nist目前支持的sha运算,sha1系列,输出mac160bit。
sha2系列,支持sha2-224,sha2-256,sha2-384,sha2-512,sha2-512/224,sha2-512/256
sha3系列,支持sha3-224,sha3-256,sha3-384,sha3-512
sha1和sha2系列的算法,支持最大的message长度,block size的大小,输出digest的size。
sha1和sha2的算法类似,都分为preprocessing和迭代运算两部分。NIST的标准为FIPS 180-4
1) preprocessing,padding message,将message分为512,或者1024bit的整数倍。
512bit的block,最后64bit表示message的长度,1024bit的block,最后128bit表示message的长度。
2) 迭代运算,迭代开始init vector,H
sha1,是5个32bit的word组成的向量,
512bit的block,是8个32bit的word组成的向量,
1024bit的block,是8个64bit的word组成的向量。
迭代过程中,存在a-f的8个中间变量,由H初始化。
每个block的数据被分为64个或者80个word,在经过64轮或者80轮迭代,更新a-f这几个中间变量。
输出最终的a-f的中间变量的值作为hash digest的值。
sha3系列算法,采用的engine内核不同于sha2,而是基于Keccak-p[b,nr]的置换-------sponge压缩算法。
sponge压缩算法,分为absorb和squeeze两部分,absorb进行数据的迭代压缩,squeeze生成指定长度的digest。
sponge压缩算法的输入Sponge[f, pad(r, len(N)), r](N,d):
1) input string,可以是byte流也可以是bit流,注意sha3中的byte流和bit流的转换,高低位置是相反的。0x80对应0b'0000_0001。
2) padding function,SHA3采用10*1的bit流的方式来padding。padding之后的string len是r的整数倍。
3) rate,r+c = b。
4) f,表示算法每次块的处理长度,处理长度为b。
sha3运算中的核心engine,Keccak-p[b, nr]其中b表示每次置换的bits的长度,NIST给出的标准只有七种选择。25,50,100,200,400,800,1600。
由b的值可以得到两个变量,w表示state的z轴,w = b/25。
l表示算法需要迭代的次数,l = log2w。
Keccak-p[b, nr]算法的输入是一个三维的5*5*w的三维矩阵。每次的置换运算中,包括5个小的运算。
Keccak-p[b, nr]的算法流程:
Keccak-f系列的算法是Keccak-p算法中的一大类,其中nr = 12 + 2l,而sha3采用的Keccak算法正是该系列下的b = 1600的系列。
sha3算法的置换部分的engine为Keccak-p[1600,24]。
sha3的算法表示,N表示输入的最原始的bit字符串,d表示输出的string的长度。并且规定c = 2d。
Keccak[c](N, d) = Sponge[Keccak-p[1600,24], pad 10*1, 1600-c](N, d)
sha3的其中四种运算,需要在M之后加01,之后padding。另外的shake运算,需要在M之后加1111。
其中各个算法中的r*8为(可以通过1600-2d)/8得到:
总结:
sha3运算首先将input string pad 为一个5*5 state,各个block块,以1600bit分组,进行absort操作,每次调用Keccak算法24次。
之后进行squeezing操作。
sha3中的10*1的bit pading方法,对应到byte string中,表示为:(其中q为r - m/ mod r,r为byte表示的长度)
针对nist approve的各个hash algm,他们的安全等级分别为:
