Hachage de cordes quasi universel dans

Voici deux familles de fonctions de hachage sur les chaînes $\vec{x} = \langle x_0 x_1 x_2 \dots x_m \rangle$ :

1. $p$$x_i \in \mathbb{Z_p}$a ∈ Z p ∀ x ≠ y , P a ( h 1 a ( x ) = h 1 a ( y ) ) ≤ m /$h^1_{a}(\vec{x}) = \sum a^i x_i \bmod p$$a \in \mathbb{Z}_p$$\forall x \neq y, P_a(h^1_a(x) = h^1_a(y)) \leq m/p$

2. Pour $x_i \in \mathbb{Z}_{2^b}$ , $h^2_{\vec{a} = \langle a_0 a_1 a_2 \dots a_{m+1}\rangle}(\vec{x}) = (a_0 + \sum a_{i+1} x_i \bmod 2^{2b}) \div 2^b$ pour $a_i \in \mathbb{Z}_{2^{2b}}$ . Lemire et Kaser ont montré dans "Le hachage de chaîne fortement universel est rapide" que cette famille est indépendante de 2. Cela implique que $\forall x \neq y, P_\vec{a}(h^2_\vec{a}(x) = h^2_\vec{a}(y)) = 2^{-b}$

$h^1$ utilise uniquement $\lg p$ bits d'espace et des bits de caractère aléatoire, tandis que $h^2$ utilise $2 b m + 2 b$ bits d'espace et des bits de caractère aléatoire. D'un autre côté, $h^2$ fonctionne sur $\mathbb{Z}_{2^{2b}}$ , ce qui est rapide sur les ordinateurs réels.

Je voudrais savoir quelles autres familles de hachage sont presque universelles (comme $h^1$ ), mais fonctionnent sur $\mathbb{Z}_{2^b}$ (comme $h^2$ ), et utilisent l' espace $o(m)$ et aléatoire.

Existe-t-il une telle famille de hachage? Ses membres peuvent-ils être évalués en temps $O(m)$ ?

Oui. Les "nouvelles fonctions de hachage et leur utilisation dans l'authentification et l'égalité des ensembles" ( miroir ) de Wegman et Carter montrent un schéma répondant aux exigences énoncées (presque universel, sur , espace sublinéaire et caractère aléatoire, évaluation linéaire temps) basé sur un petit nombre de fonctions de hachage tirées d'une famille fortement universelle.$\mathbb{Z}_{2^b}$

Ceci est parfois appelé «hachage d'arbre», et il est utilisé dans «Badger - Un MAC rapide et sécurisé de manière sûre» par Boesgaard et al .

Si vous voulez quelque chose de rapide et que vous pouvez utiliser dans la pratique, vous pouvez consulter la littérature cryptographique. Par exemple, poly1305 et UMAC sont rapides, et il y en a beaucoup d'autres. Parce que les hachages 2 universels sont utiles pour la cryptographie, les cryptographes ont étudié de nombreuses constructions et en ont trouvé des extrêmement efficaces.

Poly1305 fonctionne comme votre premier type de hachage (appelé hachage d'évaluation polynomiale ), fonctionnant modulo . Le schéma montre des astuces intelligentes pour rendre cette course très rapide sur un ordinateur moderne. La quantité d'aléatoire est petite: 128 bits.$2^{130}-5$

Si vous voulez réduire la quantité de hasard et ne vous souciez pas tellement de l'aspect pratique, vous pouvez consulter le document de recherche suivant:

• Hachage et authentification basés sur LFSR. Hugo Krawczyk. CRYPTO 1994.

Krawczyk décrit un schéma pour réduire la quantité d'aléatoire essentiellement en laissant être la ème ligne d'une matrice de Toeplitz. Cependant, le schéma de Krawczyk fonctionne sur , pas sur le modulo arithmétique . i G F ( 2 b ) 2 $a_i$$i$$GF(2^b)$$2^b$