ECHO

ECHO — хеш-функция, выдвинутая как кандидат на конкурс SHA-3, проводимый Национальным институтом стандартов и технологий (США). Алгоритм разработан в Orange Labs, его авторы:

Ryad Benadjila Olivier Billet Henri Gilbert Gilles Macario-Rat

Thomas Peyrin Matt Robshaw Yannick Seurin

В качестве аргументов для хеш-функции выступают сообщение и «соль» (которая далее обозначается как ${\displaystyle \text{SALT}}$). Длина последнего аргумента составляет 128 бит, при этом по умолчанию его значение принимается равным 0. Размер выхода ECHO может меняться от 128 до 512 бит.

Алгоритм вычисления ECHO основан на построении Меркле-Дамгаарда и, в соответствии с этим построением, представляет собой последовательное применение функции сжатия (определена ниже), зависящей от переменной цепочки ${\displaystyle V_{i-1}}$, блока сообщения ${\displaystyle M_i}$ и, возможно, других параметров. При определении самой функции сжатия в ECHO используются операции AES.

ECHO работает со 128-битными словами, поэтому любое сообщение ${\displaystyle M}$ перед вычислением хеш-функции дополняется так, чтобы его длина была кратна 128. Дополненное сообщение ${\displaystyle M^{\prime }}$ можно представить битовой строкой длины ${\displaystyle n}$

${\displaystyle b_0{b}_1...b_{n-2}{b}_{n-1}}$

или последовательностью из ${\displaystyle s=\frac{n}{8}}$ байт (${\displaystyle \Vert }$ обозначает конкатенацию)

${\displaystyle B_0}$	${\displaystyle =}$	${\displaystyle b_0\Vert b_1\Vert ...\Vert b_7}$
${\displaystyle B_1}$	${\displaystyle =}$	${\displaystyle b_8\Vert b_9\Vert ...\Vert b_{15}}$
${\displaystyle ⋮}$
${\displaystyle B_{s-1}}$	${\displaystyle =}$	${\displaystyle b_{n-8}\Vert b_{n-7}\Vert ...\Vert b_{n-1}}$

ECHO использует операции из AES, которые работают с байтовыми массивами размером 4 на 4. Соответственно, принимается следующая упаковка строки байт в массив:

${\displaystyle B_0\Vert B_1\Vert ...\Vert B_{15}⟶}$

${\displaystyle B_0}$ ${\displaystyle B_4}$ ${\displaystyle B_8}$ ${\displaystyle B_{12}}$ ${\displaystyle B_1}$ ${\displaystyle B_5}$ ${\displaystyle B_9}$ ${\displaystyle B_{13}}$ ${\displaystyle B_2}$ ${\displaystyle B_6}$ ${\displaystyle B_{10}}$ ${\displaystyle B_{14}}$ ${\displaystyle B_3}$ ${\displaystyle B_7}$ ${\displaystyle B_{11}}$ ${\displaystyle B_{15}}$

Аналогично, входное сообщение можно представить как последовательность ${\displaystyle r=\frac{n}{128}}$ 128-битовых слов

${\displaystyle w_0}$	${\displaystyle =}$	${\displaystyle B_0\Vert B_1\Vert ...\Vert B_{15}}$	${\displaystyle =}$	${\displaystyle b_0\Vert b_1\Vert ...\Vert b_{127}}$
${\displaystyle w_1}$	${\displaystyle =}$	${\displaystyle B_{16}\Vert B_{17}\Vert ...\Vert B_{31}}$	${\displaystyle =}$	${\displaystyle b_{128}\Vert b_{129}\Vert ...\Vert b_{255}}$
	${\displaystyle ⋮}$		${\displaystyle ⋮}$
${\displaystyle w_{r-1}}$	${\displaystyle =}$	${\displaystyle B_{s-16}\Vert B_{s-15}\Vert ...\Vert B_{s-1}}$	${\displaystyle =}$	${\displaystyle b_{n-128}\Vert b_{n-127}\Vert ...\Vert b_{n-1}}$

Упаковка шестнадцати 128-битных слов в массив:

${\displaystyle w_0\Vert w_1\Vert ...\Vert w_{15}⟶}$

${\displaystyle w_0}$ ${\displaystyle w_4}$ ${\displaystyle w_8}$ ${\displaystyle w_{12}}$ ${\displaystyle w_1}$ ${\displaystyle w_5}$ ${\displaystyle w_9}$ ${\displaystyle w_{13}}$ ${\displaystyle w_2}$ ${\displaystyle w_6}$ ${\displaystyle w_{10}}$ ${\displaystyle w_{14}}$ ${\displaystyle w_3}$ ${\displaystyle w_7}$ ${\displaystyle w_{11}}$ ${\displaystyle w_{15}}$

В зависимости от желаемой битовой длины ${\displaystyle \text{HSIZE}}$ результата хеширования в ECHO применяются две функции сжатия: ${\displaystyle {\text{COMPRESS}}_{512}}$ и ${\displaystyle {\text{COMPRESS}}_{1024}}$. Нижний индекс равен длине ${\displaystyle \text{CSIZE}}$ переменной цепочки. На итерации ${\displaystyle i}$ обе функции принимают 4 параметра:

1. Текущее значение переменной цепочки ${\displaystyle V_{i-1}}$ с битовой длиной ${\displaystyle \text{CSIZE}}$.
2. Текущий блок сообщения с битовой длиной ${\displaystyle \text{MSIZE}=2048-\text{CSIZE}}$.
3. Полное число ${\displaystyle C_i}$ бит сообщения, обработанных к концу данной итерации. Если текущий блок ${\displaystyle M}$ — последний, то ${\displaystyle C_i}$ может оказаться меньше или равно значению ${\displaystyle i*\text{MSIZE}}$. В противном случае выполняется равенство ${\displaystyle C_i=i*\text{MSIZE}}$. Размер счётчик ${\displaystyle C_i}$ можно выбрать равным 64 или 128 битам.
4. ${\displaystyle \text{SALT}}$.

То, какая функция сжатия используется, зависит от выбранной битовой длины значения хеш-функции. Для ${\displaystyle \text{HSIZE}}$ от 128 до 256 бит применяется ${\displaystyle {\text{COMPRESS}}_{512}}$:

${\displaystyle V_i={\text{COMPRESS}}_{512}(V_{i-1},M_i,C_i,\text{SALT})}$,

для ${\displaystyle \text{HSIZE}}$ от 257 до 512 бит переменная цепочки вычисляется по формуле

${\displaystyle V_i={\text{COMPRESS}}_{1024}(V_{i-1},M_i,C_i,\text{SALT})}$

Результатом работы обеих функций является некоторое значение с фиксированной битовой длиной. Поэтому для получения величин размера ${\displaystyle \text{HSIZE}}$ конечный результат сокращается на необходимое число бит.

В начале хеширования счетчик ${\displaystyle C}$ устанавливается в 0: ${\displaystyle C_0=0}$. Начальное значение переменной цепочки устанавливается таким образом, что каждое её слово является 128 битовым представлением числа ${\displaystyle \text{HSIZE}}$, то есть размера результата хеширования. В том случае, когда используется ${\displaystyle {\text{COMPRESS}}_{512}}$ (${\displaystyle \text{HSIZE}}$ лежит в пределах от 128 до 256 бит) переменная цепочки ${\displaystyle V_0}$ состоит из 4 слов:

${\displaystyle V_0=(v_0^0,v_0^1,v_0^2,v_0^3),}$

${\displaystyle v_0^i=\{\begin{array}{cc}\text{E0000000 00000000 00000000 00000000},& \text{HSIZE}=224\\ \text{00010000 00000000 00000000 00000000},& \text{HSIZE}=256\end{array},0\le i\le 3}$

Когда применяется ${\displaystyle {\text{COMPRESS}}_{1024}}$ (${\displaystyle \text{HSIZE}}$ от 257 до 512 бит),

${\displaystyle V_0=(v_0^0,v_0^1,v_0^2,v_0^3,v_0^4,v_0^5,v_0^6,v_0^7),}$

${\displaystyle v_0^i=\{\begin{array}{cc}\text{80010000 00000000 00000000 00000000},& \text{HSIZE}=384\\ \text{00020000 00000000 00000000 00000000},& \text{HSIZE}=512\end{array},0\le i\le 7}$

Результатом дополнения сообщения ${\displaystyle M}$ является сообщение ${\displaystyle M^{\prime }}$, длина которого кратна 128. Обозначим через ${\displaystyle L}$ длину исходного сообщения. Тогда ${\displaystyle M^{\prime }}$ получается в несколько шагов:

1. К концу сообщения ${\displaystyle M}$ приписать бит «1».
2. Приписать ${\displaystyle x}$ битов «0», где ${\displaystyle x=\text{MSIZE}-((L+144)mod\text{MSIZE})-1}$
3. Приписать 16-битное представление числа ${\displaystyle \text{HSIZE}}$
4. Наконец, приписать 128-битное представление числа ${\displaystyle L}$

Дополненное сообщение ${\displaystyle M^{\prime }}$ записывается в виде

${\displaystyle M^{\prime }=\stackrel{L}{\overbrace{M}}\Vert 1\Vert \stackrel{x}{\overbrace{0.....0}}\Vert \stackrel{16}{\overbrace{\text{HSIZE}}}\Vert \stackrel{128}{\overbrace{L}}}$

Дополненное сообщение ${\displaystyle M^{\prime }}$ делится на ${\displaystyle t}$ блоков ${\displaystyle M_1...M_t}$, каждый длиной ${\displaystyle \text{MSIZE}=1536}$ бит. Эти блоки друг за другом подаются на вход функции ${\displaystyle {\text{COMPRESS}}_{512}}$, при этом в итоге вычисляется ${\displaystyle t+1}$ значений переменной цепочки:

${\displaystyle V_i={\text{COMPRESS}}_{512}(V_{i-1},M_i,C_i,\text{SALT}),0\le i\le t}$

Каждый блок ${\displaystyle M_i}$ можно представить в виде двенадцати 128-битовых слов:

${\displaystyle M_i=m_i^0\Vert m_i^1\Vert m_i^2\Vert m_i^3\Vert m_i^4\Vert m_i^5\Vert m_i^6\Vert m_i^7\Vert m_i^8\Vert m_i^9\Vert m_i^{10}\Vert m_i^{11}}$

Переменная цепочки ${\displaystyle V_{i-1}}$ аналогичным образом записывается в виде последовательности из 4 слов:

${\displaystyle V_{i-1}=v_{i-1}^0\Vert v_{i-1}^1\Vert v_{i-1}^2\Vert v_{i-1}^3}$

Дальнейшие операции проводятся над матрицей состояния ${\displaystyle S}$ из 4 строк и 4 столбцов:

${\displaystyle S}$

${\displaystyle =}$

${\displaystyle w_0}$ ${\displaystyle w_4}$ ${\displaystyle w_8}$ ${\displaystyle w_{12}}$ ${\displaystyle w_1}$ ${\displaystyle w_5}$ ${\displaystyle w_9}$ ${\displaystyle w_{13}}$ ${\displaystyle w_2}$ ${\displaystyle w_6}$ ${\displaystyle w_{10}}$ ${\displaystyle w_{14}}$ ${\displaystyle w_3}$ ${\displaystyle w_7}$ ${\displaystyle w_{11}}$ ${\displaystyle w_{15}}$

В начале ${\displaystyle i}$-ой итерации вычисления значения ${\displaystyle {\text{COMPRESS}}_{512}}$ ${\displaystyle V_i}$ и ${\displaystyle M_i}$ упаковываются в матрицу ${\displaystyle S}$ следующим образом:

${\displaystyle S}$

${\displaystyle =}$

${\displaystyle v_{i-1}^0}$ ${\displaystyle m_i^0}$ ${\displaystyle m_i^4}$ ${\displaystyle m_i^8}$ ${\displaystyle v_{i-1}^1}$ ${\displaystyle m_i^1}$ ${\displaystyle m_i^5}$ ${\displaystyle m_i^9}$ ${\displaystyle v_{i-1}^2}$ ${\displaystyle m_i^2}$ ${\displaystyle m_i^6}$ ${\displaystyle m_i^{10}}$ ${\displaystyle v_{i-1}^3}$ ${\displaystyle m_i^3}$ ${\displaystyle m_i^7}$ ${\displaystyle m_i^{11}}$

Вычисление ${\displaystyle {\text{COMPRESS}}_{512}}$ происходит в 8 раундов, называемых в ECHO ${\displaystyle \text{BIG.ROUND}}$. Каждый такой раунд состоит из последовательного применения 3 функций:

${\displaystyle \text{BIG.SUBWORDS}(S,\text{ SALT},\kappa )}$

${\displaystyle \text{BIG.SHIFTROWS}(S)}$

${\displaystyle \text{BIG.MIXCOLUMNS}(S)}$

${\displaystyle \text{BIG.SUBWORDS}(S,\text{ SALT},\kappa )}$ — это 2 AES раунда. Обозначим действие одного раунда AES с ключом ${\displaystyle k}$ на 128-битное слово ${\displaystyle w}$ как

${\displaystyle w^{\prime }=\text{AES}(w,k)}$

Здесь ${\displaystyle \text{AES}}$ состоит из операций ${\displaystyle \text{SubBytes}}$, ${\displaystyle \text{ShiftRows}}$, ${\displaystyle \text{MixColumns}}$ и ${\displaystyle \text{AddRoundKey}}$. Ключи ${\displaystyle k}$ для вычисления ${\displaystyle w^{\prime }}$ создаются из параметров ${\displaystyle \text{SALT}}$ и ${\displaystyle \kappa }$. Последний представляет собой внутренний счетчик, который инициализируется значением ${\displaystyle C_i}$ и увеличивается во время вычисления ${\displaystyle {\text{COMPRESS}}_{512}}$. Важно заметить, что, если в последнем блоке ${\displaystyle M_t}$ биты исходного сообщения отсутствуют (что могло случится, например, при длине сообщения ${\displaystyle L}$, кратной ${\displaystyle \text{MSIZE}}$), то ${\displaystyle C_t}$ полагается равным 0.

Значения ключей для двух раундов AES получаются следующим образом:

${\displaystyle k_1=\kappa \Vert \stackrel{64}{\overbrace{0..0}}\text{, }{k}_2=\text{SALT},}$

если счетчик ${\displaystyle C_i}$ выбран 64-битным, и

${\displaystyle k_1=\kappa \text{ , }{k}_2=\text{SALT}}$

для 128-битного счетчика.

Операцию ${\displaystyle \text{BIG.SUBWORDS}(S,\text{ SALT},\kappa )}$ можно описать равенствами

${\displaystyle w_{0^{\prime }}=AES(AES(w_0,k_1),k_2)}$, увеличить ${\displaystyle \kappa }$ на 1 по модулю ${\displaystyle 2^{64}}$ (${\displaystyle 2^{128}}$)

${\displaystyle w_{1^{\prime }}=AES(AES(w_1,k_1),k_2)}$, увеличить ${\displaystyle \kappa }$ на 1 по модулю ${\displaystyle 2^{64}}$ (${\displaystyle 2^{128}}$)

${\displaystyle ...}$

${\displaystyle w_{1^{\prime }5}=AES(AES(w_{15},k_1),k_2)}$, увеличить ${\displaystyle \kappa }$ на 1 по модулю ${\displaystyle 2^{64}}$ (${\displaystyle 2^{128}}$)

Счетчик ${\displaystyle \kappa }$ увеличивается на протяжении всех восьми раундов (которые выше названы ${\displaystyle \text{BIG.ROUND}}$), то есть, например, в начале второго раунда ${\displaystyle \kappa =C_i+16}$.

Операция ${\displaystyle \text{BIG.SHIFTROWS}(S)}$ проводит циклический сдвиг влево строк матрицы состояния ${\displaystyle S}$:

${\displaystyle w_{i^{\prime }+4j}=w_{i+4((i+j)mod4)},0\le i,j\le 3}$.

Более наглядно:

${\displaystyle w_0}$ ${\displaystyle w_4}$ ${\displaystyle w_8}$ ${\displaystyle w_{12}}$ ${\displaystyle w_1}$ ${\displaystyle w_5}$ ${\displaystyle w_9}$ ${\displaystyle w_{13}}$ ${\displaystyle w_2}$ ${\displaystyle w_6}$ ${\displaystyle w_{10}}$ ${\displaystyle w_{14}}$ ${\displaystyle w_3}$ ${\displaystyle w_7}$ ${\displaystyle w_{11}}$ ${\displaystyle w_{15}}$

${\displaystyle ⟶}$ ${\displaystyle }$

${\displaystyle w_0}$ ${\displaystyle w_4}$ ${\displaystyle w_8}$ ${\displaystyle w_{12}}$ ${\displaystyle w_5}$ ${\displaystyle w_9}$ ${\displaystyle w_{13}}$ ${\displaystyle w_1}$ ${\displaystyle w_{10}}$ ${\displaystyle w_{14}}$ ${\displaystyle w_2}$ ${\displaystyle w_6}$ ${\displaystyle w_{15}}$ ${\displaystyle w_3}$ ${\displaystyle w_7}$ ${\displaystyle w_{11}}$

${\displaystyle \text{BIG.MIXCOLUMNS}(S)}$ состоит из последовательного применения операции ${\displaystyle \text{MixColumns}}$, определенной в AES. Рассмотрим столбцы матрицы ${\displaystyle S}$, состоящие из 128-битных слов ${\displaystyle w_i,...,w_{i+3}}$, где ${\displaystyle i\in \{0,4,8,12\}}$. Элементы столбцов можно представить в виде байтовых строк:

${\displaystyle w_i}$	${\displaystyle =}$	${\displaystyle (B_{16i},B_{16i+1},...,B_{16i+15})}$
${\displaystyle w_{i+1}}$	${\displaystyle =}$	${\displaystyle (B_{16i+16},B_{16i+17},...,B_{16i+31})}$
${\displaystyle w_{i+2}}$	${\displaystyle =}$	${\displaystyle (B_{16i+32},B_{16i+33},...,B_{16i+47})}$
${\displaystyle w_{i+3}}$	${\displaystyle =}$	${\displaystyle (B_{16i+48},B_{16i+49},...,B_{16i+63})}$

Тогда ${\displaystyle \text{BIG.MIXCOLUMNS}(S)}$ вычисляется как

${\displaystyle \left(\begin{array}{c}{B}_{1^{\prime }6i+j}\\ B_{1^{\prime }6i+16+j}\\ B_{1^{\prime }6i+32+j}\\ B_{1^{\prime }6i+48+j}\end{array}\right)=\left(\begin{array}{cccc}02& 03& 01& 01\\ 01& 02& 03& 01\\ 01& 01& 02& 03\\ 03& 01& 01& 02\end{array}\right)\cdot \left(\begin{array}{c}{B}_{16i+j}\\ B_{16i+16+j}\\ B_{16i+32+j}\\ B_{16i+48+j}\end{array}\right),i\in \{0,4,8,12\},0\le j\le 15}$

Последняя формула представляет собой операцию ${\displaystyle \text{MixColumns}}$, в которой сложение и умножение определены в поле ${\displaystyle GF(2^8)}$ по модулю многочлена ${\displaystyle x^8+x^4+x^3+x+1}$.

Функцию ${\displaystyle {\text{COMPRESS}}_{512}}$ можно описать, используя определенные выше операции:

${\displaystyle \text{for i := 1 to 8 do}}$

${\displaystyle \text{begin}}$

${\displaystyle \text{BIG.SUBWORDS}(S,\text{ SALT},\kappa )}$

${\displaystyle \text{BIG.SHIFTROWS}(S)}$

${\displaystyle \text{BIG.MIXCOLUMNS}(S)}$

${\displaystyle \text{end}}$

${\displaystyle \text{BIG.FINAL}}$

Операция ${\displaystyle \text{BIG.FINAL}}$ вычисляет значение переменной цепочки ${\displaystyle V_i}$, используя полученную в результате применения 8 раундов матрицу состояния ${\displaystyle S}$, блок сообщения ${\displaystyle M_i}$ и предыдущее значение переменной цепочки ${\displaystyle V_{i-1}}$:

${\displaystyle v_i^0}$	${\displaystyle =}$	${\displaystyle v_{i-1}^0\oplus m_i^0\oplus m_i^4\oplus m_i^8\oplus w_0\oplus w_4\oplus w_8\oplus w_{12}}$
${\displaystyle v_i^1}$	${\displaystyle =}$	${\displaystyle v_{i-1}^1\oplus m_i^1\oplus m_i^5\oplus m_i^8\oplus w_1\oplus w_5\oplus w_9\oplus w_{13}}$
${\displaystyle v_i^2}$	${\displaystyle =}$	${\displaystyle v_{i-1}^2\oplus m_i^2\oplus m_i^6\oplus m_i^9\oplus w_2\oplus w_6\oplus w_{10}\oplus w_{14}}$
${\displaystyle v_i^3}$	${\displaystyle =}$	${\displaystyle v_{i-1}^3\oplus m_i^3\oplus m_i^7\oplus m_i^{10}\oplus w_3\oplus w_7\oplus w_{11}\oplus w_{15}}$

Здесь за ${\displaystyle w_0,...,w_{15}}$ обозначены элементы матрицы ${\displaystyle S}$, ${\displaystyle \oplus }$ — операция исключающего ИЛИ.

Конечное значение переменной цепочки — это строка из 512 бит:

${\displaystyle v_t^0\Vert v_t^1\Vert v_t^2\Vert v_t^3}$

Результатом хеширования с битовой длиной ${\displaystyle \text{HSIZE}}$, принимающей значения от 128 до 256, являются ${\displaystyle \text{HSIZE}}$ крайних левых бит переменной цепочки. Например, для значения хеш-функции ${\displaystyle h}$ с длиной ${\displaystyle \text{HSIZE}=256}$:

${\displaystyle h=v_t^0\Vert v_t^1.}$

Для значений ${\displaystyle \text{HSIZE}}$, больших 256 (но не превышающих 512) бит применяется функция сжатия ${\displaystyle {\text{COMPRESS}}_{1024}}$. Операции в ${\displaystyle {\text{COMPRESS}}_{1024}}$ совпадают с операциями в ${\displaystyle {\text{COMPRESS}}_{512}}$, за исключением нескольких отличий:

1.  Дополненное сообщение ${\displaystyle M^{\prime }}$ разбивается на ${\displaystyle t}$ блоков ${\displaystyle M_1...M_t}$, каждый из которых имеет длину 1024 бит.

2.  Переменная цепочки состоит из восьми 128-битовых слов ${\displaystyle V_i=v_i^0...v_i^7}$ и инициализируется так, как описано выше.

3.  В начале сжатия переменная цепочки и блок сообщения упаковываются в матрицу 4 на 4 следующим образом:

${\displaystyle v_{i-1}^0}$	${\displaystyle v_{i-1}^4}$	${\displaystyle m_i^0}$	${\displaystyle m_i^4}$
${\displaystyle v_{i-1}^1}$	${\displaystyle v_{i-1}^5}$	${\displaystyle m_i^1}$	${\displaystyle m_i^5}$
${\displaystyle v_{i-1}^2}$	${\displaystyle v_{i-1}^6}$	${\displaystyle m_i^2}$	${\displaystyle m_i^6}$
${\displaystyle v_{i-1}^3}$	${\displaystyle v_{i-1}^7}$	${\displaystyle m_i^3}$	${\displaystyle m_i^7}$

4.  Вычисление состоит из десяти итераций ${\displaystyle \text{BIG.ROUND}}$ (а не из восьми, как в ${\displaystyle {\text{COMPRESS}}_{512}}$).

5.  Операция ${\displaystyle \text{BIG.FINAL}}$ для ${\displaystyle {\text{COMPRESS}}_{1024}}$ переопределяется следующим образом:

${\displaystyle v_i^0}$	${\displaystyle =}$	${\displaystyle v_{i-1}^0\oplus m_i^0\oplus w_0\oplus w_8}$		${\displaystyle v_i^4}$	${\displaystyle =}$	${\displaystyle v_{i-1}^4\oplus m_i^4\oplus w_4\oplus w_{12}}$
${\displaystyle v_i^1}$	${\displaystyle =}$	${\displaystyle v_{i-1}^1\oplus m_i^1\oplus w_1\oplus w_9}$		${\displaystyle v_i^5}$	${\displaystyle =}$	${\displaystyle v_{i-1}^5\oplus m_i^5\oplus w_5\oplus w_{13}}$
${\displaystyle v_i^2}$	${\displaystyle =}$	${\displaystyle v_{i-1}^2\oplus m_i^2\oplus w_2\oplus w_{10}}$		${\displaystyle v_i^6}$	${\displaystyle =}$	${\displaystyle v_{i-1}^6\oplus m_i^6\oplus w_6\oplus w_{14}}$
${\displaystyle v_i^3}$	${\displaystyle =}$	${\displaystyle v_{i-1}^3\oplus m_i^3\oplus w_3\oplus w_{11}}$		${\displaystyle v_i^7}$	${\displaystyle =}$	${\displaystyle v_{i-1}^7\oplus m_i^7\oplus w_7\oplus w_{15}}$

Длина переменной цепочки для ${\displaystyle {\text{COMPRESS}}_{1024}}$ — 1024 бит, поэтому её конечное значение:

${\displaystyle V_t=v_t^0\Vert v_t^1\Vert v_t^2\Vert v_t^3\Vert v_t^4\Vert v_t^5\Vert v_t^6\Vert v_t^7}$

Как и в ${\displaystyle {\text{COMPRESS}}_{512}}$, результатом хеширования ${\displaystyle h}$ являются ${\displaystyle \text{HSIZE}}$ крайних левых бит ${\displaystyle V_t}$. Например, для ${\displaystyle \text{HSIZE}=384}$

${\displaystyle h=v_t^0\Vert v_t^1\Vert v_t^2\Vert v_t^3}$

• Шаблон:Cite web

• Шаблон:Cite web

• Шаблон:Cite web

• Шаблон:Cite web

Шаблон:Хеш-алгоритмы Шаблон:Rq