【正文】 南京航空航天大學網絡研究室 Hash函數 55 ④ 以分組為單位對消息進行處理每一分組 Yq都經一壓縮函數處理， 壓縮函數由 4輪處理過程 （如圖 所示）構成， 每一輪又由 20步迭代組成 。 4輪處理過程結構一樣，但所用的基本邏輯函數不同，分別表示為 f1,f2,f3,f4。每輪的輸入為當前處理的消息分組 Yq和緩沖區(qū)的當前值 A,B,C,D,E，輸出仍放在緩沖區(qū)以替代 A,B,C,D,E的舊值，每輪處理過程還需加上一個加法常量 Kt，其中 0≤t≤79表示迭代的步數。 80個常量中實際上只有 4個不同取值，如表，其中 為 x的整數部分。 Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 56 圖 SHA的分組處理框圖 Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 57 第 4輪的輸出（即第 80步迭代的輸出）再與第 1輪的輸入 CVq相加，以產生 CVq+1，其中加法是緩沖區(qū) 5個字中的每一個字與 CVq中相應的字模 232相加。 ⑤ 輸出消息的 L個分組都被處理完后，最后一個分組的輸出即為 160比特的消息摘要。 Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 58 步驟③到步驟⑤的處理過程可總結如下： CV0=IV。 CVq+1=SUM32(CVq,ABCDEq)。 MD=CVL 其中 IV是步驟③定義的緩沖區(qū) ABCDE的初值， ABCDEq是第 q個消息分組經最后一輪處理過程處理后的輸出， L是消息（包括填充位和長度字段）的分組數， SUM32是對應字的模 232加法， MD為最終的摘要值。 Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 59 SHA的壓縮函數 如上所述， SHA的壓縮函數由 4輪處理過程組成，每輪處理過程又由對緩沖區(qū) ABCDE的 20步迭代運算組成，每一步迭代運算的形式為（見圖 ） 其中 A， B， C， D， E為緩沖區(qū)的 5個字， t是迭代的步數（ 0≤t≤79）， ft(B,C,D)是第 t步迭代使用的基本邏輯函數， CLSs為左循環(huán)移 s位， Wt是由當前 512比特長的分組導出的一個 32比特長的字（導出方式見下面）， Kt是加法常量， +是模 232加法。 5 30, , , , ( ( , , ) ( ) ) , , ( ) , ,t t tA B C D E E f B C D CL S A W K A CL S B C D? ? ? ? ?Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 60 圖 SHA的壓縮函數中一步迭代示意圖 Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 61 基本邏輯函數的輸入為 3個 32比特的字，輸出是一個 32比特的字，其中的運算為逐比特邏輯運算，即輸出的第 n個比特是 3個輸入的相應比特的函數。函數的定義如表 。表中 ∧ ,∨ , － , 分別是與、或、非、異或4個邏輯運算，函數的真值表如表 。（見表 ，表 ） ? Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 62 Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 63 Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 64 下面說明如何由當前的輸入分組（ 512比特長）導出Wt（ 32比特長）。前 16個值（即 W0,W1,…,W15）直接取為輸入分組的 16個相應的字，其余值（即W16,W17,…,W79）取為 見圖 。 與 MD5比較， MD5直接用一個消息分組的 16個字作為每步迭代的輸入，而 SHA則將輸入分組的 16個字擴展成 80個字以供壓縮函數使用，從而使得尋找具有相同壓縮值的不同的消息分組更為困難。 1 16 14 8 3()t t t t tW CL S W W W W? ? ? ?? ? ? ?Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 65 圖 SHA分組處理所需的 80個字的產生過程 Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 66 SHA與 MD5的比較 由于 SHA與 MD5都是由 MD4演化而來，所以兩個算法極為相似。 1. 抗窮搜索攻擊的強度 由于 SHA和 MD5的消息摘要長度分別為 160和128，所以用窮搜索攻擊尋找具有給定消息摘要的消息分別需做 O(2160)和 O(2128)次運算，而用窮搜索攻擊找出具有相同消息摘要的兩個不同消息分別需做 O(280)和 O(264)次運算。因此 SHA抗擊窮搜索攻擊的強度高于 MD5抗擊窮搜索攻擊的強度。 Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 67 2. 抗擊密碼分析攻擊的強度 由于 SHA的設計準則未被公開，所以它抗擊密碼分析攻擊的強度較難判斷，似乎高于 MD5的強度。 3. 速度 由于兩個算法的主要運算都是模 232加法，因此都易于在 32位結構上實現。但比較起來 ,SHA的迭代步數 (80步 )多于 MD5的迭代步數（ 64步），所用的緩沖區(qū)（ 160比特）大于 MD5使用的緩沖區(qū)（ 128比特），因此在相同硬件上實現時， SHA的速度要比 MD5的速度慢。 Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 68 4. 簡潔與緊致性 兩個算法描述起來都較為簡單，實現起來也較為簡單，都不需要大的程序和代換表。 5. 數據的存儲方式 MD5使用小數前方式， SHA使用大數在前方式。兩種方式相比看不出哪個更具優(yōu)勢，之所以使用兩種不同的存儲方式是因為設計者最初實現各自的算法時，使用的機器的存儲方式不同。 Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 69 對 SHA的攻擊現狀 Copyright Yuan Email: 南京航空航天大學網絡研究室 Hash函數 70 END! Thank you!