杂凑函数之SHA-256学习笔记

杂凑函数之SHA-256学习笔记

—

SHA-256是安全散列算法（Secure Hash Algorithm）的256位版本，属于SHA-2（SHA第二版）系列的一部分。它是一个加密散列函数，用于生成一个固定长度（256位，即32字节）的散列值，通常表示为一个64位的十六进制字符串。SHA-256被设计用来替代旧的SHA-1算法，因为它提供了更高的安全性。

算法详解

输入：$0<L<2^{64}$

输出：256bit的消息摘要

一.预处理

1.消息填充

填充消息也就是进行补位操作，第一位补1，其余位补足够的0，直到满足$Lmod512=448$。

这里有一个问题，那就是为什么要补这个数量的0呢？答案就是剩余的$512-448=64$位，要存储消息的长度。

一个消息填充的示例如下图：

2.填充消息解析

将填充后的消息分成 N 个512-bit的信息块，可以表示为$M^{(1)}$，$M^{(2)}$，…，$M^{(N)}$。因为512bits的信息块可以表示为16个32-bitz字，所以第i个信息块可以表示为$M_0^{(i)}$，$M_1^{(i)}$，…，$M_{15}^{(i)}$。

3.设置初始哈希值

初始哈希值$H^{(0)}$由以下8个32-bit字组成。

$H_0^{(0)}=6a09e667$

$H_1^{(0)}=bb67ae85$

$H_2^{(0)}=3c6ef372$

$H_3^{(0)}=a54ff53a$

$H_4^{(0)}=510e527f$

$H_5^{(0)}=9b05688c$

$H_6^{(0)}=1f83d9ab$

$H_7^{(0)}=5be0cd19$

二.计算

预处理完成后，每个消息块$M^{(1)}$，$M^{(2)}$，…，$M^{(N)}$按照以下顺序进行处理。

1.准备消息表

准备消息表$W_t$

W t = { M t ( i ) , 0 ≤ t ≤ 15 σ 1 { 256 } ( W t − 2 ) + W t − 7 + σ 0 { 256 } ( W t − 15 ) + W t − 16 , 16 ≤ t ≤ 63 {W_t} = \begin{cases} M^{(i)}_t, & \qquad 0 \le t \le 15 \\ \sigma^{\{256\}}_1{(W_{t-2})+W_{t-7}+ \sigma^{\{256\}}_0{(W_{t-15})}+W_{t-16}}, & \qquad 16 \le t \le 63 \end{cases} Wt​={Mt(i)​,σ1{256}​(Wt−2​)+Wt−7​+σ0{256}​(Wt−15​)+Wt−16​,​0≤t≤1516≤t≤63​

其中$ROTL$为左移位运算。

2.初始化工作变量

初始化$a,b,c,d,e,f,g,h$八个工作变量

$a=H_0^{(i-1)}$

$b=H_1^{(i-1)}$

$c=H_2^{(i-1)}$

$d=H_3^{(i-1)}$

$e=H_4^{(i-1)}$

$f=H_5^{(i-1)}$

$g=H_6^{(i-1)}$

$h=H_7^{(i-1)}$

3.执行80轮运算

由准备消息表中可知，t的数值范围为0到63，则根据t的数值，进行64轮运算，每轮运算执行以下计算:

T 1 = h + Σ 1 { 256 } ( e ) + C h ( e , f , g ) + K t { 256 } + W t T_1=h+\Sigma ^{\{256\}}_1(e)+Ch(e,f,g)+ K^{\{256\}}_t+W_t T1​=h+Σ1{256}​(e)+Ch(e,f,g)+Kt{256}​+Wt​

T 2 = Σ 0 { 256 } ( a ) + M a j ( a , b , c ) T_2=\Sigma ^{\{256\}}_0(a)+Maj(a,b,c) T2​=Σ0{256}​(a)+Maj(a,b,c)

$h=g$

$g=f$

$f=e$

$e=d+T_1$

$d=c$

$c=b$

$b=a$

$a=T_1+T_2$

其中涉及的有关运算如下：

$Ch(x,y,z)=(x\wedge y)\oplus (x\wedge z)$

$Maj(x,y,z)=(x\wedge y)\oplus (x\wedge z)\oplus (y\wedge z)$

Σ 0 { 256 } ( x )   =   R O T R 2 ( x ) ⊕ R O T R 13 ( x ) ⊕ R O T R 22 ( x ) \Sigma ^{\{256\}}_0(x) \ = \ ROTR^2 (x) \oplus ROTR^{13}(x) \oplus ROTR^{22}(x) Σ0{256}​(x) = ROTR2(x)⊕ROTR13(x)⊕ROTR22(x)

Σ 1 { 256 } ( x )   =   R O T R 6 ( x ) ⊕ R O T R 11 ( x ) ⊕ R O T R 25 ( x ) \Sigma ^{\{256\}}_1(x) \ = \ ROTR^6 (x) \oplus ROTR^{11}(x) \oplus ROTR^{25}(x) Σ1{256}​(x) = ROTR6(x)⊕ROTR11(x)⊕ROTR25(x)

S 0 { 256 } ( x )   =   R O T R 7 ( x ) ⊕ R O T R 18 ( x ) ⊕ S H R 3 ( x ) S ^{\{256\}}_0(x) \ = \ ROTR^7 (x) \oplus ROTR^{18}(x) \oplus SHR^{3}(x) S0{256}​(x) = ROTR7(x)⊕ROTR18(x)⊕SHR3(x)

S 1 { 256 } ( x )   =   R O T R 17 ( x ) ⊕ R O T R 19 ( x ) ⊕ S H R 10 ( x ) S ^{\{256\}}_1(x) \ = \ ROTR^{17} (x) \oplus ROTR^{19}(x) \oplus SHR^{10}(x) S1{256}​(x) = ROTR17(x)⊕ROTR19(x)⊕SHR10(x)

K 0 { 256 } , K 1 { 256 } , . . . , K 63 { 256 } K^{\{256\}}_0,K^{\{256\}}_1,...,K^{\{256\}}_{63} K0{256}​,K1{256}​,...,K63{256}​的值为：
$428a2f9871374491b5c0fbcfe9b5dba53956c25b59f111f1923f82a4ab1c5ed5$

$d807aa9812835b01243185be550c7dc372be5d7480deb1fe9bdc06a7c19bf174$

$e49b69c1efbe47860fc19dc6240ca1cc2de92c6f4a7484aa5cb0a9dc76f988da$

$983e5152a831c66db00327c8bf597fc7c6e00bf3d5a7914706ca635114292967$

$27b70a852e1b21384d2c6dfc53380d13650a7354766a0abb81c2c92e92722c85$

$a2bfe8a1a81a664bc24b8b70c76c51a3d192e819d6990624f40e3585106aa070$

$19a4c1161e376c082748774c34b0bcb5391c0cb34ed8aa4a5b9cca4f682e6ff3$

$748f82ee78a5636f84c878148cc7020890befffaa4506cebbef9a3f7c67178f2$

4.计算中间哈希值

计算中间哈希值$H^{(i)}$

$H_0^{(i)}=a+H_0^{(i-1)}$

$H_1^{(i)}=b+H_1^{(i-1)}$

$H_2^{(i)}=c+H_2^{(i-1)}$

$H_3^{(i)}=d+H_3^{(i-1)}$

$H_4^{(i)}=e+H_4^{(i-1)}$

$H_5^{(i)}=f+H_5^{(i-1)}$

$H_6^{(i)}=g+H_6^{(i-1)}$

$H_7^{(i)}=h+H_7^{(i-1)}$

三.最终结果

在重复进行上述计算过程N次后，消息M的160-bit消息摘要为

$H_0^{(N)}\parallel H_1^{(N)}\parallel H_2^{(N)}\parallel H_3^{(N)}\parallel H_4^{(N)}\parallel H_5^{(N)}\parallel H_6^{(N)}\parallel H_7^{(N)}$

参考资料

参考文档：Secure Hash Standard