Preneel-Bosselaers-Govaerts-Vandewalle

Эта хэш-функция, впервые предложенная в [1266], выдает хэш-значение, в два раза большее длины блока алгоритма шифрования: при 64-битовом алгоритме получается 128-битовое хэш-значение.

При 64-битовом блочном алгоритме схема выдает два 64-битовых хэш-значения, G_iи H_i, объединение которых и дает 128-битовое хэш-значение. У большинства блочных алгоритмов длина блока равна 64 битам. Два соседних блока, L_iи R_i, размер каждого равен размеру блока, хэшируются вместе.

G₀= I_G, где I_G- случайное начальное значение

H₀= I_H, , где I_H - другое случайное начальное значение

Лай приводит вскрытие этой схемы, которое в некоторых случаях делает вскрытие методом дня рождения тривиальным [925, 926]. Пренел (Preneel) [1262] и Копперсмит (Coppersmith0 [372] также успешно взломали эту схему. Не используйте ее.

Quisquater-Girault

Эта схема, впервые предложенная в [1279], генерирует хэш-значение, в два раза большее длины блока. Ее скорость хэширования равна 1. Она использует два хэш-значения, G_iи H_i, и хэширует вместе два блока, L_iи R_i.

G₀= I_G, где I_G- случайное начальное значение

H₀= I_H, , где I_H - другое случайное начальное значение

Эта схема появилась в 1989 году в проекте стандарта ISO [764], но была заменена более поздней версией [765]. Проблемы безопасности этой схемы были описаны в [1107, 925, 1262, 372]. (В действительности, версия, описанная в материалах конференции, была после того, как версия, представленная на конференции, была вскрыта.) В ряде случаев сложность вскрытия методом дня рождения имеет равна 2³⁹, а не 2⁶⁴, как у вскрытия грубой. Не используйте эту схему.