【正文】 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 55 ④ 以分組為單位對消息進(jìn)行處理每一分組 Yq都經(jīng)一壓縮函數(shù)處理， 壓縮函數(shù)由 4輪處理過程 （如圖 所示）構(gòu)成， 每一輪又由 20步迭代組成 。 4輪處理過程結(jié)構(gòu)一樣，但所用的基本邏輯函數(shù)不同，分別表示為 f1,f2,f3,f4。每輪的輸入為當(dāng)前處理的消息分組 Yq和緩沖區(qū)的當(dāng)前值 A,B,C,D,E，輸出仍放在緩沖區(qū)以替代 A,B,C,D,E的舊值，每輪處理過程還需加上一個(gè)加法常量 Kt，其中 0≤t≤79表示迭代的步數(shù)。 80個(gè)常量中實(shí)際上只有 4個(gè)不同取值，如表，其中 為 x的整數(shù)部分。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 56 圖 SHA的分組處理框圖 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 57 第 4輪的輸出（即第 80步迭代的輸出）再與第 1輪的輸入 CVq相加，以產(chǎn)生 CVq+1，其中加法是緩沖區(qū) 5個(gè)字中的每一個(gè)字與 CVq中相應(yīng)的字模 232相加。 ⑤ 輸出消息的 L個(gè)分組都被處理完后，最后一個(gè)分組的輸出即為 160比特的消息摘要。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 58 步驟③到步驟⑤的處理過程可總結(jié)如下： CV0=IV。 CVq+1=SUM32(CVq,ABCDEq)。 MD=CVL 其中 IV是步驟③定義的緩沖區(qū) ABCDE的初值， ABCDEq是第 q個(gè)消息分組經(jīng)最后一輪處理過程處理后的輸出， L是消息（包括填充位和長度字段）的分組數(shù)， SUM32是對應(yīng)字的模 232加法， MD為最終的摘要值。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 59 SHA的壓縮函數(shù) 如上所述， SHA的壓縮函數(shù)由 4輪處理過程組成，每輪處理過程又由對緩沖區(qū) ABCDE的 20步迭代運(yùn)算組成，每一步迭代運(yùn)算的形式為（見圖 ） 其中 A， B， C， D， E為緩沖區(qū)的 5個(gè)字， t是迭代的步數(shù)（ 0≤t≤79）， ft(B,C,D)是第 t步迭代使用的基本邏輯函數(shù)， CLSs為左循環(huán)移 s位， Wt是由當(dāng)前 512比特長的分組導(dǎo)出的一個(gè) 32比特長的字（導(dǎo)出方式見下面）， Kt是加法常量， +是模 232加法。 5 30, , , , ( ( , , ) ( ) ) , , ( ) , ,t t tA B C D E E f B C D CL S A W K A CL S B C D? ? ? ? ?Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 60 圖 SHA的壓縮函數(shù)中一步迭代示意圖 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 61 基本邏輯函數(shù)的輸入為 3個(gè) 32比特的字，輸出是一個(gè) 32比特的字，其中的運(yùn)算為逐比特邏輯運(yùn)算，即輸出的第 n個(gè)比特是 3個(gè)輸入的相應(yīng)比特的函數(shù)。函數(shù)的定義如表 。表中 ∧ ,∨ , － , 分別是與、或、非、異或4個(gè)邏輯運(yùn)算，函數(shù)的真值表如表 。（見表 ，表 ） ? Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 62 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 63 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 64 下面說明如何由當(dāng)前的輸入分組（ 512比特長）導(dǎo)出Wt（ 32比特長）。前 16個(gè)值（即 W0,W1,…,W15）直接取為輸入分組的 16個(gè)相應(yīng)的字，其余值（即W16,W17,…,W79）取為 見圖 。 與 MD5比較， MD5直接用一個(gè)消息分組的 16個(gè)字作為每步迭代的輸入，而 SHA則將輸入分組的 16個(gè)字?jǐn)U展成 80個(gè)字以供壓縮函數(shù)使用，從而使得尋找具有相同壓縮值的不同的消息分組更為困難。 1 16 14 8 3()t t t t tW CL S W W W W? ? ? ?? ? ? ?Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 65 圖 SHA分組處理所需的 80個(gè)字的產(chǎn)生過程 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 66 SHA與 MD5的比較 由于 SHA與 MD5都是由 MD4演化而來，所以兩個(gè)算法極為相似。 1. 抗窮搜索攻擊的強(qiáng)度 由于 SHA和 MD5的消息摘要長度分別為 160和128，所以用窮搜索攻擊尋找具有給定消息摘要的消息分別需做 O(2160)和 O(2128)次運(yùn)算，而用窮搜索攻擊找出具有相同消息摘要的兩個(gè)不同消息分別需做 O(280)和 O(264)次運(yùn)算。因此 SHA抗擊窮搜索攻擊的強(qiáng)度高于 MD5抗擊窮搜索攻擊的強(qiáng)度。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 67 2. 抗擊密碼分析攻擊的強(qiáng)度 由于 SHA的設(shè)計(jì)準(zhǔn)則未被公開，所以它抗擊密碼分析攻擊的強(qiáng)度較難判斷，似乎高于 MD5的強(qiáng)度。 3. 速度 由于兩個(gè)算法的主要運(yùn)算都是模 232加法，因此都易于在 32位結(jié)構(gòu)上實(shí)現(xiàn)。但比較起來 ,SHA的迭代步數(shù) (80步 )多于 MD5的迭代步數(shù)（ 64步），所用的緩沖區(qū)（ 160比特）大于 MD5使用的緩沖區(qū)（ 128比特），因此在相同硬件上實(shí)現(xiàn)時(shí)， SHA的速度要比 MD5的速度慢。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 68 4. 簡潔與緊致性 兩個(gè)算法描述起來都較為簡單，實(shí)現(xiàn)起來也較為簡單，都不需要大的程序和代換表。 5. 數(shù)據(jù)的存儲方式 MD5使用小數(shù)前方式， SHA使用大數(shù)在前方式。兩種方式相比看不出哪個(gè)更具優(yōu)勢，之所以使用兩種不同的存儲方式是因?yàn)樵O(shè)計(jì)者最初實(shí)現(xiàn)各自的算法時(shí)，使用的機(jī)器的存儲方式不同。 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 69 對 SHA的攻擊現(xiàn)狀 Copyright Yuan Email: 南京航空航天大學(xué)網(wǎng)絡(luò)研究室 Hash函數(shù) 70 END! Thank you!