安全なハッシュアルゴリズム

セキュアハッシュアルゴリズムは、米国国立標準技術研究所(NIST)が米国連邦情報処理標準(FIPS) として公開した暗号化ハッシュ関数のファミリーであり、次のものが含まれます。

SHA-0 : 1993年に「SHA」という名前で公開された160ビットハッシュ関数のオリジナルバージョンに付けられたレトロニム。公開後まもなく、未公開の「重大な欠陥」により撤回され、わずかに改訂されたバージョンであるSHA-1に置き換えられました。
SHA-1 ：以前のMD5アルゴリズムに似た160ビットのハッシュ関数。これは、国家安全保障局（NSA）によってデジタル署名アルゴリズムの一部として。SHA-1には暗号の脆弱性が発見され、2010年以降、ほとんどの暗号用途ではこの規格は承認されなくなりました。
SHA-2 : ブロックサイズが異なる2つの類似ハッシュ関数のファミリーで、 SHA-256とSHA-512と呼ばれます。これらはワードサイズが異なり、SHA-256は32ビットワード、SHA-512は64ビットワードを使用します。また、各規格には短縮版としてSHA-224、 SHA-384、 SHA-512/224、 SHA-512/256も存在します。これらもNSAによって設計されました。
SHA-3 : 以前はKeccakと呼ばれていたハッシュ関数。2012年にNSA以外の設計者による公開コンペの結果、SHA-3 が選ばれました。SHA-2 と同じハッシュ長をサポートしますが、内部構造は他のSHAファミリーとは大きく異なります。

対応する標準規格は、FIPS PUB 180（オリジナルSHA）、FIPS PUB 180-1（SHA-1）、FIPS PUB 180-2（SHA-1、SHA-256、SHA-384、SHA-512）です。NISTは、セキュアハッシュ標準（SHS）とは別に、ドラフトFIPS Publication 202、SHA-3標準を更新しました。

SHA関数の比較

以下の表では、内部状態は、データブロックの各圧縮後の「内部ハッシュサム」を意味します。

SHA関数の比較
ビュー
話す
編集
アルゴリズムと変種		出力サイズ（ビット）	内部状態サイズ（ビット）	ブロックサイズ（ビット）	ラウンド	オペレーション	セキュリティ（ビット）	Skylakeでのパフォーマンス（中央値cpb）^{[ 1 ]}		初版
アルゴリズムと変種		出力サイズ（ビット）	内部状態サイズ（ビット）	ブロックサイズ（ビット）	ラウンド	オペレーション	セキュリティ（ビット）	長いメッセージ	8バイト	初版
MD5（参考）		128	128 (4 × 32)	512	4 （各ラウンドで 16回の演算）	And、Xor、Or、Rot、Add（mod 2 ³²）	≤ 18 （衝突が見つかった）^{[ 2 ]}	4.99	55.00	1992
SHA-0		160	160 (5 × 32)	512	80	And、Xor、Or、Rot、Add（mod 2 ³²）	< 34 (衝突が見つかりました)	≈ SHA-1	≈ SHA-1	1993
SHA-1		160	160 (5 × 32)	512	80	And、Xor、Or、Rot、Add（mod 2 ³²）	< 63 (衝突が見つかりました) ^{[ 3 ]}	3.47	52.00	1995
SHA-2	SHA-224 SHA-256	224 256	256 (8 × 32)	512	64	And、Xor、Or、Rot、Shr、Add (mod 2 ³² )	112 128	7.62 7.63	84.50 85.25	2004 2001
	SHA-384	384	512 (8 × 64)	1024	80	And、Xor、Or、Rot、Shr、Add (mod 2 ⁶⁴ )	192	5.12	135.75	2001
	SHA-512	512					256	5.06	135.50	2001
	SHA-512/224 SHA-512/256	224 256					112 128	≈ SHA-384	≈ SHA-384	2012
SHA-3	SHA3-224 SHA3-256 SHA3-384 SHA3-512	224 256 384 512	1600 （5×5×64）	1152 1088 832 576	24 ^{[ 4 ]}	そして、Xor、Rot、Not	112 128 192 256	8.12 8.59 11.06 15.88	154.25 155.50 164.00 164.00	2015
SHA-3	シェイク128シェイク256	d（任意）d（任意）	1600 （5×5×64）	1344 1088	24 ^{[ 4 ]}	そして、Xor、Rot、Not	分( d /2, 128)分( d /2, 256)	7.08 8.59	155.25 155.50	2015

検証

すべての SHA ファミリアルゴリズムは、FIPS 承認のセキュリティ機能として、米国国立標準技術研究所(NIST) とカナダ通信保安局(CSE) が運営する共同プログラムである CMVP (暗号モジュール検証プログラム) による公式検証を受けます。

参考文献

^ 「測定表」 . bench.cr.yp.to .
^ Tao, Xie; Liu, Fanbao; Feng, Dengguo (2013). MD5に対する高速衝突攻撃(PDF) . Cryptology ePrint Archive (技術レポート). IACR .
^ Stevens, Marc ; Bursztein, Elie ; Karpman, Pierre ; Albertini, Ange ; Markov, Yarik.完全SHA-1における最初の衝突(PDF) (技術レポート). Google Research .
- Marc Stevens、Elie Bursztein、Pierre Karpman、Ange Albertini、Yarik Markov、Alex Petit Bianco、Clement Baisse（2017年2月23日）。「初のSHA1衝突を発表」。Googleセキュリティブログ。
^ 「Keccakスポンジ関数ファミリー」。 2016年1月27日閲覧。

[1] 「測定表」 . bench.cr.yp.to .

[2] Tao, Xie; Liu, Fanbao; Feng, Dengguo (2013). MD5に対する高速衝突攻撃(PDF) . Cryptology ePrint Archive (技術レポート). IACR .

[3] Stevens, Marc ; Bursztein, Elie ; Karpman, Pierre ; Albertini, Ange ; Markov, Yarik.完全SHA-1における最初の衝突(PDF) (技術レポート). Google Research .
Marc Stevens、Elie Bursztein、Pierre Karpman、Ange Albertini、Yarik Markov、Alex Petit Bianco、Clement Baisse（2017年2月23日）。「初のSHA1衝突を発表」。Googleセキュリティブログ。

[4] Marc Stevens、Elie Bursztein、Pierre Karpman、Ange Albertini、Yarik Markov、Alex Petit Bianco、Clement Baisse（2017年2月23日）。「初のSHA1衝突を発表」。Googleセキュリティブログ。

[4] 「Keccakスポンジ関数ファミリー」。 2016年1月27日閲覧。

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]