SHA-3 (конкурс)

Эта статья — о конкурсе на создание хеш-функции. О функции, получившей по его результатам это название, см. SHA-3.

«SHA-3» — конкурс Национального института стандартов и технологий (NIST) на новую криптографическую хеш-функцию, предназначенную для дополнения и замены SHA-1 и SHA-2. Проводился в течение в 2007—2012 годов, в результате был избран алгоритм для реализации SHA-3.

Официально объявлен в журнале Federal Register 2 ноября 2007 года^[1]. Подобный конкурсный процесс алгоритма был использован ранее для шифрования Advanced Encryption Standard («AES»)^[2]. 2 октября 2012 года объявлены результаты: хеш-алгоритмом под наименованием SHA-3 стал алгоритм Keccak^[3].

Цели конкурса

Изначально организаторы конкурса предполагали заменить старые хеш-функции победителем, так как в 2006 году возникло предположение, что в будущем надежность хеш-функции SHA-2 значительно снизится из-за роста мощности и производительности устройств, а также из-за появления новых методов криптоанализа. Но к 2013 году так и не было предложено ни одной достаточно серьёзной атаки на SHA-2, и, по мнению Брюса Шнайера, переход на SHA-3 не являлся необходимым^[4].

Процесс

Подача заявок была завершена 31 октября 2008 года. Список кандидатов, прошедших в первый раунд, был опубликован 9 декабря 2008 года^[5]. В конце февраля 2009 года NIST провели конференцию, где представили заявленные в конкурс хеш-функции и обсудили критерии прохождения во второй раунд^[6]. Список из 14 кандидатов, прошедших в раунд 2, был опубликован 24 июля 2009 года^[7]. Ещё одна конференция состоялась 23 и 24 августа 2010 года в University of California, Santa Barbara, где были рассмотрены кандидаты, прошедшие во второй раунд^[8]. О последнем туре кандидатов было объявлено 10 декабря 2010 года.^[9] И только 2 октября 2012 года NIST объявил победителя — Keccak, его создатели: Guido Bertoni^[англ.], Joan Daemen, Gilles Van Assche^[англ.] из STMicroelectronics и Michaël Peeters^[англ.] из NXP^[3].

В отчётах NIST описывались критерии оценки конкурсантов; основными критериями оценки были безопасность, производительность и алгоритм хеш-функции^[10][11][12].

Безопасность

Рассматривая безопасность алгоритмов-конкурсантов, NIST оценивал применимость хеш-функции, её устойчивость к атакам, соответствие общим для хеш-функций требованиям, а также соответствие требованиям для участников, использующих HMAC, псевдослучайные функции или рандомизированное хеширование. Этот критерий учитывался в первую очередь.

Производительность

Производительность — второй по важности критерий оценки после безопасности. При его проверке смотрели на скорость работы и требования к памяти. Сравнение происходило следующим образом:

• В тесте ECRYPT Benchmarking of All Submitted Hashes (сокращённо eBASH) производились замеры скорости вычисления для большого числа 32- и 64-битных платформ.
• Тест eXternal Benchmarking eXtension (сокращённо XBX) предоставил результаты для портативных устройств.
• Дополнительно проверялась производительность и возможность оптимизации на многоядерных архитектурах. Тесты производились на архитектурах Cell Broadband Engine (сокращённо Cell) и NVIDIA Graphics Processing Units (сокращённо GPU)^[13].

Также оценивалась скорость работы на конечных устройствах: ПК, мобильных устройствах (точки доступа, роутеры, портативные медиаплееры, мобильные телефоны и терминалы оплаты) и виртуальных машинах^[14].

Алгоритм и характеристики реализации

Основными параметрами оценки алгоритма были гибкость и простота дизайна. Гибкость включает в себя возможность использования хеш-функции на большом числе платформ и возможности расширения набора инструкций процессора и распараллеливания (для увеличения производительности). Простота дизайна оценивалась по сложности анализа и понимания алгоритма, таким образом простота дизайна дает больше уверенности в оценке безопасности алгоритма.

Участники

NIST выбрали 51 хеш-функцию в первый тур^[5]. 14 из них прошло во второй раунд^[7], из которых было выбрано 5 финалистов. Неполный список участников представлен ниже.

Победитель

Победитель был объявлен 2 октября 2012 года, им стал алгоритм Keccak^[15]. Он стал самым производительным на аппаратной реализации среди финалистов, а также в нём был использован нераспространённый метод шифрования — функция губки. Таким образом, атаки, рассчитанные на SHA-2, не будут работать. Ещё одним существенным преимуществом SHA-3 является возможность его реализации на миниатюрных встраиваемых устройствах (например, USB-флеш-накопитель).

Финалисты

NIST выбрал пять кандидатов, прошедших в третий (и последний) тур^[16]:

• BLAKE
• Grøstl
• JH
• Keccak
• Skein

Организаторами были опубликованы некоторые критерии, на которых основывался выбор финалистов^[17]:

• Производительность: «Некоторые алгоритмы были уязвимы из-за очень больших требований к производительности.»^[17]
• Безопасность: «Мы предпочли быть консервативными в безопасности и в некоторых случаях не выбрали алгоритмы с исключительной производительностью, потому что они менее безопасны в значительной степени.»^[17]
• Анализ: «NIST устранено несколько алгоритмов из-за неполной проверки или незрелости проекта.»
• Разнообразие: «Хеш-функции, прошедшие в финал, основаны на различных режимах работы, в том числе и на принципе криптографической губки. С разными внутренними структурами, в том числе на основе AES, Bit slicing и на переменных XOR с дополнением.»^[17]

Также был выпущен отчёт, поясняющий оценку алгоритмов^[18][19].

Хеш-функции, не прошедшие в финал

Следующие хеш-функции попали во второй раунд, но не прошли в финал. Также было при объявлении финалистов: «Ни один из этих кандидатов не был явно взломан». В скобках указана причина, по которой хеш-функции не стала финалистом.

• Blue Midnight Wish^[20][21] (возможны проблемы с безопасностью)
• CubeHash (Bernstein) (проблемы с производительностью)
• ECHO (France Telecom)^[22] (проблемы с производительностью)
• Fugue (IBM) (возможны проблемы с безопасностью)
• Hamsi^[23] (высокие требования к ПЗУ, возможны проблемы с безопасностью)
• Luffa^[24] (возможны проблемы с безопасностью)
• Shabal^[25] (возможны проблемы с безопасностью)
• SHAvite-3^[26] (возможны проблемы с безопасностью)
• SIMD (проблемы с производительностью, возможны проблемы с безопасностью)

Хеш-функции, не прошедшие во второй раунд

Следующие представители хеш-функций были приняты для первого раунда, но не прошли во второй. У них не было существенных криптографических уязвимостей. Большинство из них имеют слабые места в дизайне компонентов или у них были замечены проблемы с производительностью.

• ARIRANG^[27] (CIST — Korea University)
• CHI^[28]
• CRUNCH^[29]
• FSB
• Lane
• Lesamnta^[30]
• MD6 (Rivest et al.)
• SANDstorm (Sandia National Laboratories)
• Sarmal^[31]
• SWIFFTX
• TIB3^[32]

Заявленные хеш-функции с существенными уязвимостями

Не прошедшие в первый раунд хеш-функции имели существенные криптографические уязвимости:

• AURORA (Sony и Нагойский университет)^[33][34]
• Blender^[35][36][37]
• Cheetah^[38][39]
• Dynamic SHA^[40][41]
• Dynamic SHA2^[42][43]
• ECOH
• Edon-R^[44][45]
• EnRUPT^[46][47]
• ESSENCE^[48][49]
• LUX^[50]
• MCSSHA-3^[51][52]
• NaSHA
• Sgàil^[53][54]
• Spectral Hash
• Twister^[55][56]
• Vortex^[57][58]

Отказавшиеся конкурсанты

На протяжении первого раунда некоторые конкурсанты сами отказались от участия в конкурсе, потому что были взломаны на веб-сайте первого раунда конкурса^[59]:

• Abacus^[5][60]
• Boole^[61][62]
• DCH^[5][63]
• Khichidi-1^[5][64]
• MeshHash^[5][65]
• SHAMATA^[5][66]
• StreamHash^[5][67]
• Tangle^[5][68]
• WaMM^[69][70]
• Waterfall^[71][72]

Отклонённые участники

Некоторые хеш-функции не были приняты в качестве кандидатов после внутреннего обзора NIST^[5]. NIST не сообщил подробностей относительно того, почему эти кандидаты были отклонены. NIST также не дал полный список отклонённых алгоритмов, но 13 из них известны^[5][73], но только следующие из них были опубликованы.

• HASH 2X^[74][75]
• Maraca^[76][77]
• NKS 2D^[78][79][80]
• Ponic^[81][82]
• ZK-Crypt^[83]

Классификация кандидатов

В таблице перечислены известные участники конкурса с указанием основных атрибутов хеш-функций и найденных атак.^[84] В ней используются следующие аббревиатуры:

• FN англ. A Feistel network — сеть Фейстеля;
• WP англ. Wide Pipe design — метод построения криптографических хеш-функций, похожий на структуру Меркла — Дамгора;
• KEY англ. Key schedule — алгоритм^[англ.], получающий ключи для каждого раунда хеширования;
• MDS англ. MDS Matrix — размер MDS^[англ.]-матрицы;
• OUT англ. Output Transformation — криптографическая операция, осуществляемая в последней выходной итерации;
• SBOX англ. S-box — S-блоки;
• FSR англ. Feedback Shift Register — регистр сдвига с линейной обратной связью;
• ARX англ. Addition Rotation XOR — сложение, циклический сдвиг и XOR;
• BOOLангл. Boolean operations — булева алгебра;
• COL англ. Collision Attack — самая лучшая из известных атак на поиск коллизий, лучше чем атаке «дней рождения»;
• PRE англ. Preimage Attack — вторая лучшая атака на поиск коллизий, лучше чем атака удлинением сообщения;

Хеш-алгоритм	FN	WP	KEY	MDS	OUT	SBOX	FSR	ARX	BOOL	COL	PRE
Abacus	-	X	-	4 x 4	X	8 x 8	X	-	-	${\displaystyle 2^{172}}$	${\displaystyle 2^{172}}$
ARIRANG	X	X	X	4 x 4, 8 x 8	-	8 x 8	-	-	-	-	-
AURORA	-	-	X	4 x 4	X	8 x 8	-	-	-	${\displaystyle 2^{234.61}/2^{229.6}}$	${\displaystyle 2^{291}/2^{31.6}}$
BLAKE	X	-	X	-	-	-	-	X —	-	-	-
Blender	-	X	-	-	-	-	-	X	-	${\displaystyle 10*2^{n \over 4}}$	${\displaystyle 10*2^{n \over 4}}$
BMW	-	X	X	-	-	-	-	X	-	-	-
*Boole	-	-	-	-	X	-	X	-	${\displaystyle \land }$	${\displaystyle 2^{34}}$	${\displaystyle 2^{9*n \over r}}$
Cheetah	-	-	X	4 x 4, 8 x 8	-	8 x 8	-	-	-	-	-
Chi	X	X	X	-	-	4 x 3	-	-	${\displaystyle \lor }$, ${\displaystyle \lnot }$	-	-
CRUNCH	X	-	X	-	-	8 x 1016	-	-	-	-	-
CubeHash8/1	-	-	-	-	-	-	-	X	-	-	${\displaystyle 2^{509}}$
*DHC	-	-	X	-	-	8 x 8	-	-	-	${\displaystyle 2^{9}}$	${\displaystyle 2^{9}}$
DynamicSHA	X	-	X	-	-	-	-	-	${\displaystyle \land }$, ${\displaystyle \lor }$, ${\displaystyle \lnot }$	${\displaystyle 2^{114}}$	-
DynamicSHA2	X	-	X	-	-	-	-	X	${\displaystyle \land }$, ${\displaystyle \lor }$, ${\displaystyle \lnot }$	-	-
ECHO	-	X	-	4 x 4	-	8 x 8	-	-	-	-	-
ECOH	-	-	X	-	-	-	-	-	-	-	-
Edon-R	-	X	X	-	-	-	-	X	-	-	${\displaystyle 2^{2*n \over 3}}$
EnRUPT	-	X	-	-	-	-	-	X	-	-	${\displaystyle 2^{480}/2^{480}}$
Essence	-	-	-	-	-	-	X	-	-	-	-
FSB	-	X	-	-	X	-	-	-	-	-	-
Fugue	-	X	-	4 x 4	X	8 x 8	-	-	-	-	-
Gr0stl	-	X	-	8 x 8	X	8 x 8	-	-	-	-	-
Hamsi	-	-	X	-	-	4 x 4	-	-	-	-	-
JH	X	X	-	1.5 x 1.5	-	4 x 4	-		-	-	${\displaystyle 2^{510.3}/2^{510.3}}$
Keccak	-	X	-	-	-	-	-	-	${\displaystyle \land }$, ${\displaystyle \lnot }$	-	-
*Khichidi-1	-	-	X	-	-	-	X	-	-	${\displaystyle 1}$	${\displaystyle 1/2^{33}}$
LANE	-	-	X	4 x 4	X	8 x 8	-	-	-	-	-
Lesamnta	X	-	X	2 x 2, 4 x 4	X	8 x 8	-	-	-	-	-
Luffa	-	-	-	-	X	4 x 4	-	-	-	-	-
Lux	-	X	-	4 x 4 , 8 x 8	X	8 x 8	-	-	-	-	-
MCSSHA-3	-	-	-	-	-	-	X	-	-	${\displaystyle 2^{3n/8}}$	${\displaystyle 2^{3n/4}}$
MD6	-	X	-	-	-	-	X	-	${\displaystyle \land }$	-	-
*MeshHash	-	-	-	-	X	8 x 8	-	-	-	-	${\displaystyle 2^{323.2}/2^{n \over 2}}$
NaSHA	X	-	-	-	-	8 x 8	X	-	-	${\displaystyle 2^{128}}$	-
SANDstorm	-	-	X	-	-	8 x 8	-	-	${\displaystyle \land }$, ${\displaystyle \lnot }$	-	-
Sarmal	X	-	-	8 x 8	-	8 x 8	-	-	-	-	${\displaystyle 2^{384}/2^{128}}$
Sgail	-	X	X	8 x 8, 16 x 16	-	8 x 8	-	X	-	-	-
Shabal	-	-	X	-	-	-	X	-	${\displaystyle \land }$, ${\displaystyle \lnot }$	-	-
*SHAMATA	X	X	X	4 x 4	-	8 x 8	-	-	-	${\displaystyle 2^{40}/2^{29}}$	${\displaystyle 2^{461.7}/2^{462.7}}$
SHAvite-3	X	-	X	4 x 4	-	8 x 8	X	-	-	-	-
SIMD	X	X	X	TRSC+	-	-	-	-	${\displaystyle \land }$, ${\displaystyle \lor }$, ${\displaystyle \lnot }$	-	-
Skein	X	X	X	-	X	-	-	X	-	-	-
Spectral Hash	-	-	-	-	X	8 x 8	-	-	-	-	-
*StreamHash	-	-	-	-	-	8 x 8	-	-	-	-	${\displaystyle n*2^{n \over 2}}$
SWIFFTX	-	-	-	-	-	8 x 8	-	-	-	-	-
*Tangle	-	X	X	-	-	8 x 8	-	X	${\displaystyle \land }$, ${\displaystyle \lor }$, ${\displaystyle \lnot }$	${\displaystyle 2^{19}}$	-
TIB3	U	-	X	-	-	3 x 3	-	-	-	-	-
Twister	-	X	-	8 x 8	X	8 x 8	-	-	-	${\displaystyle 2^{252}}$	${\displaystyle 2^{448/264}}$
Vortex	-	-	-	4 x 4	X	8 x 8	-	-	-	${\displaystyle 2^{122.5}/2^{122.5}}$	${\displaystyle 2^{3}/2^{n \over 4}}$
*WAMM	-	X	-	-	X	8 x 8	-	-	-	-	-
*Waterfall	-	X	-	-	X	8 x 8	X	-	-	${\displaystyle 2}$	-

Таблица классификации

— Ewan Fleischmann, Christian Forler и Michael Gorski. "Classifcation of the SHA-3 Candidates"

Примечания

1. Federal Register / Vol. 72, No. 212  (неопр.) (PDF). Federal Register. Government Printing Office (2 ноября 2007). Дата обращения: 6 ноября 2008. Архивировано 31 марта 2011 года.
2. cryptographic hash project - Background Information  (неопр.). Computer Security Resource Center. National Institute of Standards and Technology (2 ноября 2007). Дата обращения: 6 ноября 2008. Архивировано 5 мая 2010 года.
3. NIST Selects Winner of Secure Hash Algorithm (SHA-3) Competition  (неопр.). NIST (2 октября 2012). Дата обращения: 2 октября 2012. Архивировано 30 апреля 2017 года.
4. Shneier on Security: SHA-3 to Be Announced  (неопр.). Дата обращения: 9 апреля 2015. Архивировано 15 апреля 2015 года.
5. Round 1  (неопр.) (9 декабря 2008). Дата обращения: 10 декабря 2008. Архивировано 27 мая 2009 года.
6. National Institute of Standards and Technology. The First SHA-3 Candidate Conference  (неопр.) (9 декабря 2008). Дата обращения: 23 декабря 2008. Архивировано 12 ноября 2013 года.
7. Second Round Candidates  (неопр.). National Institute for Standards and Technology (24 июля 2009). Дата обращения: 24 июля 2009. Архивировано 10 апреля 2012 года.
8. National Institute of Standards and Technology. The Second SHA-3 Candidate Conference  (неопр.) (30 июня 2010). Дата обращения: 12 ноября 2013. Архивировано 5 марта 2010 года.
9. Tentative Timeline of the Development of New Hash Functions  (неопр.). NIST (10 декабря 2008). Дата обращения: 15 сентября 2009. Архивировано 4 июня 2009 года.
10. Hash Functions | CSRC  (неопр.). Дата обращения: 12 ноября 2013. Архивировано 14 марта 2011 года.
11. Архивированная копия  (неопр.). Дата обращения: 10 декабря 2013. Архивировано 24 января 2014 года.
12. Hash Functions | CSRC  (неопр.). Дата обращения: 12 ноября 2013. Архивировано 29 декабря 2009 года.
13. Performance Analysis of the SHA-3 Candidates on Exotic Multi-core Architectures — Springer  (неопр.). Дата обращения: 3 октября 2017. Архивировано 29 января 2018 года.
14. Hash Functions | CSRC  (неопр.). Дата обращения: 10 декабря 2013. Архивировано 13 декабря 2013 года.
15. NIST Selects Winner of Secure Hash Algorithm (SHA-3) Competition  (неопр.). Дата обращения: 28 декабря 2016. Архивировано 30 апреля 2017 года.
16. THIRD (FINAL) ROUND CANDIDATES Архивная копия от 18 декабря 2010 на Wayback Machine Retrieved 9 Nov 2011
17. SHA-3 Finalists Announced by NIST  (неопр.). National Institute for Standards and Technology (10 декабря 2010). Дата обращения: 12 ноября 2013. Архивировано 10 апреля 2012 года.
18. Status Report on the First Round of the SHA-3 Cryptographic Hash Algorithm Competition  (неопр.). Дата обращения: 12 ноября 2013. Архивировано 29 декабря 2009 года.
19. Status Report on the Second Round of the SHA-3 Cryptographic Hash Algorithm Competition Архивная копия от 14 марта 2011 на Wayback Machine (PDF). Retrieved 2 March 2011
20. Svein Johan Knapskog; Danilo Gligoroski, Vlastimil Klima, Mohamed El-Hadedy, Jørn Amundsen, Stig Frode Mjølsnes.: blue_midnight_wish  (неопр.) (4 ноября 2008). Дата обращения: 10 ноября 2008. Архивировано 12 ноября 2013 года.
21. Søren S. Thomsen. Pseudo-cryptanalysis of Blue Midnight Wish  (неопр.) (PDF) (2009). Дата обращения: 19 мая 2009. Архивировано из оригинала 2 сентября 2009 года.
22. Henri Gilbert; Ryad Benadjila, Olivier Billet, Gilles Macario-Rat, Thomas Peyrin, Matt Robshaw, Yannick Seurin.: SHA-3 Proposal: ECHO  (неопр.) (PDF) (29 октября 2008). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
23. Özgül Kücük. The Hash Function Hamsi  (неопр.) (PDF) (31 октября 2008). Дата обращения: 11 декабря 2008. Архивировано 11 апреля 2012 года.
24. Dai Watanabe; Christophe De Canniere, Hisayoshi Sato.: Hash Function Luffa: Specification  (неопр.) (PDF) (31 октября 2008). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
25. Jean-François Misarsky; Emmanuel Bresson, Anne Canteaut, Benoît Chevallier-Mames, Christophe Clavier, Thomas Fuhr, Aline Gouget, Thomas Icart, Jean-François Misarsky, Marìa Naya-Plasencia, Pascal Paillier, Thomas Pornin, Jean-René Reinhard, Céline Thuillet, Marion Videau.: Shabal, a Submission to NIST’s Cryptographic Hash Algorithm Competition  (неопр.) (PDF) (28 октября 2008). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
26. Eli Biham; Orr Dunkelman.: The SHAvite-3 Hash Function  (неопр.) (PDF). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
27. Jongin Lim; Donghoon Chang, Seokhie Hong, Changheon Kang, Jinkeon Kang, Jongsung Kim, Changhoon Lee, Jesang Lee, Jongtae Lee, Sangjin Lee, Yuseop Lee, Jaechul Sung.: ARIRANG  (неопр.) (PDF) (29 октября 2008). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
28. Philip Hawkes; Cameron McDonald.: Submission to the SHA-3 Competition: The CHI Family of Cryptographic Hash Algorithms  (неопр.) (30 октября 2008). Дата обращения: 11 ноября 2008. Архивировано 12 ноября 2013 года.
29. Jacques Patarin; Louis Goubin, Mickael Ivascot, William Jalby, Olivier Ly, Valerie Nachef, Joana Treger, Emmanuel Volte.: CRUNCH  (неопр.). Дата обращения: 14 ноября 2008. Архивировано из оригинала 29 января 2009 года.
30. Hirotaka Yoshida; Shoichi Hirose, Hidenori Kuwakado.: SHA-3 Proposal: Lesamnta  (неопр.) (PDF) (30 октября 2008). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
31. Kerem Varıcı; Onur Özen and Çelebi Kocair.: The Sarmal Hash Function  (неопр.). Дата обращения: 12 октября 2010. Архивировано из оригинала 11 июня 2011 года.
32. Daniel Penazzi; Miguel Montes.: The TIB3 Hash  (неопр.). Дата обращения: 29 ноября 2008. (недоступная ссылка)
33. AURORA: A Cryptographic Hash Algorithm Family  (неопр.) (PDF) (31 октября 2008). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
34. Attacks on AURORA-512 and the Double-Mix Merkle-Damgaard Transform  (неопр.) (PDF) (2009). Дата обращения: 10 июля 2009. Архивировано 10 мая 2012 года.
35. Colin Bradbury. BLENDER: A Proposed New Family of Cryptographic Hash Algorithms  (неопр.) (PDF) (25 октября 2008). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
36. Craig Newbold. Observations and Attacks On The SHA-3 Candidate Blender  (неопр.) (PDF). Дата обращения: 23 декабря 2008. Архивировано 12 ноября 2013 года.
37. Florian Mendel. Preimage Attack on Blender  (неопр.) (PDF). Дата обращения: 23 декабря 2008. Архивировано 12 ноября 2013 года.
38. Dmitry Khovratovich; Alex Biryukov, Ivica Nikolić.: The Hash Function Cheetah: Specification and Supporting Documentation  (неопр.) (PDF) (30 октября 2008). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
39. Danilo Gligoroski. Danilo Gligoroski - Cheetah hash function is not resistant against length-extension attack  (неопр.) (12 декабря 2008). Дата обращения: 21 декабря 2008. Архивировано 12 ноября 2013 года.
40. Zijie Xu. Dynamic SHA  (неопр.) (PDF). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
41. Vlastimil Klima. Dynamic SHA is vulnerable to generic attacks  (неопр.) (14 декабря 2008). Дата обращения: 21 декабря 2008. Архивировано 12 ноября 2013 года.
42. Zijie Xu. Dynamic SHA2  (неопр.) (PDF). NIST. Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
43. Vlastimil Klima. Dynamic SHA2 is vulnerable to generic attacks  (неопр.) (14 декабря 2008). Дата обращения: 21 декабря 2008. Архивировано 12 ноября 2013 года.
44. Danilo Gligoroski; Rune Steinsmo Ødegård, Marija Mihova, Svein Johan Knapskog, Ljupco Kocarev, Aleš Drápal.: edon-r  (неопр.) (4 ноября 2008). Дата обращения: 10 ноября 2008. Архивировано 12 ноября 2013 года.
45. Cryptanalysis of Edon-R  (неопр.) (2008). Дата обращения: 10 июля 2009. Архивировано 12 ноября 2013 года.
46. Sean O'Neil; Karsten Nohl, Luca Henzen.: EnRUPT - The Simpler The Better  (неопр.) (31 октября 2008). Дата обращения: 10 ноября 2008. Архивировано 9 декабря 2008 года.
47. Sebastiaan Indesteege. Collisions for EnRUPT  (неопр.) (6 ноября 2008). Дата обращения: 7 ноября 2008. Архивировано из оригинала 18 февраля 2009 года.
48. Jason Worth Martin. ESSENCE: A Candidate Hashing Algorithm for the NIST Competition  (неопр.) (PDF) (21 октября 2008). Дата обращения: 8 ноября 2008. Архивировано из оригинала 12 июня 2010 года.
49. Cryptanalysis of ESSENCE  (неопр.) (PDF). Дата обращения: 12 ноября 2013. Архивировано 12 ноября 2013 года.
50. Ivica Nikolić; Alex Biryukov, Dmitry Khovratovich.: Hash family LUX - Algorithm Specifications and Supporting Documentation  (неопр.) (PDF). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
51. Mikhail Maslennikov. MCSSHA-3 hash algorithm  (неопр.). Дата обращения: 8 ноября 2008. Архивировано из оригинала 2 мая 2009 года.
52. Second preimages on MCSSHA-3  (неопр.) (PDF). Дата обращения: 14 ноября 2008. (недоступная ссылка)
53. Peter Maxwell. The Sgàil Cryptographic Hash Function  (неопр.) (PDF) (сентябрь 2008). Дата обращения: 9 ноября 2008. Архивировано из оригинала 12 ноября 2013 года.
54. Peter Maxwell. Aww, p*sh!  (неопр.) (5 ноября 2008). Дата обращения: 6 ноября 2008. Архивировано из оригинала 9 ноября 2008 года.
55. Michael Gorski; Ewan Fleischmann, Christian Forler.: The Twister Hash Function Family  (неопр.) (PDF) (28 октября 2008). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
56. Florian Mendel, Christian Rechberger, Martin Schläffer. Cryptanalysis of Twister  (неопр.) (PDF) (2008). Дата обращения: 19 мая 2009. Архивировано 12 ноября 2013 года.
57. Michael Kounavis; Shay Gueron.: Vortex: A New Family of One Way Hash Functions based on Rijndael Rounds and Carry-less Multiplication  (неопр.) (3 ноября 2008). Дата обращения: 11 ноября 2008. Архивировано 2 декабря 2013 года.
58. Jean-Philippe Aumasson, Orr Dunkelman, Florian Mendel, Christian Rechberger, Søren S. Thomsen. Cryptanalysis of Vortex  (неопр.) (PDF) (2009). Дата обращения: 19 мая 2009. Архивировано 12 ноября 2013 года.
59. Hash Functions | CSRC  (неопр.). Дата обращения: 12 ноября 2013. Архивировано 4 июня 2009 года.
60. Neil Sholer. Abacus: A Candidate for SHA-3  (неопр.) (PDF) (29 октября 2008). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
61. Gregory G. Rose. Design and Primitive Specification for Boole  (неопр.) (PDF). Дата обращения: 8 ноября 2008. Архивировано 6 июля 2011 года.
62. Gregory G. Rose. OFFICIAL COMMENT: BOOLE  (неопр.) (PDF) (10 декабря 2008). Дата обращения: 23 декабря 2008. Архивировано 13 июля 2009 года.
63. David A. Wilson. The DCH Hash Function  (неопр.) (PDF) (23 октября 2008). Дата обращения: 23 ноября 2008. Архивировано 12 ноября 2013 года.
64. Natarajan Vijayarangan. A NEW HASH ALGORITHM: Khichidi-1  (неопр.) (PDF). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
65. Björn Fay. MeshHash  (неопр.) (PDF). Дата обращения: 30 ноября 2008. Архивировано 12 ноября 2013 года.
66. Orhun Kara; Adem Atalay, Ferhat Karakoc and Cevat Manap.: SHAMATA hash function: A candidate algorithm for NIST competition  (неопр.). Дата обращения: 10 ноября 2008. Архивировано из оригинала 1 февраля 2009 года.
67. Michal Trojnara. StreamHash Algorithm Specifications and Supporting Documentation  (неопр.) (PDF) (14 октября 2008). Дата обращения: 15 декабря 2008. Архивировано 12 ноября 2013 года.
68. Rafael Alvarez; Gary McGuire and Antonio Zamora.: The Tangle Hash Function  (неопр.) (PDF). Дата обращения: 11 декабря 2008. Архивировано 12 ноября 2013 года.
69. John Washburn. WAMM: A CANDIDATE ALGORITHM FOR THE SHA-3 COMPETITION  (неопр.) (PDF). Дата обращения: 9 ноября 2008. Архивировано из оригинала 19 ноября 2008 года.
70. OFFICIAL COMMENT: WaMM is Withdrawn  (неопр.) (PDFauthor=John Washburn) (20 декабря 2008). Дата обращения: 23 декабря 2008. Архивировано 13 июля 2009 года.
71. Bob Hattersly. Waterfall Hash - Algorithm Specification and Analysis  (неопр.) (PDF) (15 октября 2008). Дата обращения: 9 ноября 2008. Архивировано 12 ноября 2013 года.
72. Bob Hattersley. OFFICIAL COMMENT: Waterfall is broken  (неопр.) (PDF) (20 декабря 2008). Дата обращения: 23 декабря 2008. Архивировано 13 июля 2009 года.
73. Bruce Schneier. Skein and SHA-3 News  (неопр.) (19 ноября 2008). Дата обращения: 23 декабря 2008. Архивировано 12 ноября 2013 года.
74. Jason Lee. HASH 2X  (неопр.). TI BASIC Developer (6 ноября 2008). Дата обращения: 6 ноября 2008. Архивировано 2 мая 2009 года.
75. HASH 2X  (неопр.). TI BASIC Developer (6 ноября 2008). Дата обращения: 6 ноября 2008. Архивировано 2 мая 2009 года.
76. Robert J. Jenkins Jr. Algorithm Specification  (неопр.). Дата обращения: 15 декабря 2008. Архивировано 22 декабря 2008 года.
77. Internal collision attack on Maraca  (неопр.) (PDF). Дата обращения: 15 декабря 2008. Архивировано 12 ноября 2013 года.
78. Geoffrey Park. NKS 2D Cellular Automata Hash  (неопр.) (PDF) (недоступная ссылка — история). Дата обращения: 9 ноября 2008.
79. Cristophe De Cannière. Collisions for NKS2D-224  (неопр.) (13 ноября 2008). Дата обращения: 14 ноября 2008. Архивировано 12 ноября 2013 года.
80. Brandon Enright. Collisions for NKS2D-512  (неопр.) (14 ноября 2008). Дата обращения: 14 ноября 2008. Архивировано 12 ноября 2013 года.
81. Peter Schmidt-Nielsen. Ponic  (неопр.) (PDF). Дата обращения: 9 ноября 2008. Архивировано 12 ноября 2013 года.
82. María Naya-Plasencia. Second preimage attack on Ponic  (неопр.) (PDF). Дата обращения: 30 ноября 2008. Архивировано 22 июля 2011 года.
83. ZK-Crypt Homepage  (неопр.). Дата обращения: 1 марта 2009. Архивировано из оригинала 9 февраля 2009 года.
84. Архивированная копия  (неопр.). Дата обращения: 12 ноября 2013. Архивировано 10 мая 2012 года.

Ссылки

• NIST website for competition Архивная копия от 9 июля 2011 на Wayback Machine
• Official list of second round candidates Архивировано 10 апреля 2012 года.
• Official list of first round candidates Архивная копия от 4 июня 2009 на Wayback Machine
• SHA-3 Zoo Архивная копия от 12 ноября 2013 на Wayback Machine
• Classification of the SHA-3 Candidates Архивная копия от 10 мая 2012 на Wayback Machine
• Hash Function Lounge
• VHDL source code developed by the Cryptographic Engineering Research Group (CERG) at George Mason University Архивная копия от 25 апреля 2012 на Wayback Machine