SHA算法描述及实现

SHA 算法的原理及实现

章节目录

简介
算法描述
2.1 数据准备
2.1.1 <数据填充
2.1.2 数据分块
2.1.3 设置初始 Hash 值
2.2 Hash 计算
2.2.1 SHA-1
2.2.2 SHA-256
2.2.3 SHA-512
实现

作者能力有限, 如果您在阅读过程中发现任何错误, 还请您务必联系本人,指出错误, 避免后来读者再学习错误的知识.谢谢!

简介

SHA 算法（英语：Secure Hash Algorithm，缩写为SHA）是一个密码散列函数家族，是FIPS所认证的安全散列算法。能计算出一个数字消息所对应到的，长度固定的字符串（又称消息摘要）的算法。且若输入的消息不同，它们对应到不同字符串的机率很高。

本文我们将介绍以下 SHA 算法: SHA-1, SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256.

其中 SHA-224 和 SHA-256 使用相同的算法, 区别在于初始 Hash 值不同, 最终结果只使用算法输出的数据中的前224/256 bit.
SHA-384, SHA-512, SHA-512/224, SHA-512/256 使用相同的算法, 区别在于初始 Hash 值不同, 最终结果只使用算法输出的数据中的前384/512/224/256 bit.
而 SHA-2* 和 SHA-384,SHA-5* 算法也非常类似, 区别在于采用的字(Word) 长度不同, SHA-2*使用 32-bit 的字, 而其他算法使用 64-bit 的字. 算法的迭代次数也不一样.

算法描述

本文中将介绍的 SHA 算法的计算步骤从大体上可以分为两步: 数据准备 和 Hash 计算.

数据准备

在数据准备阶段, 我们也像 MD5 那样, 需要先将数据填充到特定长度,同时将原始数据长度填充进去,然后对数据进行分块, 因为我们的算法是基于块进行的. SHA 家族中的具体算法的实现大体相同, 只是填充长度的bit数,分块大小略有不同而已.

在数据准备阶段我们需要进行三个操作: 数据填充, 数据分块, 设置初始 Hash 值.

数据填充

我们使用 $M$ 表示数据数据, 它的长度使用 $l$ 表示.

对于算法 SHA-1, SHA-224, SHA-256, 数据填充方法如下:
先填充 1 bit 的 '1' 到数据末尾, 然后紧接着填充 k 个 '0', 这里 k 需要时最小的非负数且满足 $l+1+k\equiv448mod512$ , 也即是说需要将原始数据长度填充到差64位就是512的整数倍.
上述操作结束后, 将 $l$ 表示为 64 bit 的bit数组填充到上述步骤所得的数据之后, 此时我们得到一个长度为512整数倍的数据.

举个例子:
假设我们的数据数据为"abc", 它的长度为24(bit). 我们通过计算得到 k 应该是 423(448 - 1 - 24). 此时填充之后的数据应该如下:
$\underbrace{01100001}_{a}\quad \underbrace{01100010}_{b}\quad \underbrace{01100011}_{c}\quad 1 \quad \overbrace{00...00}^{423}\quad \overbrace{00...0\underbrace{11000}_{t=24}}^{64}$
填充完成之后的长度是512(bit).

对于算法 SHA-384, SHA-512, SHA-512/224, SHA-512/256, 数据填充方法如下:
先填充 1 bit 的 '1' 到数据末尾, 然后紧接着填充 k 个 '0', 这里 k 需要时最小的非负数且满足 $l+1+k\equiv896mod1024$ , 也即是说需要将原始数据长度填充到差128位就是1024的整数倍.
上述操作结束后, 将 $l$ 表示为 128 bit 的bit数组填充到上述步骤所得的数据之后, 此时我们得到一个长度为1024整数倍的数据.

以上述的例子为例:
假设我们的数据数据为"abc", 它的长度为24(bit). 我们通过计算得到 k 应该是 871(896 - 1 - 24). 此时填充之后的数据应该如下:
$\underbrace{01100001}_{a}\quad \underbrace{01100010}_{b}\quad \underbrace{01100011}_{c}\quad 1 \quad \overbrace{00...00}^{871}\quad \overbrace{00...0\underbrace{11000}_{t=24}}^{128}$
填充完成之后的长度是1024(bit).

数据分块

填充后的数据需要被分块.

对于算法 SHA-1, SHA-224, SHA-256,
我们将数据分为 $N$ 个 521-bit 的块, 分别表示为
$M^{(1)}, M^{(2)}, ..., M^{(N)}$
512-bit 的块又可以被划分为 16 个字(32-bit Word), 分别表示为
$M^{(i)}_{0}, M^{(i)}_{1}, ..., M^{(i)}_{15}$

对于算法 SHA-384, SHA-512, SHA-512/224, SHA-512/256
我们将数据分为 $N$ 个 1024-bit 的块, 分别表示为
$M^{(1)}, M^{(2)}, ..., M^{(N)}$
1024-bit 的块又可以被划分为 16 个字(64-bit Word), 分别表示为
$M^{(i)}_{0}, M^{(i)}_{1}, ..., M^{(i)}_{15}$

设置初始 Hash 值

每个特定的 SHA 算法, 都有相应的初始 Hash 值. 在计算 Hash 之前, 我们需要先将初始值准备好.

为了减少文章篇幅, 这里我们不列出这些初始值和 Hash 计算过程中使用到的常量 $K$ ,后边算法实现中会给出相应数据.

Hash 计算

SHA-1

SHA-1 算法要求输入数据的长度不能大于 $2^64$ , 最小长度为0.

伪代码如下:

$ROTL^n(x)=(x << n) \cup (x >> w - n)$

$f_t(x,y,z)$ = $\begin{cases} Ch(x,y,z)=(x\cap y)\bigoplus (¬x\cap z), \qquad 0\leq t\leq19 \\ \quad \\ Parity(x,y,z)=x\bigoplus y\bigoplus z, \qquad 20\leq t\leq39\\ \quad \\ Maj(x,y,z)=(x\cap y)\bigoplus (x\cap z)\bigoplus (y\cap z), \qquad 40\leq t\leq59\\ \quad \\ Parity(x,y,z)=x\bigoplus y\bigoplus z, \qquad 60\leq t\leq79\\ \quad \\ \end{cases}$

For i=1 to N:
{
//1. 计算 $W_t$
$\quad W_t$ = $\begin{cases} M^{(0)}_t, \qquad 0\leq t\leq15 \\ \quad \\ ROTL^1(W_{t-3}\bigoplus W_{t-8}\bigoplus W_{t-14}\bigoplus W_{t-16}), \qquad 16\leq t\leq79\\ \end{cases}$

//2. 初始化工作变量 a, b, c, d, e. 他们用来存储在第 i-1 次迭代式的 Hash 值
// 他们的初始值就是我们在"设置初始 Hash 值"小节中所说的值.
$\quad a=H^{i-1}_0 \\ \quad b=H^{i-1}_1 \\ \quad c=H^{i-1}_2 \\ \quad d=H^{i-1}_3 \\ \quad e=H^{i-1}_4 \\$

    // 3
    For t=0 to 79:
    {
$\qquad T=ROTL^5(a)+f_t(b,c,d)+e+K_t+W_t \\ \qquad e=d \\ \qquad d=c \\ \qquad c=ROTL^30(b) \\ \qquad b=a \\ \qquad a=T \\$
    }

在经过 N 次迭代之后, 最终结果为 $H^{(N)}_0, H^{(N)}_1, H^{(N)}_2, H^{(N)}_3, H^{(N)}_4$ 的字节表示依次连接所组成的字节数组.

SHA-256

SHA-256 算法要求输入数据的长度不能大于 $2^64$ , 最小长度为0.

SHA-224 算法的计算过程与 SHA-256 相同, 却别在于使用的初始化 Hash 值不同, 且 SHA-224 算法的最终结果是取 SHA-256 算法结果的前 224 bit.

伪代码如下:

$SHR^n(x)=x >> n$
$ROTR^n(x)=(x >> n)\cup (x << w - n)$
$\Sigma^{\{256\}}_0(x)=ROTR^2(x)\bigoplus ROTR^{13}(x)\bigoplus ROTR^{22}(x)$
$\Sigma^{\{256\}}_1(x)=ROTR^6(x)\bigoplus ROTR^{11}(x)\bigoplus ROTR^{25}(x)$
$\sigma^{\{256\}}_0(x)=ROTR^7(x)\bigoplus ROTR^{18}(x)\bigoplus SHR^3(x)$
$\sigma^{\{256\}}_1(x)=ROTR^{17}(x)\bigoplus ROTR^{19}(x)\bigoplus SHR^{10}(x)$

For i=1 to N:
{
//1. 计算 $W_t$
$\quad W_t$ = $\begin{cases} M^{(0)}_t, \qquad 0\leq t\leq15\\ \quad \\ \sigma^{\{256\}}_1(W_{t-2})+W_{t-7}+\sigma^{\{256\}}_0(W_{t-15})+W_{t-16}, \qquad 16\leq t\leq63\\ \end{cases}$

//2. 初始化工作变量 a, b, c, d, e, f, g, h. 他们用来存储在第 i-1 次迭代式的 Hash 值
// 他们的初始值就是我们在"设置初始 Hash 值"小节中所说的值.
$\quad a=H^{i-1}_0 \\ \quad b=H^{i-1}_1 \\ \quad c=H^{i-1}_2 \\ \quad d=H^{i-1}_3 \\ \quad e=H^{i-1}_4 \\ \quad f=H^{i-1}_5 \\ \quad g=H^{i-1}_6 \\ \quad h=H^{i-1}_7 \\$

    // 3
    For t=0 to 63:
    {
$\qquad T_1=h+\Sigma^{\{256\}}_1(e)+Ch(e,f,g)+K^{\{256\}_t}+W_t \\ \qquad T_2=\Sigma^{\{256\}}_0(a)+Maj(a,b,c) \\ \qquad h=g \\ \qquad g=f \\ \qquad f=e \\ \qquad e=d+T_1 \\ \qquad d=c \\ \qquad c=b \\ \qquad b=a \\ \qquad a=T_1+T_2 \\$
    }

//4. 计算第 $i^{th}$ 中间 hash 值 $H^i$
$\quad H^{(i)}_0=a+H^{(i-1)}_0 \\ \quad H^{(i)}_1=b+H^{(i-1)}_1 \\ \quad H^{(i)}_2=c+H^{(i-1)}_2 \\ \quad H^{(i)}_3=d+H^{(i-1)}_3 \\ \quad H^{(i)}_4=e+H^{(i-1)}_4 \\ \quad H^{(i)}_5=b+H^{(i-1)}_5 \\ \quad H^{(i)}_6=c+H^{(i-1)}_6 \\ \quad H^{(i)}_7=d+H^{(i-1)}_7 \\$
}

在经过 N 次迭代之后, 最终结果为 $H^{(N)}_0, H^{(N)}_1, H^{(N)}_2, H^{(N)}_3, H^{(N)}_4, H^{(N)}_5, H^{(N)}_6, H^{(N)}_7$ 的字节表示依次连接所组成的字节数组.

SHA-512

SHA-512 算法要求输入数据的长度不能大于 $2^128$ , 最小长度为0.

SHA-384 算法的计算过程与 SHA-512 相同, 却别在于使用的初始化 Hash 值不同, 且 SHA-384 算法的最终结果是取 SHA-512 算法结果的前 384 bit.

SHA-512/224 算法的计算过程与 SHA-512 相同, 却别在于使用的初始化 Hash 值不同, 且 SHA-512/224 算法的最终结果是取 SHA-512 算法结果的前 224 bit.

SHA-512/256 算法的计算过程与 SHA-512 相同, 却别在于使用的初始化 Hash 值不同, 且 SHA-512/256 算法的最终结果是取 SHA-512 算法结果的前 256 bit.

伪代码如下:

$\Sigma^{\{512\}}_0(x)=ROTR^{28}(x)\bigoplus ROTR^{34}(x)\bigoplus ROTR^{39}(x)$
$\Sigma^{\{512\}}_1(x)=ROTR^{14}(x)\bigoplus ROTR^{18}(x)\bigoplus ROTR^{41}(x)$
$\sigma^{\{512\}}_0(x)=ROTR^1(x)\bigoplus ROTR^8(x)\bigoplus SHR^7(x)$
$\sigma^{\{512\}}_1(x)=ROTR^{19}(x)\bigoplus ROTR^{61}(x)\bigoplus SHR^6(x)$

For i=1 to N:
{
//1. 计算 $W_t$
$\quad W_t$ = $\begin{cases} M^{(0)}_t, \qquad 0\leq t\leq15\\ \quad \\ \sigma^{\{512\}}_1(W_{t-2})+W_{t-7}+\sigma^{\{512\}}_0(W_{t-15})+W_{t-16}, \qquad 16\leq t\leq79\\ \end{cases}$

    // 3
    For t=0 to 79:
    {
$\qquad T_1=h+\Sigma^{\{512\}}_1(e)+Ch(e,f,g)+K^{\{512\}_t}+W_t \\ \qquad T_2=\Sigma^{\{512\}}_0(a)+Maj(a,b,c) \\ \qquad h=g \\ \qquad g=f \\ \qquad f=e \\ \qquad e=d+T_1 \\ \qquad d=c \\ \qquad c=b \\ \qquad b=a \\ \qquad a=T_1+T_2 \\$
    }

在经过 N 次迭代之后, 最终结果为 $H^{(N)}_0, H^{(N)}_1, H^{(N)}_2, H^{(N)}_3, H^{(N)}_4, H^{(N)}_5, H^{(N)}_6, H^{(N)}_7$ 的字节表示依次连接所组成的字节数组.