<div dir="ltr">I sarcastically proposed the use of GOST as an alternative to NIST crypto. Someone shot back a note saying the elliptic curves might be 'bent'.<div><br></div><div>Might be interesting for EC to take another look at GOST since it might be the case that the GRU and the NSA both found a similar backdoor but one was better at hiding it than the other. </div>
<div><br></div><div><br></div><div>On the NIST side, can anyone explain the reason for this mechanism for truncating SHA512?</div><div><br></div><div><div>Denote H(0)′ </div><div>to be the initial hash value of SHA-512 as specified in Section 5.3.5 above. </div>
<div>Denote H(0)′′ to be the initial hash value computed below. </div><div>H(0) is the IV for SHA-512/t. </div><div>For i = 0 to 7 </div><div>{ </div><div>(0)′′ (0)′ Hi = Hi ⊕ 
a5a5a5a5a5a5a5a5(in hex).</div><div> </div><div>
}</div><div> </div><div>H(0) = SHA-512 (“SHA-512/t”) using H(0)′′ </div><div>as the IV, where t is the specific truncation value. </div><div>(end.) </div></div><div><br></div><div>[Can't link to FIPS180-4 right now as its down]</div>
<div><br></div><div>I really don't like the futzing with the IV like that, not least because a lot of implementations don't give access to the IV. Certainly the object oriented ones I tend to use don't.</div><div>
<br></div><div>But does it make the scheme weaker?</div><div><br></div><div>Is there anything wrong with just truncating the output? </div><div><br></div><div>The only advantage I can see to the idea is to stop the truncated digest being used as leverage to reveal the full digest in a scheme where one was public and the other was not.</div>
<div><br clear="all"><div><br></div>-- <br>Website: <a href="http://hallambaker.com/">http://hallambaker.com/</a><br>
</div></div>