本條目存在以下問題,請協助改善本條目或在討論頁針對議題發表看法。
|
| 安全散列算法 | |
|---|---|
| 概念 | |
| 散列函数 ·SHA ·DSA | |
| 主流标准 | |
| SHA-0 ·SHA-1 ·SHA-2 ·SHA-3 | |
| 概述 | |
|---|---|
| 设计者 | 美國國家安全局 |
| 首次发布 | 2001年 |
| 系列 | (SHA-0),SHA-1, SHA-2,SHA-3 |
| 认证 | FIPS PUB 180-4,CRYPTREC(英语:CRYPTREC),NESSIE(英语:NESSIE) |
| 细节 | |
| 摘要长度 | 224, 256, 384, or 512 bits |
| 结构 | 配合Davies–Meyer壓縮函數的默克爾-達姆加德結構(英语:Merkle–Damgård construction) |
| 重复回数 | 64 or 80 |
| 最佳公开破解 | |
| A 2011 attack breakspreimage resistance for 57 out of 80 rounds of SHA-512, and 52 out of 64 rounds for SHA-256.[1]Pseudo-collision attack against up to 46 rounds of SHA-256.[2] | |
SHA-2,名稱來自於安全散列演算法2(英語:Secure Hash Algorithm 2)的縮寫,是一種密碼雜湊函數演算法標準,由美國國家安全局研發[3],由美國國家標準與技術研究院(NIST)在2001年發布。屬於SHA演算法之一,是SHA-1的後繼者。其下又可再分為六個不同的演算法標準,包括了:SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256。

NIST發佈了三個額外的SHA變體,這三個函數都將訊息對應到更長的訊息摘要。以它們的摘要長度(以位元計算)加在原名後面來命名:SHA-256,SHA-384和SHA-512。它們發佈於2001年的FIPS PUB 180-2草稿中,隨即通過審查和評論。包含SHA-1的FIPS PUB 180-2,於2002年以官方標準發佈。2004年2月,發佈了一次FIPS PUB 180-2的變更通知,加入了一個額外的變種SHA-224,這是為了符合雙金鑰3DES所需的金鑰長度而定義[4]。
SHA-256和SHA-512是很新的雜湊函數,前者以定義一個word為32位元,後者則定義一個word為64位元。它們分別使用了不同的偏移量,或用不同的常數,然而,實際上二者結構是相同的,只在迴圈執行的次數上有所差異。SHA-224以及SHA-384則是前述二種雜湊函數的截短版,利用不同的初始值做計算。
Gilbert和Handschuh在2003年曾對這些新變種作過一些研究,聲稱他們沒有找到弱點。[5]
以下是SHA-256演算法的虛擬碼。注意,64個wordw[16..63]中的位元比起SHA-1演算法,混合的程度大幅提升。
注意:全部變量皆是32位元无符号整數,且溢位時以模232處理初始化(以下是前8個質數2..19平方根小數部分的前32位元):h0 := 0x6a09e667h1 := 0xbb67ae85h2 := 0x3c6ef372h3 := 0xa54ff53ah4 := 0x510e527fh5 := 0x9b05688ch6 := 0x1f83d9abh7 := 0x5be0cd19
初始化每輪用的常數(前64個質數2..311的立方根小數部分的前32位元):k[0..63] := 0x428a2f98, 0x71374491, 0xb5c0fbcf, 0xe9b5dba5, 0x3956c25b, 0x59f111f1, 0x923f82a4, 0xab1c5ed5, 0xd807aa98, 0x12835b01, 0x243185be, 0x550c7dc3, 0x72be5d74, 0x80deb1fe, 0x9bdc06a7, 0xc19bf174, 0xe49b69c1, 0xefbe4786, 0x0fc19dc6, 0x240ca1cc, 0x2de92c6f, 0x4a7484aa, 0x5cb0a9dc, 0x76f988da, 0x983e5152, 0xa831c66d, 0xb00327c8, 0xbf597fc7, 0xc6e00bf3, 0xd5a79147, 0x06ca6351, 0x14292967, 0x27b70a85, 0x2e1b2138, 0x4d2c6dfc, 0x53380d13, 0x650a7354, 0x766a0abb, 0x81c2c92e, 0x92722c85, 0xa2bfe8a1, 0xa81a664b, 0xc24b8b70, 0xc76c51a3, 0xd192e819, 0xd6990624, 0xf40e3585, 0x106aa070, 0x19a4c116, 0x1e376c08, 0x2748774c, 0x34b0bcb5, 0x391c0cb3, 0x4ed8aa4a, 0x5b9cca4f, 0x682e6ff3, 0x748f82ee, 0x78a5636f, 0x84c87814, 0x8cc70208, 0x90befffa, 0xa4506ceb, 0xbef9a3f7, 0xc67178f2
預處理:訊息後接上一個位元'1'再接上k個'0',其中k為最小的非負整數,使所得的訊息長度(位元數)同余於448(mod 512)將預處理前訊息的長度(位元數)寫成64位元大端序整數,接在最尾
將訊息分成若干連續段處理,每段512位元:將訊息分成512位元的分段for 每段 將該段再分成十六個32位元的字組,看成大端序的整數w[0..15]
從該十六個字組,計算多四十八個同樣長度的字組,得到總共六十四個32位元字組:for ifrom 16to 63 s0 := (w[i-15]rightrotate 7)xor (w[i-15]rightrotate 18)xor(w[i-15]rightshift 3) s1 := (w[i-2]rightrotate 17)xor (w[i-2]rightrotate 19)xor(w[i-2]rightshift 10) w[i] := w[i-16]+ s0+ w[i-7]+ s1初始化此段的雜湊值: a := h0 b := h1 c := h2 d := h3 e := h4 f := h5 g := h6 h := h7主迴圈:for ifrom 0to 63 s0 := (arightrotate 2)xor (arightrotate 13)xor(arightrotate 22) maj := (aand b)xor (aand c)xor(band c) t2 := s0 + maj s1 := (erightrotate 6)xor (erightrotate 11)xor(erightrotate 25) ch := (eand f)xor ((not e)and g) t1 := h + s1 + ch + k[i] + w[i] h := g g := f f := e e := d + t1 d := c c := b b := a a := t1 + t2將此段的雜湊值加進總和: h0 := h0 + a h1 := h1 + b h2 := h2 + c h3 := h3 + d h4 := h4 + e h5 := h5 + f h6 := h6 + g h7 := h7 + h輸出最總的雜湊值(大端序):digest = hash = h0append h1append h2append h3append h4append h5append h6append h7其中ch函數及maj函數可利用前述SHA-1的優化方式改寫。
SHA-224和SHA-256基本上是相同的,除了:
h0到h7的初始值不同,以及h7的函數值。SHA-512和SHA-256的結構相同,但:
SHA-384和SHA-512基本上是相同的,除了:
h0到h7的初始值不同,以及h6和h7的函數值。Windows操作系统的System32目录下有certutil.exe,可以直接调用,例如:
certutil -hashfile yourfilename.ext SHA256