杂凑函数之SHA-256学习笔记

---

SHA-256是安全散列算法（Secure Hash Algorithm）的256位版本，属于SHA-2（SHA第二版）系列的一部分。它是一个加密散列函数，用于生成一个固定长度（256位，即32字节）的散列值，通常表示为一个64位的十六进制字符串。SHA-256被设计用来替代旧的SHA-1算法，因为它提供了更高的安全性。

算法详解

输入： $0<L<2^{64}$

输出：256bit的消息摘要

一.预处理

1.消息填充

填充消息也就是进行补位操作，第一位补1，其余位补足够的0，直到满足 $L \ mod \ 512 = 448$ 。

这里有一个问题，那就是为什么要补这个数量的0呢？答案就是剩余的 $512-448=64$ 位，要存储消息的长度。

一个消息填充的示例如下图：

2.填充消息解析

将填充后的消息分成 N 个512-bit的信息块，可以表示为 $M^{(1)}$ ， $M^{(2)}$ ，...， $M^{(N)}$ 。因为512bits的信息块可以表示为16个32-bitz字，所以第i个信息块可以表示为 $M^{(i)}_0$ ， $M^{(i)}_1$ ，...， $M^{(i)}_{15}$ 。

3.设置初始哈希值

初始哈希值 $H^{(0)}$ 由以下8个32-bit字组成。

$H^{(0)}_0=6a09e667$

$H^{(0)}_1=bb67ae85$

$H^{(0)}_2=3c6ef372$

$H^{(0)}_3=a54ff53a$

$H^{(0)}_4=510e527f$

$H^{(0)}_5=9b05688c$

$H^{(0)}_6=1f83d9ab$

$H^{(0)}_7=5be0cd19$

二.计算

预处理完成后，每个消息块 $M^{(1)}$ ， $M^{(2)}$ ，...， $M^{(N)}$ 按照以下顺序进行处理。

1.准备消息表

准备消息表 ${W_t}$

${W_t} = \begin{cases} M^{(i)}_t, & \qquad 0 \le t \le 15 \\ \sigma^{\{256\}}_1{(W_{t-2})+W_{t-7}+ \sigma^{\{256\}}_0{(W_{t-15})}+W_{t-16}}, & \qquad 16 \le t \le 63 \end{cases}$

其中 $ROTL$ 为左移位运算。

2.初始化工作变量

初始化 $a,b,c,d,e,f,g,h$ 八个工作变量

$a=H^{(i-1)}_0$

$b=H^{(i-1)}_1$

$c=H^{(i-1)}_2$

$d=H^{(i-1)}_3$

$e=H^{(i-1)}_4$

$f=H^{(i-1)}_5$

$g=H^{(i-1)}_6$

$h=H^{(i-1)}_7$

3.执行80轮运算

由准备消息表中可知，t的数值范围为0到63，则根据t的数值，进行64轮运算，每轮运算执行以下计算:

$T_1=h+\Sigma ^{\{256\}}_1(e)+Ch(e,f,g)+ K^{\{256\}}_t+W_t$

$T_2=\Sigma ^{\{256\}}_0(a)+Maj(a,b,c)$

$h=g$

$g=f$

$f=e$

$e=d+T_1$

$d=c$

$c=b$

$b=a$

$a=T_1+T_2$

其中涉及的有关运算如下：

$Ch(x,y,z) \ = \ (x \land y) \oplus (x \land z)$

$Maj(x,y,z) \ = \ (x \land y) \oplus (x \land z) \oplus (y \land z)$

$\Sigma ^{\{256\}}_0(x) \ = \ ROTR^2 (x) \oplus ROTR^{13}(x) \oplus ROTR^{22}(x)$

$\Sigma ^{\{256\}}_1(x) \ = \ ROTR^6 (x) \oplus ROTR^{11}(x) \oplus ROTR^{25}(x)$

$S ^{\{256\}}_0(x) \ = \ ROTR^7 (x) \oplus ROTR^{18}(x) \oplus SHR^{3}(x)$

$S ^{\{256\}}_1(x) \ = \ ROTR^{17} (x) \oplus ROTR^{19}(x) \oplus SHR^{10}(x)$

$K^{\{256\}}_0,K^{\{256\}}_1,...,K^{\{256\}}_{63}$ 的值为： $428a2f98\quad 71374491 \quad b5c0fbcf \quad e9b5dba5 \quad3956c25b \quad59f111f1\quad 923f82a4 \quad ab1c5ed5$

$d807aa98\quad 12835b01 \quad243185be \quad550c7dc3 \quad 72be5d74\quad 80deb1fe \quad 9bdc06a7 \quad c19bf174$

$e49b69c1\quad efbe4786\quad 0fc19dc6\quad 240ca1cc \quad2de92c6f\quad 4a7484aa\quad 5cb0a9dc \quad76f988da$

$983e5152\quad a831c66d\quad b00327c8 \quad bf597fc7 \quad c6e00bf3\quad d5a79147\quad 06ca6351 \quad14292967$

$27b70a85\quad 2e1b2138 \quad4d2c6dfc\quad 53380d13\quad 650a7354\quad 766a0abb \quad 81c2c92e \quad 92722c85$

$a2bfe8a1 \quad a81a664b\quad c24b8b70\quad c76c51a3 \quad d192e819\quad d6990624\quad f40e3585\quad 106aa070$

$19a4c116 \quad1e376c08 \quad2748774c\quad 34b0bcb5\quad 391c0cb3\quad 4ed8aa4a\quad 5b9cca4f \quad 682e6ff3$

$748f82ee \quad78a5636f \quad84c87814\quad 8cc70208\quad 90befffa\quad a4506ceb \quad bef9a3f7\quad c67178f2$

4.计算中间哈希值

计算中间哈希值 $H^{(i)}$

$H^{(i)}_0=a+H^{(i-1)}_0$

$H^{(i)}_1=b+H^{(i-1)}_1$

$H^{(i)}_2=c+H^{(i-1)}_2$

$H^{(i)}_3=d+H^{(i-1)}_3$

$H^{(i)}_4=e+H^{(i-1)}_4$

$H^{(i)}_5=f+H^{(i-1)}_5$

$H^{(i)}_6=g+H^{(i-1)}_6$

$H^{(i)}_7=h+H^{(i-1)}_7$

三.最终结果

在重复进行上述计算过程N次后，消息M的160-bit消息摘要为

$H^{(N)}_0 \parallel H^{(N)}_1 \parallel H^{(N)}_2 \parallel H^{(N)}_3 \parallel H^{(N)}_4 \parallel H^{(N)}_5 \parallel H^{(N)}_6 \parallel H^{(N)}_7$

参考资料

参考文档：Secure Hash Standard