The circulant hash revisited

Filipe Araujo; Samuel Neves

doi:10.1515/jmc-2018-0054

开放式访问发布人：德古意特出版社 2020年12月3日

重新访问循环散列

菲利佩·阿劳霍和塞缪尔·内维斯

来自日志数学密码学杂志

https://doi.org/10.1515/jmc-2018-0054

摘要

在ProvSec 2013上，Minematsu提出了循环散列，这是一种只使用异或和旋转操作的几乎是异或的通用散列。循环散列是Carter和Wegman的一个变体H（H）_三散列和Krawczyk的Toeplitz散列，这两种散列都是基于𝔽₂在本文中，我们重新讨论了循环散列，并将其重新解释为多项式环中的乘法𝔽₂[x个]/(x个^n个+ 1). 这导致了更简单的证明，更快地在现代计算机芯片中实现，以及具有实际实现优势的更新变体。

关键词：循环散列;几乎通用散列;数据相关旋转

MSC 2010年：94A60型;94A62型;11T71型

1引言

通用散列是由Carter和Wegman正式引入的[1，2，三]在数据结构、身份验证和许多其他领域都有许多应用。在密码学中，普遍散列经常出现在Wegman-Carter-Shoup中[三，4]验证器及其变体。幸运[5]以及后来的Naor-Reingold[6]显示了4轮Luby-Rackoff结构的第一轮和最后一轮可以是通用的。通用散列函数在随机性提取中也非常有用，通过剩余的散列引理[7].

事实上，通用散列在身份验证中的使用确实早于Carter和Wegman，通常归因于Gilbert、MacWilliams和Sloane的多线性散列[8]以及Zobrist[9]。此后，人们提出了许多实用的通用散列函数，包括整数乘法和移位[10]，多项式求值[11，12，13]、多项式或整数余数[14，15]，或Toeplitz矩阵[16]。实现尽可能快的速度仍然是一个受欢迎的研究问题，新的提案正在定期发布。

其中一个几乎是xor通用散列函数循环散列最近由Mine-matsu提出[17]。其描述见定义1.1.

定义1.1

让n个是一个正整数。循环散列（CLH）是键控函数｛0，1｝^n个×{0, 1}^n个⁻¹↦ {0, 1}^n个定义为

(1) C类 L（左） H（H） n个 ( k个，一 ) = ⨁ 我 = 0 n个 − 1 k个 ⋘ 我如果一我 = 1 .

换句话说，散列由密钥的xor组成k个按输入非零位位置定义的数量旋转一或者，CLH是一种矩阵-向量乘法，其中矩阵是循环矩阵（因此得名）。Minematsu证明了这个函数是2/2^n个-几乎异或通用。

定理1.2

([17，引理1]）。设k是均匀采样的键{0, 1}^n个.我们有

P（P）对 k个 [ C类 L（左） H（H） n个 ( k个，一 ) Ş C类 L（左） H（H） n个 ( k个， b条 ) = c（c） ] ≤ 2 / 2 n个和 P（P）对 k个 [ C类 L（左） H（H） n个 ( k个，一 ) = c（c） ] ≤ 2 / 2 n个，

对于n素数和2模n的本原根.

Minematsu的证据定理1.2相当复杂，并且依赖于线性代数中的非平凡结果，例如[18].

CLH与Vazirani在熵提取上下文中首次描述的“移位寄存器散列”非常相似[19]。的确，瓦齐拉尼的证明素描[19，引理2]类似于下面的第3节.

1.1贡献

我们的贡献是三重的。首先，我们用多项式算术模重新解释循环散列x个^n个+1，这使得证明简单得多(第3节)以及立即实施的可能性。其次，我们介绍了几种具有速度或灵活性优势的CLH变体(第4节和5). 最后，我们（重新）使用基本相同的技术获得了数据相关旋转的差分概率和伸缩移位散列(第6节).

2符号和定义

除非另有规定，多项式第页(x个)学位d日写为x个^d日+··+1，系数为𝔽₂.w个_我表示我第位n个-位字w个. 秒 ← $ S公司意味着秒是的元素S公司随机均匀采样。我们表示两个位字符串的串联一和b条通过一║b条.

我们将一系列散列函数定义为有限多集H（H）第页，共2页^k个函数，对于某些k个，每个小时∈H（H）具有域{0，1}^n个和范围{0，1}^米对于一些常量n个和米.

通用散列的最初定义是由Carter和Wegman提出的[1]，如下所示。

定义2.1

散列函数族H（H）: {0, 1}^n个↦ {0, 1}^米尺寸为2^k个是¦Β-几乎是通用的，如果对每个不同的一，b条∈ {0, 1}^n个最多有¦Β· 2^k个功能小时∈H（H）这样的话小时(一) =小时(b条). 换句话说，

P（P）对小时 ∈ H（H） [ 小时 ( 一 ) = 小时 ( b条 ) ] ≤ ¦Β .

如果¦Β= 2^−n个，H（H）被简单地称为通用。

接下来将提出一个更有力的概念。Krawczyk独立陈述了这一点[16]、罗加韦[20]、和幸运[5]对于xor差，并由Stinson推广到任意可加群[21].

定义2.2

散列函数族H（H）: {0, 1}^n个↦ {0, 1}^米尺寸为2^k个是¦Β-几乎xor通用如果对于每个不同的一，b条∈ {0, 1}^n个最多有¦Β2^k个功能小时∈H（H）这样的话小时(一) ⊕小时(b条) =c（c），对于任何c（c）∈ {0, 1}^米换句话说，

P（P）对小时 ∈ H（H） [ 小时 ( 一 ) ⊕ 小时 ( b条 ) = c（c） ] ≤ ¦Β .

如果¦Β= 2^−n个，H（H）简单地称为xor通用。

异或通用散列函数必然是通用的；这是特例c（c）= 0.

3更简单的证明定理1.2

我们的证明方法遵循Rivest的指导[22]并通过以下方式观察比特旋转的自然嵌入我作为乘法x个^我在拳击场上𝔽₂[x个]/(x个^n个+ 1). 也就是说，一个字w个属于n个位被解释为多项式

w个 0 + w个 1 x个 + ⋯ + w个 n个 − 1 x个 n个 − 1 .

此外，单词旋转我位可以解释为乘以x个^我模x个^n个+ 1^[1]，加法可以通过元素向加法模2完成，即xor。再加上恒等式0和1，就得到了环𝔽₂[x个]/(x个^n个+ 1). 循环矩阵的这种解释经常出现在纠错代码文献中[23]，细胞自动机[24，25]以及密码设计[26].

根据这一理解，我们可以重申定义1.1如下所示。

定义3.1

让n个是一个正整数。循环散列（CLH）是键控函数{0，1}^n个×{0, 1}^n个⁻¹↦ {0, 1}^n个定义为

（2） C类 L（左） H（H） n个 ( k个，一 ) = k个 ⋅ 一国防部 ( x个 n个 + 1 ) .

这个定义不仅比Minematsu的更具解释力，而且还清楚地表明，我们是根据数据旋转键，还是根据副变量旋转键都无关紧要。这允许可变时间实现，而不存在定时副通道攻击的风险。它还清楚地说明了在硬件支持的常见情况下，如何用无进位乘法实现此函数定理1.2.

定理3.2

让 k个 ← $ { 0 ， 1 } n个 . 对于任何不同的a、b∈ {0, 1}^n个⁻¹ 和c∈{0, 1}^n个，我们有

P（P）对 k个 [ C类 L（左） H（H） n个 ( k个，一 ) ⊕ C类 L（左） H（H） n个 ( k个， b条 ) = c（c） ] ≤ 2 / 2 n个和 P（P）对 k个 [ C类 L（左） H（H） n个 ( k个，一 ) = c（c） ] ≤ 2 / 2 n个，

对于n素数和2模n的本原根.

证明

自CLH以来_n个(k个，一)明显是线性的，即。，k个·一+k个·b≡k· (一+b条)（修订版x个^n个+1），证明非零输入的一致性就足够了[16，定理6]。

如果n个是一个奇素数，x个^n个+1个因素作为(x个+ 1)Φ_n个(x个),Φ_n个(x个)作为n个第个分圆多项式x个^n个⁻¹+x个^n个⁻²+ · · · +x个+ 1. 假设Φ_n个(x个)是不可约模2。因为一最多是n个− 2,一国防部Φ_n个(x个)=一我们可以分析CLH模的行为Φ_n个(x个)和x个+1个独立的：

模Φ_n个(x个). 这是一个有限域乘法。因此，任何方程式k个·a≡c（修订版Φ_n个(x个))有独特的解决方案k≡ca⁻¹（修订版Φ_n个(x个)).
模块x个+ 1. 通过计数参数，最多可以有2个满足k个·a≡c（修订版(x个+1）用于任何参数选择。

将这两种情况与中国剩余定理相结合，我们最多得到两个不同的解。

尚待确定Φ_n个(x个)是不可约的。这直接源于以下事实n个是质数，Φ_n个(x个)是n个第个分圆多项式，2是本原根模n个[27, §1.6]. 因此，微分概率最多为2/2^n个. □

备注3.3

Minematsu强加的条件n个正是该领域存在I型最佳正常基础的必要条件吗𝔽₂^n个−1最优正规基是二元域上多项式的极快表示，以至于二元椭圆曲线的域大小通常被选择为已知存在这样的基[28].

事实上，循环散列是I型最优正规基的“重影位”冗余表示的乘积[29，30]，只有一个例外——最终结果仍在积分榜上𝔽₂[x个]/(x个^n个+1）而不是降低模数Φ_n个(x个). 通过“所有一个”多项式的简化非常简单，并且可以实现直接的{0，1}^n个⁻¹× {0, 1}^n个⁻¹↦ {0, 1}^n个⁻¹有限域乘法散列-简单地添加系数x个^n个⁻¹多项式中的每个系数，即。，

( w个 0 + w个 n个 − 1 ) + ( w个 1 + w个 n个 − 1 ) x个 + ⋯ + ( w个 n个 − 1 + w个 n个 − 1 ) x个 n个 − 1 ，

并输出第一个n个−1系数。这可以在计算机上通过一次异或和算术移位来实现。

4多项式评估

设计接受任意大小输入的通用哈希的一种非常成功的方法是多项式求值[31，32]。我们在上一节中对循环散列的解释使用了一种直接的多项式求值变量，它允许任意大小的输入。

在这种情况下，我们将米(n个−1）-位输入消息一进入之内米块(一₀，一₁, . . . ,一_米₋₁)第页，共页n个−每个1位，根据需要填充^[2]。我们解释信息一作为学位米系数为的多项式𝔽₂[x个]/(x个^n个+1):

(3) 一 ( X（X） ) = X（X）米 ⋅ 一米 − 1 + X（X）米 − 1 ⋅ 一米 − 2 + ⋯ + X（X） ⋅ 一 0 + 0 .

我们现在可以定义散列函数PCLH(k个，一)作为此多项式的求值k个.

定义4.1

让n个是一个正整数。多项式求值循环散列（PCLH）是键控函数{0，1}^n个× {0, 1}^{(n个−1)米}↦{0, 1}^n个定义为

(4) P（P） C类 L（左） H（H） n个 ( k个，一 ) = ∑ 我 = 1 米 k个我 ⋅ 一我国防部 ( x个 n个 + 1 ) = 一 ( k个 ) .

定理4.2

设n是这样的素数2是基元根模n。对于最多m个块的消息，多项式散列PCLH公司_n个是2米/2^n个-几乎异或通用.

证明

按线性，PCLH_n个(k个，一)+PCLH公司_n个(k个，b条)=PCLH_n个(k个，一+b条)，其中一+b条表示形式（3）的多项式的加法。此外，PCLH_n个(k个，一+b条) = (一+b条)(k个). 因此，我们有(一+b条)(k个) =c（c），从中可以看出(一+b条+c（c）)(k个)=0，表示键的数目与多项式的根的数目一致一+b条+c（c），最多有学位米.

如中所示定理1.2，考虑到n个我们可以考虑散列模的行为x个+1和Φ_n个(x个)独立地：

–模数Φ_n个(x个). 这是一个有限域多项式求值和代数基本定理的应用——最多有米学位的根米多项式的。

–模数x个+ 1. 这里，通过一个简单的计数参数，任何多项式的根都不能超过2个。

这导致概率最多为2米/2^n个.案例米=1正好是定理1.2. □

5 2次幂的变体

按照原始CLH函数的要求，操作素数大小的块不是很方便。理想情况下，一个可以使用两个块的“自然”功率，例如n个=128。为此，我们定义了循环散列的一个新变体，该变体在此设置中起作用。

定义5.1

让n个是2的幂。修改后的循环散列（MCLH）是键控函数{0，1}^n个× {0, 1}^n个⁻¹↦ ｛0，1｝^n个定义为

(5) M（M） C类 L（左） H（H） n个 ( k个，一 ) = k个 ⋅ 一 + x个 n个 − 1 ( 一 + 1 国防部 ( x个 + 1 ) ) 国防部 ( x个 n个 + 1 ) .

在此变体中，而不是保留(n个−1）第个系数为空，我们使用它来确保输入总是可逆模x个^n个+1与内射变换（a）+x个^n个⁻¹(一+1个模块(x个+ 1)). MCLH的输入可以等效地定义为{0，1}的每个元素^n个比特数为奇数。引理5.2证明情况确实如此。

引理5.2

对于任何一∈ {0, 1}^n个⁻¹, (一+x个^n个⁻¹(一+1个模块(x个+1））模块(x个+ 1) = 1.

证明

x个^n个⁻¹模块(x个+ 1) = (x个^n个⁻¹)（1）根据多项式余数定理=1。因此，

= 一 + x个 n个 − 1 ( 一 + 1 国防部 ( x个 + 1 ) ) 国防部 ( x个 + 1 ) = 一国防部 ( x个 + 1 ) + ( 一 + 1 ) 国防部 ( x个 + 1 ) = 1

□

我们现在证明MCLH是一个几乎是异或的通用散列。

定理5.3

让n成为2.让 k个 ← $ { 0 ， 1 } n个 . 对于任何不同的，b条∈ {0, 1}^n个⁻¹ 和c∈ {0, 1}^n个，我们有

P（P）对 k个 [ M（M） C类 L（左） H（H） n个 ( k个，一 ) ⊕ M（M） C类 L（左） H（H） n个 ( k个， b条 ) = c（c） ] ≤ 1 / 2 n个和 P（P）对 k个 [ M（M） C类 L（左） H（H） n个 ( k个，一 ) = c（c） ] ≤ 1 / 2 n个 .

证明

再次，通过线性，它足以证明 P（P）对 k个 [ M（M） C类 L（左） H（H） n个 ( k个，一 ) = c（c） ] ≤ 1 / 2 n个 . 因为我们在特征2和n个是2的幂，x个^n个+1 = (x个+1)^n个因此，如果gcd(一，x个+1）=1，则gcd(一, (x个+1)^n个)=1表示任何阳性n个.

给出一个等式k个·a≡c（修订版x个^n个+1），有一个独特的k个这样的话k≡ca⁻¹（修订版x个^n个+1）。一总是可逆模x个^n个+1按结构，如所示引理5.2. □

备注5.4

价值观一模块(x个+1）可以使用英特尔指令popcnt等进行有效计算。它也可以通过跟踪输入的奇偶性来计算。

6相关功能

6.1数据相关旋转

前几节中使用的相同数学框架也可用于表明，当旋转量存在差异时，数据相关旋转的微分概率较低。在定理6.1我们重新推导了[33]就乘法而言𝔽₂[x个]/(x个^n个+ 1).

定理6.1

([33]).让n成为2、和 k个 ← $ { 0 ， 1 } n个， 和不同的r₁，对₂∈ {0, 1, . . . ,n个− 1}是输入。然后

P（P）对 k个 [ k个 ⋘ 对 1 ⊕ k个 ⋘ 对 2 = c（c） ] ≤ 2 gcd公司 ( 对 2 − 对 1 ， n个 ) − n个 .

证明

如上所述，k个≪对₁ ？k（千）≪对₂等于k个· (x个^第1个+x个^第2页)模块(x个^n个+ 1). 因此，我们希望约束k个· (x个^第1个+x个^第2页)模块(x个^n个+ 1) =c（c）。我们首先将其重写为k个· k个 ⋅ x个对 2 − 对 1 + 1 = c（c） ⋅ x个 − 对 1 .

我们可以考虑任何指数对₂−对₁国防部n个作为2^第页·q个，表示奇数q个.然后x个^r2负极对1+1 = (x个^q个+1)^2第页= (x个+1)^2第页(x个^q个⁻¹+x个^q个⁻²+ · · · + 1)^2第页。我们现在可以将上述等式进一步改写为

(6) k个 ⋅ ( x个 + 1 ) 2 第页 = c（c） ⋅ x个 − 对 1 ⋅ ( x个 q个 − 1 + x个 q个 − 2 + ⋯ + 1 ) − 2 第页，

因为右边的乘数都是这个环中的单位。剩下的因子(x个+1)^2第页还有待处理。自2起^第页划分n个，乘以(x个+1）^2第页是一个满射群同态发送𝔽₂[x个]/(x个^n个+1）到的唯一子组𝔽₂[x个]/(x个^n个+1）订单2^n个^−2第页因此，每个键都是2中的一个^2便士该子组中的等效表示，k个+t吨·(x个+1)^n个^−2第页对于t吨度小于2^第页如果（6）的右侧属于子群，即它与0模同余(x个+ 1)^2第页，子组中有一个唯一的解，对应的解为2^2便士主要组中的等效项；否则就没有解决方案。

最后，因为n个是2的幂，我们有2^第页=全球气候变化日(对₂−对₁，n个). 总的来说，我们最多有2个^{gcd公司(对2−对1,n个)}任何给定项的可能键对₁，对₂，c（c），导致最大概率为2^{gcd公司(对2−对1,n个)−n个}. □

6.2拉伸-位移

OCB3认证加密模式[34]引入了一个特殊用途的几乎是xor的通用函数stretch-then-shift-to散列一个nonce的6个最低有效位。此函数，H（H）^c（c）(k个，一)，使用128位密钥k个，6位输入一，并输出结果的前128位：

H（H） c（c） ( k个，一 ) = ( 伸展 ( k个 ) ≪ 一 ) [ 0 … 127 ] ，

哪里伸展(k个)定义为韩国(k c公司)，对于一些常量c（c）< 128.

与循环散列的情况一样，伸缩移位的作者仅为其函数的几乎异或通用性提供了线性代数理论基础。然而，我们也可以提供多项式解释，再次使事情变得简单。我们可以把这个函数理解为等价于环中的乘法𝔽₂[x个]/(x个¹²⁸+x个^c（c）+ 1). 也就是说，

H（H） c（c） ( k个，一 ) = k个 ⋅ x个一国防部 ( x个 128 + x个 c（c） + 1 ) .

这直接源于以下事实：一等于多项式乘以x个^一，和多项式的约简（f）度<256−c（c）模x个¹²⁸+x个^c（c）+1可以写成

（f）国防部 ( x个 128 + x个 c（c） + 1 ) = （f）国防部 x个 128 + ⌊ （f） / x个 128 ⌋ ⋅ ( x个 c（c） + 1 ) ，

自从x个¹²⁸国防部x个¹²⁸+x个^c（c）+1 =x个^c（c）+因此，伸缩移位散列只不过是三项式的优化多项式乘法。由于不存在128度的不可约三项式，因此分析过程与旋转情况类似。

我们现在证明定理6.2OCB3中使用的具体换档选择，H（H）⁸，生成异或通用散列。

定理6.2

让 k个 ← $ { 0 ， 1 } 128 ，和distinct a，b条∈ {0, 1, . . . , 63}是输入。那么，对于任何c∈ {0, 1}¹²⁸，

P（P）对 k个 H（H） 8 ( k个，一 ) ⊕ H（H） 8 ( k个， b条 ) = c（c） ≤ 2 − 128 .

证明

我们使用的是H（H）⁸到k个·x个^一模块(x个¹²⁸+x个⁸+1). 我们和以前一样，k个·x个^一+k个·x个^b条=k个·(x个^一+x个^b条) =c（c）可以写为k个· (x个^一^−b条+ 1) =c（c）·x个^−b条.只要两者都有x个^一^−b条和x个^−b条是唯一的（即可逆模x个¹²⁸+x个⁸+1），有一个独特的k个满足方程。

模量x个¹²⁸+x个⁸+1个因素作为(x个⁸+x个⁶+x个⁵+x个^三+ 1)⁸(x个⁸+x个⁶+x个⁵+x个⁴+x个^三+x个+ 1)⁸.作为x个^−b条与它没有共同的因素，我们只需要关注x个^一^−b条+ 1. 在不失一般性的情况下，我们考虑积极的差异一>b条只有。只要x个^一^−b条+1与模量没有因子，这个乘法是可逆的。我们重写了x个^一^−b条+1作为x个^一^−b条=1模量的任何系数，即x个.的顺序x个模x个⁸+x个⁶+x个⁵+x个^三+1为255；的顺序x个模x个⁸+x个⁶+x个⁵+x个⁴+x个^三+x个+1是85。因此，只要一−b条∈ [−84, . . . , 84],H（H）⁸是内射的，因此对于任何c（c）最多只能有一种选择k个存在。□

这种解释也为我们找到合适的常数提供了有效的方法c（c）.给出了三项式的因式分解x个¹²⁸+x个^c（c）+1，函数是xor通用的，只要x个每个因子都有足够大的阶模。或者，gcd(x个^一+ 1,x个¹²⁸+x个^c（c）+1）=一.

工具书类

[1]Mark N.Wegman和Larry Carter，Hash函数的新类和应用，收录于：第20届计算机科学基础年度研讨会，波多黎各圣胡安，1979年10月29日至31日第175-182页，IEEE计算机学会，1979年。10.1109/SFCS.1979年9月26日在谷歌学者中搜索

[2]Larry Carter和Mark N.Wegman，哈希函数的通用类，J.计算。系统。科学.¹⁸(1979), 143–154.10.1016/0022-0000(79)90044-8在谷歌学者中搜索

[3]Mark N.Wegman和Larry Carter，新哈希函数及其在身份验证和集合相等中的应用，J.计算。系统。科学.²²(1981), 265–279.10.1016/0022-0000(81)90033-7在谷歌学者中搜索

[4]Victor Shoup，《基于通用哈希的快速、可靠的消息认证》，载于：《密码学进展——96年密码学》，第16届国际密码学年会，美国加利福尼亚州圣巴巴拉，1996年8月18日至22日，会议记录（Neal Koblitz编辑），《计算机科学讲义1109》，第313–328页，施普林格出版社，1996年。10.1007/3-540-68697-5_24在谷歌学者中搜索

[5]Stefan Lucks，Faster Luby-Rackoff密码，in：《快速软件加密》，第三届国际研讨会，英国剑桥，1996年2月21日至23日，会议记录（Dieter Gollmann编辑），《计算机科学1039讲义》，第189-203页，Springer出版社，1996年。10.1007/3-540-60865-6_53在谷歌学者中搜索

[6]Moni Naor和Omer Reingold，关于伪随机排列的构造：Luby-Rackoff重访，J.密码学 ¹²(1999), 29–66.2007年10月10日/PL00003817在谷歌学者中搜索

[7]Russell Impagliazzo、Leonid A.Levin和Michael Luby，《单向函数的伪随机生成》（扩展摘要），收录于：1989年5月14日至17日在美国华盛顿州西雅图举行的第21届ACM计算理论年会论文集（David S.Johnson编辑），第12-24页，ACM，1989年。在谷歌学者中搜索

[8]埃德加·N·吉尔伯特、F·杰西·麦克威廉姆斯和尼尔·J·A·斯隆，《侦测欺骗的密码》，贝尔系统技术期刊 ⁵³(1974), 405–424.10.1002/j.1538-7305.1974.待定02751.x在谷歌学者中搜索

[9]阿尔伯特·佐布里斯特，一种新的散列方法及其在游戏中的应用威斯康星大学麦迪逊分校计算机科学系，报告编号#88，1970年4月。在谷歌学者中搜索

[10]Martin Dietzfelbinger，通过无素数整数算术实现通用散列和k-Wise独立随机变量，in：STACS 96，第13届计算机科学理论方面年度研讨会，法国格勒诺布尔，1996年2月22日至24日，会议记录（Claude Puech和Rüdiger Reischuk编辑），《计算机科学讲义》1046，第569–580页，施普林格出版社，1996年。10.1007/3-540-60922-9_46在谷歌学者中搜索

[11]Bert den Boer，一个简单的密钥经济无条件认证方案，计算机安全杂志 ²(1993), 65–72.在谷歌学者中搜索

[12]Jürgen Bierbrauer、Thomas Johansson、Gregory Kabatianskii和Ben J.M.Smeets，《通过几何码和级联的哈希函数族》，收录于：密码学进展——93年密码学会议，第13届国际密码学年会，美国加利福尼亚州圣巴巴拉，1993年8月22日至26日，会议记录（Douglas R.Stinson编辑），《计算机科学讲义》773，第331–342页，施普林格出版社，1993年。10.1007/3-540-48329-2_28在谷歌学者中搜索

[13]理查德·泰勒（Richard Taylor），《近最优无条件安全认证》（Near Optimal Unconditional Secure Authentication），载于：密码学进展——1994年欧洲密码技术研讨会，密码技术理论与应用研讨会，意大利佩鲁贾，1994年5月9日至12日，会议记录（阿尔弗雷多·德·桑蒂斯（Alfredo De Santis）主编），《计算机科学950讲义》，第244-253页，斯普林格出版社，1994年。在谷歌学者中搜索

[14]迈克尔·拉宾，随机多项式指纹识别哈佛大学计算技术研究中心，报告编号TR-CSE-03-011981年。在谷歌学者中搜索

[15]Richard M.Karp和Michael O.Rabin，高效随机模式匹配算法，IBM研究与开发杂志 ³¹(1987), 249–260.10.1147/rd.312.0249在谷歌学者中搜索

[16]Hugo Krawczyk，基于LFSR的哈希和身份验证，在：《密码学进展——1994年密码体制》，第14届国际密码学年会，美国加利福尼亚州圣巴巴拉，1994年8月21日至25日，会议记录（Yvo Desmedt编辑），《计算机科学讲义839》，第129–139页，斯普林格出版社，1994年。10.1007/3-540-48658-5_15在谷歌学者中搜索

[17]Kazuhiko Minematsu，比特旋转的短通用散列函数，以及在分组密码模式中的应用，收录于：Provable Security——第七届国际会议，ProvSec 2013，马来西亚马六甲，2013年10月23日至25日。诉讼程序（威利·苏西洛（Willy Susilo）和雷扎·雷哈尼塔巴（Reza Reyhanitabar）主编），《8209年计算机科学讲义》，第221-238页，施普林格出版社，2013年。10.1007/978-3-642-41227-1_13在谷歌学者中搜索

[18]D.E.Daykin，关于矩阵的秩（f） 一个以及有限域上某些矩阵的枚举，伦敦数学学会杂志 ^第1-35节(1960), 36–42.10.1112/jlms/s1-35.1.36在谷歌学者中搜索

[19]Umesh V.Vazirani，使用半随机源的效率考虑（扩展摘要），收录于：1987年美国纽约州纽约市第19届ACM计算理论年会论文集（Alfred V.Aho，编辑），第160–168页，ACM，1987年。10.1145/28395.28413在谷歌学者中搜索

[20]Phillip Rogaway，Bucket Hashing及其在快速消息认证中的应用，J.密码学 ¹²(1999), 91–115.2007年10月10日/PL00003822在谷歌学者中搜索

[21]Douglas R.Stinson，《关于通用散列、组合设计和纠错码之间的联系》，载于：国会数字114第7-27页，1996年。在谷歌学者中搜索

[22]Ronald L.Rivest，二进制单词旋转的异或可逆性，国际期刊计算。数学.⁸⁸(2011), 281–284.10.1080/00207161003596708在谷歌学者中搜索

[23]Ding Cunsheng和Zhou Zhengchun、GF（2m）上显式多项式的二进制循环码，离散数学 ³²¹(2014), 76–89.2016年10月10日/j.disc.2013.12020在谷歌学者中搜索

[24]Olivier Martin、Andrew M.Odlyzko和Stephen Wolfram，细胞自动机的代数性质，公共数学。物理.⁹³(1984), 219–258.2007年10月10日/BF01223745在谷歌学者中搜索

[25]Dario Bini，Gianna M.Del Corso，Giovanni Manzini和Luciano Margara，Z上循环矩阵的反演_米 数学。计算.⁷⁰(2001), 1169–1182.10.1090/S0025-5718-00-01235-7在谷歌学者中搜索

[26]Joan Daemen，密码和散列函数设计，基于线性和差分密码分析的策略，博士论文K.U.鲁汶，1995年。在谷歌学者中搜索

[27]Ian F.Blake和Ronald C.Mullin，编码的数学理论学术出版社，1975年4月。在谷歌学者中搜索

[28]克里斯托夫·多奇，有限域算术椭圆和超椭圆曲线密码手册。（亨利·科恩（Henri Cohen）、格哈德·弗雷（Gerhard Frey）、罗伯托·阿文齐（Roberto Avanzi）、克里斯托夫·多奇（Christophe Doche）、坦尼娅·兰格（Tanja Lange）、金·阮（Kim Nguyen）和弗雷德里克·维考特伦（Frederik Vercauteren）编辑），查普曼。10.1201/9781420034981.ch11在谷歌学者中搜索

[29]Toshiya Itoh和Shigeo Tsujii，一类场GF（2）的并行乘法器结构^米 Inf.计算.⁸³(1989), 21–40.10.1016/0890-5401（89）90045-X在谷歌学者中搜索

[30]Joseph H.Silverman，有限域GF（2）中的快速乘法^N个英寸：《密码硬件和嵌入式系统》，第一届国际研讨会，CHES’99，美国马萨诸塞州伍斯特，1999年8月12日至13日，会议记录（乔·凯亚·科萨和克里斯托夫·帕尔主编），计算机科学1717年讲稿，第122–134页，斯普林格出版社，1999年。10.1007/3-540-48059-5_12在谷歌学者中搜索

[31]Ted Krovetz和Phillip Rogaway，《使用小密钥和无预处理的快速通用散列：PolyR构造》，收录于：信息安全和密码学——ICISC 2000，第三届国际会议，韩国首尔，2000年12月8日至9日，会议记录（Dongho-Won编辑），《2015年计算机科学讲义》，第73-89页，斯普林格出版社，2000年。10.1007/3-540-45247-8_7在谷歌学者中搜索

[32]Daniel J.Bernstein，《Poly1305 AES消息认证代码》，载于：《快速软件加密：第12届国际研讨会》，FSE 2005，巴黎，法国，2005年2月21日至23日，修订论文集（亨利·吉尔伯特（Henri Gilbert）和海伦娜·汉德施（Helena Handschuh）主编），《计算机科学讲义》3557，第32-49页，斯普林格出版社，2005年。10.1007/11502760_3在谷歌学者中搜索

[33]Scott Contini和Yiqun Lisa Yin，关于数据相关旋转的微分性质及其在MARS和RC6中的应用，载于：第二届高级加密标准（AES）会议，意大利罗马，1999年3月22日至23日1999年2月。在谷歌学者中搜索

[34]Ted Krovetz和Phillip Rogaway，认证加密模式的软件性能，在：快速软件加密-第18届国际研讨会，FSE 2011，丹麦林格比，2011年2月13日至16日，修订论文集（Antoine Joux编辑），《计算机科学讲义6733》，第306–327页，斯普林格出版社，2011年。10.1007/978-3-642-21702-9_18在谷歌学者中搜索

收到：2018-12-02

认可的：2020-06-10

在线发布：2020-12-03

本作品根据知识共享署名4.0国际许可证授权。