MD6

MD6消息摘要算法是一个密碼雜湊函數。它使用默克尔树形式的结构，允许对很长的输入并行进行大量散列计算。作者称，在英特尔酷睿2双核CPU上，MD6-256的性能为每字节28个时钟周期，并可证明的有抗差分密码分析能力。^[2]参考实现的源代码在MIT許可證下发布。 ^[3]

MD6

概述
设计者	Ronald Rivest, Benjamin Agre, Dan Bailey, Sarah Cheng, Christopher Crutchfield, Yevgeniy Dodis, Kermin Fleming, Asif Khan, Jayant Krishnamurthy, Yuncheng Lin, Leo Reyzin, Emily Shen, Jim Sukha, Eran Tromer, Yiqun Lisa Yin（英语：Yiqun Lisa Yin）
首次发布	2008年
系列	MD2、MD4、MD5、MD6
细节
摘要长度	可变，0<d≤512位元
结构	默克尔树
重复回数	可变，默认：Unkeyed=40+[d/4], Keyed=max(80,40+(d/4)) [1]

据介绍，在16核CPU架构上对长消息的处理速度可能超过1 GB/秒。

2008年12月，Fortify Software（英语：Fortify Software）的Douglas Held在原始MD6哈希算法的参考实现中发现了缓冲区溢出问题。此错误后由罗纳德·李维斯特于2009年2月19日公布，Fortify的报告发布前已发布更正的参考实现。 ^[4]

MD6被提交到NIST SHA-3竞赛（英语：NIST hash function competition）。但2009年7月1日，Rivest在NIST上评论说，由于速度问题，MD6尚未准备好成为SHA-3的候选者。在所提交的证明能抵抗差分攻击的MD6版本中发现了一个缺陷，且无法为速度更快的减法版本提供同样的证明。 ^[5]尽管Rivest在MD6网站上也表示未正式撤回，^[6]MD6没有进入SHA-3竞赛的第二轮。 2011年9月，MD6网站上发布了一篇论文，提供了改进的证明，以及更快的减少回数并可抗差分攻击的版本^[7] 。 ^[8]

参见

• 密码散列函数比较（英语：Comparison of cryptographic hash functions）