一文读懂SHA-2
![~7}]A1YH7MKGNW8S[MPDX5R.jpg](https://ucc.alicdn.com/pic/developer-ecology/21137218cd594ec78ed486539271b79a.jpg?x-oss-process=image/resize,w_1400/format,webp "~7}]A1YH7MKGNW8S[MPDX5R.jpg")
一文读懂SHA-2
算法简介
❝SHA-2安全散列算法2(Secure Hash Algorithm 2)一种密码散列函数算法标准,由美国国家安全局研发,由美国国家标准与技术研究院(NIST)在2001年发布。属于SHA算法之一,是SHA-1的后继者。其下又可再分为六个不同的算法标准,包括了:SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256。【维基百科】
❞
算法原理
消息填充(预处理)
同「MD5」和「SHA-1」类似,在计算摘要之前需要对消息进行填充,这里「SHA-256」的填充方案和「SHA-1」相同,按照如下的规则:
步骤一: 数据填充(Append Padding Bits)
SHA-256是按照分块进行处理的,分块长度为512bit, 大多数情况下,数据的长度不会恰好满足是512的整数倍,因此需要进行「padding」到给定的长度。
「填充规则」: 原始明文消息的b位之后补100..., 直到满足b + paddingLength % 512 = 448, 那如果b % 512在[448, 512(0)]之间呢,则在增加一个分块,按照前面的规则填充即可。
步骤二: 长度填充
之前说了,需要满足b + paddingLength % 512 = 448, 那么对于最后一个分块,就还剩512 - 448 = 64 bit 这剩下的64bit存放的是原始消息的长度,也就是b。「SHA-256」最多可以处理明文长度小于等于2^64 bit的数据。
经过上面两个步骤的处理,最终得到的处理后的数据如下图所示:
SHA-256-Padding
而对于「SHA-384」以及「SHA-512」来说,需要填充的长度为1024 bit, 因此按照如下的方式进行填充:
步骤一: 数据填充
SHA-512是按照分块进行处理的,分块长度为1024 bit, 大多数情况下,数据的长度不会恰好满足是1024的整数倍,因此需要进行「padding」到给定的长度。
「填充规则」: 原始明文消息的b位之后补100..., 直到满足b + paddingLength % 1024 = 896, 那如果b % 1024在[896, 1024(0)]之间呢,则在增加一个分块,按照前面的规则填充即可。
步骤二: 长度填充
之前说了,需要满足b + paddingLength % 1024 = 896, 那么对于最后一个分块,就还剩1024 - 896 = 128 bit 这剩下的128 bit存放的是原始消息的长度,也就是b。「SHA-512」最多可以处理明文长度小于等于2^128 bit的数据。
经过上面两个步骤的处理,最终得到的处理后的数据如下图所示:
SHA-512-Padding
函数和常量
SHA-224/SHA-256
对于SHA-224/SHA-256而言,用到的是下面的六个逻辑函数:
CH( x, y, z) = (x AND y) XOR ( (NOT x) AND z) MAJ( x, y, z) = (x AND y) XOR (x AND z) XOR (y AND z) BSIG0(x) = ROTR^2(x) XOR ROTR^13(x) XOR ROTR^22(x) BSIG1(x) = ROTR^6(x) XOR ROTR^11(x) XOR ROTR^25(x) SSIG0(x) = ROTR^7(x) XOR ROTR^18(x) XOR SHR^3(x) SSIG1(x) = ROTR^17(x) XOR ROTR^19(x) XOR SHR^10(x)
算法当中用到的64个常量K0, K1, ..., K63是前64个素数的立方根的小数部分前32位(16进制表示)。
简单解释一下,就用K0作为样例吧。
具体常量表如下:
428a2f98 71374491 b5c0fbcf e9b5dba5 3956c25b 59f111f1 923f82a4 ab1c5ed5 d807aa98 12835b01 243185be 550c7dc3 72be5d74 80deb1fe 9bdc06a7 c19bf174 e49b69c1 efbe4786 0fc19dc6 240ca1cc 2de92c6f 4a7484aa 5cb0a9dc 76f988da 983e5152 a831c66d b00327c8 bf597fc7 c6e00bf3 d5a79147 06ca6351 14292967 27b70a85 2e1b2138 4d2c6dfc 53380d13 650a7354 766a0abb 81c2c92e 92722c85 a2bfe8a1 a81a664b c24b8b70 c76c51a3 d192e819 d6990624 f40e3585 106aa070 19a4c116 1e376c08 2748774c 34b0bcb5 391c0cb3 4ed8aa4a 5b9cca4f 682e6ff3 748f82ee 78a5636f 84c87814 8cc70208 90befffa a4506ceb bef9a3f7 c67178f2
SHA-384/SHA-512
对于SHA-384/SHA-512而言,用到的是下面的六个逻辑函数:
CH( x, y, z) = (x AND y) XOR ( (NOT x) AND z) MAJ( x, y, z) = (x AND y) XOR (x AND z) XOR (y AND z) BSIG0(x) = ROTR^28(x) XOR ROTR^34(x) XOR ROTR^39(x) BSIG1(x) = ROTR^14(x) XOR ROTR^18(x) XOR ROTR^41(x) SSIG0(x) = ROTR^1(x) XOR ROTR^8(x) XOR SHR^7(x) SSIG1(x) = ROTR^19(x) XOR ROTR^61(x) XOR SHR^6(x)
对于常量表而言,这里SHA-384/SHA-512才用的是前80个素数的立方根,取小数点后64位(16进制),如下所示:
428a2f98d728ae22 7137449123ef65cd b5c0fbcfec4d3b2f e9b5dba58189dbbc 3956c25bf348b538 59f111f1b605d019 923f82a4af194f9b ab1c5ed5da6d8118 d807aa98a3030242 12835b0145706fbe 243185be4ee4b28c 550c7dc3d5ffb4e2 72be5d74f27b896f 80deb1fe3b1696b1 9bdc06a725c71235 c19bf174cf692694 e49b69c19ef14ad2 efbe4786384f25e3 0fc19dc68b8cd5b5 240ca1cc77ac9c65 2de92c6f592b0275 4a7484aa6ea6e483 5cb0a9dcbd41fbd4 76f988da831153b5 983e5152ee66dfab a831c66d2db43210 b00327c898fb213f bf597fc7beef0ee4 c6e00bf33da88fc2 d5a79147930aa725 06ca6351e003826f 142929670a0e6e70 27b70a8546d22ffc 2e1b21385c26c926 4d2c6dfc5ac42aed 53380d139d95b3df 650a73548baf63de 766a0abb3c77b2a8 81c2c92e47edaee6 92722c851482353b a2bfe8a14cf10364 a81a664bbc423001 c24b8b70d0f89791 c76c51a30654be30 d192e819d6ef5218 d69906245565a910 f40e35855771202a 106aa07032bbd1b8 19a4c116b8d2d0c8 1e376c085141ab53 2748774cdf8eeb99 34b0bcb5e19b48a8 391c0cb3c5c95a63 4ed8aa4ae3418acb 5b9cca4f7763e373 682e6ff3d6b2b8a3 748f82ee5defb2fc 78a5636f43172f60 84c87814a1f0ab72 8cc702081a6439ec 90befffa23631e28 a4506cebde82bde9 bef9a3f7b2c67915 c67178f2e372532b ca273eceea26619c d186b8c721c0c207 eada7dd6cde0eb1e f57d4f7fee6ed178 06f067aa72176fba 0a637dc5a2c898a6 113f9804bef90dae 1b710b35131c471b 28db77f523047d84 32caab7b40c72493 3c9ebe0a15c9bebc 431d67c49c100d4c 4cc5d4becb3e42b6 597f299cfc657e2a 5fcb6fab3ad6faec 6c44198c4a475817
摘要计算
SHA-224/SHA-256初始化
SHA-224的初始化常量为:
H(0)0 = c1059ed8 H(0)1 = 367cd507 H(0)2 = 3070dd17 H(0)3 = f70e5939 H(0)4 = ffc00b31 H(0)5 = 68581511 H(0)6 = 64f98fa7 H(0)7 = befa4fa4
SHA-256的初始化常量为:
H(0)0 = 6a09e667 H(0)1 = bb67ae85 H(0)2 = 3c6ef372 H(0)3 = a54ff53a H(0)4 = 510e527f H(0)5 = 9b05688c H(0)6 = 1f83d9ab H(0)7 = 5be0cd19
SHA-224/SHA-256计算过程
计算过程
对于SHA-224/SHA-256来说,分组长度和SHA-1相同,都是512 bit, 对于每一个分组按照如下的方式进行处理:
- 预处理消息
For t = 0 to 15 Wt = M(i)t For t = 16 to 63 Wt = SSIG1(W(t-2)) + W(t-7) + SSIG0(w(t-15)) + W(t-16)
- 初始化工作变量
a = H(i-1)0 b = H(i-1)1 c = H(i-1)2 d = H(i-1)3 e = H(i-1)4 f = H(i-1)5 g = H(i-1)6 h = H(i-1)7
- 进行主要的计算(64轮函数)
For t = 0 to 63 T1 = h + BSIG1(e) + CH(e,f,g) + Kt + Wt T2 = BSIG0(a) + MAJ(a,b,c) h = g g = f f = e e = d + T1 d = c c = b b = a a = T1 + T2
- 计算中间值
H(i)0 = a + H(i-1)0 H(i)1 = b + H(i-1)1 H(i)2 = c + H(i-1)2 H(i)3 = d + H(i-1)3 H(i)4 = e + H(i-1)4 H(i)5 = f + H(i-1)5 H(i)6 = g + H(i-1)6 H(i)7 = h + H(i-1)7
SHA-224/SHA-256输出
对于SHA-224输出H0~H6, 对于SHA-256输出H0~H7这一步比较简单,也就不做过多说明了,直接按照大端输出即可。
SHA-384/SHA-512初始化
SHA-384的初始化常量为:
H(0)0 = cbbb9d5dc1059ed8 H(0)1 = 629a292a367cd507 H(0)2 = 9159015a3070dd17 H(0)3 = 152fecd8f70e5939 H(0)4 = 67332667ffc00b31 H(0)5 = 8eb44a8768581511 H(0)6 = db0c2e0d64f98fa7 H(0)7 = 47b5481dbefa4fa4
SHA-512的初始化常量为:
H(0)0 = 6a09e667f3bcc908 H(0)1 = bb67ae8584caa73b H(0)2 = 3c6ef372fe94f82b H(0)3 = a54ff53a5f1d36f1 H(0)4 = 510e527fade682d1 H(0)5 = 9b05688c2b3e6c1f H(0)6 = 1f83d9abfb41bd6b H(0)7 = 5be0cd19137e2179
SHA-384/SHA-512计算过程
这里和SHA-224/SHA-256计算过程类似,只是循环次数增加到了80轮,这里就不列出来了,改成80轮即可。
SHA-384/SHA-512输出
对于SHA-384输出H0~H6, 对于SHA-512输出H0~H7
总结
对于不同的变体来说,除了生成的摘要的长度,分块大小,初始化常量等有一些细微的差异之外,基本结构是一致的。
代码实现
这里仅仅给出SHA256的实现,其他实现只需要微调即可完成
const H: [u32; 8] = [ 0x6a09e667, 0xbb67ae85, 0x3c6ef372, 0xa54ff53a, 0x510e527f, 0x9b05688c, 0x1f83d9ab, 0x5be0cd19, ]; const K: [u32; 64] = [ 0x428a2f98, 0x71374491, 0xb5c0fbcf, 0xe9b5dba5, 0x3956c25b, 0x59f111f1, 0x923f82a4, 0xab1c5ed5, 0xd807aa98, 0x12835b01, 0x243185be, 0x550c7dc3, 0x72be5d74, 0x80deb1fe, 0x9bdc06a7, 0xc19bf174, 0xe49b69c1, 0xefbe4786, 0x0fc19dc6, 0x240ca1cc, 0x2de92c6f, 0x4a7484aa, 0x5cb0a9dc, 0x76f988da, 0x983e5152, 0xa831c66d, 0xb00327c8, 0xbf597fc7, 0xc6e00bf3, 0xd5a79147, 0x06ca6351, 0x14292967, 0x27b70a85, 0x2e1b2138, 0x4d2c6dfc, 0x53380d13, 0x650a7354, 0x766a0abb, 0x81c2c92e, 0x92722c85, 0xa2bfe8a1, 0xa81a664b, 0xc24b8b70, 0xc76c51a3, 0xd192e819, 0xd6990624, 0xf40e3585, 0x106aa070, 0x19a4c116, 0x1e376c08, 0x2748774c, 0x34b0bcb5, 0x391c0cb3, 0x4ed8aa4a, 0x5b9cca4f, 0x682e6ff3, 0x748f82ee, 0x78a5636f, 0x84c87814, 0x8cc70208, 0x90befffa, 0xa4506ceb, 0xbef9a3f7, 0xc67178f2, ]; pub struct SHA256 {} impl SHA256 { fn padding(message: &[u8]) -> Vec<u8> { let message_length = message.len() as u64 * 8; let mut result = message.to_owned(); // padding 1 result.push(0x80); // padding 0 while ((result.len() * 8) + 64) % 512 != 0 { result.push(0b00000000); } // padding message length for b in 0..8 { result.push((message_length >> ((7 - b) * 8)) as u8); } return result; } pub fn hash(message: &[u8]) -> String { let padding_message = SHA256::padding(message); let mut w = [0; 64]; let mut h: [u32; 8] = [0; 8]; for chunk in padding_message.chunks(64) { let m: Vec<u32> = chunk.chunks(4).map(|i| { ((i[0] as u32) << 24) | ((i[1] as u32) << 16) | ((i[2] as u32) << 8) | ((i[3] as u32) << 0) }).collect(); for i in 0..16 { w[i] = m[i]; } for i in 16..64 { let s0 = w[i - 15].rotate_right(7) ^ w[i - 15].rotate_right(18) ^ (w[i - 15] >> 3); let s1 = w[i - 2].rotate_right(17) ^ w[i - 2].rotate_right(19) ^ (w[i - 2] >> 10); w[i] = w[i - 16].wrapping_add(s0).wrapping_add(w[i - 7]).wrapping_add(s1); } h = H; for i in 0..64 { let ch = (h[4] & h[5]) ^ (!h[4] & h[6]); let ma = (h[0] & h[1]) ^ (h[0] & h[2]) ^ (h[1] & h[2]); let s0 = h[0].rotate_right(2) ^ h[0].rotate_right(13) ^ h[0].rotate_right(22); let s1 = h[4].rotate_right(6) ^ h[4].rotate_right(11) ^ h[4].rotate_right(25); let t0 = h[7] .wrapping_add(s1) .wrapping_add(ch) .wrapping_add(K[i]) .wrapping_add(w[i]); let t1 = s0.wrapping_add(ma); h[7] = h[6]; h[6] = h[5]; h[5] = h[4]; h[4] = h[3].wrapping_add(t0); h[3] = h[2]; h[2] = h[1]; h[1] = h[0]; h[0] = t0.wrapping_add(t1); } } for (i, v) in h.iter_mut().enumerate() { *v = v.wrapping_add(H[i]); } return String::from(format!( "{:08x}{:08x}{:08x}{:08x}{:08x}{:08x}{:08x}{:08x}", h[0], h[1], h[2], h[3], h[4], h[5], h[6], h[7] )); } } #[cfg(test)] mod test { use crate::sha256::SHA256; #[test] fn test() { println!("sha256([empty string]) = {}", SHA256::hash("".as_bytes())); println!("sha256([The quick brown fox jumps over the lazy dog]) = {}", SHA256::hash("The quick brown fox jumps over the lazy dog".as_bytes())); } }
