Whirlpool - Algorithme de calcul d'un hashcode (condensat, empreinte) d'un message ou, en informatique, du contenu d'un fichier. Représentation unique en quelques caractères, utilisée en cryptographie. Permet de manipuler le code (recherches...) sans manipuler la donnée codée.

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

En informatique et en cryptographie, Whirlpool (parfois appelé WHIRLPOOL) est une fonction de hachage cryptographique. Il a été conçu par Vincent Rijmen (co-créateur de Advanced Encryption Standard) et Paulo S. L. M. Barreto, qui l'ont décrit pour la première fois en 2000.

Le hachage a été recommandé par le projet NESSIE. Il a également été adopté par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) dans le cadre de la norme internationale conjointe ISO / CEI 10118-3.

La galaxie Whirlpool (M51 – Galaxie du Tourbillon en français) est un couple de galaxies, à environ 27,4 millions d'années-lumière de la Terre, dans la constellation des « Chiens de chasse ». Elle est composée d'une galaxie spirale régulière massive dont le diamètre est estimé à 100 000 années-lumière et d'une petite galaxie irrégulière. Ses bras spiraux facilement visibles lui ont valu son surnom de « galaxie tourbillon » (Whirlpool Galaxy en anglais).

Whirlpool - La galaxie Whirlpool a donné son nom à l'algorithme de hashcode Whirlpool - image par Peter Bunclark (IoA) - Image courtesy of the Isaac Newton Group of Telescopes, La Palma.

^[4] Elle a donné son nom à la fonction de hachage Whirlpool.

^[7] Whirlpool est un hachage conçu après le chiffrement par bloc carré et est considéré comme faisant partie de cette famille de fonctions de chiffrement par bloc.

Whirlpool est une construction Miyaguchi-Preneel basée sur une norme de cryptage avancé (AES) substantiellement modifiée.

Whirlpool prend un message d'une longueur inférieure à 2256 bits et renvoie un résumé de message de 512 bits.

Les auteurs ont déclaré que « WHIRLPOOL n'est pas (et ne sera jamais) breveté. Il peut être utilisé gratuitement à toutes fins. »

Le Whirlpool d'origine s'appellera Whirlpool-0, la première révision de Whirlpool sera appelée Whirlpool-T et la dernière version sera appelée Whirlpool dans les vecteurs de test suivants.

Lors de la première révision en 2001, la S-box est passée d'une version générée aléatoirement avec de bonnes propriétés cryptographiques à une qui a de meilleures propriétés cryptographiques et est plus facile à implémenter dans le matériel.
Dans la deuxième révision (2003), une faille dans la matrice de diffusion a été trouvée qui abaissait la sécurité estimée de l'algorithme en dessous de son potentiel. Le changement des constantes matricielles rotatives 8x8 de (1, 1, 3, 1, 5, 8, 9, 5) à (1, 1, 4, 1, 8, 5, 2, 9) a résolu ce problème.

La fonction de hachage Whirlpool est une construction Merkle – Damgård basée sur un chiffrement de bloc de type AES W en mode Miyaguchi – Preneel. [2]

Le chiffrement par blocs W est constitué d'une matrice d'état 8 × 8 S {\ displaystyle S} S d'octets, pour un total de 512 bits.

Le processus de cryptage consiste à mettre à jour l'état avec quatre fonctions de round sur 10 rounds. Les quatre fonctions rondes sont SubBytes (SB), ShiftColumns (SC), MixRows (MR) et AddRoundKey (AK). Au cours de chaque tour, le nouvel état est calculé comme S = AK ? MR ? SC ? SB (S) {\ displaystyle S = AK \ circ MR \ circ SC \ circ SB (S)} S = AK \ circ MR \ circ SC \ circ SB (S).

Sous-octets

L'opération SubBytes applique une permutation non linéaire (la S-box) à chaque octet de l'état indépendamment. Le S-box 8 bits est composé de 3 S-box 4 bits plus petits.

ShiftColumns

L'opération ShiftColumns décale cycliquement chaque octet dans chaque colonne de l'état. La colonne j a ses octets décalés vers le bas de j positions.

MixRows

L'opération MixRows est une multiplication à droite de chaque ligne par une matrice 8 × 8 sur GF (2 8) {\ displaystyle GF ({2 ^ {8}})} {\ displaystyle GF ({2 ^ {8}}) }. La matrice est choisie de telle sorte que le nombre de branches (une propriété importante lorsque l'on regarde la résistance à la cryptanalyse différentielle) est 9, ce qui est maximal.

AddRoundKey

L'opération AddRoundKey utilise xor au niveau du bit pour ajouter une clé calculée par la planification des clés à l'état actuel. La planification des clés est identique au chiffrement lui-même, sauf que la fonction AddRoundKey est remplacée par une fonction AddRoundConstant qui ajoute une constante prédéterminée à chaque tour.

Hachures Whirlpool

L'algorithme Whirlpool a subi deux révisions depuis sa spécification originale de 2000.

Les personnes incorporant Whirlpool utiliseront très probablement la dernière révision de Whirlpool; bien qu'il n'y ait pas de failles de sécurité connues dans les versions antérieures de Whirlpool, la révision la plus récente présente de meilleures caractéristiques d'efficacité d'implémentation matérielle et est également susceptible d'être plus sécurisée. Comme mentionné précédemment, c'est également la version adoptée dans la norme internationale ISO / CEI 10118-3.

Les hachages Whirlpool de 512 bits (64 octets) (également appelés résumés de messages) sont généralement représentés par des nombres hexadécimaux à 128 chiffres.

Ce qui suit illustre une entrée ASCII de 43 octets (sans les guillemets) et les hachages Whirlpool correspondants :

« The quick brown fox jumps over the lazy dog » (« Le renard brun rapide saute par-dessus le chien paresseux ») est un pangram de langue anglaise - une phrase qui contient toutes les lettres de l'alphabet.

 4F8F5CB531E3D49A61CF417CD133792CCFA501FD8DA53EE368FED20E5FE0248C
 3A0B64F98A6533CEE1DA614C3A8DDEC791FF05FEE6D971D57C1348320F4EB42D

 3CCF8252D8BBB258460D9AA999C06EE38E67CB546CFFCF48E91F700F6FC7C183
 AC8CC3D3096DD30A35B01F4620A1E3A20D79CD5168544D9E1B7CDF49970E87F1

 B97DE512E91E3828B40D2B0FDCE9CEB3C4A71F9BEA8D88E75C4FA854DF36725F
 D2B52EB6544EDCACD6F8BEDDFEA403CB55AE31F03AD62A5EF54E42EE82C3FB35

Même un petit changement dans le message (avec une probabilité extrêmement élevée de 1 - 10 - 154 {\ displaystyle 1-10 ^ {- 154}} 1-10 ^ {{- 154}}) entraînera un hachage différent, qui sera généralement complètement différent, tout comme le font deux nombres aléatoires indépendants. Ce qui suit montre le résultat de la modification de l'entrée précédente par une seule lettre (un seul bit, même, dans les codages compatibles ASCII), en remplaçant d par e:

 228FBF76B2A93469D4B25929836A12B7D7F2A0803E43DABA0C7FC38BC11C8F2A
 9416BBCF8AB8392EB2AB7BCB565A64AC50C26179164B26084A253CAF2E012676

 C8C15D2A0E0DE6E6885E8A7D9B8A9139746DA299AD50158F5FA9EECDDEF744F9
 1B8B83C617080D77CB4247B1E964C2959C507AB2DB0F1F3BF3E3B299CA00CAE3

 C27BA124205F72E6847F3E19834F925CC666D0974167AF915BB462420ED40CC5
 0900D85A1F923219D832357750492D5C143011A76988344C2635E69D06F2D38C

Le hachage d'une chaîne de longueur nulle est:

 B3E1AB6EAF640A34F784593F2074416ACCD3B8E62C620175FCA0997B1BA23473
 39AA0D79E754C308209EA36811DFA40C1C32F1A2B9004725D987D3635165D3C8

 470F0409ABAA446E49667D4EBE12A14387CEDBD10DD17B8243CAD550A089DC0F
 EEA7AA40F6C2AAAB71C6EBD076E43C7CFCA0AD32567897DCB5969861049A0F5A

 19FA61D75522A4669B44E39C1D2E1726C530232130D407F89AFEE0964997F7A7
 3E83BE698B288FEBCF88E3E03C4F0757EA8964E59B63D93708B138CC42A66EB3

Les auteurs fournissent des implémentations de référence de l'algorithme Whirlpool, y compris une version écrite en C et une version écrite en Java. Ces implémentations de référence ont été publiées dans le domaine public.

Adoption

Deux des premiers programmes cryptographiques courants largement utilisés qui ont commencé à utiliser Whirlpool étaient FreeOTFE, suivi de TrueCrypt en 2005. [citation nécessaire]

VeraCrypt (un fork de TrueCrypt) incluait Whirlpool (la version finale) comme l'un de ses algorithmes de hachage pris en charge.

Les outils les plus simples de calcul de hashcodes, et de très loin, sont ceux qui s'installent en tant que « propriété » additionnelle d'un fichier dans l'explorateur de fichiers de Windows.

1. SummerProperties
   SummerProperties ajoute un onglet « CheckSums » aux propriétés d'un fichier, dans l'explorateur de fichiers de Windows, et propose 4 algorithmes de hashcodes : CRC-16, CRC-32, MD5 et SHA-1.
   SummerProperties est gratuit, mais, bien qu'encore fonctionnels, les algorithmes qu'il propose ne sont plus suffisants :

   • CRC-16 et CRC-32 n'ont aucun intérêt et ne sont pas de véritables algorithmes de hachage, mais des « Contrôle de Redondance Cyclique ». On peut les oublier.

   • Des collisions peuvent être forgées à la demande contre les hachages MD5 et SHA-1.

   On laisse tomber SummerProperties.

   Voir SummerProperties.

2. HashTab
   HashTab ajoute un onglet « Hachages » aux propriétés d'un fichier, dans l'explorateur de fichiers de Windows, et propose 30 algorithmes de hashcodes : (Adler32; Blake2sp; Btih; CRC-32; CRC-64; ED2K; Gost; Keccak-224; Keccak-256; Keccak-384; Keccak-512; MD2; MD4; MD5; Ripemd-128; Ripemd-160; Ripemd-256; Ripemd-320; SHA-1; SHA-256; SHA-256 base 64; SHA-384; SHA-512; SHA3-224; SHA3-256; SHA3-384; SHA3-512; TTH; Tiger; Whirlpool). Ce produit est gratuit.

   Voir HashTab.

3. VT Hash Check (VirusTotal Hash Check)
   VT Hash Check ajoute une propriété (sous le nom de Check File Hash) aux fichiers, dans l'explorateur de fichiers de Windows. VT Hash Check calcule un hashcode d'un fichier désigné par l'utilisateur, selon l'algorithme choisi parmi les 3 proposés (MD5, SHA-1, SHA-256 [recommandé]) et soumet instantanément ce hashcode au service multiantivirus gratuit en ligne VirusTotal(70 antivirus simultanés en juillet 2020).

   Vous êtes vivement incités à installer VT Hash Check (gratuit; sous Windows).

   Voir VT Hash Check (VirusTotal Hash Check).

Réputation des fonctions de hachage

On voit souvent, en matière de sécurité informatique, principalement avec les services d'analyses antivirus, qu'il ne faut pas/plus identifier le contenu d'un fichier avec certaines fonctions de hachage (hashcodes, condensats, Empreinte cryptographique), dont les fonctions MD5 et SHA-1, car les créations de collisions, les attaques en force brute ou les utilisations de tables Arc-en-ciel permettent de casser l'unicité du condensat ou de remonter à son contenu crypté. Le tableau suivant, établi par les auteurs de Whirlpool (dernière version de ce tableau le 7 novembre 2017), donne l'état de l'art des principales fonctions de hachages et leurs poursuites de résistance ou leurs échecs aux attaques.

• (†) Par sa propre nature, FSB (Fast Syndrome-Based) est moins résistant à la recherche de collision que les attaques par le paradoxe des anniversaires. Pour cette raison, sa taille de résumé (condensat) doit toujours être supérieure à deux fois la sécurité de bit souhaitée.
  

• (‡) MAA est un code d'authentification de message (MAC - Message Authentication Code) plutôt qu'une fonction de hachage. Il a été inclus ici en raison de son importance dans le cadre de la norme ISO 8731-2.
  

Références

1.  [AB96] R. Anderson, E. Biham, "Tiger: A Fast New Hash Function", Fast Software Encryption -- FSE'96, LNCS 1039, Springer (1996), pp. 89--97.
2.  [AFS05] D. Augot, M. Finiasz, N. Sendrier, "A Family of Fast Syndrome Based Cryptographic Hash Functions", LNCS 3715, Springer (2005), pp. 64--83.
3.  [AR92] ISO N179, "AR Fingerprint Function", working document, ISO-IEC/JTC1/SC27/WG2, International Organization for Standardization, 1992.
4.  [BC04] E. Biham, R. Chen, "Near-Collisions of SHA-0", Advances in Cryptology -- Crypto'2004, LNCS 3152, Springer (2004), pp. 290--305. Updated version.
5.  [BDPvA06] G. Bertoni, J. Daemen, M. Peeters, G. van Assche, "RadioGatún, a belt-and-mill hash function", Second NIST Cryptographic Hash Workshop, Santa Barbara, USA, August 24--25, 2006.
6.  [BGG92] T. Baritaud, H. Gilbert, M. Girault, "F.F.T. hashing is not collision-free", Advances in Cryptology -- Eurocrypt'92, LNCS 658, Springer (1992), pp. 35--44.
7.  [BPSSS06] K. Bentahar, D. Page, J. H. Silverman, M.-J. O. Saarinen, N. P. Smart, "LASH", Second NIST Cryptographic Hash Workshop, Santa Barbara, USA, August 24--25, 2006.
8.  [BR00] P. S. L. M. Barreto, V. Rijmen, "The Whirlpool Hashing Function", First open NESSIE Workshop, Leuven, Belgium, November 13--14, 2000.
9.  [BRS02] J. Black, P. Rogaway, and T. Shrimpton, "Black-Box Analysis of the Block-Cipher-Based Hash-Function Constructions from PGV", Advances in Cryptology -- CRYPTO'2002, LNCS 2442, Springer (2002), pp. 320--335.
10.  [BS91] E. Biham and A. Shamir, "Differential cryptanalysis of Feal and N-Hash", Advances in Cryptology -- Eurocrypt'91, LNCS 547, Springer (1991), pp. 1-­16.
11.  [BS93] E. Biham and A. Shamir, "Differential Cryptanalysis of the Data Encryption Standard", Springer (1993).
12.  [CJ98] F. Chabaud and A. Joux, "Differential Collisions in SHA-0", Advances in Cryptology -- Crypto'98, LNCS 1462, Springer (1998), pp. 56--71.
13.  [D95] J. Daemen, " Cipher and Hash Function Design, Strategies Based on Linear and Differential Cryptanalysis", Doctoral dissertation, Katholiek Universiteit Leuven, 1995.
14.  [D89] I. B. Damgård, "A Design Principle for Hash Functions," Advances in Cryptology -- Crypto'89, LNCS 435, Springer (1989), pp. 416--427.
15.  [D96] H. Dobbertin, "The Status of MD5 after a Recent Attack", CryptoBytes2:2 (1996), pp. 1--6.
16.  [D97] H. Dobbertin, "RIPEMD with Two-Round Compress Function is Not Collision-Free", Journal of Cryptology10:1 (1997), pp. 51--70.
17.  [D98] H. Dobbertin, "Cryptanalysis of MD4", Journal of Cryptology11:4 (1998), pp. 253--271.
18.  [D02] J. Daemen, personal communication, 2002 (if you are curious, it merely states that Boognish is "certainly weak").
19.  [DBGV91] J. Daemen, A. Bosselaers, R. Govaerts, J. Vandewalle, "Collisions for Schnorr's Hash Function FFT-Hash", Advances in Cryptology -- Asiacrypt'91, LNCS 739, Springer (1993), pp. 447--480.
20.  [DBP96] H. Dobbertin, A. Bosselaers, and B. Preneel, "RIPEMD-160, a strengthened version of RIPEMD", Fast Software Encryption -- FSE'96, LNCS 1039, Springer (1996), pp. 71--82.
21.  [DC98] J. Daemen and C. Clapp, "Fast Hashing and Stream Encryption with PANAMA", Fast Software Encryption -- FSE'98, LNCS 1372, Springer (1998), pp. 60--74.
22.  [DGV91] J. Daemen, R. Govaerts, and J. Vandewalle, "A Framework for the Design of One-Way Hash Functions Including Cryptanalysis of Damgård's One-Way Function Based on Cellular Automata", Advances in Cryptology - Asiacrypt'91, LNCS 739, Springer (1993), pp. 82--96.
23.  [DGV92a] J. Daemen, R. Govaerts, and J. Vandewalle, "Fast Hashing Both in Hard- and Software", ESAT-COSIC Report92-2, Department of Electrical Engineering, Katholieke Universiteit Leuven, April 1992.
24.  [DGV92b] J. Daemen, R. Govaerts, and J. Vandewalle, "A Hardware Design Model for Cryptographic Algorithms", European Symposium on Research in Computer Security - ESORICS, 1992, pp. 419--434.
25.  [DK93] I. B. Damgård, and L. R. Knudsen, "The breaking of the AR Hash Function", Advances in Cryptology -- EUROCRYPT'93, LNCS 765, Springer (1994), pp. 286--292.
26.  [DV07] J. Daemen, G. van Assche, " Producing Collisions for Panama, Instantaneously, Fast Software Encryption -- FSE'2007, LNCS 4593, Springer (2007), pp. 1--18.
27.  [G94] Government Committee of Russia for Standards, "Information technology. Cryptographic Data Security. Hashing function.", GOST R 34.10-94, Gosudarstvennyi Standard of Russian Federation, 1994. See also " Using the GOST R 34.10-94, GOST R 34.10-2001 and GOST R 34.11-94 algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile, Serguei Leontiev, 2005.02.08.
28.  [GBR06] D. L. Gazzoni Filho, P. S. L. M. Barreto, V. Rijmen, "The Maelstrom-0 Hash Function", VI Brazilian Symposium on Information and Computer Systems Security -- SBSeg'2006.
29.  [GMDV06] P. Gauravaram, W. Millan, E. Dawson, K. Viswanathan, "Constructing Secure Hash Functions by Enhancing Merkle-Damgård Construction", Cryptology ePrint Archive, Report 2006/061.
30.  [HPR04] P. Hawkes, M. Paddon, G. G. Rose, "On Corrective Patterns for the SHA-2 Family", Cryptology ePrint Archive, Report 2004/207.
31.  [HS06] J. J. Hoch, A. Shamir, "Breaking the ICE - Finding Multicollisions in Iterated Concatenated and Expanded (ICE) Hash Functions", Fast Software Encryption -- FSE'2006, LNCS 4047, Springer (2006), pp 179--194. Preliminary version.
32.  [ISO88] ISO Standard 8731-2, 1988. More information can be found here.
33.  [J04] A. Joux, "Multicollisions in Iterated Hash Functions. Applications to Cascaded Constructions", Advances in Cryptology - Crypto'2004, LNCS 3152, Springer (2004), pp. 306--316.
34.  [JP05] C. S. Jutla and A. C. Patthak, "A Simple and Provably Good code for SHA Message Expansion", First NIST Cryptographic Hash Workshop, Gaithersburg, USA, October 31 -- November 01, 2005. Full version: C. S. Jutla and A. C. Patthak, "Provably Good Codes for Hash Function Design", Selected Areas in Cryptography - SAC'2006, LNCS , Springer (2007), to appear.
35.  [K92] B. Kaliski, "The MD2 Message-Digest Algorithm", RFC 1319 (1992).
36.  [KS05] J. Kelsey, B. Schneier, " Second Preimages on n-Bit Hash Functions for Much Less than 2ⁿ Work," Advances in Cryptology - Eurocrypt'2005, LNCS 3494, Springer (2005), pp. 474--490.
37.  [K05a] V. Klima, "Finding MD5 Collisions -- a Toy For a Notebook", Cryptology ePrint Archive, Report 2005/075.
38.  [K05b] V. Klima, "Finding MD5 Collisions on a Notebook PC Using Multi-message Modifications", Cryptology ePrint Archive, Report 2005/102.
39.  [K06] V. Klima, "Tunnels in Hash Functions: MD5 Collisions Within a Minute", Cryptology ePrint Archive, Report 2006/105.
40.  [K05] L. R. Knudsen, "SMASH - A Cryptographic Hash Function", Fast Software Encryption - FSE'2005, LNCS 3557, Springer (2005), pp. 228--242.
41.  [KBPL05] J. Kim, A. Biryukov, B. Preneel, S. Lee, "On the Security of Encryption Modes of MD4, MD5 and HAVAL", Cryptology ePrint Archive, report 2005/327.
42.  [KK06] T. Kohno, J. Kelsey, " Herding Hash Functions and the Nostradamus Attack", First NIST Cryptographic Hash Workshop, Gaithersburg, USA, October 31 -- November 01, 2005. Full version: Advances in Cryptology -- Eurocrypt'2006, LNCS 4004, Springer (2006), pp. 183--200.
43.  [KL06] J. Kelsey, S. Lucks, " Collisions and Near-Collisions for Reduced-Round Tiger", Full version: Fast Software Encryption -- FSE'2006, LNCS 4047, Springer (2006), pp. 111--125.
44.  [KP00] P. Kasselman, W. Penzhorn, "Cryptanalysis of Reduced Version of HAVAL", Electronics letters, Vol. 36, No. 1, January 2000, pp. 30--31.
45.  [L04] S. Lucks, "Design Principles for Iterated Hash Functions", Cryptology ePrint Archive, report 2004/253.
46.  [M89] R. C. Merkle, "One Way Hash Functions and DES", Advances in Cryptology - Crypto'89, LNCS 435, Springer (1989), pp. 428--446.
47.  [M90] R. C. Merkle, "A Fast Software One-Way Hash Function", Journal of Cryptology3:1 (1990), pp 43--58.
48.  [M04] F. Muller, " The MD2 Hash Function Is Not One-Way," Advances in Cryptology - Asiacrypt'2004, LNCS 3329, Springer (2004), pp. 214--229.
49.  [MOI90] S. Miyaguchi, K. Ohta, and M. Iwata, "128-bit hash function (N-hash)", NTT Review, vol. 2 (no. 6), Nov. 1990, pp. 128--132.
50.  [MPRYW06] F. Mendel, B. Preneel, V. Rijmen, H. Yoshida, D. Watanabe, "Update on Tiger", Progress in Cryptology -- INDOCRYPT'2006, LNCS 4329, Springer (2006), pp. 63--79.
51.  [MZ06] I. Mironov, L. Zhang, "Applications of SAT Solvers to Cryptanalysis of Hash Functions", Theory and Applications of Satisfiability Testing -- SAT 2006, LNCS 4121, Springer (2006), pp. 102--115.
52.  [NN91] NIST/NSA, "FIPS 180" (superseded by FIPS 180-1 and FIPS 180-2). See also NIST's Secure Hashing site.
53.  [NN02] NIST/NSA, "FIPS 180-2: Secure Hash Standard (SHS)", August 2002 (change notice: February 2004). See also NIST's Secure Hashing site.
54.  [PGV93] B. Preneel, R. Govaerts, J. Vandewalle, "Hash Functions Based on Block Ciphers: A Synthetic Approach", Advances in Cryptology - Crypto'93, LNCS 773, Springer (1990), pp. 368--378.
55.  [PRO97] B. Preneel, V. Rijmen, and P. van Oorschot, "Security analysis of the Message Authenticator Algorithm (MAA)", European Transactions on Telecommunications, Vol. 8, No. 5 (Sept./Oct. 1997), pp. 455--470.
56.  [PRR05] N. Pramstaller, C. Rechberger, V. Rijmen, "Smashing SMASH", Cryptology ePrint Archive, report 2005/081.
57.  [R90] R. L. Rivest, "The MD4 Message Digest Algorithm", Advances in Cryptology - Crypto'90, LNCS 537, Springer (1990), pp. 303--311.
58.  [R92] R. L. Rivest, "The MD5 Message Digest Algorithm", RFC 1321 (1992).
59.  [R04] V. Rijmen, "Update on SHA-1", Topics in Cryptography -- CT-RSA'2005, LNCS 3376, Springer (2005), pp. 58--71.
60.  [RC95] N. Rogier, P. Chauvaud, "The compression function of MD2 is not collision free", Selected Areas in Cryptography -- SAC'95, Ottawa, Canada, May 18--19, 1995 (workshop record).
61.  [RIPE92] Research and Development in Advanced Communication Technologies in Europe, "RIPE Integrity Primitives: Final Report of RACE Integriy Primitives Evaluation (R1040)", RACE, June 1992.
62.  [RRPV01] V. Rijmen, B. Van Rompay, B. Preneel, J. Vandewalle, "Producing Collisions for PANAMA", Fast Software Encryption - FSE'2001, LNCS 2355, Springer (2002), pp. 37--51.
63.  [RBPV03] B. Van Rompay, A. Biryukov, B. Preneel, J. Vandewalle, " Cryptanalysis of 3-pass HAVAL", Advances in Cryptology - Asiacrypt'2003, LNCS 2894, Springer (2003), pp. 228--245.
64.  [S91] C. Schnorr, "FFT-Hash, An Efficient Cryptographic Hash Function", Crypto'91 rump session, unpublished manuscript, 1991.
65.  [S92] C. Schnorr, "FFT-Hash II, efficient cryptographic hashing", Advances in Cryptology - Eurocrypt'92, LNCS 658, Springer (1992), pp. 45--54.
66.  [S06] M. Stevens, "Fast Collision Attack on MD5", Cryptology ePrint Archive, report 2006/104.
67.  [SV93] C. Schnorr, S. Vaudenay, "Parallel FFT-Hashing", Fast Software Encryption - FSE'93, LNCS 809, Springer (1994), pp. 149--156.
68.  [TTA05] Telecommunications Technology Association, "TTAS.KO-12.0011/R2: Hash Function Standard - Part 2: Hash Function Algorithm Standard (HAS-160)", December 2005.
69.  [V92] S. Vaudenay, "FFT-Hash-II is not yet Collision-free", Advances in Cryptology - Crypto'92, LNCS 740, Springer (1993), pp. 587--593.
70.  [WFLY04] X. Wang, D. Feng, X. Lai, H. Yu, "Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD", Cryptology ePrint Archive, Report 2004/199.
71.  [WLFCY05] X. Wang, X. Lai, D. Feng, H. Chen, X. Yu, " Cryptanalysis of the Hash Functions MD4 and RIPEMD", Advances in Cryptology -- Eurocrypt'2005, LNCS 3494, Springer (2005), pp. 1--18.
72.  [WY05] X. Wang, H. Yu, " How to Break MD5 and Other Hash Functions", Advances in Cryptology -- Eurocrypt'2005, LNCS 3494, Springer (2005), pp. 19--35.
73.  [WYY05] X. Wang, Y. L. Yin, H. Yu, "Collision Search Attacks on SHA1", research summary, 2005.
74.  [ZPS92] Y. Zheng, J. Pieprzyk, and J. Seberry, "HAVAL - a one-way hashing algorithm with variable length of output", Advances in Cryptology - Auscrypt'92, LNCS 718, Springer (1993), pp. 83--104.

1. ↑ [01] Florian Mendel1, Christian Rechberger, Martin Schläffer, Søren S. Thomsen (2009-02-24). The Rebound Attack: Cryptanalysis of Reduced Whirlpool and Grøstl (PDF). Cryptage logiciel rapide: 16e atelier international.

2. ↑ [02] Paulo S. L. M. Barreto (25/11/2008). "La fonction de hachage WHIRLPOOL". Archivé de l'original le 2017-11-29. Récupéré le 08/08/2018.

3. ↑ [03] Barreto, Paulo S. L. M. & Rijmen, Vincent (2003-05-24). "La fonction de hachage WHIRLPOOL". Archivé de l'original (ZIP) le 2017-10-26. Récupéré le 08/08/2018.

4. ↑ Kyoji, Shibutani & Shirai, Taizo (2003-03-11). "Sur la matrice de diffusion utilisée dans la fonction de hachage Whirlpool" (PDF). Récupéré le 08/08/2018.

5. ↑ « Whirlpool ». Documentation de VeraCrypt. IDRIX. Récupéré le 08/08/2018.

6. ↑ La Whirlpool Galaxy (M51 – Galaxy du Tourbillon en français) qui a donné son nom à l'algorythme de hachage Whirlpool. Wikipedia (Archive)

7. ↑ The WHIRLPOOL Hash Function 29.11.201 - Dernière version officielle. Voir l'archive) (Archive)