SHA-2
SHA-2
一般的な
デザイナー国家安全保障局
初版2001 (2001年
シリーズ( SHA-0 )、SHA-1、SHA-2、SHA-3
認証FIPS PUB 180-4、CRYPTRECNESSIE
詳細
ダイジェストサイズ224、256、384、または512ビット
構造デイヴィス・マイヤー圧縮関数を用いたメルクル・ダムゴード構成
ラウンド64または80
最高の公開暗号解読
2011年の攻撃では、SHA-512の80ラウンドのうち57ラウンド、SHA-256の64ラウンドのうち52ラウンドで原像暗号耐性が破られた。 [ 1 ] SHA-256の最大46ラウンドに対する疑似衝突攻撃。[ 2 ]
安全なハッシュアルゴリズム
概念
ハッシュ関数SHADSA
主な基準
SHA-0SHA-1SHA-2SHA-3

SHA-2セキュアハッシュアルゴリズム2 )は、アメリカ合衆国国家安全保障局(NSA)によって設計され、2001年に初めて公開された暗号ハッシュ関数のセットです。[ 3 ] [ 4 ]これらは、特殊なブロック暗号のデイヴィス・マイヤー構造を使用して構築された一方向圧縮関数から、マークル・ダムゴール構造を使用して構築されています。

SHA-2 には、その前身であるSHA-1から大幅に変更されています。SHA-2 ファミリは、224、256、384、512 ビットのダイジェスト (ハッシュ値) を持つ 6 つのハッシュ関数で構成されています: [ 5 ] SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256。SHA -256 と SHA-512 は、ダイジェストがそれぞれ 8 つの 32 ビット ワードと 64 ビット ワードであるハッシュ関数です。これらはシフト量と加算定数が異なりますが、それ以外は構造は実質的に同一で、ラウンド数のみ異なります。SHA-224 と SHA-384 は、それぞれ SHA-256 と SHA-512 の短縮版であり、異なる初期値で計算されます。 SHA-512/224 と SHA-512/256 も SHA-512 の短縮バージョンですが、初期値は連邦情報処理標準(FIPS) PUB 180-4 で説明されている方法を使用して生成されます。

SHA-2は、米国国立標準技術研究所(NIST)によって米国連邦規格として初めて公開されました。SHA-2ファミリーのアルゴリズムは米国で特許を取得しています[ 6 ]。米国は、この特許をロイヤリティフリーのライセンスで公開しています[ 5 ] 。

2011年時点で公開されている最良の攻撃では、SHA-256の64ラウンドのうち52ラウンド、またはSHA-512の80ラウンドのうち57ラウンドで原像耐性が破られ、 SHA-256の64ラウンドのうち46ラウンドで衝突耐性が破られている。 [ 1 ] [ 2 ]

ハッシュ標準

SHA-2ファミリーの圧縮関数における1回の反復処理。青色の要素は以下の演算を実行します。ビット単位の回転はSHA-512では異なる定数を使用します。示されている数値はSHA-256のものです。赤色の要素は、SHA-256の場合は2 32を法とする加算、SHA-512の場合は2 64 を法とする加算です。     EFGEF¬EG{\displaystyle \operatorname {Ch} (E,F,G)=(E\land F)\oplus (\neg E\land G)}     BCBCBC{\displaystyle \operatorname {Ma} (A,B,C)=(A\land B)\oplus (A\land C)\oplus (B\land C)}     Σ021322{\displaystyle \Sigma _{0}(A)=(A\!\ggg \!2)\oplus (A\!\ggg \!13)\oplus (A\!\ggg \!22)}     Σ1EE6E11E25{\displaystyle \Sigma _{1}(E)=(E\!\ggg \!6)\oplus (E\!\ggg \!11)\oplus (E\!\ggg \!25)}{\displaystyle \color {red}\boxplus }

FIPS PUB 180-2の公開に伴い、NISTはSHAファミリーに3つのハッシュ関数を追加しました。これらのアルゴリズムは総称してSHA-2と呼ばれ、ダイジェスト長(ビット単位)にちなんでSHA-256、SHA-384、SHA-512と名付けられています。

これらのアルゴリズムは、2001年にFIPS PUB 180-2草案として初めて公開され、公開レビューとコメントが受け付けられました。2002年8月、FIPS PUB 180-2は、1995年4月に公開されたFIPS PUB 180-1に代わる新しいセキュアハッシュ標準となりました。更新された標準には、オリジナルのSHA-1アルゴリズムが含まれており、SHA-2ファミリーの内部動作を記述したものと一致するように技術表記が更新されました。[ 4 ]

2004年2月、FIPS PUB 180-2の変更通知が発行され、2鍵トリプルDESの鍵長に一致するように定義されたSHA-224という追加の変種が規定された。[ 7 ] 2008年10月、この標準はFIPS PUB 180-3で更新され、変更通知からSHA-224が含められたが、それ以外は標準に根本的な変更は加えられなかった。標準更新の主な目的は、ハッシュアルゴリズムに関するセキュリティ情報とその使用に関する推奨事項をSpecial Publications 800-107と800-57に移管することであった。[ 8 ] [ 9 ] [ 10 ]詳細なテストデータとサンプルメッセージダイジェストも標準から削除され、別の文書として提供された。[ 11 ]

2011年1月、NISTはSP800-131Aを発行し、2013年末まで連邦政府が使用できる当時の最低80ビットセキュリティ(SHA-1で提供)から、最低要件(2014年開始)と推奨セキュリティレベル(2011年の発行日から開始)の両方である112ビットセキュリティ(SHA-2で提供)への移行を規定しました。[ 12 ]

2012年3月、この規格はFIPS PUB 180-4で更新され、ハッシュ関数SHA-512/224とSHA-512/256が追加され、SHA-512の切り捨てバージョンの初期値を生成する方法が規定されました。さらに、ハッシュ計算前の入力データのパディングに関する制限が削除され、リアルタイムのビデオやオーディオフィードなどのコンテンツ生成と同時にハッシュデータを計算できるようになりました。ただし、最終データブロックのパディングは、ハッシュ出力の前に行う必要があります。[ 13 ]

2012年7月、NISTは暗号鍵管理に関するガイダンスを提供するSP800-57を改訂しました。この改訂では、2013年以降、112ビット未満のハッシュセキュリティを持つデジタル署名の作成が禁止されました。2007年の前回の改訂では、2010年末が期限とされていました。 [ 10 ] 2012年8月、NISTはSP800-107を同様に改訂しました。[ 9 ]

2023年3月、NISTはFIPS 180-4を改訂する決定を発表しました。[ 14 ] FIPS 180-5ではSHA-1仕様が削除され、SP 800-107からのガイダンスが追加され、編集上の更新が含まれます。

NISTハッシュ関数コンペティションは2012年に新しいハッシュ関数SHA-3を選択しました。 [ 15 ] SHA-3アルゴリズムはSHA-2から派生したものではありません。

アプリケーション

SHA-2ハッシュ関数は、TLSSSLPGPSSHS/MIMEIPsecなど、広く使用されているセキュリティアプリケーションやプロトコルに実装されています。SHA-2アルゴリズムの固有の計算量を考慮すると、特定用途向け集積回路(ASIC)ハードウェアアクセラレータをベースにした、より効率的なソリューションが提案されています。[ 16 ]

SHA-256はDebianソフトウェアパッケージの認証に使用され[ 17 ] 、 DKIMメッセージ署名標準にも使用されています。SHA-512はルワンダ虐殺国際刑事裁判所のアーカイブビデオを認証するシステムの一部です。[ 18 ] SHA-256とSHA-512はDNSSECで使用されます。[ 19 ] Linuxディストリビューションでは通常、安全なパスワードハッシュのために512ビットのSHA-2が使用されます。[ 20 ] [ 21 ]

ビットコインを含むいくつかの暗号通貨は、トランザクションの検証やプルーフ・オブ・ワーク[ 22 ]またはプルーフ・オブ・ステーク[ 23 ]の計算にSHA-256を使用しています。ASIC SHA-2アクセラレータチップの台頭により、scryptベースのプルーフ・オブ・ワーク方式 が使用されるようになりました。

4Gおよび5Gモバイルネットワークでは、HMAC-SHA-256が鍵導出関数(KDF)として利用され、通信のセキュリティ確保に不可欠な暗号鍵を生成します。このプロセスは、3GPP(第3世代パートナーシッププロジェクト)技術仕様TS 33.401 [ 24 ]およびTS 33.501 [ 25 ]で定義されており、これらのネットワークのセキュリティアーキテクチャと手順が概説されています。

SHA-1、SHA-2、およびSHA-3は、機密扱いではない機密情報を保護するために、他の暗号化アルゴリズムやプロトコル内での使用を含む、特定の米国政府のアプリケーションで使用することが法律で義務付けられているセキュアハッシュアルゴリズムです。FIPS PUB 180-1も、民間および商業組織によるSHA-1の採用と使用を推奨しています。SHA-1はほとんどの政府用途で廃止されつつあります。米国国立標準技術研究所は、「NISTは、連邦政府機関がすべてのアプリケーションでできるだけ早くSHA-1から移行することを推奨します。連邦政府機関は、SHA-1の代替としてSHA-2またはSHA-3を使用する必要があります。」と述べています。[ 26 ] NISTは、米国政府機関は2010年以降SHA-1の使用を停止すべきであるが、明示的に停止しなければならないわけではないという指示を出しており[ 27 ] 、 SHA-1からの移行を加速させることが期待されていました。

SHA-2 機能は、SHA-1 よりもセキュリティが優れているにもかかわらず、当初はすぐには採用されませんでした。理由としては、Windows XP SP2 以前を実行しているシステムで SHA-2 がサポートされていないこと[ 28 ]や、SHA-1 の衝突がまだ見つかっていないため緊急性が認識されていないことなどが挙げられます。Google Chromeチームは、2014 年後半から 2015 年初頭にかけて、Web ブラウザで SHA-1 に依存する TLS 証明書の尊重を段階的に停止する計画を発表しました。 [ 29 ] [ 30 ] [ 31 ]同様に、Microsoft は、Internet ExplorerEdge [Legacy]が2017 年 2 月から SHA-1 で署名されたパブリック TLS 証明書の尊重を停止すると発表しました[ 32 ]。Mozillaは2016 年 1 月初旬にFirefoxで SHA-1 を無効にしましたが、一部のルーター モデルとセキュリティ アプライアンスの Web ベースのユーザー インターフェイスに問題が発生したため、更新によって一時的に再有効化する必要がありました。[ 33 ]

暗号解読と検証

Lがメッセージダイジェストビット数であるハッシュ関数の場合、与えられたメッセージダイジェストに対応するメッセージを見つけることは、常に2 L 回の評価で総当たり探索によって行うことができます。これは原像攻撃と呼ばれ、 Lと特定のコンピューティング環境によっては実用的かどうかはわかりません。2 番目の基準である、同じメッセージダイジェストを生成する 2 つの異なるメッセージ(衝突)を見つけることは、誕生日攻撃を用いることで平均 2 L /2 回の評価で済みます。

パスワード保存など、暗号ハッシュを使用するアプリケーションの中には、衝突攻撃の影響が最小限に抑えられるものもあります。特定のアカウントで有効なパスワードを作成するには、原像攻撃に加え、元のパスワードのハッシュ(通常はshadowファイル内)へのアクセスが必要ですが、ハッシュは容易に入手できる場合もあれば、そうでない場合もあります。パスワードの暗号化を解除すること(例えば、他のユーザーのアカウントで試すためのパスワードを取得すること)は、これらの攻撃では不可能です。(ただし、安全なパスワードハッシュであっても、脆弱なパスワードに対するブルートフォース攻撃を防ぐことはできません。)

文書署名の場合、攻撃者は既存の文書から署名を偽造するだけでは不十分です。攻撃者は、無害な文書と有害な文書のペアを作成し、秘密鍵の所有者に無害な文書に署名させる必要があります。これは実際に可能な状況があり、2008年末までは、MD5衝突を利用して、広く使用されているウェブブラウザで受け入れられる偽造SSL証明書を作成することができました。[ 34 ]

SHA-3の競争の中で暗号ハッシュ解析への関心が高まり、SHA-2ファミリーに対する新たな攻撃がいくつか生まれました。その中で最も優れた攻撃を下の表に示します。実用的な複雑さを持つのは衝突攻撃のみで、どの攻撃もハッシュ関数全体を網羅するものではありません。

FSE 2012では、ソニーの研究者らが、バイクリーク擬似原像攻撃を基盤として擬似衝突攻撃をSHA-256では52ラウンド、SHA-512では57ラウンドまで拡張できるという発表を行った。 [ 35 ]

掲載誌 攻撃方法 攻撃 変異体 ラウンド 複雑
最大24段階のSHA-2に対する新しい衝突攻撃[ 36 ] [ 37 ]2008差動衝突SHA-25624/642 15.5
SHA-51224/802 22.5
ステップ縮小SHA-2の原像[ 38 ]2009中間点原像SHA-25642/642 251.7
43/642 254.9
SHA-51242/802 502.3
46/802 511.5
高度なミート・イン・ザ・ミドル・プリイメージ攻撃[ 39 ]2010中間点原像SHA-25642/642 248.4
SHA-51242/802 494.6
縮小SHA-256に対する高階差分攻撃[ 2 ]2011差動擬似衝突SHA-25646/642 178
33/642 46
原像に対する二分法:Skein-512とSHA-2ファミリーへの攻撃[ 1 ]2011ビクリーク原像SHA-25645/642 255.5
SHA-51250/802 511.5
擬似原像SHA-25652/642 255
SHA-51257/802 511
局所衝突の改善:縮小SHA-256に対する新たな攻撃[ 40 ]2013差動衝突SHA-25631/642 65.5
擬似衝突SHA-25638/642 37
差分衝突探索における分岐ヒューリスティックとSHA-512への応用[ 41 ]2014ヒューリスティック微分擬似衝突SHA-51238/802 40.5
SHA-512/224とSHA-512/256の解析[ 42 ]2016差動衝突SHA-25628/64実用的
SHA-51227/80実用的
擬似衝突SHA-51239/80実用的
SHA-2の衝突攻撃における新たな記録[ 43 ]2024差動衝突SHA-25631/642 49.8
SHA-51231/802 115.6
擬似衝突SHA-25639/64実用的

公式検証

FIPS承認済みのすべてのセキュリティ機能の実装は、米国国立標準技術研究所(NIST)と通信保安局(CSE)が共同で運営するCMVPプロ​​グラムを通じて公式に検証できます。非公式検証として、多数のテストベクトルを生成するパッケージがNISTのサイトからダウンロードできます。ただし、この検証は、特定のアプリケーションにおいて法律で義務付けられている正式なCMVP検証に代わるものではありません[ 44 ]

2013年12月現在、SHA-256の検証済みの実装は1300以上、SHA-512の検証済みの実装は900以上ありますが、両方のバリエーションをサポートしながら、ビット長が8の倍数ではないメッセージを処理できるのは5つだけです。[ 45 ]

テストベクトル

空の文字列 (つまり、長さがゼロの入力テキスト) のハッシュ値。 

SHA224("") 0x d14a028c2a3a2bc9476102bb288234c415a2b01f828ea62ac5b3e42f SHA256("") 0x e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 SHA3​​84("") 0x 38b060a751ac96384cd9327eb1b1e36a21fdb71114be07434c0cc7bf63f6e1da274edebfe76f65fbd51ad2f14898b95b SHA512("") 0x cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e SHA512/224("") 0x 6ed0dd02806fa89e25de060c19d3ac86cabb87d6a0ddd05c333b84f4 SHA512/256("") 0x c672b8d1ef56ed28ab87c3622c5114069bdd3ad7b8f9737498d0c01ecef0967a

雪崩効果により、メッセージにわずかな変更を加えるだけでも(圧倒的な確率で)ハッシュは変化します。例えば、次の文の末尾にピリオドを追加すると、ハッシュのビットの約半分(224ビット中111ビット)が変更されます。これは、新しいハッシュをランダムに選択するのと同じです。 

SHA224(「素早い茶色のキツネが怠け者の犬を飛び越える」) 0x 730e109bd7a8a32b1cb9d9a09aa2325d2430587ddbc0c38bad911525 SHA224(「素早い茶色のキツネは怠け者の犬を飛び越える 0x 619cba8e8e05826e9b8c519c0a5c68f4fb653e8a3d8aa04bb2c8cd4c

擬似コード

SHA-256アルゴリズムの擬似コードを以下に示します。SHA w[16..63]-1と比較して、ワード内のビット間の混合が大幅に増加していることに注意してください。 

注1: ​​すべての変数は32ビットの符号なし整数であり、加算は2を法として計算されます。注2: 各ラウンドには、1つのラウンド定数k[i]と、メッセージスケジュール配列w[i]に1つのエントリがあります。0 ≤ i ≤ 63注3: 圧縮関数は、aからhまでの8つの作業変数を使用します。注4: この擬似コードで定数を表現する場合、およびメッセージブロックデータをバイトからワードに解析する場合、ビッグエンディアン規則が使用されます。たとえば、入力メッセージ「abc」のパディング後の最初のワードは0x61626380です。ハッシュ値を初期化します: (最初の 8 つの素数 2..19 の平方根の小数部分の最初の 32 ビット): h0 := 0x6a09e667 h1 := 0xbb67ae85 h2 := 0x3c6ef372 h3 := 0xa54ff53a h4 := 0x510e527f h5 := 0x9b05688c h6 := 0x1f83d9ab h7 := 0x5be0cd19 丸め定数の配列を初期化します: (最初の 64 個の素数 2..311 の立方根の小数部の最初の 32 ビット): k[0..63] := 0x428a2f98, 0x71374491, 0xb5c0fbcf, 0xe9b5dba5, 0x3956c25b, 0x59f111f1, 0x923f82a4, 0xab1c5ed5, 0xd807aa98, 0x12835b01, 0x243185be, 0x550c7dc3, 0x72be5d74, 0x80deb1fe, 0x9bdc06a7, 0xc19bf174, 0xe49b69c1, 0xefbe4786, 0x0fc19dc6, 0x240ca1cc, 0x2de92c6f, 0x4a7484aa, 0x5cb0a9dc, 0x76f988da, 0x983e5152, 0xa831c66d, 0xb00327c8, 0xbf597fc7, 0xc6e00bf3, 0xd5a79147, 0x06ca6351, 0x14292967, 0x27b70a85, 0x2e1b2138, 0x4d2c6dfc, 0x53380d13, 0x650a7354, 0x766a0abb, 0x81c2c92e, 0x92722c85, 0xa2bfe8a1, 0xa81a664b, 0xc24b8b70, 0xc76c51a3, 0xd192e819, 0xd6990624, 0xf40e3585, 0x106aa070, 0x19a4c116, 0x1e376c08, 0x2748774c, 0x34b0bcb5, 0x391c0cb3, 0x4ed8aa4a, 0x5b9cca4f, 0x682e6ff3, 0x748f82ee, 0x78a5636f, 0x84c87814, 0x8cc70208, 0x90befffa, 0xa4506ceb, 0xbef9a3f7, 0xc67178f2 前処理(パディング): 長さLビットの元のメッセージから始める 1つの「1」ビットを追加する K個の「0」ビットを追加します。ここでKは、(L + 1 + K + 64)が512の倍数となるような0以上の最小の数です。 Lを64ビットのビッグエンディアン整数として追加し、後処理後の合計長さを512ビットの倍数にする メッセージ内のビットは次のようになります: <長さLの元のメッセージ> 1 <K個のゼロ> <64ビット整数としてのL> (ビット数は512の倍数になります) メッセージを 512 ビットのチャンクで連続して処理します。 メッセージを512ビットのチャンクに分割する 各チャンクごとに 32ビットワードの64エントリのメッセージスケジュール配列w[0..63]を作成する (w[0..63]の初期値は重要ではないので、多くの実装ではここでゼロに設定されます) チャンクをメッセージスケジュール配列の最初の16ワードw[0..15]にコピーする 最初の16ワードをメッセージスケジュール配列の残りの48ワードw[16..63]に拡張します。i16から63の場合 s0 := (w[i-15]右回転7) xor (w[i-15]右回転18) xor (w[i-15]右シフト3) s1 := (w[i-2]右回転17) xor (w[i-2]右回転19) xor (w[i-2]右シフト10) w[i] := w[i-16] + s0 + w[i-7] + s1 作業変数を現在のハッシュ値に初期化します。 a := h0 b := h1 c := h2 d := h3 e := h4 f := h5 g := h6 h := h7 圧縮関数のメインループ: iが0から63 まで S1 := (e右回転6) xor (e右回転11) xor (e右回転25) ch := (ef) xor (( eではない)g) temp1 := h + S1 + ch + k[i] + w[i] S0 := (a rightrotate 2) xor (a rightrotate 13) xor (a rightrotate 22) maj := (ab) xor (ac) xor (bc) temp2 := S0 + maj h := g g := f f := e e := d + temp1 d := c c := b b := a a := temp1 + temp2 圧縮されたチャンクを現在のハッシュ値に追加します: h0 := h0 + a h1 := h1 + b h2 := h2 + c h3 := h3 + d h4 := h4 + e h5 := h5 + f h6 := h6 + g h7 := h7 + h 最終的なハッシュ値(ビッグエンディアン)を生成します。 ダイジェスト:=ハッシュ:=h0、追加h1、追加h2 、追加h3、追加h4 、追加h5 、追加h6、追加h7

chおよび値の計算は、SHA-1 の場合とmaj同じ方法で最適化できます。

SHA-224 は、次の点を除いて SHA-256 と同一です。

  • 初期ハッシュ値はh0異なりh7
  • 出力は を省略して構築されますh7
SHA-224 初期ハッシュ値(ビッグエンディアン): (9番目から16番目の素数23..53の平方根の小数部の2番目の32ビット) h[0..7] := 0xc1059ed8, 0x367cd507, 0x3070dd17, 0xf70e5939, 0xffc00b31, 0x68581511, 0x64f98fa7, 0xbefa4fa4

SHA-512 は SHA-256 と構造は同じですが、次の点が異なります。

  • メッセージは1024ビットのチャンクに分割され、
  • 初期ハッシュ値とラウンド定数は64ビットに拡張され、
  • 64発ではなく80発の弾丸があり、
  • メッセージスケジュール配列wは64個の32ビットワードではなく80個の64ビットワードを持ちます。
  • メッセージスケジュール配列wを拡張するには、ループは16から63ではなく16から79になります。
  • ラウンド定数は最初の80個の素数2..409に基づいており、
  • 計算に使用されるワードサイズは64ビット長です。
  • メッセージの付加された長さ(前処理前)はビット単位で、128ビットのビッグエンディアン整数であり、
  • 使用されるシフト量と回転量が異なります。
SHA-512 初期ハッシュ値(ビッグエンディアン): h[0..7] := 0x6a09e667f3bcc908, 0xbb67ae8584caa73b, 0x3c6ef372fe94f82b, 0xa54ff53a5f1d36f1, 0x510e527fade682d1, 0x9b05688c2b3e6c1f, 0x1f83d9abfb41bd6b, 0x5be0cd19137e2179 SHA-512 ラウンド定数: k[0..79] := 0x428a2f98d728ae22, 0x7137449123ef65cd, 0xb5c0fbcfec4d3b2f, 0xe9b5dba58189dbbc, 0x3956c25bf348b538, 0x59f111f1b605d019, 0x923f82a4af194f9b, 0xab1c5ed5da6d8118, 0xd807aa98a3030242, 0x12835b0145706fbe, 0x243185be4ee4b28c, 0x550c7dc3d5ffb4e2, 0x72be5d74f27b896f, 0x80deb1fe3b1696b1, 0x9bdc06a725c71235, 0xc19bf174cf692694, 0xe49b69c19ef14ad2, 0xefbe4786384f25e3, 0x0fc19dc68b8cd5b5, 0x240ca1cc77ac9c65, 0x2de92c6f592b0275, 0x4a7484aa6ea6e483, 0x5cb0a9dcbd41fbd4, 0x76f988da831153b5, 0x983e5152ee66dfab, 0xa831c66d2db43210, 0xb00327c898fb213f, 0xbf597fc7beef0ee4, 0xc6e00bf33da88fc2, 0xd5a79147930aa725, 0x06ca6351e003826f, 0x142929670a0e6e70, 0x27b70a8546d22ffc, 0x2e1b21385c26c926, 0x4d2c6dfc5ac42aed, 0x53380d139d95b3df、0x650a73548baf63de、0x766a0abb3c77b2a8、0x81c2c92e47edaee6、0x92722c851482353b、 0xa2bfe8a14cf10364, 0xa81a664bbc423001, 0xc24b8b70d0f89791, 0xc76c51a30654be30, 0xd192e819d6ef5218, 0xd69906245565a910, 0xf40e35855771202a, 0x106aa07032bbd1b8, 0x19a4c116b8d2d0c8, 0x1e376c085141ab53, 0x2748774cdf8eeb99, 0x34b0bcb5e19b48a8, 0x391c0cb3c5c95a63, 0x4ed8aa4ae3418acb, 0x5b9cca4f7763e373, 0x682e6ff3d6b2b8a3, 0x748f82ee5defb2fc, 0x78a5636f43172f60, 0x84c87814a1f0ab72, 0x8cc702081a6439ec, 0x90befffa23631e28、0xa4506cebde82bde9、0xbef9a3f7b2c67915、0xc67178f2e372532b、0xca273eceea26619c、 0xd186b8c721c0c207, 0xeada7dd6cde0eb1e, 0xf57d4f7fee6ed178, 0x06f067aa72176fba, 0x0a637dc5a2c898a6, 0x113f9804bef90dae, 0x1b710b35131c471b, 0x28db77f523047d84, 0x32caab7b40c72493, 0x3c9ebe0a15c9bebc, 0x431d67c49c100d4c, 0x4cc5d4becb3e42b6, 0x597f299cfc657e2a, 0x5fcb6fab3ad6faec, 0x6c44198c4a475817 SHA-512 合計とシグマ: S0 := (a rightrotate 28) xor (a rightrotate 34) xor (a rightrotate 39) S1 := (e右回転14) xor (e右回転18) xor (e右回転41)  s0 := (w[i-15]右回転1) xor (w[i-15]右回転8) xor (w[i-15]右シフト7) s1 := (w[i-2]右回転19) xor (w[i-2]右回転61) xor (w[i-2]右シフト6)

SHA-384 は、次の点を除いて SHA-512 と同一です。

  • 初期ハッシュ値h0からまでh7が異なる(9番目から16番目の素数から取得される)
  • 出力は、およびを省略することによって構築されh6ますh7
SHA-384 初期ハッシュ値(ビッグエンディアン): h[0..7] := 0xcbbb9d5dc1059ed8, 0x629a292a367cd507, 0x9159015a3070dd17, 0x152fecd8f70e5939, 0x67332667ffc00b31, 0x8eb44a8768581511, 0xdb0c2e0d64f98fa7, 0x47b5481dbefa4fa4

SHA-512/t は、次の点を除いて SHA-512 と同一です。

  • 初期ハッシュ値h0SHA-512/t IV生成関数h7によって与えられ、
  • h0出力は、からまでの連結をtビットh7で切り捨てることによって構築される。
  • 384に等しいtは許可されていないため、代わりにSHA-384を指定どおりに使用する必要があります。
  • t値224および256は特に承認済みとして記載されています。
SHA-512/224 初期ハッシュ値(ビッグエンディアン): h[0..7] := 0x8c3d37c819544da2, 0x73e1996689dcd4d6, 0x1dfab7ae32ff9c82, 0x679dd514582f9fcf, 0x0f6d2b697bd44da8、0x77e36f7304C48942、0x3f9d85a86a1d36C8、0x1112e6ad91d692a1 SHA-512/256 初期ハッシュ値(ビッグエンディアン): h[0..7] := 0x22312194fc2bf72c, 0x9f555fa3c84c64c2, 0x2393b86b6f53b151, 0x963877195940eabd, 0x96283ee2a88effe3, 0xbe5e1e2553863992, 0x2b0199fc2c85b8aa, 0x0eb72ddC81c52ca2

SHA -512/t IV生成関数は、 ASCII文字列「SHA-512/ t」を10進数表現のtに置き換えた修正SHA-512を評価します。修正SHA-512は、初期値から16進定数までがそれぞれXOR演算されている点を除いて、SHA-512と同じです。 h0h70xa5a5a5a5a5a5a5a5

SHA-2 ファミリーのハッシュ関数の C 実装のサンプルは、 RFC  6234にあります。

SHA関数の比較

以下の表では、内部状態は、データ ブロックの各圧縮後の「内部ハッシュ サム」を意味します。

SHA関数の比較
アルゴリズムと変種 出力サイズ(ビット) 内部状態サイズ(ビット) ブロックサイズ(ビット) ラウンド オペレーション セキュリティ(ビット) Skylakeでのパフォーマンス(中央値cpb[ 46 ]初版
長いメッセージ 8バイト
MD5(参考)128128 (4 × 32)5124 (各ラウンドで 16回の演算)And、Xor、Or、Rot、Add(mod 2 32≤ 18 (衝突が見つかった)[ 47 ]4.9955.001992
SHA-0160160 (5 × 32)51280And、Xor、Or、Rot、Add(mod 2 32< 34 (衝突が見つかりました)≈ SHA-1≈ SHA-11993
SHA-1< 63 (衝突が見つかりました) [ 48 ]3.4752.001995
SHA-2SHA-224 SHA-256224 256256 (8 × 32)51264And、Xor、Or、Rot、Shr、Add (mod 2 32 )112 1287.62 7.6384.50 85.252004 2001
SHA-384384512 (8 × 64)102480And、Xor、Or、Rot、Shr、Add (mod 2 64 )1925.12135.752001
SHA-5125122565.06135.502001
SHA-512/224 SHA-512/256224 256112 128≈ SHA-384≈ SHA-3842012
SHA-3SHA3​​-224 SHA3-256 SHA3-384 SHA3-512224 256 384 5121600 (5×5×64)1152 1088 832 57624 [ 49 ]そして、Xor、Rot、Not112 128 192 2568.12 8.59 11.06 15.88154.25 155.50 164.00 164.002015
シェイク128シェイク256d(任意)d(任意)1344 1088分( d /2, 128)分( d /2, 256)7.08 8.59155.25 155.50

ビット演算の列にある「Rot」はキャリーなし回転、「Shr」は右論理シフトを表します。SHA -3を除く これらのアルゴリズムはすべて、何らかの形でモジュラー加算を採用しています。

最新のプロセッサ アーキテクチャにおけるより詳細なパフォーマンス測定については、以下の表を参照してください。

CPUアーキテクチャ 頻度 アルゴリズム ワードサイズ(ビット) サイクル/バイトx86MiB/秒 x86 サイクル/バイトx86-64MiB/秒 x86-64
インテル アイビーブリッジ3.5GHzSHA-2563216.8019913.05256
SHA-5126443.66768.48394
AMD パイルドライバーAPU3.8GHzSHA-2563222.8715818.47196
SHA-5126488.364112.43292

「x86」と表示されているパフォーマンス数値は、64ビットプロセッサ上で32ビットコードを使用して実行した場合のものですが、「x86-64」と表示されている数値はネイティブ64ビットコードです。SHA-256は32ビット計算用に設計されていますが、x86アーキテクチャ上の64ビットプロセッサ向けに最適化されたコードを使用することで、その効果を発揮します。SHA-512の32ビット実装は、64ビット実装よりも大幅に遅くなります。出力サイズが異なる両アルゴリズムのバリアントは、メッセージの展開および圧縮関数は同一で、初期ハッシュ値と出力サイズのみが異なるため、同様のパフォーマンスを発揮します。MD5とSHA-1の最良の実装は、最新のプロセッサ上で1バイトあたり4.5~6サイクルで動作します。

テストは、イリノイ大学シカゴ校により、Intel Xeon E3-1275 V2をクロック速度3.5GHzで実行するhydra8システムと、AMD A10-5800K APUをクロック速度3.8GHzで実行するhydra9システムで実施されました。[ 50 ]上記の参照されたバイトあたりのサイクル速度は、SUPERCOP暗号化ベンチマークソフトウェアを使用して4,096バイトのメッセージを消化するアルゴリズムの平均パフォーマンスです。[ 51 ] MiB/sのパフォーマンスは、シングルコアのCPUクロック速度から外挿されたものであり、実際のパフォーマンスはさまざまな要因によって異なります。

実装

SHA-2 をサポートする暗号化ライブラリ:

ハードウェア アクセラレーションは、次のプロセッサ拡張機能によって提供されます。

参照

Wikifunctions にはSHA-256 関数があります。
Wikifunctions にはSHA-384 関数があります。
Wikifunctions にはSHA-512 関数があります。

参考文献

  1. ^ a b c Khovratovich, Dmitry; Rechberger, Christian & Savelieva, Alexandra (2011). 「Bicliques for Preimages: Attacks on Skein-512 and the SHA-2 family」(PDF) . IACR Cryptology ePrint Archive . 2011 (286). 2022年2月15日時点のオリジナルよりアーカイブ(PDF) . 2022年2月15日閲覧
  2. ^ a b c Lamberger, Mario & Mendel, Florian (2011). 「縮小SHA-256に対する高階差分攻撃」(PDF) . IACR Cryptology ePrint Archive . 2011 (37). 2022年12月22日時点のオリジナルよりアーカイブ(PDF) . 2022年2月15日閲覧
  3. ^ Penard, Wouter; van Werkhoven, Tim. 「セキュアハッシュアルゴリズムファミリーについて」(PDF) . staff.science.uu.nl . 2016年3月30日時点のオリジナル(PDF)からアーカイブ
  4. ^ a b連邦官報通知02-21599、FIPS出版物180-2の承認を発表2022年3月14日アーカイブ、Wayback Machineにて
  5. ^ a b「IPRの詳細:国家安全保障局の一般ライセンス声明で示されるアメリカ合衆国」 IETFデータトラッカー。858。2016年6月16日時点のオリジナルよりアーカイブ。 2008年2月17日閲覧
  6. ^ US 6829355、Lilly、Glenn M.、「一方向暗号ハッシュの装置および方法」、2004年12月7日公開、国家安全保障局に譲渡 
  7. ^ 「FIPS 180-2 with Change Notice 1」(PDF) . csrc.nist.gov . 2017年8月9日時点のオリジナルよりアーカイブ(PDF) . 2022年2月15日閲覧
  8. ^連邦官報通知 E8-24743、 FIPS 出版物 180-3 の承認を発表
  9. ^ a b Dang, Quynh (2012-08-24).承認されたハッシュアルゴリズムを使用するアプリケーションに関する推奨事項(レポート). 米国国立標準技術研究所. 2023年8月28日時点のオリジナルよりアーカイブ。 2023年8月28日閲覧
  10. ^ a b Barker, Elaine; Barker, William; Burr, William; Polk, W.; Smid, Miles (2012-07-10).鍵管理に関する推奨事項、パート1:一般(改訂第3版)(報告書). 米国国立標準技術研究所. 2023年8月28日時点のオリジナルよりアーカイブ。 2023年8月28日閲覧
  11. ^ 「NIST.gov – コンピュータセキュリティ部門 – コンピュータセキュリティリソースセンター」 2016年12月29日。2017年9月9日時点のオリジナルよりアーカイブ2022年2月15日閲覧。
  12. ^ Barker, Elaine; Roginsky, Allen (2011-01-13). 「移行:暗号アルゴリズムと鍵長の利用の移行に関する勧告(報告書)」国立標準技術研究所. 2023年8月28日時点のオリジナルよりアーカイブ。 2023年8月28日閲覧
  13. ^連邦官報通知 2012-5400、 FIPS 出版物 180-4 の承認を発表
  14. ^ NIST、 FIPS 180-4、セキュアハッシュ標準(SHS)の改訂決定
  15. ^ 「NIST、セキュアハッシュアルゴリズム(SHA-3)コンペティションの優勝者を選出」 NIST 2012年10月2日。2015年4月2日時点のオリジナルよりアーカイブ。 2015年2月24日閲覧
  16. ^フランク、ルーカス・ダウト;ジンジャ、ガブリエル・アウグスト。カルモ、ジョアンパウロ。アフォンソ、ホセ A.ルッペ、マクシミリアム(2024)。「オープンソース ツールを使用した SHA-256 用のカスタム ASIC 設計」コンピューター13 (1): 9.土井: 10.3390/computers13010009hdl : 1822/89307
  17. ^ 「Debianイメージの信頼性の検証」2024年2月19日時点のオリジナルよりアーカイブ2024年2月19日閲覧。
  18. ^ Markoff, John (2009年1月27日). 「技術の変化にも対応できるデジタル記録検証ツール」 . The New York Times . ISSN 0362-4331 . 2023年9月19日時点のオリジナルよりアーカイブ。 2023年8月27日閲覧 
  19. ^ Hardaker, Wes (2022-08-12). DNSSECにおけるSHA-1のアクティブ利用の削除(レポート). Internet Engineering Task Force.
  20. ^ 「セキュリティ/機能 - Debian Wiki」 . wiki.debian.org . 2025年1月13日閲覧
  21. ^ 「SHAハッシュ – Arch Wiki」 . wiki.archlinux.org . 2025年1月13日閲覧
  22. ^ 「ビットコインはエネルギーを無駄にしない」。Surplus Bitcoin 。 2022年5月28日時点のオリジナルよりアーカイブ。 2020年4月20日閲覧
  23. ^ 「SHA-256とは何か、そしてビットコインとどう関係するのか? - Mycryptopedia」 Mycryptopedia 2017年9月21日。2018年9月17日時点のオリジナルよりアーカイブ。 2018年9月17日閲覧
  24. ^ 3GPP TS 33.401、 E-UTRANのセキュリティアーキテクチャと手順
  25. ^ 3GPP TS 33.501、5Gシステムのセキュリティアーキテクチャと手順
  26. ^コンピュータセキュリティ部門、情報技術研究所 (2017年1月4日). 「NISTのハッシュ関数に関するポリシー – ハッシュ関数 | CSRC | CSRC」 . CSRC | NIST . 2023年8月28日時点のオリジナルよりアーカイブ。 2023年8月27日閲覧
  27. ^ 「セキュアハッシュ」 NIST 2011年6月25日時点のオリジナルよりアーカイブ2010年11月25日閲覧。
  28. ^ 「Windows XP Service Pack 3 の概要」(PDF)。Microsoft Corporation。 2008年5月30日時点のオリジナル(PDF)からのアーカイブ。
  29. ^ 「SHA-1の段階的な廃止」 Chromiumブログ2023年8月7日時点のオリジナルよりアーカイブ。 2023年8月27日閲覧
  30. ^ミル、エリック. 「SHAAAAAAAAAAAAA」 . SHAAAAAAAAAAAAA.com . 2017年3月1日時点のオリジナルよりアーカイブ。 2015年8月26日閲覧
  31. ^ 「Chrome SHA1非公式廃止に関するFAQ」 Filippo Valsorda 2015年4月8日. 2023年8月28日時点のオリジナルよりアーカイブ。 2023年8月27日閲覧
  32. ^ 「SHA-1廃止ロードマップの更新 – Microsoft Edge開発者ブログ」 blogs.windows.com 2016年4月29日。2016年11月28日時点のオリジナルよりアーカイブ。 2016年11月28日閲覧
  33. ^ "Firefox: Mozilla schultet SHA-1 ab … und direkt wieder an" . heise.de (ドイツ語)。 2016年1月8日。2023-08-28 のオリジナルからアーカイブ2025 年 1 月 18 日に取得
  34. ^ Alexander Sotirov、Marc Stevens、Jacob Appelbaum、Arjen Lenstra、David Molnar、Dag Arne Osvik、Benne de Weger、「MD5は今日有害とみなされる:不正なCA証明書の作成」。Wayback Machineに2022年3月23日アーカイブ、2009年3月29日アクセス。
  35. ^李吉、磯部孝典、渋谷京司、ソニー中国研究所およびソニー株式会社、「 Meet-in-the-Middleプリイメージ攻撃の擬似衝突攻撃への変換:SHA-2への応用」 2022年2月24日、 Wayback Machineアーカイブ
  36. ^ Sanadhya, Somitra Kumar; Sarkar, Palash (2008),最大24段階のSHA-2に対する新しい衝突攻撃、Lecture Notes in Computer Science、vol. 5365、Springer-Verlag、pp.  91– 103、doi : 10.1007/978-3-540-89754-5_8ISBN 978-3-540-89753-8、2022年1月21日にオリジナルからアーカイブ、 2024年2月12日取得
  37. ^ Sanadhya, Somitra Kumar; Sarkar, Palash (2009). 「ステップ縮小SHA-2ファミリーに対する最近の攻撃の組み合わせ分析」 . Cryptography and Communications . 1 (2): 135– 173. doi : 10.1007/s12095-009-0011-5 . 2023年8月2日時点のオリジナルよりアーカイブ。 2024年2月12日閲覧
  38. ^青木 一麿; 郭 建; マトゥシエヴィッチ クリスティアン; 佐々木 優 & 王 雷 (2009). 「ステップ縮小SHA-2の原画像」.暗号学の進歩 – ASIACRYPT 2009 . コンピュータサイエンス講義ノート. 第5912巻. シュプリンガー・ベルリン・ハイデルベルク. pp.  578– 597. doi : 10.1007/978-3-642-10366-7_34 . ISBN 978-3-642-10366-7. ISSN  0302-9743 .
  39. ^ Guo, Jian; Ling, San; Rechberger, Christian & Wang, Huaxiong (2010). 「高度なMeet-in-the-Middle Preimage Attacks: First Results on Full Tiger, and Improved Results on MD4 and SHA-2. Advances in Cryptology – ASIACRYPT 2010 (PDF) . Lecture Notes in Computer Science. Vol. 6477. Springer Berlin Heidelberg. pp.  56– 75. doi : 10.1007/978-3-642-17373-8_4 . ISBN 978-3-642-17373-8. ISSN  0302-9743 . 2022年3月3日時点のオリジナルよりアーカイブ(PDF) . 2022年2月15日閲覧.
  40. ^メンデル、フロリアン、ナド、トミスラフ、シュレーファー、マーティン (2013). 「局所衝突の改善:縮小SHA-256への新たな攻撃」.暗号学の進歩 – EUROCRYPT 2013.コンピュータサイエンス講義ノート. 第7881巻. シュプリンガー・ベルリン・ハイデルベルク. pp.  262– 278. doi : 10.1007/978-3-642-38348-9_16 . ISBN 978-3-642-38348-9. ISSN  0302-9743 . 2018年11月6日時点のオリジナルよりアーカイブ2014年12月13日閲覧。
  41. ^ Eichlseder, Maria; Mendel, Florian; Schläffer, Martin (2014). 「差分衝突探索における分岐ヒューリスティックスとSHA-512への応用」(PDF) IACR Cryptology ePrint Archive 2014 ( 302). 2022年1月20日時点のオリジナルよりアーカイブ(PDF) 2022年2月15日閲覧
  42. ^ Dobraunig, Christoph; Eichlseder, Maria & Mendel, Florian (2016). 「SHA-512/224とSHA-512/256の解析」(PDF) .国際暗号研究協会. 2017年7月15日時点のオリジナルよりアーカイブ( PDF) . 2016年4月15日閲覧.
  43. ^ Li, Yingxin; Liu, Fukang; Wang, Gaoli (2024). 「SHA-2に対する衝突攻撃の新記録」 . Cryptology ePrint Archive . 2024年3月2日時点のオリジナルよりアーカイブ。 2024年3月2日閲覧
  44. ^ 「セキュアハッシュ - 暗号化アルゴリズム検証プログラム」 NIST CSRC 2016年10月5日. 2025年11月8日閲覧
  45. ^ 「SHS Validation List」 . NIST . 2017年6月16日. 2017年6月17日時点のオリジナルよりアーカイブ。
  46. ^ 「測定表」 . bench.cr.yp.to .
  47. ^ Tao, Xie; Liu, Fanbao; Feng, Dengguo (2013). MD5に対する高速衝突攻撃(PDF) . Cryptology ePrint Archive (技術レポート). IACR .
  48. ^ Stevens, Marc ; Bursztein, Elie ; Karpman, Pierre ; Albertini, Ange ; Markov, Yarik.完全SHA-1における最初の衝突(PDF) (技術レポート). Google Research .
    • Marc Stevens、Elie Bursztein、Pierre Karpman、Ange Albertini、Yarik Markov、Alex Petit Bianco、Clement Baisse(2017年2月23日)。「初のSHA1衝突を発表」。Googleセキュリティブログ
  49. ^ 「Keccakスポンジ関数ファミリー」 。 2016年1月27日閲覧
  50. ^ SUPERCOP ベンチマークマシン別にインデックスされたハッシュ関数の測定
  51. ^ “SUPERCOP” . 2015年2月15日時点のオリジナルよりアーカイブ2015年2月24日閲覧。
  52. ^ サポートされているSSL/TLS暗号スイート2019年5月12日時点のオリジナルよりアーカイブ2019年10月19日閲覧。
  53. ^ Mbed TLS Changelog、2007年7月7日」。GitHub 2019年2月4日時点のオリジナルよりアーカイブ2019年10月19日閲覧。
  54. ^ 「ARM Cortex-A53 MPCoreプロセッサテクニカルリファレンスマニュアル暗号化拡張機能」2020年6月1日時点のオリジナルよりアーカイブ2022年2月15日閲覧。
  55. ^ IBM z/Architecture Principles of Operation、発行番号SA22-7832。第7章のKIMD命令とKLMD命令を参照してください。

さらに読む

「 https://en.wikipedia.org/w/index.php?title=SHA-2&oldid=1334604597」から取得