SHA-256算法流程

SHA-256

输入消息：M

输出消息：256位（bit）hash值

步骤：

1. 消息填充：M的长度 mod 512 = R，考虑R（R为输入消息长度按512bit进行分组后，最后一组的长度）

   • R < 448，在最后一组的末尾填充1个“1”及若干个“0”，使最后一组位数达到448；再在这448位的基础上填充64位，这64位是M的原始长度的二进制表示。
     $$\underset{448-R}{10000...}\underset{64bit}{输入消息的长度的二进制}$$

   • R >= 448，在最后一组的末尾填充1个“1”及若干个“0”，使最后一组位数达到512；再新增一组，添加448个“0”和64位消息M的原始长度的二进制表示。
     $$\underset{512-R}{100...}\underset{512bit}{\underset{448bit}{000...}\underset{64bit}{输入消息的长度的二进制}}$$

2. 系统给出8个32位寄存器：A，B，C，D，E，F，G，H，其初始值分别取自8个素数（2,3,5,7,11,13,17,19）的平方根的小数部分其二进制表示的前32位。例如：$\sqrt{2}=1.4142135623...$ 小数部分转为二进制 为$0.01101010000010011110011001011101...$即为$A=0x6a09e667$；相应地，B，C，D，E，F，G，H的初始化用了同样的取值方法。最终，我们得到：
   $$\begin{gathered} A=0x6a09e667 \\ B=0xbb67ae85 \\ C=0x3c6ef372 \\ D=0xa54ff53a \\ E=0x510e527f \\ F=0x9b05688c \\ G=0x1f83d9ab \\ H=0x5be0cd19 \end{gathered}$$

3. 首先，第一组以512位进行地分组进来后，再以32位为一组，分别保存为$W_0，\dots ，W_{15}$

4. 执行下列循环64次：

• temp = A

• A = $(T_1+T_2)mod{2}^{32}$

• H = G

• G = F

• E = $(D+T_1)mod{2}^{32}$

• D = C

• C = B

• B = temp

  其中$T_1、T_2$操作定义为：
  $$\begin{array}{rl}& T_1=(e_1(E)+f_1(E,F,G)+H+W_t+K_t)mod{2}^{32}\\ & T_2=((e_2(A)+f_2(A,B,C))mod{2}^{32}\\ & \\ & e_1(E)=(E\gg 6)\oplus (E\gg 11)\oplus (E\gg 25)\\ & e_2(A)=(A\gg 2)\oplus (A\gg 13)\oplus (A\gg 22)\\ & \\ & f_1(E,F,G)=(E\wedge F)\oplus (\bar{E}\wedge G)\\ & f_2(A,B,C)=(A\wedge B)\oplus (A\wedge C)\oplus (B\wedge C)\\ & \\ & W_t=W_{t-16}+[(W_{t-15}\gg 7)\oplus (W_{t-15}\gg 18)\oplus (W_{t-15}\to 3)]+W_{t-7}\\ & +[(W_{t-2}\gg 17)\oplus (W_{t-2}\gg 19)\oplus (W_{t-2}\to 10)]\\ & K_t的生成方法为取前64个素数（2，3，5，7，\dots \dots ）立方根的小数部分，将其转换为二进制，\\ & 然后取这64个数的前32位。（即：我们可以把K_t当成64个常数）\end{array}$$

  $\gg n$ 表示循环右移$n$ 位，$\to n$表示右移$n$ 位，$\bar{E}表示E按位取补$。$W_0，\dots ，W_{15}$即为上述步骤3的512位的分组进来后再按32位为一组$512÷32=16$ ，而$W_{16}，\dots ，W_{63}$根据上述公式生成。

6. 经过步骤4，我们的A，B，C，D，E，F，G，H和第一组512位的分组一起进行一系列操作后与初始的值完全不同了。此时，消息M的第二个512位分组进入，与步骤4后生成的A，B，C，D，E，F，G，H一起，又循环执行步骤4的操作，……

7. 当最后一组512位分组和前一组生成的A，B，C，D，E，F，G，H经过步骤4后，最终产生的A，B，C，D，E，F，G，H即为消息M的hash值。

总结

上述一系列操作我们可以发现，由于消息M的每一位都参与了运算，且后续操作的输入需要用到之前操作的输出。因此，如果消息M的某一位发生了改变，最终将导致得到的hash值与之前消息M未改变时的hash值完全不同。这也是Hash算法的性质之一。