https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Gr%C3%B8stlGrøstl - Versionsgeschichte2026-06-24T01:14:03ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Gr%C3%B8stl&diff=2159731&oldid=previmported>Megatherium am 21. Juni 2025 um 10:07 Uhr2025-06-21T10:07:44Z<p></p>
<p><b>Neue Seite</b></p><div>{{Infobox Kryptologische Hashfunktion<br />
| name = Grøstl<br />
| bild = <br />
| bildname = <br />
| entwickler = Praveen Gauravaram, Lars R. Knudsen, Krystian Matusiewicz, Florian Mendel, Christian Rechberger, Martin Schläffer, Søren S. Thomsen<br />
| datum = 2008<br />
| abgeleitet = AES<br />
| zertifizierung = Finalist im [[SHA-3]] Auswahlverfahren<br />
| hashlänge = 224, 256, 384, 512<br />
| struktur = wide-pipe [[Merkle-Damgård-Konstruktion]]<br />
| runden = 10 (Grøstl-224, Grøstl-256) <br/> 14 (Grøstl-384, Grøstl-512)<br />
| kryptoanalyse = M. Schläffer: Updated Differential Analysis of Grøstl. January 2011. <br/>Kollision auf 3 Runden von Grøstl-224 und Grøstl-256 mit einer Zeitkomplexität von 2<sup>64</sup> und auf 3 Runden von Grøstl-512 mit einer Zeitkomplexität von 2<sup>192</sup><ref>M. Schläffer: [http://www.groestl.info/groestl-analysis.pdf Updated Differential Analysis of Grøstl]. January 2011. </ref><br />
| Feldname11 = | Daten11 = <br />
}}<br />
<br />
'''Grøstl''' ist eine [[Kryptologische Hashfunktion|kryptographische Hashfunktion]]. Sie wurde von einem Team dänischer und österreichischer Wissenschaftler um den Kryptographen [[Lars Knudsen (Kryptologe)|Lars Knudsen]] entwickelt. Grøstl war einer der Kandidaten im Wettbewerb für den Standard [[SHA-3]]. Er wurde im Dezember 2010 als einer von fünf Finalisten ausgewählt.<br />
<br />
Benannt wurde es nach dem österreichischen Gericht [[Tiroler Gröstl|Gröstl]], welches dem US-amerikanischen [[Hash Browns|Hash]] ähnelt.<ref>[http://www.groestl.info/name.html Herleitung des Namens]</ref><br />
<br />
== Aufbau ==<br />
<br />
Die Nachricht wird [[Padding (Informatik)|erweitert]] durch Anfügen eines 1-Bits, gefolgt von 0-Bits und der Länge <math>t</math> der erweiterten Nachricht in Blöcken. Dann wird sie in Blöcke <math>m_1 \dots m_t</math> von je <math>l</math> [[Bit]] geteilt, die nacheinander verarbeitet werden. Ein Block wird zusammen mit einem Verkettungswert <math>v_i</math> von ebenfalls <math>l</math> Bit in eine Kompressionsfunktion eingegeben, die den nächsten Verkettungswert liefert. Der letzte Verkettungswert wird in eine Finalisierungsfunktion eingegeben, die den Hashwert berechnet:<br />
: <math>v_i = f(v_{i-1}, m_i); \; i = 1,2,\dots,t</math><br />
: <math>h = g(v_t)</math>.<br />
<math>v_0</math> ist ein [[Initialisierungsvektor]], der die Länge <math>n</math> des zu berechnenden Hashs enthält. Grøstl kann [[Hashwert|Hashwerte]] von <math>n=8</math> bis <math>n=512</math> Bit berechnen, in ganzen Byte-Schritten. Mit ''Grøstl-n'' bezeichnet man die Variante mit <math>n</math> Bit Hash-Länge. Die Blocklänge <math>l</math> richtet sich nach der Hash-Länge; es ist <math>l = 512</math> für <math>n \le 256</math> und <math>l = 1024</math> für größere Hash-Längen.<br />
<br />
Die Kompressions- und die Finalisierungsfunktion beruhen auf zwei Permutationen <math>P,Q</math>, die jeweils eine <math>l</math> Bit-Eingabe auf eine ebenso lange Ausgabe [[Bijektive Funktion|bijektiv]] abbilden:<br />
: <math>f(v,m) = P(v \oplus m) \oplus Q(m) \oplus v</math><br />
: <math>g(v) = \operatorname{trunc}(P(v) \oplus v,n)</math><br />
<math>\oplus</math> steht für die bitweise [[Bitweiser Operator#XOR|XOR-Verknüpfung]]. Die Funktion <math>\operatorname{trunc}(x,n)</math> liefert (in diesem Fall) die letzten <math>n</math> Bits von <math>x</math> ([[Trunkierung (Mathematik)|Trunkierung]]).<br />
<br />
<math>P</math> und <math>Q</math> wenden 10 mal (<math>l=512</math>) bzw. 14 mal (<math>l=1024</math>) eine Rundenfunktion auf den [[Datenblock]] an, um dessen Werte zu permutieren. Sie sind sehr ähnlich wie die [[Blockverschlüsselung]] [[Advanced Encryption Standard|AES]] aufgebaut, unter anderem wird dafür dieselbe [[S-Box]] genutzt, sowie eine MixColumns-Operation, die prinzipiell der [[Rijndael MixColumns]] gleicht, aber auf acht statt vier Bytes arbeitet.<br />
<br />
== Sicherheit ==<br />
<br />
Im SHA-3-Auswahlverfahren wurde die&nbsp;– im Vergleich zu anderen Finalisten&nbsp;– geringe Sicherheitsmarge bemängelt, sowie mögliche ''cache-time attacks'', die jedoch abhängig von der Implementierung sind. Als Vorteile galten die intensive [[Kryptoanalyse]] und das gute Verständnis aufgrund der Ähnlichkeit zur Blockchiffre AES<ref>National Institute of Standards and Technology: ''Third-Round Report of the SHA-3 Cryptographic Hash Algorithm Competition''. November 2010. S. 33 {{doi|10.6028/NIST.IR.7896}}</ref>.<br />
<br />
== Weblinks ==<br />
* [http://www.groestl.info/ Offizielle Website]<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
{{SORTIERUNG:Grostl}}<br />
[[Kategorie:Kryptographische Hashfunktion]]</div>imported>Megatherium