\( \def\vector#1{\boldsymbol{#1}} \)

ハッシュ関数

2019年2月4日 #SHA3 #SHAKE

概要

ハッシュ関数 (hash function) は任意長のビット列をある固定の長さのビット列に変換する関数。この操作は \(h\) は数学記号で \(h: \{0,1\}^* \to \{0,1\}^k=\{0,\ldots,2^k-1\}\) と記述することができる。ここで出力ビット長 \(k\) は 256 や 512 といった比較的小さな値である。

あるハッシュ関数 \(h\) において異なる \(x_1\) と \(x_2\) に対して \(h(x_1) = h(x_2)\) が起きることを衝突 (collision) と呼ぶ。強衝突耐性 (strong collision resistance) は衝突するような \(x_1\) と \(x_2\) を見つけることが困難であることを意味し、弱衝突耐性 (weak collision resistance) は特定の入力 \(x_1\) に対して \(h(x_1)=h(x_2)\) となるような \(x_2\) を見つけることが困難であることを意味する。

概要
暗号論的ハッシュ関数
1. 攻撃耐性
SHA-3
パフォーマンス評価
参考文献

ユニバーサルハッシュ関数族

ハッシュ関数 \(h\) の入力が取り得るすべての値の集合をユニバース (universe) と呼び \(U\) で表す。つまり \(h: U \to \{0,1\}^k\) である。ユニバースは大規模な有限集合または無限集合を暗示しており、例えば任意長のビット列を入力できるのであれば無限集合 \(U = \{0,1\}^*\) を示している。

定義: ハッシュ関数 \(h:U \to \{0,\ldots,m-1\}\) を構築するランダムアルゴリズム \(\mathcal{H}\) は、\(U\) 内の任意の値 \(x_1 \ne x_1\) について式 (\(\ref{prob}\)) が成り立つときユニバーサル (universal) である。\[ \begin{equation} \underset{h \leftarrow H}{\rm Pr}\left[ h(x_1) = h(x_2) \right] \le \frac{1}{m} \label{prob} \end{equation} \] また \(h \in \mathcal{H}\) をランダムに選択する手続きがユニバーサルであれば、ハッシュ関数の集合 \(\mathcal{H}\) はユニバーサルハッシュ関数族 (universal hash function family) であると言う。

\(U\) に対して我々が実際に扱う入力の有限集合を \(S\) とする。つまり \(S \subseteq U\) である。その大きさを \(n = |S| \leq |U|\) とする。

定理: \(\mathcal{H}\) がユニバーサルであれば、サイズ \(n\) の任意の集合 \(S \subseteq U\) について、もしハッシュ関数 \(h\) が \(\mathcal{H}\) にしたがってランダムに構築されたなら、\(x \in S\) と衝突する \(S\) 内の他の要素の個数は多くて \(n/m\) である [3]。

集合 \(S\) に対して衝突が完全に発生しないとき、ハッシュ関数は完全 (perfect) であると言う。\(\mathcal{H}\) がユニバーサルで \(m=n^2\) のとき、\(\mathcal{H}\) からランダムに選ばれたハッシュ関数 \(h\) において \(S\) 上で衝突が発生しない確率は \(1/2\) 以上である [3]。

ドメイン分離

実用の観点では、ハッシュ関数は同じアルゴリズムに基づいていても目的によって異なる変種 (variant) を使用すべきである。例えば同じ入力値 "secret" に対してユーザ ID 用途のハッシュ関数 \(h_u\) とパスワード用途とのハッシュ関数 \(h_p\) では異なるハッシュ値を生成することが望ましい。このような方法をドメイン分離 (domain separation) と呼ぶ。

単純な例では、共通のハッシュ関数 \(\mathcal{H}\) (例えば SHA3-256 など) を拡張してすべての入力に対してドメインごとに異なる固定値を付加してドメイン分離されたハッシュ関数を生成する方法が考えられる。\[ \begin{eqnarray*} h_u(x) & = & \mathcal{H}(x\,||\,\text{"u"}) \\ h_p(x) & = & \mathcal{H}(x\,||\,\text{"p"}) \\ \end{eqnarray*} \] Keccak を使用する cSHAKE ではドメイン分離の機能が標準化されている。また Salt を使用したパスワードのハッシュ化は Salt によってユーザごとにドメインを分離していると考えることができる。

ドメイン分離は \(\mathcal{H}\) というハッシュ関数の集合 (ハッシュ関数族) から \(h_u\) や \(h_p\) といったハッシュ関数を選択していると考えることができる。

ハッシュ関数の独立性

ハッシュ関数における X-wise independent とは、ハッシュ関数の出力が特定の変数 (入力) に対して独立であることを表している。この独立性は X においてハッシュ値が他の値に影響されずランダムに分布することを保証している。

\(k\)-wise independent は、任意の \(k\) 個のハッシュ関数によって生成されるハッシュ値がすべて互いに独立であることを示している。現実的な実装例としては式 (\(\ref{kwise}\)) のように生成された \(k\) 個のハッシュ関数が挙げられる。\[ \begin{equation} h_i(x) = {\rm SHA3\_512}(x \ || \ i) \label{kwise} \end{equation} \] 一方、式 (\(\ref{notpairwise}\)) のように構築された 2 つのハッシュ関数は互いに独立でないことから pair-wise independent (2-wise independent) ではない。\[ \begin{equation} \left\{ \begin{array}{rcl} h_1(x) & = & {\rm SHA3\_512}(x) \\ h_2(x) & = & h_1(x) \oplus {\rm SHA3\_512}(h_1(x)) \end{array} \right. \label{notpairwise} \end{equation} \] 他には min-wise independent はさまざまな入力に対するハッシュ値を比較してそれらの最小値を得たとき、その最小値が独立であることを意味している。このように X-wise independent はハッシュ関数が X において独立であることを示している。

このようなハッシュ関数の独立性は、アルゴリズムで使用する (ユニバーサルハッシュ関数族から任意の選択された) ハッシュ関数が保証すべき独立性の下限を指定するためにしばしば使われる。

暗号論的ハッシュ関数

セキュリティの文脈で以下の特性を満たすハッシュ関数を暗号論的ハッシュ関数 (cryptographically-secure hash function) と呼ぶ。

原像耐性 (preimage resistance) - ハッシュ関数 \(h\) のある出力 \(y\) が与えられたとき、\(y=h(x)\) となるような値 \(x \in \{0,1\}^*\) を見つけることが計算上不可能であること。
第二原像耐性 (2nd preimage resistance) (弱衝突耐性) - ハッシュ関数へのある入力 \(x_1\) が与えられたとき、\(h(x_1)=h(x_2)\) となるような値 \(x_2 \in \{0,1\}^*\) を見つけることが計算上不可能であること。
衝突耐性 (collision resistance) (強衝突耐性) - \(h(x_1)=h(x_2)\) となるような 2 つの値 \(x_1\), \(x_2\) を見つけることが計算上不可能であること。

原像耐性 (第一、第二) と衝突耐性 (弱衝突、強衝突) は似ているが、原像耐性が「与えられたある値 \(x\) に対して」であるのに対して衝突耐性は「任意の値 \(x\) に対して」であるという点で異なる。

\(k\) ビットの理想的な暗号論的ハッシュ関数に対して原像攻撃を成功させるには \(O(2^k)\) 回の試行を行う必要がある。しかし、同等の確率で \(h(x_1)=h(x_2)\) となるような衝突攻撃を成功させるためには、バースデーパラドックス (birthday paradox) と同じ理由により、より少ない \(O(2^{k/2})\) 回程度の試行で済む。言い換えると、出力値が \(k\) ビットの理想的な暗号論的ハッシュ関数は \(k/2\) ビットセキュリティを持つ。

攻撃耐性

コンピュータの性能向上や新しいアルゴリズムの報告などによって、かつて暗号論的ハッシュ関数として扱われていたアルゴリズムのいくつかはすでに安全ではないと認識されている。MD2 は早い時期に原像攻撃と衝突攻撃の両方が見つかっている。MD5 も同様に現在では短時間で衝突を発見することができており、また SHA-1 は \(2^{63}\) 程度の操作で衝突が報告されている。

\(y=h(x)\) となるようなハッシュ値 \(y\) が与えられたとき、ある入力 \(x'\) に対して \(y'=h(x \ || \ x')\) となるような \(y'\) が計算可能であることを利用した攻撃を伸長攻撃 (length extension attach) と呼ぶ。MD5, SHA-1, RIPEMD-160, Whirlpool, SHA-2 (SHA-224～512) など多くの暗号論的ハッシュ関数は Merkle–Damgård 構成法に基づいているが、Merkle–Damgård 構成法の完全な出力を使用すると伸長攻撃に対して脆弱となる (ただし SHA-2 は秘密をハッシュ化しないケースであれば今でも広く使われている)。SHA-3 や BLAKE2, BLAKE3、または SHA-2 でも出力の切り捨てを伴うタイプは伸長攻撃に対して安全である。

SHA-3

SHA-3 (secure hash algorithm 3) は FIPS 202 [1] で NIST によって標準化された暗号論的ハッシュ関数である。これは Keccak(ケッチャック)と呼ばれるハッシュ関数に基づいており、SHA-3 策定時に指摘されたいくつかのセキュリティの強化やパフォーマンスの向上の変更が加えられている (したがって選択可能な場合は当初の Keccak-f よりも SHA-3 を使用すべきである)。\[ \left\{ \begin{eqnarray*} \mbox{SHA3-224}(M) & = & \mbox{Keccak}[448](M\,||\,{\tt 01},224) \\ \mbox{SHA3-256}(M) & = & \mbox{Keccak}[512](M\,||\,{\tt 01},256) \\ \mbox{SHA3-384}(M) & = & \mbox{Keccak}[768](M\,||\,{\tt 01},384) \\ \mbox{SHA3-512}(M) & = & \mbox{Keccak}[1024](M\,||\,{\tt 01},512) \end{eqnarray*} \right. \] SHA-3 の基となる Keccak は、入出力が固定長のハッシュ化基礎関数である Keccak-p と、そのような関数の入出力を任意長に拡張するフレームワークのスポンジ構造の 2 つで構成されている。ここで:

\(\mbox{Keccak}[c](N,d) = \mbox{SPONGE}[\mbox{Keccak-}p[1600,24],\mbox{pad10*1},1600-c](N,d)\)
\(\mbox{SPONGE}[f,\mbox{pad},r](N,d)\) は基礎関数 \(f\) とパディング関数 \(\mbox{pad}\)、レート \(r\) に基づいて任意長の入力 \(N\) から長さ \(d\) のビット列を生成するスポンジ構造
\(\mbox{Keccak-}p[b,n_r](S)\) は長さ \(b\) のビット列 \(S\) を転置・置換して同じ長さ \(b\) のビット列を出力する基礎関数 (\(n_r\) は内部的な反復回数)
\(\mbox{pad10*1}(x,m)\) は長さ \(m\) のビット列に対して長さが \(x\) の整数倍となるように付加すべきビット列を生成するパディング関数

である。Keccak のスポンジ構造は任意長の出力を生成することができるが、SHA-3 では出力長を固定値として使用している。

また cSHAKE, KMAC, TupleHash などの SHA-3 (Keccak) 派生関数が NIST によって標準化されている [2]。

可変長出力ハッシュ関数

SHA-3 の可変長出力関数 (XOF; extendable-output function) である派生関数 SHAKE ("secure hash algorithm" with "KECCAK") が FIPS 202 [1] で標準化されている。これは特定の長さの乱数列や鍵を生成するときに余計な考慮を省略でき Keccak の転置関数を利用し高速に生成することのできるため安全で利便性が高い。\[ \left\{ \begin{eqnarray*} \mbox{SHAKE128}(M,d) & = & \mbox{Keccak}[256](M\,||\,{\tt 1111},d) \\ \mbox{SHAKE256}(M,d) & = & \mbox{Keccak}[512](M\,||\,{\tt 1111},d) \end{eqnarray*} \right. \]

ドメイン分離ハッシュ関数

NIST SP 800-185 [2] で仕様化されている cSHAKE は SHAKE をドメイン分離が可能なように拡張したもので、基礎に Keccak プリミティブを使ったハッシュ関数の変種を生成することができる。例えば cSHAKE128 では以下のように適用される。\[ \left\{ \begin{eqnarray*} \mbox{cSHAKE128}(M,d,"","") & = & \mbox{SHAKE128}(M,d) \\ \mbox{cSHAKE128}(M,d,N,S) & = & \mbox{Keccak}[256](\mbox{bytepad}(\mbox{encode_string}(N)\,|| \\ & & \hspace{.4cm} \mbox{encode_string}(S),168))\,||\,M\,||\,{\tt 00},d) \\ \end{eqnarray*} \right. \] ここで \(N\) は長さ 2040 未満のビット列で NIST の定義する関数名を表す (cSHAKE として使用するのであれば長さ 0 のビット列でよい)。\(S\) は長さ 2040 未満のビット列でユーザがカスタマイズ可能なドメインを指定する。\(N_1 \ne N_2\) または \(S_1 \ne S_2\) であれば双方の cSHAKE 出力に関連性はない。

タプル型ハッシュ関数

複数の値から一つのハッシュ値を生成する場合、単純に文字列を連結した値をハッシュ化する方法では衝突を発生させやすく安全ではない。例えば宛先 addr と金額 amt からなるトランザクションをハッシュ化するケースで単純に \(h({\tt addr}\,||\,{\tt amt})\) のようにすると、addr=123 宛ての amt=20 送金と、addr=12 宛ての amt=320 送金で同じハッシュ値 \(h(\mbox{"12320"})\) が生成されることになる。

cSHAKE と共に標準化された TupleHash は、このような複数の値からなるタプルをハッシュ化するための標準である。TupleHash は cSHAKE に基づいて複数の値リストから曖昧さのない方法でハッシュ値を生成することができる。

パフォーマンス評価

Table 1 は、すべてのバイト値が 0 に初期化されている 1MB のバイト配列を入力 \(x\) とし、それぞれのアルゴリズムを適用してハッシュ値 \(y=h(x)\) の算出にかかった時間を表している。ここでは比較のため単純なチェックサムの CRC32 も含めている。

Table 1. アルゴリズムの公開されているハッシュ関数のパフォーマンス。
アルゴリズム	算出時間 [μsec/1MB] (±95%信頼区間)	出力サイズ \(k\)	🔒
CRC32	1,821.801 (±1.7%)	32-bit (4B)
MurmurHash64A	171.591 (±2.3%)	64-bit (8B)
MurmurHash3-128 (x64)	499.188 (±2.0%)	128-bit (16B)
aHash	65.593 (±3.6%)	64-bit (8B)
MD2	74,384.134 (±0.7%)	128-bit (16B)	☔
MD5	1,316.656 (±0.3%)	128-bit (16B)	☔
MD6	5,358.656 (±1.9%)	512-bit (64B)	🌞
SHA-1	428.569 (±0.3%)	160-bit (20B)	☔
RIPEMD-160	2,520.825 (±0.9%)	160-bit (20B)	⛅
RIPEMD-320	2,169.878 (±2.2%)	320-bit (40B)	⛅
Whirlpool	5,922.141 (±0.9%)	512-bit (64B)	⛅
SHA-224	456.999 (±0.3%)	224-bit (28B)	⛅
SHA-256	456.920 (±0.5%)	256-bit (32B)	⛅
SHA-386	1,364.148 (±4.5%)	384-bit (48B)	⛅
SHA-512	1,367.632 (±4.5%)	512-bit (64B)	⛅
SHA-512/224	1,364.047 (±2.5%)	224-bit (28B)	🌞
SHA-512/256	1,365.937 (±2.7%)	256-bit (32B)	🌞
SHA3-224	1,964.872 (±4.1%)	224-bit (28B)	🌞
SHA3-256	2,069.398 (±1.7%)	256-bit (32B)	🌞
SHA3-384	2,730.082 (±1.7%)	384-bit (48B)	🌞
SHA3-512	3,949.316 (±3.6%)	512-bit (64B)	🌞
SHAKE128	1,675.281 (±1.0%)	512-bit (64B)	🌞
SHAKE256	2,061.755 (±1.5%)	512-bit (64B)	🌞
Keccak-256	2,079.445 (±5.1%)	256-bit (32B)	🌞
Keccak-512	3,935.405 (±1.3%)	512-bit (64B)	🌞
BLAKE2b	731.625 (±3.4%)	512-bit (64B)	🌞
BLAKE2s	1,210.488 (±0.6%)	256-bit (32B)	🌞
BLAKE3	177.786 (±0.7%)	256-bit (32B)	🌞
SipHash	304.354 (±1.9%)	64-bit (8B)	🌞
SipHash128	318.930 (±13.4%)	128-bit (16B)	🌞
HighwayHash64	55.596 (±0.7%)	64-bit (8B)	🌞
HighwayHash128	55.643 (±0.8%)	128-bit (16B)	🌞
HighwayHash256	56.187 (±2.4%)	256-bit (32B)	🌞

# AMD Ryzen 7 5700X 8C/16T 3.4GHz + Windows 11 Pro
> rustc +nightly --version
rustc 1.74.0-nightly (58e967a9c 2023-09-03)

Table 2. アルゴリズムの公開されているハッシュ関数のパフォーマンス。
アルゴリズム	算出時間 [μsec/1MB] (±95%信頼区間)	出力サイズ \(k\)	🔒
CRC32	3,336.378 (±3.0%)	32-bit (4B)
MurmurHash64A	196.916 (±2.8%)	64-bit (8B)
MurmurHash3-128 (x64)	286.406 (±2.6%)	128-bit (16B)
aHash	32.361 (±8.2%)	64-bit (8B)
MD2	108,267.728 (±2.5%)	128-bit (16B)	☔
MD5	1,513.948 (±0.8%)	128-bit (16B)	☔
MD6	4,984.893 (±2.3%)	512-bit (64B)	🌞
SHA-1	1,072.668 (±3.6%)	160-bit (20B)	☔
RIPEMD-160	3,381.397 (±0.3%)	160-bit (20B)	⛅
RIPEMD-320	2,492.434 (±1.4%)	320-bit (40B)	⛅
Whirlpool	3,029.967 (±0.3%)	512-bit (64B)	⛅
SHA-224	3,086.530 (±4.1%)	224-bit (28B)	⛅
SHA-256	3,042.411 (±0.7%)	256-bit (32B)	⛅
SHA-386	1,848.614 (±0.2%)	384-bit (48B)	⛅
SHA-512	1,851.782 (±0.9%)	512-bit (64B)	⛅
SHA-512/224	1,873.750 (±3.6%)	224-bit (28B)	🌞
SHA-512/256	1,850.387 (±0.6%)	256-bit (32B)	🌞
SHA3-224	1,689.597 (±0.2%)	224-bit (28B)	🌞
SHA3-256	1,789.130 (±0.4%)	256-bit (32B)	🌞
SHA3-384	2,346.811 (±1.0%)	384-bit (48B)	🌞
SHA3-512	3,378.917 (±2.1%)	512-bit (64B)	🌞
SHAKE128	1,452.391 (±1.0%)	512-bit (64B)	🌞
SHAKE256	1,793.653 (±1.5%)	512-bit (64B)	🌞
Keccak-256	1,789.531 (±0.5%)	256-bit (32B)	🌞
Keccak-512	3,418.558 (±3.5%)	512-bit (64B)	🌞
BLAKE2b	988.888 (±4.1%)	512-bit (64B)	🌞
BLAKE2s	1,625.104 (±2.3%)	256-bit (32B)	🌞
BLAKE3	569.527 (±0.3%)	256-bit (32B)	🌞
SipHash	579.611 (±3.4%)	64-bit (8B)	🌞
SipHash128	569.084 (±0.4%)	128-bit (16B)	🌞
HighwayHash64	134.010 (±0.7%)	64-bit (8B)	🌞
HighwayHash128	134.094 (±0.9%)	128-bit (16B)	🌞
HighwayHash256	134.226 (±1.2%)	256-bit (32B)	🌞

# Apple M1 Pro 10C/10T + macOS 13.4.1
% rustc +nightly --version
rustc 1.74.0-nightly (58e967a9c 2023-09-03)

Table 3. アルゴリズムの公開されているハッシュ関数のパフォーマンス。
アルゴリズム	算出時間 [μsec/1MB] (±95%信頼区間)	出力サイズ \(k\)	🔒
CRC32	2,039.248 (±5.0%)	32-bit (4B)
MurmurHash64A	284.636 (±6.0%)	64-bit (8B)
MurmurHash3-128 (x64)	311.602 (±3.7%)	128-bit (16B)
aHash	102.361 (±4.9%)	64-bit (8B)
MD2	85,453.103 (±2.4%)	128-bit (16B)	☔
MD5	1,827.365 (±4.1%)	128-bit (16B)	☔
MD6	7,848.815 (±6.5%)	512-bit (64B)	🌞
SHA-1	1,726.049 (±5.1%)	160-bit (20B)	☔
RIPEMD-160	3,528.334 (±4.3%)	160-bit (20B)	⛅
RIPEMD-320	3,220.246 (±11.6%)	320-bit (40B)	⛅
Whirlpool	7,337.722 (±6.3%)	512-bit (64B)	⛅
SHA-224	4,555.092 (±6.8%)	224-bit (28B)	⛅
SHA-256	4,504.360 (±4.5%)	256-bit (32B)	⛅
SHA-386	2,378.131 (±4.0%)	384-bit (48B)	⛅
SHA-512	2,357.841 (±4.0%)	512-bit (64B)	⛅
SHA-512/224	2,397.882 (±7.8%)	224-bit (28B)	🌞
SHA-512/256	2,369.942 (±4.3%)	256-bit (32B)	🌞
SHA3-224	3,036.547 (±6.1%)	224-bit (28B)	🌞
SHA3-256	3,243.020 (±7.4%)	256-bit (32B)	🌞
SHA3-384	4,253.709 (±9.3%)	384-bit (48B)	🌞
SHA3-512	6,020.349 (±5.9%)	512-bit (64B)	🌞
Keccak-256	3,175.690 (±5.2%)	256-bit (32B)	🌞
Keccak-512	5,980.489 (±4.7%)	512-bit (64B)	🌞
BLAKE2b	1,185.160 (±5.9%)	512-bit (64B)	🌞
BLAKE2s	2,858.685 (±8.4%)	256-bit (32B)	🌞
BLAKE3	237.569 (±3.9%)	256-bit (32B)	🌞
SipHash	413.324 (±6.1%)	64-bit (8B)	🌞
SipHash128	412.154 (±9.8%)	128-bit (16B)	🌞
HighwayHash64	67.815 (±4.3%)	64-bit (8B)	🌞
HighwayHash128	68.272 (±9.3%)	128-bit (16B)	🌞
HighwayHash256	69.092 (±7.9%)	256-bit (32B)	🌞

# Intel(R) Core(TM) i7-8569U CPU 4C/8T 2.80GHz + MacOS 10.15.7 Catalina
% rustc -version
rustc 1.50.0 (cb75ad5db 2021-02-10)

// $ cargo +nightly run --release
//
#![feature(test)]
extern crate test;

use std::fs;
use std::io;
use std::io::prelude::*;
use test::stats::Summary;

enum Secure {
  None,
  Broken(&'static str),
  Weak(&'static str),
  Fine,
}

fn main() {
  #[cfg(debug_assertions)]
  std::compile_error!("ERROR: リリースビルドで実行してください.");
  let summaries = &[
    bench("CRC32", bench_crc32, Secure::None),
    bench("MurmurHash64A", bench_murmur64a, Secure::None),
    bench("MurmurHash3-128 (x64)", bench_murmur3_x64_128, Secure::None),
    bench("aHash", bench_ahash, Secure::None),
    bench("MD2", bench_md2, Secure::Broken("preimage attack")),
    bench("MD5", bench_md5, Secure::Broken("collision attack")),
    bench("MD6", bench_md6, Secure::Fine),
    bench("SHA-1", bench_sha1, Secure::Broken("collision attack")),
    bench("RIPEMD-160", bench_ripemd_160, Secure::Weak("length extension attack")),
    bench("RIPEMD-320", bench_ripemd_320, Secure::Weak("length extension attack")),
    bench("Whirlpool", bench_whirlpool, Secure::Weak("length extension attack")),
    bench("SHA-224", bench_sha_224, Secure::Weak("length extension attack")),
    bench("SHA-256", bench_sha_256, Secure::Weak("length extension attack")),
    bench("SHA-386", bench_sha_384, Secure::Weak("length extension attack")),
    bench("SHA-512", bench_sha_512, Secure::Weak("length extension attack")),
    bench("SHA-512/224", bench_sha_512_224, Secure::Fine),
    bench("SHA-512/256", bench_sha_512_256, Secure::Fine),
    bench("SHA3-224", bench_sha3_224, Secure::Fine),
    bench("SHA3-256", bench_sha3_256, Secure::Fine),
    bench("SHA3-384", bench_sha3_384, Secure::Fine),
    bench("SHA3-512", bench_sha3_512, Secure::Fine),
    bench("SHAKE128", bench_shake128, Secure::Fine),
    bench("SHAKE256", bench_shake256, Secure::Fine),
    bench("Keccak-256", bench_keccak_256, Secure::Fine),
    bench("Keccak-512", bench_keccak_512, Secure::Fine),
    bench("BLAKE2b", bench_blake2b, Secure::Fine),
    bench("BLAKE2s", bench_blake2s, Secure::Fine),
    bench("BLAKE3", bench_blake3, Secure::Fine),
    bench("SipHash", bench_siphash64, Secure::Fine),
    bench("SipHash128", bench_siphash128, Secure::Fine),
    bench("HighwayHash64", bench_highwayhash64, Secure::Fine),
    bench("HighwayHash128", bench_highwayhash128, Secure::Fine),
    bench("HighwayHash256", bench_highwayhash256, Secure::Fine),
  ][..];

  let arch = std::env::consts::ARCH;
  let os = std::env::consts::OS;
  let file_name = format!("hash-performance_{}-{}.xml", os, arch);

  let file = fs::File::create(file_name).unwrap();
  let mut writer = io::BufWriter::new(file);
  writer.write(b"<?xml version=\"1.0\" encoding=\"utf-8\"?>\n").unwrap();
  writer.write(format!("<table id=\"tbl1_{}-{}\" class=\"wikitable\">\n", os, arch).as_bytes()).unwrap();
  writer.write("  <tr><th>アルゴリズム</th><th>算出時間  [μsec/1MB] (±95%信頼区間)</th><th>出力サイズ \\(k\\)</th><th class=\"text-center\">🔒</th></tr>\n".as_bytes()).unwrap();
  for (name, secure, summary, result, hex) in summaries.iter() {
    let security = match secure {
      Secure::Fine => "🌞".to_string(),
      Secure::Weak(reason) => format!("<span title=\"{}\">⛅</span>", reason),
      Secure::Broken(reason) => format!("<span title=\"{}\">☔</span>", reason),
      Secure::None => "".to_string(),
    };
    writer.write(format!("  <tr title=\"{}\">\
    <th>{}</th>\
    <td class=\"number\">{} (±{:.1}%)</td>\
    <td class=\"number\">{}-bit ({}B)</td>\
    <td class=\"text-center\">{}</td>\
  </tr>\n",
                         hex, name, comma(summary.mean / 1000.0, 3), 1.96 * summary.std_dev_pct, result.len() * 8, result.len(), security).as_bytes()
    ).unwrap();
  }
  writer.write("<caption><span class=\"table-label\">Table 1</span>. アルゴリズムの公開されているハッシュ関数のパフォーマンス。</caption>\n".as_bytes()).unwrap();
  writer.write(b"</table>\n").unwrap();
}

fn comma(value: f64, place_after_the_decimal_point: usize) -> String {
  let n = format!("{:.*}", place_after_the_decimal_point, value);
  let (mut n, digits) = match n.find('.') {
    Some(i) => (n[0..i].to_string(), n[i + 1..].to_string()),
    None => (n, "".to_string())
  };
  for i in (1..n.len() - 2).rev().step_by(3) {
    n.insert(i, ',');
  }
  format!("{}.{}", n, digits)
}

fn bench(name: &'static str, b: fn(&[u8]) -> Vec<u8>, secure: Secure) -> (&'static str, Secure, Summary, Vec<u8>, String) {
  let buffer: Vec<u8> = (0..(1024 * 1024)).map(|_| 0u8).collect();
  let result = b(&buffer);
  let summary = test::bench::iter(&mut || b(&buffer));
  let hex: String = result.iter().map(|i| format!("{:02X}", i)).collect();
  let short_hex = if hex.len() > 16 { hex[0..16].to_string() } else { hex.to_string() };
  println!("{:<11}: {:>9} (±{:.1}%) {}-bits: {}", name, comma(summary.mean / 1000.0, 3), 1.96 * summary.std_dev_pct, result.len() * 8, short_hex);
  (name, secure, summary, result, hex)
}

macro_rules! bench {
  ($id:ident, $package:path, $name:ident) => {
    fn $id(buffer: &[u8]) -> Vec<u8> {
      use $package::{$name, Digest};
      let mut hasher = $name::new();
      hasher.update(buffer);
      hasher.finalize().to_vec()
    }
  }
}

bench!(bench_md2, md2, Md2);
bench!(bench_md5, md5, Md5);
bench!(bench_sha1, sha1, Sha1);

bench!(bench_whirlpool, whirlpool, Whirlpool);
bench!(bench_ripemd_160, ripemd, Ripemd160);
bench!(bench_ripemd_320, ripemd, Ripemd320);

bench!(bench_sha_224, sha2, Sha224);
bench!(bench_sha_256, sha2, Sha256);
bench!(bench_sha_384, sha2, Sha384);
bench!(bench_sha_512, sha2, Sha512);
bench!(bench_sha_512_224, sha2, Sha512_224);
bench!(bench_sha_512_256, sha2, Sha512_256);

bench!(bench_sha3_224, sha3, Sha3_224);
bench!(bench_sha3_256, sha3, Sha3_256);
bench!(bench_sha3_384, sha3, Sha3_384);
bench!(bench_sha3_512, sha3, Sha3_512);
bench!(bench_keccak_256, sha3, Keccak256);
bench!(bench_keccak_512, sha3, Keccak512);

bench!(bench_blake2b, blake2, Blake2b512);
bench!(bench_blake2s, blake2, Blake2s256);

fn bench_ahash(buffer: &[u8]) -> Vec<u8> {
  use std::hash::Hasher;
  use ahash::AHasher;
  let mut hasher = AHasher::default();
  hasher.write(buffer);
  hasher.finish().to_le_bytes().to_vec()
}

fn bench_md6(buffer: &[u8]) -> Vec<u8> {
  let mut result = [0; 64];
  md6::hash(512, buffer, &mut result).unwrap();
  result.to_vec()
}

fn bench_siphash64(buffer: &[u8]) -> Vec<u8> {
  use siphasher::sip::SipHasher;
  use std::hash::Hasher;
  let mut hasher = SipHasher::new();
  hasher.write(buffer);
  hasher.finish().to_le_bytes().to_vec()
}

fn bench_siphash128(buffer: &[u8]) -> Vec<u8> {
  use siphasher::sip128::{SipHasher, Hasher128};
  use std::hash::Hasher;
  let mut hasher = SipHasher::new();
  hasher.write(buffer);
  hasher.finish128().as_bytes().to_vec()
}

fn bench_highwayhash64(buffer: &[u8]) -> Vec<u8> {
  use highway::{HighwayHasher, HighwayHash, Key};
  let res = HighwayHasher::new(Key([0, 0, 0, 0])).hash64(buffer);
  res.to_le_bytes().to_vec()
}

fn bench_highwayhash128(buffer: &[u8]) -> Vec<u8> {
  use highway::{HighwayHasher, HighwayHash, Key};
  let res = HighwayHasher::new(Key([0, 0, 0, 0])).hash128(buffer);
  let mut result = Vec::with_capacity(2 * 8);
  result.append(&mut res[0].to_le_bytes().to_vec());
  result.append(&mut res[1].to_le_bytes().to_vec());
  result
}

fn bench_highwayhash256(buffer: &[u8]) -> Vec<u8> {
  use highway::{HighwayHasher, HighwayHash, Key};
  let res = HighwayHasher::new(Key([0, 0, 0, 0])).hash256(buffer);
  let mut result = Vec::with_capacity(4 * 8);
  result.append(&mut res[0].to_le_bytes().to_vec());
  result.append(&mut res[1].to_le_bytes().to_vec());
  result.append(&mut res[2].to_le_bytes().to_vec());
  result.append(&mut res[3].to_le_bytes().to_vec());
  result
}

fn bench_blake3(buffer: &[u8]) -> Vec<u8> {
  let mut hasher = blake3::Hasher::new();
  hasher.update(buffer);
  hasher.finalize().as_bytes().to_vec()
}

fn bench_murmur64a(buffer: &[u8]) -> Vec<u8> {
  murmurhash64::murmur_hash64a(buffer, 0).to_le_bytes().to_vec()
}

fn bench_murmur3_x64_128(buffer: &[u8]) -> Vec<u8> {
  murmur3::murmur3_x64_128(&mut std::io::Cursor::new(buffer), 0).unwrap().to_le_bytes().to_vec()
}

fn bench_crc32(buffer: &[u8]) -> Vec<u8> {
  let crc: crc::Crc<u32> = crc::Crc::<u32>::new(&crc::CRC_32_CKSUM);
  crc.checksum(buffer).to_le_bytes().to_vec()
}

macro_rules! bench_shake {
  ($id:ident, $name:ident) => {
    fn $id(buffer: &[u8]) -> Vec<u8> {
      use sha3::digest::{Update, ExtendableOutput, XofReader};
      let mut hasher = sha3::$name::default();
      hasher.update(buffer);
      let mut reader = hasher.finalize_xof();
      let mut ret = [0u8; 512 / 8];
      XofReader::read(&mut reader, &mut ret);
      ret.to_vec()
    }
  }
}

bench_shake!(bench_shake128, Shake128);
bench_shake!(bench_shake256, Shake256);

[package]
name = "hash-pfm-rs"
version = "0.1.0"
authors = ["TAKAMI Torao <koiroha@gmail.com>"]
edition = "2018"

# See more keys and their definitions at https://doc.rust-lang.org/cargo/reference/manifest.html

[dependencies]
md2 = "0.10"
md-5 = "0.10"
md6 = "2.0"
sha-1 = "0.10"
sha2 = "0.10"
sha3 = "0.10"
whirlpool = "0.10"
ripemd = "0.1"
blake2 = "0.10"
blake3 = "1.4"
murmur3 = "0.5"
murmurhash64 = "0.3"
ahash = "0.8"
siphasher = "1.0"
highway = "1.1"
crc = "3.0"

計測の結果から AVX/SSE 拡張命令を使用する HighwayHash や AES 拡張命令を使用する aHash が高いパフォーマンスを持つことが分かる。特に Ryzen 5700X と Core i7-8569U での SHA-1, SHA-224, SHA-256 の速度差は CPU が Intel SHAX 拡張命令をサポートしているかの違いによるものと思われる。また AVX 命令を持たない M1 (ARM64) では Ryzen や Core ほど HighwayHash の速度が伸びていないことが分かる。

この結果から近年のハッシュ関数の性能はハードウェアアクセラレーションを活用できるかが大きな鍵となっていることが分かる。

参考文献

DWORKIN, Morris J. SHA-3 standard: Permutation-based hash and extendable-output functions. 2015.
KELSEY, John; CHANG, Shu-jen; PERLNER, Ray. SHA-3 derived functions: cSHAKE, KMAC, TupleHash, and ParallelHash. NIST special publication, 2016, 800: 185.
Avrim Blum, Manuel Blum. Universal and Perfect Hashing, CMU 15-451 Algorithms Lecture 10, 2011 Fall.