SM国密算法(四) -- SM3算法

一、简介

SM3密码杂凑算法是中国国家密码管理局2010年公布的中国商用密码杂凑算法标准。适用于商用密码应用中的数字签名和验证。
SM3是在[SHA-256]基础上改进实现的一种算法，其安全性和SHA-256相当。SM3和MD5的迭代过程类似，也采用Merkle-Damgard结构。消息分组长度为512位，摘要值长度为256位。
整个算法执行过程分四个步骤：消息填充、消息扩展、迭代压缩、输出结果

二、SM3算法步骤

1. 消息填充

SM3的消息扩展步骤是以512位的数据分组作为输入的。因此，我们需要在一开始就把数据长度填充至512位的倍数。数据填充规则和MD5一样，具体步骤如下：

1. 先填充一个“1”，后面加上k个“0”。其中k是满足$(n+1+k)mod512=448$ 的最小正整数。
2. 追加64位的数据长度（bit为单位，大端序存放1。观察算法标准原文附录A运算示例可以推知。）
   

2. 消息扩展

SM3的迭代压缩步骤没有直接使用数据分组进行运算，而是使用这个步骤产生的132个消息字。（一个消息字的长度为32位/4个字节/8个16进制数字）概括来说，先将一个512位数据分组划分为16个消息字，并且作为生成的132个消息字的前16个。再用这16个消息字递推生成剩余的116个消息字。

在最终得到的132个消息字中，前68个消息字构成数列 $W_j$ ，后64个消息字构成数列 $W_j^{‘}$ ，其中下标j从0开始计数。

3. 迭代压缩

SM3的迭代过程和MD5类似，也是Merkle-Damgard结构。但和MD5不同的是，SM3使用消息扩展得到的消息字进行运算。这个迭代过程图示如下：

初值IV被放在A、B、C、D、E、F、G、H八个32位变量中，其具体数值参见《SM3密码杂凑算法》。整个算法中最核心、也最复杂的地方就在于压缩函数。压缩函数将这八个变量进行64轮相同的计算，一轮的计算过程如下图所示：

图中不同的数据流向用不同颜色的箭头表示。

最后，再将计算完成的A、B、C、D、E、F、G、H和原来的A、B、C、D、E、F、G、H分别进行异或，就是压缩函数的输出。这个输出再作为下一次调用压缩函数时的初值。依次类推，直到用完最后一组132个消息字为止。

4. 输出结果

将得到的A、B、C、D、E、F、G、H八个变量拼接输出，就是SM3算法的输出。