Логика выполнения алгоритма sha-1

Алгоритм SHA-1 позволяет обрабатывать сообщения с максимальной длиной 2⁶⁴ бит. В результате на выходе создается хэш-код («отпечаток») сообщения длиной 160 бит. Вычисление хэш-кода сообщения осуществляется в пять этапов.

Этап 1: расширение сообщения

Исходное сообщение расширяется с помощью дополнительных бит. При этом биты добавляются таким образом, чтобы длина сообщения стала кратной 448 по модулю 512. Расширение осуществляется всегда, даже если сообщение уже имеет нужную длину. Таким образом, число добавляемых битов находится в диапазоне от 1 до 512. Добавление бит к исходному сообщению состоит из единицы, за которой следует необходимое количество нулей.

Этап 2: добавление длины сообщения

К полученному сообщению добавляется блок из 64 битов. Этот блок трактуется как беззнаковое 64-битное целое и содержит длину исходного сообщения до расширения.

Результатом первых двух шагов является сообщение, длина которого кратна 512 битам. Расширенное сообщение может быть представлено как последовательность 512-битных блоков M₀, M₁, . . . , M_L-1. Таким образом, общая длина расширенного сообщения можно определить как L * 512 бит, т.е. результат кратен шестнадцати 32-битным словам.

Этап 3: инициализация sha-1 буфера

Для хранения промежуточных и окончательных результатов хэш-функции используется 160-битный буфер, который представлен как пять 32-битных регистра: A, B, C, D и E.

На данном этапе регистры буфера инициализируются следующими шестнадцатеричными числами:

A = 67452301,

B = EFCDAB89,

C = 98BADCFE,

D = 10325476,

E = C3D2E1F0.

Этап 4: обработка сообщения в 512-битных блоках

Обработка каждого 512-битного блока сообщения осуществляется циклически. В результате за 80 циклических обработок блока формируется промежуточное значение хэш-функции SHA_i. Все 80 циклических обработок имеют одинаковую структуру. Каждый цикл получает на входе текущий обрабатываемый блок M_i и 160-битное значение буфера ABCDE. Вычисление промежуточного значения хэш-функции SHA_i осуществляется с помощью логических операций и элементарных функций F_t (B, C, D), а каждый цикл обработки одного 512-битного блока можно представить в виде:

A, B, C, D, E = (CLS₅ (A) + F_t (B, C, D) + E + W_t + K_t), A, CLS₃₀ (B), C, D,

где A, B, C, D, E - пять слов из буфера;

t - номер цикла, 0 ≤ t ≤ 79;

F_t - элементарная логическая функция;

CLS_s - циклический левый сдвиг 32-битного аргумента на s битов;

W_t - 32-битное слово, полученное из текущего входного 512-битного

блока;

K_t - дополнительная константа;

+ - сложение по модулю 2³².

Каждая элементарная функция получает на входе три 32-битных слова и посредством выполнения набора логических операций создает на выходе одно 32-битное слово, т.е. n-ый бит выхода элементарной функции является функцией от n-ых битов трех входов. Всего используется три вида элементарных функций, выбор которых для выполнения определяется номером цикла:

0 ≤t ≤19 F_t (B, C, D) = (B C) (B D)

20 ≤t ≤39 F_t (B, C, D) = B + C + D

40 ≤t ≤59 F_t (B, C, D) = (B C) (B D) (C D)

60 ≤t ≤79 F_t (B, C, D) = B + C + D

При этом для циклов с номерами 0 ≤t ≤19 функция является условной: if B then C else D, для 20 ≤t ≤39 и 60 ≤t ≤79 функция создает бит четности, а для 40 ≤t ≤59 функция является истинной, если два или три аргумента истинны.

32-битные слова W_t получаются из обрабатываемого 512-битного блока сообщения следующим образом: первые 16 значений W_t берутся непосредственно из 16 слов текущего блока. Для оставшихся 64 циклов оставшиеся значения определяются путем сложения по модулю 2 нескольких слов блока сообщения следующим образом:

W₁₆ =W₀  W₁  W₈  W₁₃

W_t =W_t-16  W_t-14  W_t-8  W_t-3

W₇₉ =W₆₃ W₆₅  W₇₄  W₇₆

В каждом цикле используется дополнительная константа К_t, которая может принимать только четыре различных значения:

0 ≤ t ≤ 19 K_t = 5A827999 (целая часть числа [2³⁰ × 2^1/2])

20 ≤ t ≤ 39 K_t = 6ED9EBA1 (целая часть числа [2³⁰ × 3^1/2])

40 ≤ t ≤ 59 K_t = 8F1BBCDC (целая часть числа [2³⁰ × 5^1/2])

60 ≤ t ≤ 79 K_t = CA62C1D6 (целая часть числа [2³⁰ × 10^1/2])

Для получения SHA_i выход 80-го цикла складывается со значением SHA_i-1 по модулю 2³². Сложение по модулю 2³² выполняется независимо для каждого из пяти слов в буфере с каждым из соответствующих слов в SHA _i:

А_i = А_i A_i-1,

B_i = B_i B_i-1,

C_i = C_i  C_i-1,

D_i = D_i  D_i-1,

E_i = E_i  E_i-1.