信息摘要算法之四：SHA512算法分析与实现

前面一篇中我们分析了SHA256的原理，并且实现了该算法，在这一篇中我们将进一步分析SHA512并实现之。

1、SHA简述

尽管在前面的篇章中我们介绍过SHA算法，但出于阐述的完整性我依然要简单的说明一下SHA算法。SHA主要有SHA-1、SHA-224、SHA-256、SHA-384以及SHA-512。各种SHA算法的数据比较如下表，其中的长度单位均为位：

从上表中我们不难发现，SHA-224和SHA-256、SHA-384和SHA-512在消息长度、分组长度、计算字长以及计算步骤各方面分别都是一致的。事实上通常认为SHA-224是SHA-256的缩减版，而SHA-384是SHA-512的缩减版。在前面的篇章中，我们已经实现了SHA-224和SHA-256，在这一篇中我们将讨论SHA-384和SHA-512算法并实现之。

2、消息的填充与解析

在这里我们讨论的散列函数用于在计算机中将根据作为输入消息或者数据文件生成其对应的信息摘要。消息或数据文件通常被作为是位字符串。消息的长度是消息中的比特数(空消息的长度为0)。如果消息中的比特数是8的倍数，那么我们就可以用十六进制来表示消息的紧凑性。消息填充的目的是为了在消息填充后，在SHA-384和SHA-512中消息的长度是1024位的整数倍。

接下来我们说明消息或者数据文件将如何实现填充。总的来说就是，先添加一个“1”，再后跟多个“0”，然后再追加一个128位的消息长度信息，使得填充完成后的消息长度正好是1024位的整数倍。追加的128位的消息长度信息是原始消息的位长，填充完成的消息会被分成1024位的消息分组。

对于SHA-384和SHA-512来说消息的最大长度L<2¹²⁸，在对消息进行散列运算之前也需要对消息做相应的填充处理。SHA-384和SHA-512的消息填充过程与SHA-224和SHA-256的填充过程是基本一致的。

首先，也是在原始消息后填充一个“1”，例如：如果原始信息是"01010000",完成这一填充之后就是 "010100001"。

接下来，填充K个“0”，所不同的是消息分组的长度是1024位，所以K的取值必须是满足下述表达式的最小非负整数值。

( L + 1 + K ) mod 1024 = 896

最后，在填充完必的消息后，追加128位的原始消息长度，因为消息的长度不会超过2¹²⁸位，所以其长度数据的值不会超过128位，这也是为什么上一步中需要取模余896的原因。填充完毕后，所有的消息分组都将是一个1024位。

3、迭代函数与常数

SHA算法这类散列算法的计算过程都需要用到逻辑函数和计算常量。但由于具体算法的不同所使用的具体的函数和常数略有差别。我们在前面的篇章中说过MD5和SHA1，它们都有4个逻辑函数，而在SHA2的一系列算法中都采用了6个逻辑函数。接下来将说明这些逻辑函数和常量。

SHA-384和SHA-512也都有6个迭代函数，但是每个函数操作64位的输入字（x、y、z），输出也是一个新的 64 位字。这些逻辑函数表示如下：

CH( x, y, z) = (x AND y) XOR ( (NOT x) AND z)

MAJ( x, y, z) = (x AND y) XOR (x AND z) XOR (y AND z)

BSIG0(x) = ROTR^28(x) XOR ROTR^34(x) XOR ROTR^39(x)

BSIG1(x) = ROTR^14(x) XOR ROTR^18(x) XOR ROTR^41(x)

SSIG0(x) = ROTR^1(x) XOR ROTR^8(x) XOR SHR^7(x)

SSIG1(x) = ROTR^19(x) XOR ROTR^61(x) XOR SHR^6(x)

SHA-384和SHA-512采用相同的，80个64位的常数序列。通常记为：K0、K1、……、K79，这些常数的取值是前80个质数的立方根的小数部分的前64位。这些数以16进制表示如下：

428a2f98d728ae22 7137449123ef65cd b5c0fbcfec4d3b2f e9b5dba58189dbbc

3956c25bf348b538 59f111f1b605d019 923f82a4af194f9b ab1c5ed5da6d8118

d807aa98a3030242 12835b0145706fbe 243185be4ee4b28c 550c7dc3d5ffb4e2

72be5d74f27b896f 80deb1fe3b1696b1 9bdc06a725c71235 c19bf174cf692694

e49b69c19ef14ad2 efbe4786384f25e3 0fc19dc68b8cd5b5 240ca1cc77ac9c65

2de92c6f592b0275 4a7484aa6ea6e483 5cb0a9dcbd41fbd4 76f988da831153b5

983e5152ee66dfab a831c66d2db43210 b00327c898fb213f bf597fc7beef0ee4

c6e00bf33da88fc2 d5a79147930aa725 06ca6351e003826f 142929670a0e6e70

27b70a8546d22ffc 2e1b21385c26c926 4d2c6dfc5ac42aed 53380d139d95b3df

650a73548baf63de 766a0abb3c77b2a8 81c2c92e47edaee6 92722c851482353b

a2bfe8a14cf10364 a81a664bbc423001 c24b8b70d0f89791 c76c51a30654be30

d192e819d6ef5218 d69906245565a910 f40e35855771202a 106aa07032bbd1b8

19a4c116b8d2d0c8 1e376c085141ab53 2748774cdf8eeb99 34b0bcb5e19b48a8

391c0cb3c5c95a63 4ed8aa4ae3418acb 5b9cca4f7763e373 682e6ff3d6b2b8a3

748f82ee5defb2fc 78a5636f43172f60 84c87814a1f0ab72 8cc702081a6439ec

90befffa23631e28 a4506cebde82bde9 bef9a3f7b2c67915 c67178f2e372532b

ca273eceea26619c d186b8c721c0c207 eada7dd6cde0eb1e f57d4f7fee6ed178

06f067aa72176fba 0a637dc5a2c898a6 113f9804bef90dae 1b710b35131c471b

28db77f523047d84 32caab7b40c72493 3c9ebe0a15c9bebc 431d67c49c100d4c

4cc5d4becb3e42b6 597f299cfc657e2a 5fcb6fab3ad6faec 6c44198c4a475817

4、计算过程

前面，我们已经介绍了消息的预处理及散列逻辑函数，接下来我们将说明摘要的计算过程。

每个安全散列函数的输出，在应用到一个分为N个分组的消息后，结果记为散列量H(N)。对于SHA-384和SHA-512，它可以被认为是8个64位的字，记为：H(i)0、H(i)1、…、H(i)7。

散列字被初始化为一个特定的值，并在处理完每一个消息分组后对它进行更新，并在处理最后一个块后将其连接起来以产生输出。对于SHA-512，所有的H(N)变量都是串联的，而SHA-384散列值是通过最后连接时，省略一些而产生的。

与前面类似，对于SHA-384，初始化散列值有下述8个64为的16进制数组成。这些数由第9到16个质数平方根的小数部分的前64位得到。

H(0)0 = cbbb9d5dc1059ed8

H(0)1 = 629a292a367cd507

H(0)2 = 9159015a3070dd17

H(0)3 = 152fecd8f70e5939

H(0)4 = 67332667ffc00b31

H(0)5 = 8eb44a8768581511

H(0)6 = db0c2e0d64f98fa7

H(0)7 = 47b5481dbefa4fa4

对于SHA-384，初始化散列值有下述8个64为的16进制数组成。这些数由前8个质数平方根的小数部分的前64位得到。

H(0)0 = 6a09e667f3bcc908

H(0)1 = bb67ae8584caa73b

H(0)2 = 3c6ef372fe94f82b

H(0)3 = a54ff53a5f1d36f1

H(0)4 = 510e527fade682d1

H(0)5 = 9b05688c2b3e6c1f

H(0)6 = 1f83d9abfb41bd6b

H(0)7 = 5be0cd19137e2179

SHA-384和SHA-512对消息分组执行相同的处理，只在初始化H(0)和如何生成最终输出的过程中有所不同。SHA-384和SHA-5126可以用来散列处理长度为L位的消息，其中0 < L< = 2¹²⁸。算法使用一个80个64位字的消息列表， 8个工作变量64位以及8个64位字的散列值。

消息列表每32位分为一个子分组，被标记为W0、W1、…、W79。8个工作变量分别为a、b、c、d、e、f、g和h，8个散列值被标记为h(i)0、h(i)1、…、H(i)7，并保留初始散列值H(0)，替换为每一个连续的中间散列值（在处理完每个消息分组后）H(i)，并在处理完所有N块后，以最终的散列值H(N)结束。

从前面我们知道，填充完了之后消息被分为了1024位的消息分组。每个分组被分为16个64位的子分组，记为：M(i)0、M(i)1、...、M(i)15。将对N个消息分组进行如下操作。

a、准备消息列表

For t = 0 to 15

Wt = M(i)t

For t = 16 to 79

Wt = SSIG1(W(t-2)) + W(t-7) + SSIG0(W(t-15)) + W(t-16)

b、初始化工作变量

a = H(i-1)0

b = H(i-1)1

c = H(i-1)2

d = H(i-1)3

e = H(i-1)4

f = H(i-1)5

g = H(i-1)6

h = H(i-1)7

c、执行散列计算

For t = 0 to 79

T1 = h + BSIG1(e) + CH(e,f,g) + Kt + Wt

T2 = BSIG0(a) + MAJ(a,b,c)

h = g

g = f

f = e

e = d + T1

d = c

c = b

b = a

a = T1 + T2

d、计算最终结果

H(i)0 = a + H(i-1)0

H(i)1 = b + H(i-1)1

H(i)2 = c + H(i-1)2

H(i)3 = d + H(i-1)3

H(i)4 = e + H(i-1)4

H(i)5 = f + H(i-1)5

H(i)6 = g + H(i-1)6

H(i)7 = h + H(i-1)7

所有消息分组顺序完成上述计算过程后，还会计算最终的输出结果。对于SHA-12来说，，是所有H(N)0、H(N)1到H(N)7的串联。对于SHA-384，则是H(N)0、H(N)1直到H(N)5的串联。

5、代码实现

前面我们已经说明了SHA-512（SHA-384）的计算过程，接下来我们将这一过程代码化。同样的首先定义一个上下文的结构。

 /** 定义SHA-512哈希操作的内容信息结构体 */
 typedef struct SHA512Context {
 #ifdef USE_32BIT_ONLY

   uint32_t Intermediate_Hash[SHA512HashSize/]; /* 信息摘要 */
   uint32_t Length[];                           /* 按位计算的信息摘要的长度 */

 #else /* !USE_32BIT_ONLY */

   uint64_t Intermediate_Hash[SHA512HashSize/]; /* 信息摘要 */
   uint64_t Length_High;                         /* 按位计算的信息摘要的长度 */
   uint64_t Length_Low;                          /* 按位计算的信息摘要的长度 */

 #endif /* USE_32BIT_ONLY */

   int_least16_t Message_Block_Index;            /* 信息分组数组的索引 */
   uint8_t Message_Block[SHA512_Message_Block_Size];/* 1024位信息分组 */
   int Computed;                                 /* 摘要计算标识*/
   int Corrupted;                                /* 信息摘要损坏标识 */
 } SHA512Context;

接下来实现SHA512Context结构的初始化，为后续的计算过程做准备。

 #ifdef USE_32BIT_ONLY
 static SHAStatusCode SHA384_512Reset(SHA512Context *context,uint32_t H0[SHA512HashSize/])
 #else /* !USE_32BIT_ONLY */
 static SHAStatusCode SHA384_512Reset(SHA512Context *context,uint64_t H0[SHA512HashSize/])
 #endif /* USE_32BIT_ONLY */
 {
   int i;

   if (!context) return shaNull;

   context->Message_Block_Index = ;

 #ifdef USE_32BIT_ONLY

   context->Length[] = context->Length[] =
   context->Length[] = context->Length[] = ;
   for (i = ; i < SHA512HashSize/; i++)
     context->Intermediate_Hash[i] = H0[i];

 #else /* !USE_32BIT_ONLY */

   context->Length_High = context->Length_Low = ;
   for (i = ; i < SHA512HashSize/; i++)
     context->Intermediate_Hash[i] = H0[i];

 #endif /* USE_32BIT_ONLY */

   context->Computed = ;
   context->Corrupted = shaSuccess;

   return shaSuccess;
 }

接下来实现信息分组的输入，这个函数接受一个字节数组作为下一个消息分组以便进行处理。

 SHAStatusCode SHA512Input(SHA512Context *context,const uint8_t *message_array,unsigned int length)
 {
   if (!context) return shaNull;
   if (!length) return shaSuccess;
   if (!message_array) return shaNull;
   if (context->Computed) return context->Corrupted = shaStateError;
   if (context->Corrupted) return context->Corrupted;

   while (length--)
   {
     context->Message_Block[context->Message_Block_Index++] =*message_array;

     if ((SHA384_512AddLength(context, ) == shaSuccess) &&
     (context->Message_Block_Index == SHA512_Message_Block_Size))
       SHA384_512ProcessMessageBlock(context);
     message_array++;
   }
   return context->Corrupted;
 }

当然还需要一个消息处理及最终摘要输出的函数，这个函数将返回一个384位或者512位的信息摘要到调用者给定的Message_Digest数组。返回的信息摘要，第一个元素索引为0，最后一个元素索引为47（SHA-384）或者63（SHA-512）。

 static SHAStatusCode SHA384_512ResultN(SHA512Context *context,uint8_t Message_Digest[ ], int HashSize)
 {
   int i;

 #ifdef USE_32BIT_ONLY
   int i2;
 #endif /* USE_32BIT_ONLY */

   if (!context) return shaNull;
   if (!Message_Digest) return shaNull;
   if (context->Corrupted) return context->Corrupted;
   if (!context->Computed)

   SHA384_512Finalize(context, 0x80);

 #ifdef USE_32BIT_ONLY
   for (i = i2 = ; i < HashSize; ) {
     Message_Digest[i++]=(uint8_t)(context->Intermediate_Hash[i2]>>);
     Message_Digest[i++]=(uint8_t)(context->Intermediate_Hash[i2]>>);
     Message_Digest[i++]=(uint8_t)(context->Intermediate_Hash[i2]>>);
     Message_Digest[i++]=(uint8_t)(context->Intermediate_Hash[i2++]);
     Message_Digest[i++]=(uint8_t)(context->Intermediate_Hash[i2]>>);
     Message_Digest[i++]=(uint8_t)(context->Intermediate_Hash[i2]>>);
     Message_Digest[i++]=(uint8_t)(context->Intermediate_Hash[i2]>>);
     Message_Digest[i++]=(uint8_t)(context->Intermediate_Hash[i2++]);
   }

 #else /* !USE_32BIT_ONLY */
   for (i = ; i < HashSize; ++i)
     Message_Digest[i] = (uint8_t)(context->Intermediate_Hash[i>>] >>  * (  - ( i %  ) ));
 #endif /* USE_32BIT_ONLY */

   return shaSuccess;
 }

至此，我们就完成了SHA-512（SHA-384）的编码，在后续我们将对这一编码进行验证。

6、结论

上一节我们实现了SHA-512(SHA-384)的编码，接下来我们来对这一实现进行验证。我们输入明文“abcd”并输出结果：

同样，我们也采用其他工具生成同一信息输入（“abcd”）的SHA-512信息摘要如下：

我们对比上述两项的输出结果，很显然是完全一致的，这说明我们的SHA-512的编码实现是正确的。

欢迎关注：