Універсальне гешування

У математиці та обчислювальній техніці універсальне гешування (у рандомізованому алгоритмі чи структурі даних) означає випадковий вибір геш-функції з сімейства геш-функцій із певною математичною властивістю (див. визначення нижче). Це гарантує низьку кількість колізій в очікуванні, навіть якщо дані вибирає противник. Відомо багато універсальних сімейств (для гешування цілих чисел, векторів, рядків), і їх оцінка часто дуже ефективна. Універсальне гешування має численні застосування в інформатиці, наприклад у реалізації геш-таблиць, рандомізованих алгоритмів і криптографії.

Вступ

Припустимо, ми хочемо відобразити ключі з якогось універсуму ${\displaystyle U}$  в ${\displaystyle m}$  кошиків (позначених ${\displaystyle [m]=\{0,\dots ,m-1\}}$ ). Алгоритм повинен буде обробляти певний набір даних ${\displaystyle S\subseteq U}$  з ${\displaystyle |S|=n}$  ключів, про які заздалегідь не відомо. Зазвичай метою гешування є отримання невеликої кількості колізій (ключів з ${\displaystyle S}$  які потрапляють в один кошик). Детермінована геш-функція не може запропонувати жодних гарантій у ситуації змагання, якщо ${\displaystyle |U|>m\cdot n}$ , оскільки противник може вибрати ${\displaystyle S}$ , яке є саме прообразом кошика. Це означає, що всі ключі даних потрапляють в один кошик, що робить гешування марним. Крім того, детермінована геш-функція не допускає повторного гешування: іноді вхідні дані виявляються поганими для геш-функції (наприклад, забагато колізій), тому можна змінити геш-функцію.

Рішення цих проблем полягає у випадковому виборі геш-функції з сімейства геш-функцій. Сімейство геш-функцій ${\displaystyle H=\{h:U\to [m]\}}$  називається універсальним, якщо

${\displaystyle \forall x,y\in U,~x\neq y:~~|\{h\in H:h(x)=h(y)\}|\leq {\frac {|H|}{m}}}$ 

Іншими словами, будь-які два різні ключі універсуму утворюють колізію з максимальною ймовірністю ${\displaystyle 1/m}$  коли геш-функція ${\displaystyle h}$  обирається рівноімовірно випадковим чином із ${\displaystyle H}$ . Це саме та ймовірність колізії, яку ми очікували б, якби геш-функція призначала справді випадкові геш-коди кожному ключу.

Іноді визначення пом'якшується постійним множником, коли вимагається лише ймовірність колізії ${\displaystyle O(1/m)}$  а не ${\displaystyle \leq 1/m}$  . Ця концепція була введена Картером і Вегманом^[1] у 1977 році та знайшла численні застосування в інформатиці (див., приклад^[2]) .

Якщо верхня межа ймовірності колізії ${\displaystyle \epsilon <1}$ , говорять про ${\displaystyle \epsilon }$ -майже універсальність. Так, наприклад, універсальне сімейство є ${\displaystyle 1/m}$ -майже універсальним.

Багато, але не всі універсальні родини мають наступну сильнішу властивість рівномірної різниці:

${\displaystyle \forall x,y\in U,~x\neq y}$ , коли ${\displaystyle h}$  вибирається випадковим чином із сімейства ${\displaystyle H}$ , різниця ${\displaystyle h(x)-h(y)~{\bmod {~}}m}$  рівномірно розподілена в ${\displaystyle [m]}$ .

Слід зауважити, що визначення універсальності стосується лише випадку ${\displaystyle h(x)-h(y)=0}$ , по якому підраховуються колізії. Властивість рівномірної різниці сильніша.

Аналогічно універсальне сімейство може бути XOR-універсальним, якщо для ${\displaystyle \forall x,y\in U,~x\neq y}$  значення ${\displaystyle h(x)\oplus h(y)~{\bmod {~}}m}$  рівномірно розподілене в ${\displaystyle [m]}$ , де ${\displaystyle \oplus }$  — операція побітового виключного АБО. Це можливо тільки якщо ${\displaystyle m}$  є степенем двійки.

Ще сильнішою умовою є попарна незалежність^[en]: коли ${\displaystyle \forall x,y\in U,~x\neq y}$ , то ймовірність, що гешування відобразить ${\displaystyle x,y}$  у будь-яку пару геш-значень ${\displaystyle z_{1},z_{2}}$  ніби вони абсолютно випадкові: ${\displaystyle P(h(x)=z_{1}\land h(y)=z_{2})=1/m^{2}}$ . Попарну незалежність іноді називають сильною універсальністю.

Ще одна властивість — однорідність. Кажуть, що сімейство однорідне, якщо всі геш-значення однаково імовірні: ${\displaystyle P(h(x)=z)=1/m}$  для будь-якого геш-значення ${\displaystyle z}$ . Універсальність не означає однорідності. Однак сильна універсальність передбачає однорідність.

Маючи сімейство з властивістю рівномірної відстані, можна створити попарно незалежне або сильно універсальне геш-сімейство шляхом додавання рівномірно розподіленої випадкової константи зі значеннями з ${\displaystyle [m]}$  до геш-функцій. (Так само, якщо ${\displaystyle m}$  є степенем двійки, ми можемо досягти попарної незалежності від XOR-універсального геш-сімейства за допомогою операції XOR з рівномірно розподіленою випадковою константою.) Оскільки зсув на константу іноді нерелевантний у програмах (наприклад, геш-таблиці), ретельне розрізнення між властивістю рівномірної відстані та попарною незалежністю іноді не робиться.^[3]

Для деяких застосувань (таких як геш-таблиці) важливо, щоб молодші біти геш-значень також були універсальними. Коли сімейство сильно універсальне, це гарантовано: якщо ${\displaystyle H}$  є сильно універсальним сімейством з ${\displaystyle m=2^{L}}$ , то сімейство, що складається з функцій ${\displaystyle h{\bmod {2^{L'}}}}$  для усіх ${\displaystyle h\in H}$ , також є універсальним для ${\displaystyle L'\leq L}$  . На жаль, це не стосується (просто) універсальних сімейств. Наприклад, сімейство з функції ідентичності ${\displaystyle h(x)=x}$  є однозначно універсальним, але сімейство, яке складається з функції ${\displaystyle h(x)=x{\bmod {2^{L'}}}}$ , не може бути універсальним.

UMAC^[en] і Poly1305-AES^[en], а також кілька інших алгоритмів кодів автентифікації повідомлень базуються на універсальному гешуванні.^[4][5] У таких застосуваннях програмне забезпечення вибирає нову геш-функцію для кожного повідомлення на основі унікального довільного числа для цього повідомлення.

Кілька реалізацій геш-таблиць засновані на універсальному гешуванні. У таких застосуваннях зазвичай програмне забезпечення вибирає нову геш-функцію лише після того, як помічає, що «забагато» ключів утворюють колізії; до того часу та сама геш-функція продовжує використовуватися знову і знову. (Деякі схеми вирішення колізій, такі як динамічне ідеальне гешування^[en], вибирають нову геш-функцію кожного разу, коли виникає колізія. Інші схеми вирішення колізій, такі як зозулине гешування та гешування з двома варіантами^[en], допускають кілька колізій перед вибором нової геш-функції). Огляд найшвидших відомих універсальних і сильно універсальних геш-функцій для цілих чисел, векторів і рядків можна знайти в джерелі^[6].

Математичні гарантії

Для будь-якого фіксованого набору ${\displaystyle S}$  з ${\displaystyle n}$  ключів, використання універсального сімейства гарантує такі властивості.

1. Для будь-якого фіксованого ${\displaystyle x}$  у ${\displaystyle S}$  очікуване число ключів у кошику ${\displaystyle h(x)}$  дорівнює ${\displaystyle n/m}$ . При реалізації геш-таблиць методом ланцюжків це число пропорційне очікуваному часу роботи по ключу ${\displaystyle x}$  (наприклад запиту, вставляння чи видалення).
2. Очікуване число пар ключів ${\displaystyle x,y}$  у ${\displaystyle S}$  з ${\displaystyle x\neq y}$ , які утворюють колізію (${\displaystyle h(x)=h(y)}$ ) обмежене зверху ${\displaystyle n(n-1)/2m}$ , що є порядком ${\displaystyle O(n^{2}/m)}$ . Коли число кошиків ${\displaystyle m}$  обране лінійно в ${\displaystyle n}$  (тобто визначене функцією у ${\displaystyle \Omega (n)}$ ), очікуване число колізій становить ${\displaystyle O(n)}$ . При гешуванні у ${\displaystyle n^{2}}$  кошиків з імовірністю не менше 0.5 не існує колізій взагалі.
3. Очікуване число ключів ${\displaystyle x\in S}$ , які утворюють щонайменше ${\displaystyle t}$  колізій, обмежене зверху як ${\displaystyle 2n/(t-2(n/m)+1)}$ .^[7] Таким чином, якщо ємність кожного кошика обмежена потрійним середнім розміром (${\displaystyle t=3n/m}$ ), загальна кількість ключів у переповнених кошиках не більше ${\displaystyle O(m)}$ . Це справедливо лише для геш-сімейства, ймовірність колізії якого обмежена згори ${\displaystyle 1/m}$ . Якщо використовується слабше визначення з обмеженням імовірності колізій ${\displaystyle O(1/m)}$ , результат перестає бути істинним.^[7]

Оскільки наведені вище гарантії справедливі для будь-якого фіксованого набору ${\displaystyle S}$ , вони зберігаються, якщо набір даних вибрано противником. Однак противник повинен зробити цей вибір до (або незалежно від) випадкового вибору алгоритму геш-функції. Якщо зловмисник може спостерігати за випадковим вибором алгоритму, випадковість не має сенсу, і ситуація така ж, як і з детермінованим гешуванням.

Друга і третя гарантія зазвичай використовуються в поєднанні з перегешуванням^[en]. Наприклад, може бути підготовлений рандомізований алгоритм для обробки деякої кількості ${\displaystyle O(n)}$  колізій. Якщо він спостерігає занадто багато колізій, він вибирає іншу випадкову ${\displaystyle h}$  з родини і повторює гешування. Універсальність гарантує, що кількість повторень є геометричною випадковою величиною.

Конструкції

Оскільки будь-які комп'ютерні дані можуть бути представлені як одне або більше машинних слів, зазвичай потрібні геш-функції для трьох типів доменів: машинні слова («цілі числа»); вектори машинних слів фіксованої довжини; і вектори змінної довжини («рядки»).

Гешування цілих чисел

У цьому розділі розглядається випадок гешування цілих чисел, які вписуються в машинні слова; таким чином, такі операції, як множення, додавання, ділення тощо, є дешевими машинними інструкціями. Нехай універсум, що гешується ${\displaystyle \{0,\dots ,|U|-1\}}$ .

Початкова пропозиція Картера і Вегмана^[1] полягала у виборі простого числа ${\displaystyle p\geq |U|}$  і визначенні

${\displaystyle h_{a,b}(x)=((ax+b)~{\bmod {~}}p)~{\bmod {~}}m}$ 

де ${\displaystyle a,b}$  випадково вибрані цілі числа за модулем ${\displaystyle p}$  з ${\displaystyle a\neq 0}$  . (Це одна ітерація лінійного конгруентного генератора.)

Щоб побачити, що ${\displaystyle H=\{h_{a,b}\}}$  є універсальним сімейством, слід зауважити, що ${\displaystyle h(x)=h(y)}$  виконується лише коли

${\displaystyle ax+b\equiv ay+b+i\cdot m{\pmod {p}}}$ 

для деякого цілого числа ${\displaystyle i}$  між ${\displaystyle 0}$  і ${\displaystyle (p-1)/m}$  . Оскільки ${\displaystyle p\geq |U|}$ , якщо ${\displaystyle x\neq y}$  їх різниця ${\displaystyle x-y}$  не дорівнює нулю і має оберенене за модулем ${\displaystyle p}$  число. Розв'язання для ${\displaystyle a}$ 

${\displaystyle a\equiv i\cdot m\cdot (x-y)^{-1}{\pmod {p}}}$  .

Існує ${\displaystyle p-1}$  можливих варіантів для ${\displaystyle a}$  (оскільки ${\displaystyle a=0}$  виключається) і, варіюючи ${\displaystyle i}$  в допустимому діапазоні, можливо отримати ${\displaystyle \lfloor (p-1)/m\rfloor }$  ненульових значень для правої частини. Таким чином, ймовірність колізії дорівнює

${\displaystyle \lfloor (p-1)/m\rfloor /(p-1)\leq ((p-1)/m)/(p-1)=1/m}$  .

Інший спосіб побачити, що ${\displaystyle H}$  є універсальним сімейством використовує поняття статистичної відстані^[en]. Різницю ${\displaystyle h(x)-h(y)}$  можна переписати як

${\displaystyle h(x)-h(y)\equiv (a(x-y)~{\bmod {~}}p){\pmod {m}}}$  .

Оскільки ${\displaystyle x-y}$  не дорівнює нулю і ${\displaystyle a}$  рівномірно розподіляється в ${\displaystyle \{1,\dots ,p-1\}}$ , з цього випливає, що ${\displaystyle a(x-y)}$  по модулю ${\displaystyle p}$  також рівномірно розподіляється в ${\displaystyle \{1,\dots ,p-1\}}$ . Розподіл ${\displaystyle (h(x)-h(y))~{\bmod {~}}m}$  таким чином є майже рівномірним, аж до різниці в ймовірності ${\displaystyle \pm 1/p}$  між зразками. У результаті статистична відстань до однорідної родини становить ${\displaystyle O(m/p)}$ , яка стає незначною, коли ${\displaystyle p\gg m}$ .

Сімейство простіших геш-функцій

${\displaystyle h_{a}(x)=(ax~{\bmod {~}}p)~{\bmod {~}}m}$ 

є лише приблизно універсальним: ${\displaystyle \Pr\{h_{a}(x)=h_{a}(y)\}\leq 2/m}$  для усіх ${\displaystyle x\neq y}$ .^[1] Крім того, цей аналіз є майже строгим; Картер і Вегман^[1] показують що ${\displaystyle \Pr\{h_{a}(1)=h_{a}(m+1)\}\geq 2/(m-1)}$  будь-коли ${\displaystyle (p-1)~{\bmod {~}}m=1}$  .

Уникнення модульної арифметики

Найсучаснішим для гешування цілих чисел є схема множення-зсуву, описана Діцфельбінгером та ін. у 1997 р.^[8] Завдяки уникненню модульної арифметики цей метод набагато легше реалізувати, а також він працює значно швидше на практиці (зазвичай щонайменше в чотири рази^[9]). Схема припускає, що кількість кошиків є ступенем двійки, ${\displaystyle m=2^{M}}$ . Нехай ${\displaystyle w}$  буде кількістю бітів у машинному слові. Потім геш-функції параметризуються над непарними додатними цілими числами ${\displaystyle a<2^{w}}$  (що вписується в одне ${\displaystyle w}$ -бітове слово). Щоб оцінити ${\displaystyle h_{a}(x)}$ , слід помножити ${\displaystyle x}$  на ${\displaystyle a}$  по модулю ${\displaystyle 2^{w}}$  а потім зберегти старші ${\displaystyle M}$  бітів як геш-код. У математичній нотації це

${\displaystyle h_{a}(x)=(a\cdot x\,\,{\bmod {\,}}2^{w})\,\,\mathrm {div} \,\,2^{w-M}.}$ 

Ця схема не задовольняє властивості рівномірної різниці і є єдиною ${\displaystyle 2/m}$  -майже універсальною; для будь-якого ${\displaystyle x\neq y}$ , ${\displaystyle \Pr\{h_{a}(x)=h_{a}(y)\}\leq 2/m}$ .

Щоб зрозуміти поведінку геш-функції, зауважимо, що якщо ${\displaystyle ax{\bmod {2}}^{w}}$  і ${\displaystyle ay{\bmod {2}}^{w}}$  мають однакові старші M бітів, тоді ${\displaystyle a(x-y){\bmod {2}}^{w}}$  має всі одиниці або всі нулі у старших M бітах (залежно від того, що більше: ${\displaystyle ax{\bmod {2}}^{w}}$  чи ${\displaystyle ay{\bmod {2}}^{w}}$ ). Припустимо, що набір молодших бітів ${\displaystyle x-y}$  з'являється на позиції ${\displaystyle w-c}$ . Через те, що ${\displaystyle a}$  є випадковим непарним цілим числом, а непарні цілі числа мають обернені значення у кільці ${\displaystyle Z_{2^{w}}}$ , слідує, що ${\displaystyle a(x-y){\bmod {2}}^{w}}$  буде рівномірно розподілено серед ${\displaystyle w}$ -бітових цілих чисел з молодшим установленим бітом на позиції ${\displaystyle w-c}$ . Таким чином, імовірність того, що всі ці біти складаються з 0 або 1, не перевищує ${\displaystyle 2/2^{M}=2/m}$ .

З іншого боку, якщо ${\displaystyle c<M}$ , тоді старші M бітів ${\displaystyle a(x-y){\bmod {2}}^{w}}$  містять і 0, і 1, тому ${\displaystyle h(x)\neq h(y)}$ . Насамкінець, якщо ${\displaystyle c=M}$  то біт ${\displaystyle w-M}$  значення ${\displaystyle a(x-y){\bmod {2}}^{w}}$  є 1, і ${\displaystyle h_{a}(x)=h_{a}(y)}$  тоді і тільки тоді, коли біти ${\displaystyle w-1,\ldots ,w-M+1}$  також є 1, що відбувається з імовірністю ${\displaystyle 1/2^{M-1}=2/m}$ .

Цей аналіз є строгим, як можна показати на прикладі ${\displaystyle x=2^{w-M-2}}$  і ${\displaystyle y=3x}$ . Щоб отримати дійсно «універсальну» геш-функцію, можна використати схему множення-додавання-зсуву, яка вибирає старші біти

${\displaystyle h_{a,b}(x)=((ax+b){\bmod {2}}^{w+M})\,\mathrm {div} \,2^{w},}$ 

де ${\displaystyle a}$  є випадковим натуральним числом з ${\displaystyle a<2^{2w}}$  і ${\displaystyle b}$  є випадковим невід'ємним цілим числом з ${\displaystyle b<2^{2w}}$ . Для цього потрібно виконувати арифметику ${\displaystyle 2w}$  -розрядних беззнакових цілих чисел. Ця версія множинного зсуву належить Діцфельбінгеру, а пізніше була більш точно проаналізована Вельфелем.^[10]

Гешування векторів

Цей розділ стосується гешування вектора машинних слів фіксованої довжини. Вхідні дані інтерпретуються як вектор ${\displaystyle {\bar {x}}=(x_{0},\dots ,x_{k-1})}$  з ${\displaystyle k}$  машинних слів (цілі числа по ${\displaystyle w}$  бітів кожне). Якщо ${\displaystyle H}$  є універсальним сімейством з властивістю рівномірної різниці, наступне сімейство (походить від Картера і Вегмана^[1]) також має властивість рівномірної різниці (і, отже, є універсальним):

${\displaystyle h_{\bar {a}}({\bar {x}})=\left({\big (}\sum _{i=0}^{k-1}x_{i}\cdot a_{i}{\big )}~{\bmod {~}}2^{2w}\right)\,\,\mathrm {div} \,\,2^{2w-M}}$  .

Якщо ${\displaystyle m}$  є степенем двійки, підсумовування можна замінити виключним або.^[11]

На практиці, якщо доступна арифметика подвійної точності, вона створюється за допомогою сімейства геш-функцій із множним зсувом.^[12] Якщо ніціалізувати геш-функцію вектором ${\displaystyle {\bar {a}}=(a_{0},\dots ,a_{k-1})}$  випадкових непарних цілих чисел по ${\displaystyle 2w}$  бітів кожне, тоді, якщо кількість кошиків дорівнює ${\displaystyle m=2^{M}}$  для ${\displaystyle M\leq w}$  :

${\displaystyle h_{\bar {a}}({\bar {x}})=\left({\Big (}\sum _{i=0}^{\lceil k/2\rceil }(x_{2i}+a_{2i})\cdot (x_{2i+1}+a_{2i+1}){\Big )}{\bmod {~}}2^{2w}\right)\,\,\mathrm {div} \,\,2^{2w-M}}$  .

Можна вдвічі зменшити кількість множень, що на практиці приблизно означає подвійне прискорення.^[11] Якщо ніціалізувати геш-функцію вектором ${\displaystyle {\bar {a}}=(a_{0},\dots ,a_{k-1})}$  випадкових непарних цілих чисел на ${\displaystyle 2w}$  біти кожне, то наступне сімейство геш-функцій є універсальним:^[13]

${\displaystyle h_{\bar {a}}({\bar {x}})^{\mathrm {strong} }=(a_{0}+\sum _{i=0}^{k-1}a_{i+1}x_{i}{\bmod {~}}2^{2w})\,\,\mathrm {div} \,\,2^{w}}$  .

Якщо операції подвійної точності недоступні, можна інтерпретувати вхідні дані як вектор півслів (${\displaystyle w/2}$  -розрядні цілі числа). Далі буде використовуватися алгоритм ${\displaystyle \lceil k/2\rceil }$  множення, де ${\displaystyle k}$  — кількість півслів у векторі. Таким чином, алгоритм працює зі швидкістю одного множення на вхідне слово.

Цю ж схему також можна використовувати для гешування цілих чисел, інтерпретуючи їхні біти як вектори байтів. У цьому варіанті векторна техніка відома як табуляційне гешування^[en] та забезпечує практичну альтернативу універсальним схемам гешування на основі множення.^[14]

Також можлива сильна універсальність на високій швидкості.^[15] Потрібно ініціалізувати геш-функцію вектором ${\displaystyle {\bar {a}}=(a_{0},\dots ,a_{k})}$  випадкових цілих чисел на ${\displaystyle 2w}$  бітів. Обчислити

${\displaystyle h_{\bar {a}}({\bar {x}})^{\mathrm {strong} }=(a_{0}+\sum _{i=0}^{k-1}a_{i+1}x_{i}{\bmod {~}}2^{2w})\,\,\mathrm {div} \,\,2^{w}}$  .

Результат сильно універсальний на ${\displaystyle w}$  бітах. Експериментально було встановлено, що він працює на швидкості на 0,2 цикла процесора на байт на останніх процесорах Intel для ${\displaystyle w=32}$ .

Гешування рядків

Це стосується гешування вектора машинних слів змінного розміру. Якщо довжину рядка можна обмежити невеликим числом, найкраще використовувати векторне рішення зверху (концептуально доповнюючи вектор нулями до верхньої межі). Потрібний простір — це максимальна довжина рядка, але час для оцінки ${\displaystyle h(s)}$  це просто довжина ${\displaystyle s}$ . Поки нулі заборонені в рядку, доповнення нулями можна ігнорувати під час оцінювання геш-функції без впливу на універсальність.^[11] Слід зауважити, що якщо в рядку дозволені нулі, тоді, можливо, найкраще буде додати фіктивний ненульовий символ (наприклад, 1) до всіх рядків перед доповненням: це гарантує, що це не вплине на універсальність.^[15]

Тепер припустимо, що ми хочемо гешувати ${\displaystyle {\bar {x}}=(x_{0},\dots ,x_{\ell })}$ , де гарна межа ${\displaystyle \ell }$  апріорі невідома. Універсальне сімейство, запропоноване^[16], розглядає рядок ${\displaystyle x}$  як коефіцієнти полінома за модулем великого простого числа. Якщо ${\displaystyle x_{i}\in [u]}$ , прийняти просте число ${\displaystyle p\geq \max\{u,m\}}$  і визначити:

${\displaystyle h_{a}({\bar {x}})=h_{\mathrm {int} }\left({\big (}\sum _{i=0}^{\ell }x_{i}\cdot a^{\ell -i}{\big )}{\bmod {~}}p\right)}$ , де ${\displaystyle a\in [p]}$  є рівномірно випадковим і ${\displaystyle h_{\mathrm {int} }}$  вибирається випадковим чином із універсального сімейства, що відображає: цілі числа ${\displaystyle [p]\mapsto [m]}$  .

Використовуючи властивості модульної арифметики, наведене вище можна обчислити без отримання великих чисел для великих рядків, як показано нижче:^[17]

uint hash(String x, int a, int p)
	uint h = INITIAL_VALUE
	for (uint i=0 ; i < x.length ; ++i)
		h = ((h*a) + x[i]) mod p
	return h

Цей коткий геш Рабіна-Карпа базується на лінійному конгруентному генераторі.^[18] Наведений вище алгоритм також відомий як мультиплікативна геш-функція.^[19] На практиці оператора mod і параметра p можна взагалі уникнути, просто дозволивши цілочисельне переповнення, оскільки це еквівалентно mod (Max-Int-Value + 1) у багатьох мовах програмування. У таблиці нижче показано значення, вибрані для ініціалізації h і a для деяких популярних реалізацій.

Реалізація	Початкове значення	a
геш-функція Бернштайна djb2[20]	5381	33
STLPort 4.6.2	0	5
геш-функція Кернігана та Річі[21]	0	31
java.lang.String.hashCode() [22]	0	31

Розглянемо два рядки ${\displaystyle {\bar {x}},{\bar {y}}}$  і нехай ${\displaystyle \ell }$  бути довжиною довшого; для аналізу коротший рядок концептуально доповнюється нулями до довжини ${\displaystyle \ell }$  . Колізія при застосуванні ${\displaystyle h_{\mathrm {int} }}$  означає, що ${\displaystyle a}$  є коренем многочлена з коефіцієнтами ${\displaystyle {\bar {x}}-{\bar {y}}}$ . Цей многочлен має не більше ${\displaystyle \ell }$  коренів по модулю ${\displaystyle p}$ , тому ймовірність колізії не більше ${\displaystyle \ell /p}$ . Імовірність колізії через випадковість ${\displaystyle h_{\mathrm {int} }}$  доводить загальну ймовірність колізії до ${\displaystyle {\frac {1}{m}}+{\frac {\ell }{p}}}$ . Таким чином, якщо просте ${\displaystyle p}$  є достатньо великим порівняно з довжиною гешованих рядків, сімейство дуже близько до універсального (за статистичною відстанню).

Інші універсальні сімейства геш-функцій, які використовуються для гешування рядків невідомої довжини до геш-значень фіксованої довжини, включають відбиток Рабіна та Бужаш.

Уникнення модульної арифметики

Щоб пом'якшити обчислювальні витрати від модульної арифметики, на практиці використовуються три прийоми:^[11]

1. Обирається просте ${\displaystyle p}$ , близьке до степеня двійки, наприклад просте число Мерсенна^[en]. Це дозволяє арифметику по модулю ${\displaystyle p}$  реалізувати без ділення (з використанням швидших операцій, таких як додавання та зсув). Наприклад, на сучасних архітектурах можна працювати з ${\displaystyle p=2^{61}-1}$ , поки ${\displaystyle x_{i}}$  є 32-розрядними значеннями.
2. До блоків можна застосувати векторне гешування. Наприклад, можна застосувати гешування векторів до кожного блоку з 16 слів рядка, а також застосувати гешування рядка до ${\displaystyle \lceil k/16\rceil }$  результатів. Оскільки повільніше гешування рядків застосовується до значно меншого вектора, загальна швидкість, по суті, буде така ж, як і швидкість гешування векторів.
3. Дільником вибирається ступінь двійки, що дозволяє виконувати арифметичні дії за модулем ${\displaystyle 2^{w}}$  без ділення (з використанням швидших операцій маскування бітів). Сімейство геш-функцій NH^[en] використовує цей підхід.

Див. також

• K-independent hashing^[en]
• Коткий геш
• Tabulation hashing^[en]
• Min-wise independence^[en]
• Universal one-way hash function^[en]
• Послідовність із низькою розбіжністю
• Perfect hashing^[en]

Примітки

1. Carter, Larry; Wegman, Mark N. (1979). Universal Classes of Hash Functions. Journal of Computer and System Sciences. 18 (2): 143—154. doi:10.1016/0022-0000(79)90044-8. Conference version in STOC'77.
2. Miltersen, Peter Bro. Universal Hashing (PDF). Архів оригіналу (PDF) за 24 May 2011. Процитовано 24 June 2009. {{cite web}}: Проігноровано невідомий параметр |df= (довідка)
3. Motwani, Rajeev; Raghavan, Prabhakar (1995). Randomized Algorithms. Cambridge University Press. с. 221. ISBN 0-521-47465-5.
4. David Wagner, ed. «Advances in Cryptology — CRYPTO 2008». p. 145.
5. Jean-Philippe Aumasson, Willi Meier, Raphael Phan, Luca Henzen. «The Hash Function BLAKE». 2014. p. 10.
6. Thorup, Mikkel (2015). High Speed Hashing for Integers and Strings. arXiv:1504.06804 [cs.DS].
7. Baran, Ilya; Demaine, Erik D.; Pătraşcu, Mihai (2008). Subquadratic Algorithms for 3SUM (PDF). Algorithmica. 50 (4): 584—596. doi:10.1007/s00453-007-9036-3.
8. Dietzfelbinger, Martin; Hagerup, Torben; Katajainen, Jyrki; Penttonen, Martti (1997). A Reliable Randomized Algorithm for the Closest-Pair Problem (Postscript). Journal of Algorithms. 25 (1): 19—51. doi:10.1006/jagm.1997.0873. Процитовано 10 February 2011.
9. Thorup, Mikkel (18 December 2009). Text-book algorithms at SODA.
10. Woelfel, Philipp (1999). Efficient Strongly Universal and Optimally Universal Hashing. Mathematical Foundations of Computer Science 1999. LNCS. Т. 1672. с. 262—272. doi:10.1007/3-540-48340-3_24.
11. . ISBN 978-0-89871-680-1. {{cite conference}}: Пропущений або порожній |title= (довідка), section 5.3
12. Dietzfelbinger, Martin; Gil, Joseph; Matias, Yossi; Pippenger, Nicholas (1992). Polynomial Hash Functions Are Reliable (Extended Abstract). Proc. 19th International Colloquium on Automata, Languages and Programming (ICALP). с. 235—246.
13. Black, J.; Halevi, S.; Krawczyk, H.; Krovetz, T. (1999). UMAC: Fast and Secure Message Authentication (PDF). Advances in Cryptology (CRYPTO '99)., Equation 1
14. . ISBN 9781450306911. {{cite conference}}: Пропущений або порожній |title= (довідка)
15. Kaser, Owen; Lemire, Daniel (2013). Strongly universal string hashing is fast. Computer Journal. Oxford University Press. 57 (11): 1624—1638. arXiv:1202.4961. doi:10.1093/comjnl/bxt070.
16. Dietzfelbinger, Martin; Gil, Joseph; Matias, Yossi; Pippenger, Nicholas (1992). Polynomial Hash Functions Are Reliable (Extended Abstract). Proc. 19th International Colloquium on Automata, Languages and Programming (ICALP). с. 235—246.
17. Hebrew University Course Slides (PDF).
18. Robert Uzgalis. «Library Hash Functions». 1996.
19. Kankowsk, Peter. Hash functions: An empirical comparison.
20. Yigit, Ozan. String hash functions.
21. Kernighan; Ritchie (1988). 6. The C Programming Language (вид. 2nd). Prentice Hall. с. 118. ISBN 0-13-110362-8.
22. String (Java Platform SE 6). docs.oracle.com. Процитовано 10 червня 2015.

Подальше читання

• Knuth, Donald Ervin (1998). The Art of Computer Programming, Vol. III: Sorting and Searching (вид. 3rd). Reading, Mass; London: Addison-Wesley. ISBN 0-201-89685-0.

Посилання

• Відкриті структури даних — Розділ 5.1.1 — Мультиплікативне гешування, Пет Морін^[en]