MD4 er enkryptografiskhashfunktion designet afR. Rivest i 1990.^[1] Som andre lignende funktioner anvendes MD4 til beskyttelse af elektroniske data, f.eks. i forbindelse med transmissioner over åbne netværk.

Funktionen tager som input beskeder af størrelse op til 2⁶⁴ bits og returnerer en 128-bits hash-værdi. Allerede i 1991 blev det første angreb på en reduceret udgave af MD4 publiceret. Dette medførte at designeren samme år publicerede en ny, forstærket udgave, kaldetMD5.

MD4 opererer med en 128-bits tilstand, som iterativt opdateres af en 512-bits besked-blok i det, der kaldes 'kompressionsfunktionen'.

Kompressionsfunktionen tager en tilstand på 128 bits og en beskedblok på 512 bits, og returnerer en ny tilstand på 128 bits. Den kan beskrives på følgende måde: Lad input-tilstanden være${\displaystyle h=(a,b,c,d)}$, hvor${\displaystyle a,b,c,d}$ er ord af hver 32 bits. Besked-blokken på 512 bits kaldes${\displaystyle M=m_1,...,m_{16}}$. Disse 16 ord udvides til 48 ord${\displaystyle w_1,...,w_{48}}$, som blot er tre forskellige permutationer af${\displaystyle M}$. Opdateringen af tilstanden${\displaystyle h}$ sker over 48 trin, hvor${\displaystyle w_i}$ er input til trin${\displaystyle i}$. De 48 trin kan opdeles i tre såkaldte runder af 16 trin hver. I hver runde benyttes et ord fra${\displaystyle M}$ altså præcist een gang. Odateringen (trin${\displaystyle i}$) ser ud som følger:

${\displaystyle a\leftarrow (f_i(d,c,b)+a+w_i+k_i)⋘s_i,}$

hvor${\displaystyle f_i}$ er en funktion som er unik for hver runde,${\displaystyle k_i}$ er en 32-bits konstant som er unik for hver runde,${\displaystyle s_i}$ er en værdi mellem 0 og 31 som skifter for hvert trin,${\displaystyle +}$ betyder addition modulo 2³², og${\displaystyle x⋘s}$ betyder${\displaystyle x}$ roteret bitvist${\displaystyle s}$ pladser til venstre. Den nævnte operation efterfølges af en flytning af ord således at${\displaystyle d}$ får værdien af${\displaystyle c}$,${\displaystyle c}$ får værdien af${\displaystyle b}$,${\displaystyle b}$ får værdien af${\displaystyle a}$, og${\displaystyle a}$ får den gamle værdi af${\displaystyle d}$. I en praktisk implementation sker denne flytning implicit.

Funktionerne${\displaystyle f_i}$ er bitvise funktioner. De er defineret som følger:

${\displaystyle f_i(x,y,z)=(x\wedge y)\vee (\mathrm{\neg }x\wedge z)}$ for${\displaystyle i}$ mellem 1 og 16,

${\displaystyle f_i(x,y,z)=(x\wedge y)\vee (x\wedge z)\vee (y\wedge z)}$ for${\displaystyle i}$ mellem 17 og 32, og

${\displaystyle f_i(x,y,z)=x\oplus y\oplus z}$ for${\displaystyle i}$ mellem 33 og 48.

Konstanterne${\displaystyle k_i}$ er (i hexadecimal) henholdsvis0,5a827999 og6ed9eba1 i henholdsvis runde 1, 2 og 3. Rotationskonstanterne${\displaystyle s_i}$ er

3, 7, 11, 19, 3, 7, ... i runde 1,

3, 5, 9, 13, 3, 5, ... i runde 2, og

3, 9, 11, 15, 3, 9, ... i runde 3.

Permutationerne af${\displaystyle M}$ kan findes i tabellen herunder. I række${\displaystyle j}$ findes permutationen i runde${\displaystyle j}$.

Da MD4 accepterer beskeder af næsten vilkårlig længde, og da kompressionsfunktionen som beskrevet ovenfor arbejder med 512-bits blokke ad gangen, er der defineret en metode til at udvide enhver besked til en længde som er et multiplum af 512 bits (dette kaldes 'padding'). Dette gøres ved først at tilføje bit'en1, dernæst tilføjes${\displaystyle u}$0-bits, og til sidst tilføjes en 64-bits repræsentation af længden af den oprindelige besked. Her er${\displaystyle u}$ valgt netop således, at den samlede længde af den 'paddede' besked er et multiplum af 512 bits. Denne padding-regel sikrer, at beskeder som er forskellige inden padding, også er forskellige efter padding.

Kompressionsfunktionen som beskrevet ovenfor 'spiser' 512 bits ad gangen. For at større beskeder kan behandles må kompressionsfunktionen kaldes flere gange. Lad${\displaystyle H}$ være kompressionsfunktionen med to inputs, den gamle tilstand og besked-blokken. En initiel tilstandsværdi (IV)${\displaystyle h_0}$ er defineret som (67452301,10325476,98badcfe,efcdab89), skrevet i hexadecimal og opdelt i 32-bits ord. For hver 512-bits besked-blok${\displaystyle m_1,...,m_t}$, udføres${\displaystyle h_i=H(h_{i-1},m_i)+h_{i-1}}$, hvor additionen udføres modulo 2³² på de fire tilstandsord enkeltvis (denne addition er strengt taget en del af kompressionsfunktionen). Den sidste tilstand${\displaystyle h_t}$ er hash-værdien af beskeden.

Denne iterative brug af kompressionsfunktionen, samt padding med beskedens oprindelige længde, kaldesMerkle-Damgård-konstruktionen.

Nogle eksempler på hash-værdier (angivet i hexadecimal) af korte tekststrenge er givet herunder.

MD4("") = 31d6cfe0d16ae931b73c59d7e0c089c0MD4("0123456789") = a695ea9f14a89c4e82ca5cf52a28d45dMD4("Wikipedia") = e2a059b14fc07a3c78c7b74027a323ec

Enhver ændring af beskeden medfører at gennemsnitligt ca. 64 bits af hash-værdien ændres. Eksempel:

MD4("Wikipedib") = 2cf896ca02711a90ef58ea10878a32ee

MD4 har dannet baggrund for en lang række ofte anvendte hashfunktioner. Den umiddelbare efterfølgerMD5 er et godt eksempel, men ogsåSHA-familien, designet og standardiseret af de amerikanske myndigheder, er baseret på MD4. Herudover er den europæiskeRIPEMD en variant af MD4. Som følge af en lang række angreb på stort set samtlige hashfunktioner baseret på MD4 er der dog opstået usikkerhed om hvorvidt det grundlæggende design er fornuftigt.

De første angreb på MD4 så dagens lys allerede året efter hashfunktionen blev publiceret.B. den Boer ogA. Bosselaers fandt en metode til at finde kollisioner (dvs. to forskellige beskeder med samme hash-værdi) i en variant af MD4, hvor kun de sidste to runder er medtaget.^[2]S. Vaudenay beskrev en metode til at finde kollisioner i en variant hvor sidste runde er udeladt.^[3] Det første succesfulde angreb på den egentlige MD4-algoritme blev publiceret i 1996 afH. Dobbertin, som fandt kollisioner på få sekunder.^[4] Senere er en endnu hurtigere metode blevet beskrevet afX. Wang et al.^[5] På baggrund af disse angreb må MD4 betragtes som uegnet til brug i applikationer som kræver kryptografisk sikkerhed.

• Fejldetektering og korrektion
• Kryptografi