1.SHA简介
9 h. k7 @! a8 J关于SHA的定义直接参考wiki介绍：
. k2 r7 {- l/ w; |1 C安全散列算法（英语：Secure Hash Algorithm，缩写为SHA）是一个密码散列函数家族，是FIPS所认证的安全散列算法。能计算出一个数字消息所对应到的，长度固定的字符串（又称消息摘要）的算法。且若输入的消息不同，它们对应到不同字符串的机率很高。
- C7 l2 k# G8 O# A# fSHA可看作是是一种单向函数，几乎不可逆，给一段信息，它会给你生成固定长度的摘要，当然，不同的信息是的确有可能生成相同的摘要的，这被称作碰撞，简单来说，摘要的长度越长，碰撞几率越低。& u2 S/ A' h( d" S7 Z) }
既然有碰撞这种可能性，那碰撞肯定会被拿来用作攻击手段的，SHA-1已经在17年被Google和荷兰的小组攻破了，目前使用的标准是SHA-2，其实在算法上SHA-2和SHA-1区别不大，但是至今SHA-2还没被攻破，所以暂且当它没什么弱点。
2 w- f2 q, M$ \+ ~% s) O0 Y从SHA的特点来看，用来作文件验证和数字签名是非常合适的。比特币使用的就是SHA-2中的SHA256算法。
& B7 A$ ~3 [) D, ~0 A/ N) H9 p: `2.SHA256的算法实现8 v& O& Q5 x2 a+ g: k
首先，SHA算法在数学原理上是相当复杂的（那些移位与或非对于算法的作用看着就头大），对于不以密码学研究为目的，同时也是初学者的我来说，去分析它的数学细节对我没有什么意义，因此我暂且忽略那一部分直接看它的算法实现。
3 ~! V& x' q) V2 z7 V3 b$ `4 K9 n实现可以分为三个部分：常量初始化，信息预处理，生成摘要。
  t: W0 v# m6 l, U2 `* H2.1常量初始化1 K: Z2 f/ w. Q4 N# t' |5 I. r7 ?
首先是初始化8个值，分别是最开始的连续8个素数（从2到19）的平方根的二进制表示的小数部分的前32位，有点绕，不过就是这样啦，这些后面会作为迭代的初值使用。
# o4 \; t9 [: ~) O' sInitialize variables
$ M- S2 L+ _( T(first 32 bits of the fractional parts of the square roots of the first 8 primes 2..19):
: J/ K0 v' h( J9 Zh0 := 0x6a09e667
* N+ ]% D  H( I: E% k7 Dh1 := 0xbb67ae85
6 e! M+ x. ^: Y6 [h2 := 0x3c6ef372
& X* I9 c, A; O. v* y- hh3 := 0xa54ff53a; ]8 J. {; O% H# S4 l# o% W8 ~. F( y
h4 := 0x510e527f) M6 n, z& p! w6 m5 v/ p" @3 @6 _0 {
h5 := 0x9b05688c
! s# w. O1 F  G( Yh6 := 0x1f83d9ab
2 h" ~5 p% ^2 D4 D5 B! c' }) rh7 := 0x5be0cd19
' L) L, T% v, M: J3 K然后还要初始化64个值，分别是最开始的连续64个素数（从2到311）的立方根的二进制表示的小数部分的前32位，可以看到这64个数也成了数组的形式，因为是要在后面每次迭代中拿来进行循环运算的。
4 A( {. M& q' U- lInitialize table of round constants
9 f1 O5 ]* m" x7 x(first 32 bits of the fractional parts of the cube roots of the first 64 primes 2..311):
2 y9 v' r1 z$ m* m4 c& qk[0..63] :=$ e+ Q/ n* I2 g
   0x428a2f98, 0x71374491, 0xb5c0fbcf, 0xe9b5dba5, 0x3956c25b, 0x59f111f1, 0x923f82a4, 0xab1c5ed5,. K4 \: c+ M+ E8 D( b
   0xd807aa98, 0x12835b01, 0x243185be, 0x550c7dc3, 0x72be5d74, 0x80deb1fe, 0x9bdc06a7, 0xc19bf174,+ j  l& D' O/ `  K
   0xe49b69c1, 0xefbe4786, 0x0fc19dc6, 0x240ca1cc, 0x2de92c6f, 0x4a7484aa, 0x5cb0a9dc, 0x76f988da,6 ~) h% d0 w& }. ~
   0x983e5152, 0xa831c66d, 0xb00327c8, 0xbf597fc7, 0xc6e00bf3, 0xd5a79147, 0x06ca6351, 0x14292967,4 k  Q) K, [+ l- ]
   0x27b70a85, 0x2e1b2138, 0x4d2c6dfc, 0x53380d13, 0x650a7354, 0x766a0abb, 0x81c2c92e, 0x92722c85,% M; h5 b9 z/ V
   0xa2bfe8a1, 0xa81a664b, 0xc24b8b70, 0xc76c51a3, 0xd192e819, 0xd6990624, 0xf40e3585, 0x106aa070,
8 q* l. m) r2 b5 N9 G3 D   0x19a4c116, 0x1e376c08, 0x2748774c, 0x34b0bcb5, 0x391c0cb3, 0x4ed8aa4a, 0x5b9cca4f, 0x682e6ff3,3 U2 U- I  Z4 i, T5 G
   0x748f82ee, 0x78a5636f, 0x84c87814, 0x8cc70208, 0x90befffa, 0xa4506ceb, 0xbef9a3f7, 0xc67178f2! S4 K6 t# f6 U
2.2信息预处理. T! r6 T/ l  U) i, X# a- c" g
预处理分为三步，首先是在原信息后加一个‘1’；然后再添加k个0，直到信息长度 mod 512 = 448，如果原信息是447这种长度，那其实就不用加0了；最后就是再添加原信息的长度到末尾，是64位的大端模式的格式。7 S" @1 B  W7 o" `( j- I) e
Pre-processing:
  \: x2 q6 y8 p* Zappend the bit '1' to the message: t) @) g7 w, r3 ]. W
append k bits '0', where k is the minimum number >= 0 such that the resulting message: b. X& z; J4 f
    length (in bits) is congruent to 448(mod 512)) H& g9 d" s8 U$ F, w1 |- j
append length of message (before pre-processing), in bits, as 64-bit big-endian integer
7 k$ F& V% u( J7 X# J7 v2.3生成摘要
! w' y# K4 m0 j) P到了最麻烦的一步了，生成摘要。
0 i5 _7 {( V4 q- t5 ~; o# S* P! a首先，经过第二步，现在信息已经是512bit的倍数这种格式了，所以这里首先是把信息分成块，每一块是512bit，然后每一块都是一次迭代，每一次迭代都会更新摘要，最后一次迭代结果就是最终生成的摘要。
! q$ C  l# |1 ~9 P% V所以，关键就是每一步迭代过程中发生了什么。- I, g; p# L# M) F& h
对于SHA256算法，最终的摘要是256bit的，结合前面的8个32bit的初值，这里就不难理解了，总的摘要是分成8个值进行更新的。块大小是512bit的，将其也以32bit为单位分成16个，然后通过对16个数进行运算，生成另外48个数，总之，得到了64个值，这和前面的64个常量相对应，剩下的就直接看下图吧：
  a7 x% K9 w; g! z( J" X' c2 l* {8 c1 {1 |, b
每次迭代摘要的更新流程
: Q* d) J( |) r2 U6 A* u* D中间各种运算符什么的，就是一些运算而已，没什么好说的， W是从块中得到的64个数的集合，K是之前初始化的64个数的集合，可以看到一次迭代内部有64次循环，每次循环都会更新一次摘要。
8 G" {; r8 |/ b" Y最后，来看看伪代码把：$ n  k3 e4 U* O% t
Process the message in successive 512-bit chunks:2 X( N7 f$ Q) R# h* M" n
break message into 512-bit chunks
& M) g2 b4 l. }" _$ T1 dfor each chunk6 e1 R$ w9 E4 k' X8 U
    break chunk into sixteen 32-bit big-endian words w[0..15]* k6 q$ _; }* X+ ^
    Extend the sixteen 32-bit words into sixty-four 32-bit words:
/ a, M( q( [0 b. k    for i from 16 to 63
& x. I$ o% V/ r  [# M2 d        s0 := (w[i-15] rightrotate 7) xor (w[i-15] rightrotate 18) xor(w[i-15] rightshift 3)5 r6 ~! r- a0 J; G# U8 S8 @
        s1 := (w[i-2] rightrotate 17) xor (w[i-2] rightrotate 19) xor(w[i-2] rightshift 10)7 I' E/ x) K* o( y7 k" _9 Y4 b. ^
        w := w[i-16] + s0 + w[i-7] + s1
) E7 D( ?" a# I1 Q" ?2 q' O    Initialize hash value for this chunk:3 ~5 _3 D5 j: l9 J/ R
    a := h0" g  q4 J. k4 Q7 X' s4 L
    b := h1
& r% F0 V3 |& W( T    c := h2
6 b# B* P* @; C2 w' R) F4 @, C" N    d := h3
# Y, ]3 E" C; Y5 k6 _1 X    e := h4& D! |. W4 T" l# X% h" n1 [
    f := h5. a3 C+ W$ |8 O
    g := h6/ H( W2 E6 g1 R$ q
    h := h7
- B7 x  a9 B; Z    Main loop:
- R$ I7 o$ T5 M# [9 Y    for i from 0 to 63
1 |  w. S4 {9 _        s0 := (a rightrotate 2) xor (a rightrotate 13) xor(a rightrotate 22)2 S2 _( |/ D" r
        maj := (a and b) xor (a and c) xor(b and c). d% \. J( L" s) ?
        t2 := s0 + maj
/ m5 q# Q) b9 s2 [, |( Q# a7 {; z# g        s1 := (e rightrotate 6) xor (e rightrotate 11) xor(e rightrotate 25)
& d6 {, J$ s4 g& {        ch := (e and f) xor ((not e) and g)
4 L6 R+ D$ w3 l. q        t1 := h + s1 + ch + k + w
' O0 D* m1 i5 H& M$ O        h := g2 g9 T. w- \5 O
        g := f3 t1 X5 E* M( Z  T! @* v- x$ O
        f := e
! t$ ~- Y" r1 R3 ]' M        e := d + t1
8 R  n3 d  R  Q8 R7 s# {        d := c. h3 z* k% J8 _, c! x
        c := b5 F( S, F, `% E' O
        b := a' Q  a6 R( k' _: \7 [
        a := t1 + t2
% |# c) M' }/ M# V& Y6 {+ h% l2 a* G4 A) j    Add this chunk's hash to result so far:
, o. c0 k3 U) v" q# ^* S8 a% k    h0 := h0 + a
! I6 ^" e4 T' B& E% y    h1 := h1 + b# M; M' a/ L2 w* \3 R( l! K
    h2 := h2 + c
+ `# f# ^  Q# ]' G8 n4 s1 S/ y    h3 := h3 + d
  D3 ~0 S' @/ a' [/ R0 d: x( |+ @    h4 := h4 + e) z9 B, M( C8 m) K, E( [
    h5 := h5 + f8 J- S' x! e( U6 h9 U
    h6 := h6 + g4 v( d) L; {; E4 i
    h7 := h7 + h8 Q( h+ E: f% N4 Q4 O( h3 S( L
Produce the final hash value (big-endian):8 V/ u5 Q1 A1 C2 _
digest = hash = h0 append h1 append h2 append h3 append h4 append h5 append h6 append h7
- l  k4 q7 b1 E' k- B. M! B4 w3 X4 n8 @一目了然，对吧。
2 W8 t' g7 `+ W: q