1. 什么是SHA-256?
是SHA2中的一种。对于长度L(L<)比特的消息m,经过对消息的填充和迭代压缩,SHA-256可以生成一个被称为消息摘要的256位(32字节)散列值,散列值通常的呈现形式为64个十六进制数。
2. SHA-256算法实现步骤
2.1 把消息转换为位字符串
算法是按照位作为输入,所以进行计算前必须把原始消息(比如字符串、文件等)转换成位字符串。
比如,对字符串“abc”产生消息摘要,‘a’=97 ‘b’=98 ‘c’=99,先转换成24位的字符串:
01100001 01100010 011000112.2 对转换得到的位字符串进行补位操作
消息必须进行补位,使其长度在对512取模以后的余数是448,即(补位后的消息长度)%512 = 448。
对消息进行补位时,先在后面补一个1,如果不满足要求,再补0直到满足对512取模余数为448。这就意味着,补位至少补一位(原消息位数为512n+447),最多补512位(原消息位数为512n+448)。
还是以前面的“abc”为例显示补位的过程:
原始信息:
补位第一步,首先补一个1:01100001 01100010 01100011 1
可以确定的是,如果用一个字节来表示一个字符,补1之后肯定不满足条件,仍需继续补位。
补位第二步,后面补0直到总长度对512取模余数为448,这里补423个0,使总长度达到为448:
…..00
补位完成后的数据转换为16进制:
61626380 00000000 00000000 00000000
00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000000
00000000 00000000从16进制数据里可以看到,我们也可以直接采用16进制的方式进行补位,我们先补80,看是否满足长度对64取余的结果为56,不满足则继续补0。
2.3 消息扩展、分组处理
这一步中,要将原始消息(没有进行补位操作之前)的长度(二进制位数)附加到已经补位的消息之后。
通常用一个64位的数据来表示原始消息的长度。如果消息长度不大于2^64,那么第一个字就是0。
补长度的操作以后,整个消息(16进制)如下:
61626380 00000000 00000000 00000000
00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000000
00000000 00000018然后,将整个消息拆分为一个一个的512位的数据块M1,M2,…,Mn,然后分别对每一个数据块Mi (1≤i≤n)做处理,得到消息摘要。
注意,这里是64位,上一步补位后的长度是512k+448,k≥0,这样,512k+448+64=512(k+1),恰好可以被512整除。
在我们举得例子里,一共只有512位,因此做为一个数据块进行处理。
填充完了之后消息被分为了512位的消息分组。每个分组被分为16个32位的子分组,记为:M(i)0、M(i)1、...、M(i)15。将对N个消息分组进行如下操作。
a、64个消息列表的生成
For t = 0 to 15
Wt = M(i)t
For t = 16 to 63
Wt = SSIG1(W(t-2)) + W(t-7) + SSIG0(w(t-15)) + W(t-16)2.4 使用的常量和函数
采用64个32位的常数序列。通常记为:K0、K1、……、K63,这些常数的取值是前64个质数的立方根的小数部分的前32位。
采用6个逻辑函数,每个函数均基于32位字运算,这些输入的32位字我们记为x、y、z,同样的这些函数的计算结果也是一个32位字。
2.5计算消息摘要
消息列表每32位分为一个子分组,被标记为W0、W1、…、W63。8个工作变量分别为a、b、c、d、e、f、g和h,8个散列值被标记为h(i)0、h(i)1、…、H(i)7,并保留初始散列值H(0),替换为每一个连续的中间散列值(在处理完每个消息分组后) H(i),并以最终的散列值H(N)结束,在处理完所有N块后。还使用两个临时变量T1和T2。
(1)初始化工作变量
而对于SHA-256来说,初始散列值H(0)由以下8个32位的十六进制数组成。这些字由前8个质数的平方根的小数部分的钱32位组成。
a = H(0)0 = 6a09e667
b = H(0)1 = bb67ae85
c= H(0)2 = 3c6ef372
d = H(0)3 = a54ff53a
e = H(0)4 = 510e527f
F = H(0)5 = 9b05688c
g = H(0)6 = 1f83d9ab
H(0)7 = 5be0cd19(2)执行散列计算
For t = 0 to 63
T1 = h + BSIG1(e) + CH(e,f,g) + Kt + Wt
T2 = BSIG0(a) + MAJ(a,b,c)
h = g
g = f
f = e
e = d + T1
d = c
c = b
b = a
a = T1 + T2(3)输出计算结果
H(i)0 = a + H(i-1)0
H(i)1 = b + H(i-1)1
H(i)2 = c + H(i-1)2
H(i)3 = d + H(i-1)3
H(i)4 = e + H(i-1)4
H(i)5 = f + H(i-1)5
H(i)6 = g + H(i-1)6
H(i)7 = h + H(i-1)7最后得到H(i)0、H(i)1、H(i)2、H(i)3、H(i)4、H(i)5、H(i)6、H(i)7的串联值,256位的消息摘要。
3. SHA-256安全性分析
函数的安全性很大程度上取决于抗强碰撞的能力,即攻击者找出两个消息M和Mt,M≠Mt,使得H(M)=HMt ,因此,评价一个Hash函数的安全性,就是看攻击者在现有的条件下,是否可以找到该函数的一对碰撞。目前已有的对Hash函数攻击的方法包括生日攻击、彩虹表攻击、差分攻击等。
生日攻击:生日攻击是一种可用于攻击任何类型函数Hash函数的攻击方法。从攻击原理上看,它没有利用Hash函数的结构和任何代数弱性质,只依赖与Hash值的长度。因此,抵御生日攻击最有效的方法是Hash值必须有足够的长度。
差分攻击:差分攻击是目前破译迭代Hash函数最有效的手法之一,其基本方法是利用明文的输入差值对输出差值的影响,运用差分的高概率的继承或者消除来产生最终的相同输出。
用于消息唯一性和数据完整性验证的Hash函数,其安全性依赖于函数本身的属性和对抗碰撞的抵抗。Hash函数的算法结构特点和Hash值的长度是决定函数碰撞性的而主要因素,Hash值越长,越能抵御生日攻击。SHA-256有256比特Hash值,MD5和SHA-1分别有128和160比特的Hash值。因此,SHA-256比MD5和SHA-1能抵抗生日攻击。通过对Chabaud-Joux攻击SHA-256的分析,找到了SHA-256的一个部分碰撞,其复杂度为2^66,但无法找到SHA-256的一个整体碰撞,因此SHA-256算法也能抵御现有的差分攻击。由此可见,在抵御生日攻击和抵御已知差分攻击方面,SHA-256算法比现在广泛使用的MD5和SHA-1等更具安全性。
