Cryptography Reference
In-Depth Information
Urbildblock (64 Byte)
Runde 1
Runde 2
Runde 3
Runde 4
Runde 5
rechter Ablaufstrang
h0
h1
h2
h3
h4
h0
h1
h2
h3
h4
linker Ablaufstrang
Runde 1
Runde 2
Runde 3
Runde 4
Runde 5
Urbildblock (64 Byte)
Abb. 14-4
Die Kompressionsfunktion von RIPEMD-160 arbeitet in zwei parallelen Ablaufsträngen.
Hans Dobbertin erhielt 1994 als damaliger Mitarbeiter des BSI die Aufgabe, die
Sicherheit von RIPEMD zu überprüfen, und fand dabei einige Schwachstellen.
Daraufhin machte er sich zusammen mit Antoon Bosselaers und Bart Preneel an
die Arbeit, das Verfahren zu verbessern. Auf diese Weise entstand RIPEMD-160.
Inzwischen hat sich dieses Verfahren etabliert und ist damit eines der wenigen
Krypto-Verfahren mit Praxisrelevanz, an dessen Entwicklung ein Deutscher
beteiligt war.
Funktionsweise von RIPEMD-160
Da RIPEMD-160 wie SHA-1 seine Wurzeln in MD4 hat, haben die beiden Ver-
fahren einige Gemeinsamkeiten. Wie SHA-1 arbeitet RIPEMD-160 mit 512-Bit-
Blöcken und generiert einen 160-Bit-Hashwert. Auch das Padding am Anfang ist
dasselbe. Zudem arbeitet RIPEMD-160 genauso wie SHA-1 mit einer Kompres-
sionsfunktion und mit fünf Kettenvariablen (
A
,
B
,
C
,
D
und
E
). Die Kompressi-
onsfunktion von RIPEMD-160 besteht aus zwei voneinander unabhängigen
Ablaufsträngen, die am Ende miteinander verknüpft werden (siehe Abbildung
14-4). Jeder Ablaufstrang ist in fünf Runden gegliedert. Jede der fünf Runden
sieht jeweils 16 Teilrunden vor. Zur Erinnerung: Bei SHA-1 sind es vier Runden
mit je 20 Teilrunden, wobei es nur einen Ablaufstrang gibt. Wie in Abbildung 14-5
ersichtlich, geht in jede RIPEMD-160-Teilrunde eine Konstante ein. Darüber hin-
aus gibt es eine Funktion
g
. Konstanten und Funktion im oberen Ablaufstrang
sind wie folgt definiert:
