$ на многочлен ${\displaystyle P(x)}$, то есть ${\displaystyle B(x)=A(x)modP(x)}$.

Несмотря на весьма запутанное определение, хеш Рабина довольно просто реализуем (если неприводимый многочлен ${\displaystyle P(x)}$ уже найден). Вычисления опираются на такое несложное наблюдение: если число ${\displaystyle b}$ с битовым представлением ${\displaystyle b_{L-1}{b}_{L-2}\cdots b_0}$ кодирует многочлен ${\displaystyle B(x)=b_{L-1}{x}^{L-1}\oplus b_{L-2}{x}^{L-2}\oplus \cdots \oplus b_{1}x\oplus b_0}$, то число ${\displaystyle sh(b)}$ кодирует многочлен ${\displaystyle x\cdot B(x)}$, где ${\displaystyle sh(b)}$ обозначает операцию побитового сдвига числа ${\displaystyle b}$ на один бит влево с замещением младшего бита нулём (не путать с циклическим сдвигом ${\displaystyle s}$, определённым выше!). Пусть ${\displaystyle b=h(a_1{a}_2\cdots a_i)}$, и ${\displaystyle b_{L-1}{b}_{L-2}\cdots b_0}$ — это битовое представление ${\displaystyle b}$. Тогда ${\displaystyle h(a_1{a}_2\cdots a_i{a}_{i+1})}$ вычисляется следующим образом:

${\displaystyle sh(b)\oplus a_{i+1},}$ если ${\displaystyle b_{L-1}=0,}$

${\displaystyle sh(b)\oplus p\oplus a_{i+1},}$ если ${\displaystyle b_{L-1}=1.}$

Хеш является кольцевым. Пусть ${\displaystyle b=h(a_1{a}_2\cdots a_n)}$ и ${\displaystyle b_{L-1}{b}_{L-2}\cdots b_0}$ — это битовое представление ${\displaystyle b}$. Хеш ${\displaystyle h(a_2{a}_3\cdots a_n{a}_{n+1})}$ вычисляется следующим образомШаблон:Sfn:

${\displaystyle sh(b)\oplus a_n\oplus (a_1\cdot c),}$ если ${\displaystyle b_{L-1}=0,}$

${\displaystyle sh(b)\oplus p\oplus a_n\oplus (a_1\cdot c),}$ если ${\displaystyle b_{L-1}=1,}$

где ${\displaystyle c}$ — это ${\displaystyle L}$-битовое число, битовое представление которого соответствует многочлену ${\displaystyle x^{n}modP(x)}$. Число ${\displaystyle c}$ вычисляют заранее при инициализации хеша строки длины ${\displaystyle n}$.

Главная сложность — случайным образом выбрать неприводимый многочлен ${\displaystyle P(x)}$ степени ${\displaystyle L}$. РабинШаблон:Sfn описал эффективный алгоритм, позволяющий это сделать, и доказал, что вероятность коллизии хешей двух различных строк длины ${\displaystyle n}$ при случайном выборе ${\displaystyle P(x)}$ не превосходит ${\displaystyle n/2^L}$.

Отметим, что данный хеш часто путают с полиномиальным хешем из-за схожей области применения, рассмотрения многочленов и общего автора.

• ngramhashing — свободная C++-реализация нескольких кольцевых хеш-функций
• rollinghashjava  — Java-реализация кольцевых хеш-функций под лицензией Apache

Шаблон:Примечания

• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья