1. 为什么我们需要SHA-3记得我第一次接触哈希函数时用的还是SHA-1。那时候做文件校验用SHA-1生成个摘要感觉既方便又安全。直到后来看到新闻说SHA-1被破解了我才意识到密码学世界的变化有多快。这就是SHA-3诞生的背景——我们需要一个更安全的哈希函数。SHA-3的诞生其实挺戏剧性的。2007年美国国家标准与技术研究院NIST发起了一场公开竞赛要从64个候选算法中选出新一代的哈希标准。经过层层筛选最终在2015年KECCAK算法胜出成为了我们现在所知的SHA-3。你可能要问为什么是KECCAK它有什么特别之处简单来说它带来了三个关键优势首先是全新的海绵结构完全不同于之前MD系列的构造其次是在硬件实现上的高效表现最重要的是它提供了更强的安全性保障包括抗碰撞性和抗侧信道攻击能力。2. 海绵构造像海绵一样工作的哈希函数2.1 海绵的基本原理想象一下你用海绵吸水的场景海绵先吸收水分吸收阶段然后你挤压海绵时水分又会被释放出来输出阶段。KECCAK的工作原理就是这样这也是它被称为海绵构造的原因。具体来说海绵结构有三个核心组件函数f这是算法的核心变换函数填充方法pad确保输入数据符合要求格式速率r控制数据处理的节奏在数学表达上一个海绵函数可以表示为SPONGE(f,pad,r)[N,d]其中N是输入数据d是输出哈希值的长度。2.2 吸收阶段详解吸收阶段就像海绵吸水的过程。这里有个关键概念叫速率rate记作r。你可以把r理解为每次处理的数据块大小。举个例子如果r1088那么每次就处理1088位的数据。这个阶段的具体步骤是对输入数据进行填充padding确保长度符合要求将填充后的数据分成若干块每块r位每块数据与当前状态进行异或运算通过函数f进行变换重复这个过程直到处理完所有数据块这里有个有趣的细节海绵结构的内部状态大小是brc其中c被称为容量。c越大安全性越高但效率会降低。在SHA3-256中b1600r1088所以c512。2.3 输出阶段的工作方式输出阶段就像挤海绵的过程。每次挤压调用函数f都会产生r位的输出。如果需要更长的输出就继续挤压。比如要生成256位的哈希值而r1088那么实际上只需要一次挤压然后取前256位即可。这种设计有个很大的优势它可以轻松支持可变长度的输出。这也是为什么SHA-3家族中会有SHAKE128和SHAKE256这样的可扩展输出函数XOF。3. KECCAK-p海绵结构的心脏3.1 KECCAK-p的基本概念如果说海绵结构是SHA-3的身体那么KECCAK-p就是它的心脏。这是一个置换函数负责数据的实际变换。在SHA-3中使用的是KECCAK-p[1600,24]意思是状态大小为1600位进行24轮变换。KECCAK-p的特别之处在于它的三维状态表示法。想象一个5×5×w的三维数组其中w可以是1,2,4,8,...64。在SHA-3中w64所以总状态大小是5×5×641600位。3.2 五步变换的舞蹈KECCAK-p的每轮变换由五个步骤组成我习惯把它们想象成一场精心编排的舞蹈θTheta这是线性扩散步骤。它会计算每列的奇偶校验位然后用这些校验位来影响其他数据。具体来说对于每个比特它会与相邻两列的特定比特进行异或运算。ρRho这是位旋转步骤。每个lane5×5数组中的一行中的比特会按照预定的偏移量进行循环移位。不同的lane有不同的移位量这增加了算法的扩散性。πPi这是排列步骤。它会重新排列lane的位置相当于对5×5的平面进行置换。这个步骤的目的是打乱比特之间的局部关系。χChi这是唯一的非线性步骤。它对每行进行非线性变换具体来说是对每行的三个连续比特进行与或运算。这个步骤为算法提供了非线性特性。ιIota这是轮常数加步骤。它会将一个与轮数相关的常数异或到状态的一个特定lane上。这个步骤确保每轮变换都有所不同。这五个步骤的组合提供了强大的混淆和扩散特性使得KECCAK-p能够抵抗各种密码分析攻击。4. 深入KECCAK-p的五个轮函数4.1 θ列扩散的艺术θ步骤是KECCAK-p中我最喜欢的一个变换。它的数学表达式看起来有点复杂但实际概念很简单让每一列的数据都影响其他列。具体实现是这样的对每一列沿着z轴方向计算它的奇偶校验位将这些校验位与相邻列进行异或用结果来更新当前状态用代码表示的话大概是这样的def theta(state): # 计算奇偶校验 parity [0] * 5 for x in range(5): parity[x] state[x][0] for y in range(1,5): parity[x] ^ state[x][y] # 更新状态 new_state [[0]*5 for _ in range(5)] for x in range(5): for y in range(5): new_state[x][y] state[x][y] ^ parity[(x-1)%5] ^ parity[(x1)%5] return new_state这个步骤确保了即使只改变输入的一个比特经过θ变换后也会影响多个其他比特。4.2 ρ和π比特的旋转舞蹈ρ和π步骤经常一起工作它们负责将比特在三维状态中移动。ρ步骤对每个lane进行循环移位移位数取决于lane的位置(x,y)。具体移位数由以下公式决定对于0 ≤ t ≤ 24求最小的t使得(t1)(t2)/2 ≡ 1 mod 5 然后移位量为(t1)(t2)/2这个设计确保了每个lane都有不同的移位模式。π步骤则重新排列lane的位置。具体来说它将位置(x,y)的lane移动到(y,2x3y)。这个排列看起来有点随意但实际上经过精心设计可以最大化扩散效果。4.3 χ唯一的非线性变换χ是KECCAK-p中唯一的非线性步骤它为算法提供了重要的非线性特性。这个变换可以表示为a[x][y] a[x][y] XOR ((NOT a[x1][y]) AND a[x2][y])用大白话说就是每个比特的新值取决于它自己和它右边的两个比特的当前值。这个简单的非线性操作与前面的线性变换相结合产生了非常强大的混淆效果。在实际硬件实现中χ步骤可以非常高效地完成。4.4 ι打破对称性ι步骤是最简单的一个但非常重要。它只是简单地将一个与轮数相关的常数异或到状态的一个特定lane上。这个步骤的主要目的是打破对称性确保每轮变换都有所不同。轮常数是通过一个简单的LFSR线性反馈移位寄存器生成的。虽然看起来很简单但这个步骤对于防止某些类型的密码分析攻击至关重要。5. 实际应用中的SHA-35.1 多速率填充Multi-rate padding在实际使用SHA-3时填充padding是个很重要的步骤。SHA-3使用了一种叫做多速率填充的独特方法。它的规则很简单在消息末尾添加一个1比特然后添加若干个0比特最后再添加一个1比特这种填充方式确保了不同长度的消息在填充后都能被正确区分。在代码实现中这个步骤通常这样处理def multi_rate_padding(message, rate): # 添加第一个1 padded message b\x01 # 计算需要填充的0的个数 zero_bytes (rate - (len(padded)*8 % rate)) // 8 - 1 if zero_bytes 0: padded b\x00 * zero_bytes # 添加最后一个1 padded b\x80 return padded5.2 SHA-3与SHA-2的性能对比在实际项目中我经常被问到SHA-3和SHA-2哪个更好这个问题没有简单答案。SHA-3在硬件实现上通常更高效但在某些软件实现中SHA-256可能更快。这里有个简单的性能对比表特性SHA-256SHA3-256算法结构MD结构海绵结构硬件性能中等优秀软件性能优秀中等抗碰撞性强更强侧信道防护一般优秀选择哪个算法取决于你的具体需求。如果安全性是首要考虑SHA-3是个不错的选择如果是在现有系统中升级可能需要考虑兼容性问题。5.3 实现时的常见陷阱在实现SHA-3时有几个常见的坑需要注意字节序问题KECCAK使用的是小端序这与很多系统默认的大端序不同状态初始化确保初始状态全为零轮常数应用ι步骤中的轮常数必须正确应用输出截断最后记得只取所需长度的输出我曾经在一个项目中因为忽略了字节序问题导致生成的哈希值与其他实现不匹配调试了很久才发现问题所在。所以建议在实现时一定要参考官方的测试向量进行验证。