当前位置：首页 > article >正文

SHA-3：从海绵构造到KECCAK-p，深入解析新一代哈希函数核心

article 2026/5/16 22:17:57

1. 为什么我们需要SHA-3记得我第一次接触哈希函数时用的还是SHA-1。那时候做文件校验用SHA-1生成个摘要感觉既方便又安全。直到后来看到新闻说SHA-1被破解了我才意识到密码学世界的变化有多快。这就是SHA-3诞生的背景——我们需要一个更安全的哈希函数。SHA-3的诞生其实挺戏剧性的。2007年美国国家标准与技术研究院NIST发起了一场公开竞赛要从64个候选算法中选出新一代的哈希标准。经过层层筛选最终在2015年KECCAK算法胜出成为了我们现在所知的SHA-3。你可能要问为什么是KECCAK它有什么特别之处简单来说它带来了三个关键优势首先是全新的海绵结构完全不同于之前MD系列的构造其次是在硬件实现上的高效表现最重要的是它提供了更强的安全性保障包括抗碰撞性和抗侧信道攻击能力。2. 海绵构造像海绵一样工作的哈希函数2.1 海绵的基本原理想象一下你用海绵吸水的场景海绵先吸收水分吸收阶段然后你挤压海绵时水分又会被释放出来输出阶段。KECCAK的工作原理就是这样这也是它被称为海绵构造的原因。具体来说海绵结构有三个核心组件函数f这是算法的核心变换函数填充方法pad确保输入数据符合要求格式速率r控制数据处理的节奏在数学表达上一个海绵函数可以表示为SPONGE(f,pad,r)[N,d]其中N是输入数据d是输出哈希值的长度。2.2 吸收阶段详解吸收阶段就像海绵吸水的过程。这里有个关键概念叫速率rate记作r。你可以把r理解为每次处理的数据块大小。举个例子如果r1088那么每次就处理1088位的数据。这个阶段的具体步骤是对输入数据进行填充padding确保长度符合要求将填充后的数据分成若干块每块r位每块数据与当前状态进行异或运算通过函数f进行变换重复这个过程直到处理完所有数据块这里有个有趣的细节海绵结构的内部状态大小是brc其中c被称为容量。c越大安全性越高但效率会降低。在SHA3-256中b1600r1088所以c512。2.3 输出阶段的工作方式输出阶段就像挤海绵的过程。每次挤压调用函数f都会产生r位的输出。如果需要更长的输出就继续挤压。比如要生成256位的哈希值而r1088那么实际上只需要一次挤压然后取前256位即可。这种设计有个很大的优势它可以轻松支持可变长度的输出。这也是为什么SHA-3家族中会有SHAKE128和SHAKE256这样的可扩展输出函数XOF。3. KECCAK-p海绵结构的心脏3.1 KECCAK-p的基本概念如果说海绵结构是SHA-3的身体那么KECCAK-p就是它的心脏。这是一个置换函数负责数据的实际变换。在SHA-3中使用的是KECCAK-p[1600,24]意思是状态大小为1600位进行24轮变换。KECCAK-p的特别之处在于它的三维状态表示法。想象一个5×5×w的三维数组其中w可以是1,2,4,8,...64。在SHA-3中w64所以总状态大小是5×5×641600位。3.2 五步变换的舞蹈KECCAK-p的每轮变换由五个步骤组成我习惯把它们想象成一场精心编排的舞蹈θTheta这是线性扩散步骤。它会计算每列的奇偶校验位然后用这些校验位来影响其他数据。具体来说对于每个比特它会与相邻两列的特定比特进行异或运算。ρRho这是位旋转步骤。每个lane5×5数组中的一行中的比特会按照预定的偏移量进行循环移位。不同的lane有不同的移位量这增加了算法的扩散性。πPi这是排列步骤。它会重新排列lane的位置相当于对5×5的平面进行置换。这个步骤的目的是打乱比特之间的局部关系。χChi这是唯一的非线性步骤。它对每行进行非线性变换具体来说是对每行的三个连续比特进行与或运算。这个步骤为算法提供了非线性特性。ιIota这是轮常数加步骤。它会将一个与轮数相关的常数异或到状态的一个特定lane上。这个步骤确保每轮变换都有所不同。这五个步骤的组合提供了强大的混淆和扩散特性使得KECCAK-p能够抵抗各种密码分析攻击。4. 深入KECCAK-p的五个轮函数4.1 θ列扩散的艺术θ步骤是KECCAK-p中我最喜欢的一个变换。它的数学表达式看起来有点复杂但实际概念很简单让每一列的数据都影响其他列。具体实现是这样的对每一列沿着z轴方向计算它的奇偶校验位将这些校验位与相邻列进行异或用结果来更新当前状态用代码表示的话大概是这样的def theta(state): # 计算奇偶校验 parity [0] * 5 for x in range(5): parity[x] state[x][0] for y in range(1,5): parity[x] ^ state[x][y] # 更新状态 new_state [[0]*5 for _ in range(5)] for x in range(5): for y in range(5): new_state[x][y] state[x][y] ^ parity[(x-1)%5] ^ parity[(x1)%5] return new_state这个步骤确保了即使只改变输入的一个比特经过θ变换后也会影响多个其他比特。4.2 ρ和π比特的旋转舞蹈ρ和π步骤经常一起工作它们负责将比特在三维状态中移动。ρ步骤对每个lane进行循环移位移位数取决于lane的位置(x,y)。具体移位数由以下公式决定对于0 ≤ t ≤ 24求最小的t使得(t1)(t2)/2 ≡ 1 mod 5 然后移位量为(t1)(t2)/2这个设计确保了每个lane都有不同的移位模式。π步骤则重新排列lane的位置。具体来说它将位置(x,y)的lane移动到(y,2x3y)。这个排列看起来有点随意但实际上经过精心设计可以最大化扩散效果。4.3 χ唯一的非线性变换χ是KECCAK-p中唯一的非线性步骤它为算法提供了重要的非线性特性。这个变换可以表示为a[x][y] a[x][y] XOR ((NOT a[x1][y]) AND a[x2][y])用大白话说就是每个比特的新值取决于它自己和它右边的两个比特的当前值。这个简单的非线性操作与前面的线性变换相结合产生了非常强大的混淆效果。在实际硬件实现中χ步骤可以非常高效地完成。4.4 ι打破对称性ι步骤是最简单的一个但非常重要。它只是简单地将一个与轮数相关的常数异或到状态的一个特定lane上。这个步骤的主要目的是打破对称性确保每轮变换都有所不同。轮常数是通过一个简单的LFSR线性反馈移位寄存器生成的。虽然看起来很简单但这个步骤对于防止某些类型的密码分析攻击至关重要。5. 实际应用中的SHA-35.1 多速率填充Multi-rate padding在实际使用SHA-3时填充padding是个很重要的步骤。SHA-3使用了一种叫做多速率填充的独特方法。它的规则很简单在消息末尾添加一个1比特然后添加若干个0比特最后再添加一个1比特这种填充方式确保了不同长度的消息在填充后都能被正确区分。在代码实现中这个步骤通常这样处理def multi_rate_padding(message, rate): # 添加第一个1 padded message b\x01 # 计算需要填充的0的个数 zero_bytes (rate - (len(padded)*8 % rate)) // 8 - 1 if zero_bytes 0: padded b\x00 * zero_bytes # 添加最后一个1 padded b\x80 return padded5.2 SHA-3与SHA-2的性能对比在实际项目中我经常被问到SHA-3和SHA-2哪个更好这个问题没有简单答案。SHA-3在硬件实现上通常更高效但在某些软件实现中SHA-256可能更快。这里有个简单的性能对比表特性SHA-256SHA3-256算法结构MD结构海绵结构硬件性能中等优秀软件性能优秀中等抗碰撞性强更强侧信道防护一般优秀选择哪个算法取决于你的具体需求。如果安全性是首要考虑SHA-3是个不错的选择如果是在现有系统中升级可能需要考虑兼容性问题。5.3 实现时的常见陷阱在实现SHA-3时有几个常见的坑需要注意字节序问题KECCAK使用的是小端序这与很多系统默认的大端序不同状态初始化确保初始状态全为零轮常数应用ι步骤中的轮常数必须正确应用输出截断最后记得只取所需长度的输出我曾经在一个项目中因为忽略了字节序问题导致生成的哈希值与其他实现不匹配调试了很久才发现问题所在。所以建议在实现时一定要参考官方的测试向量进行验证。

SHA-3：从海绵构造到KECCAK-p，深入解析新一代哈希函数核心

相关文章：

SHA-3：从海绵构造到KECCAK-p，深入解析新一代哈希函数核心

Jetson Nano玩家必看：Windows下用Diskpart彻底格式化SD卡（解决烧录后不识别问题）

Unity 2019.4.7f1实战：从零复刻Flappy Bird，搞定PC/Web/Android三端发布

从零搭建ROS2与Web实时数据交互系统

基于节点电价的电网对电动汽车接纳能力评估模型研究附Matlab代码

HPM5361EVK开发板深度体验：480MHz RISC-V MCU实战开发与性能评测

FPGA开发入门：从零开始用Vivado实现LED流水灯项目

软电路入门：用导电缝纫线与LED制作可穿戴发光作品

Mac小白必看：手把手教你用终端命令重建丢失的Recovery HD分区（附详细路径解释）

别再只会写脚本了！用Matlab APP Designer给你的数据分析做个可视化界面（附完整代码）

避坑指南：QGraphicsView自适应缩放时，为什么你的Item总对不齐或留白？

跨越平台鸿沟：Simulink、VeriStand与LabVIEW联合仿真环境一站式部署指南

Hugging Face Tokenizer的padding、truncation参数详解：如何让你的BERT/RoBERTa输入不出错？

Unity 2021.3 + EDM4U：手把手搞定Google登录SDK的安卓依赖与打包避坑

面试官问‘0.1+0.2≠0.3’，你能从CPU层面讲清楚吗？浮点数运算避坑指南

ARM架构TLB机制与TLBI指令详解

别再只盯着P值了！用Stata做格兰杰检验后，这样解读结果才专业（含VAR模型与脉冲响应分析）

开关电源传导EMI超标？手把手教你用π型滤波器搞定（附SCT2450实测数据）

深入GD32 CAN FD驱动层：从寄存器配置到ISO 15765协议栈的实战解析

告别Canvas截图：用MediaProjection搞定Android状态栏和视频画面的完整截取方案

基于CCS811与CircuitPython的可穿戴呼吸监测面具制作全解析

MongoDB 4.4+ 版本后，手把手教你搞定mongodump独立安装与配置（附环境变量设置）

零代码玩转物联网：用ItsaSnap与Adafruit IO实现手机控制硬件

从开发板到自研板：RK3568设备树移植与定制编译实战

5分钟掌握Snap.Hutao：免费开源的Windows原神桌面工具箱完全指南

ROFL-Player：英雄联盟回放时光机，一键穿越所有版本

14502黄大年茶思屋145期难题第二题 QLC盘多namespace并发备电量优化问题标准化解题框架

避开这些坑！ISCE2数据下载实战：Earthdata账号、.netrc配置与DEM自动拼接

stm32 FOC从学习开发（七）SVPWM算法MATLAB仿真进阶：从模型搭建到代码生成

告别单一地图！用BIGEMAP叠加ArcGIS Online和OpenStreetMap，打造你的专属作业底图