1.SHA简介
5 ?+ [9 }$ J& h+ G. N8 }关于SHA的定义直接参考wiki介绍：
4 o( N" g6 ~5 Y安全散列算法（英语：Secure Hash Algorithm，缩写为SHA）是一个密码散列函数家族，是FIPS所认证的安全散列算法。能计算出一个数字消息所对应到的，长度固定的字符串（又称消息摘要）的算法。且若输入的消息不同，它们对应到不同字符串的机率很高。( ~* R- n) \4 N8 E# j7 R5 n
SHA可看作是是一种单向函数，几乎不可逆，给一段信息，它会给你生成固定长度的摘要，当然，不同的信息是的确有可能生成相同的摘要的，这被称作碰撞，简单来说，摘要的长度越长，碰撞几率越低。
$ [( [# |% z' l% M' c: U既然有碰撞这种可能性，那碰撞肯定会被拿来用作攻击手段的，SHA-1已经在17年被Google和荷兰的小组攻破了，目前使用的标准是SHA-2，其实在算法上SHA-2和SHA-1区别不大，但是至今SHA-2还没被攻破，所以暂且当它没什么弱点。! t) j' h/ X9 D2 ~4 k
从SHA的特点来看，用来作文件验证和数字签名是非常合适的。比特币使用的就是SHA-2中的SHA256算法。
+ d9 Q% X( X. m8 \0 Z( M4 m  l) }7 N2.SHA256的算法实现4 P" A5 j0 E) L4 }! N" N- Y
首先，SHA算法在数学原理上是相当复杂的（那些移位与或非对于算法的作用看着就头大），对于不以密码学研究为目的，同时也是初学者的我来说，去分析它的数学细节对我没有什么意义，因此我暂且忽略那一部分直接看它的算法实现。1 L9 s5 g4 S. W+ e, @
实现可以分为三个部分：常量初始化，信息预处理，生成摘要。
# [: M5 R  R: _* D8 g0 x3 X3 d2.1常量初始化
" c$ |8 ?: Y8 h3 Q2 w首先是初始化8个值，分别是最开始的连续8个素数（从2到19）的平方根的二进制表示的小数部分的前32位，有点绕，不过就是这样啦，这些后面会作为迭代的初值使用。) W& S! A# m# T9 D
Initialize variables# i, M* V4 k  i
(first 32 bits of the fractional parts of the square roots of the first 8 primes 2..19):( `) u: B; W& o, P  z
h0 := 0x6a09e667: s: X0 Z5 S  p
h1 := 0xbb67ae85! ^6 K! s% O  o( t# o
h2 := 0x3c6ef3723 {8 G* G* h* ]
h3 := 0xa54ff53a
' y/ x- q8 ^' l& Fh4 := 0x510e527f" S5 I  w  u: W; ?
h5 := 0x9b05688c5 D2 b4 V1 s9 T
h6 := 0x1f83d9ab
4 V5 N! ]8 K4 H0 o: Hh7 := 0x5be0cd19. ^0 e/ m* {7 e7 F
然后还要初始化64个值，分别是最开始的连续64个素数（从2到311）的立方根的二进制表示的小数部分的前32位，可以看到这64个数也成了数组的形式，因为是要在后面每次迭代中拿来进行循环运算的。4 f4 U+ n, P& o6 @& t8 B
Initialize table of round constants
# l0 l; j7 a) g(first 32 bits of the fractional parts of the cube roots of the first 64 primes 2..311):
  P" ]1 O$ h: Q& z( L$ i2 o; sk[0..63] :=
0 \0 T4 f. y# g0 J& d   0x428a2f98, 0x71374491, 0xb5c0fbcf, 0xe9b5dba5, 0x3956c25b, 0x59f111f1, 0x923f82a4, 0xab1c5ed5,
6 i$ F: S. Q0 t$ I( B   0xd807aa98, 0x12835b01, 0x243185be, 0x550c7dc3, 0x72be5d74, 0x80deb1fe, 0x9bdc06a7, 0xc19bf174,; M+ `; |1 V8 |
   0xe49b69c1, 0xefbe4786, 0x0fc19dc6, 0x240ca1cc, 0x2de92c6f, 0x4a7484aa, 0x5cb0a9dc, 0x76f988da,
1 e# Y$ Z, G) w2 ~& T% C/ S   0x983e5152, 0xa831c66d, 0xb00327c8, 0xbf597fc7, 0xc6e00bf3, 0xd5a79147, 0x06ca6351, 0x14292967,% q+ n9 j) `; v0 J# h/ ~  H8 e) H( o% ?
   0x27b70a85, 0x2e1b2138, 0x4d2c6dfc, 0x53380d13, 0x650a7354, 0x766a0abb, 0x81c2c92e, 0x92722c85,5 e; J% H0 a$ W) s9 [
   0xa2bfe8a1, 0xa81a664b, 0xc24b8b70, 0xc76c51a3, 0xd192e819, 0xd6990624, 0xf40e3585, 0x106aa070,* D$ H2 g: l. X/ h' Z; u8 P
   0x19a4c116, 0x1e376c08, 0x2748774c, 0x34b0bcb5, 0x391c0cb3, 0x4ed8aa4a, 0x5b9cca4f, 0x682e6ff3,1 l4 H1 \, W. |6 V- `) }+ V- c- g
   0x748f82ee, 0x78a5636f, 0x84c87814, 0x8cc70208, 0x90befffa, 0xa4506ceb, 0xbef9a3f7, 0xc67178f25 V$ g. B0 T! v& L7 ?
2.2信息预处理
8 b; o/ X8 Z8 y  O, a7 y8 J预处理分为三步，首先是在原信息后加一个‘1’；然后再添加k个0，直到信息长度 mod 512 = 448，如果原信息是447这种长度，那其实就不用加0了；最后就是再添加原信息的长度到末尾，是64位的大端模式的格式。# Z5 G- l* O, a( b% r& Z& _* L
Pre-processing:
. F" m- M9 ?' L$ [$ x$ S. h: Dappend the bit '1' to the message
$ y% ^4 @8 J& [% U9 aappend k bits '0', where k is the minimum number >= 0 such that the resulting message
( V1 P" }- n. d2 y/ @& Y    length (in bits) is congruent to 448(mod 512)- U7 m+ z' s+ x7 H
append length of message (before pre-processing), in bits, as 64-bit big-endian integer
0 b( _; \; W3 W" W2.3生成摘要5 _* d- B3 U5 F$ A
到了最麻烦的一步了，生成摘要。
( ^- a. V7 s7 e5 D* w3 M; Z0 a: e2 a首先，经过第二步，现在信息已经是512bit的倍数这种格式了，所以这里首先是把信息分成块，每一块是512bit，然后每一块都是一次迭代，每一次迭代都会更新摘要，最后一次迭代结果就是最终生成的摘要。
: o, T  e% Y6 p& o所以，关键就是每一步迭代过程中发生了什么。
3 ?6 M* N0 z) ]0 N9 R$ j- s1 C! I对于SHA256算法，最终的摘要是256bit的，结合前面的8个32bit的初值，这里就不难理解了，总的摘要是分成8个值进行更新的。块大小是512bit的，将其也以32bit为单位分成16个，然后通过对16个数进行运算，生成另外48个数，总之，得到了64个值，这和前面的64个常量相对应，剩下的就直接看下图吧：2 j' O$ o/ P$ J' l# d; d

) W5 G* I+ w# d; @  f, s每次迭代摘要的更新流程' Y# H/ S7 z6 t6 _. }
中间各种运算符什么的，就是一些运算而已，没什么好说的， W是从块中得到的64个数的集合，K是之前初始化的64个数的集合，可以看到一次迭代内部有64次循环，每次循环都会更新一次摘要。) L* S) E( T- t  \: }% n3 X( K1 \- b
最后，来看看伪代码把：
: }# C: d4 B! _1 n" E. v/ EProcess the message in successive 512-bit chunks:
" d' S' B3 I* K6 J1 nbreak message into 512-bit chunks! J7 s( ]1 Q2 _; A
for each chunk  n6 Z) Y! Z3 e1 M0 g
    break chunk into sixteen 32-bit big-endian words w[0..15]
+ p0 S; }& L! b' v# g) B7 S    Extend the sixteen 32-bit words into sixty-four 32-bit words:
& h4 a8 e* |; f' M" d0 F: \    for i from 16 to 63
% R0 O+ \8 o. h5 Y" z: T9 F        s0 := (w[i-15] rightrotate 7) xor (w[i-15] rightrotate 18) xor(w[i-15] rightshift 3)/ _: B! ^* ~9 T/ ^9 \) b
        s1 := (w[i-2] rightrotate 17) xor (w[i-2] rightrotate 19) xor(w[i-2] rightshift 10)
( w  u1 V/ |% @7 }" X8 E9 o        w := w[i-16] + s0 + w[i-7] + s1" `4 C. n3 h2 R, W& o) u3 ~
    Initialize hash value for this chunk:
* k; F8 I9 \' K% Z/ H    a := h08 S* E# [" o  O" a- L' e- g) D
    b := h1
# x" s+ f, m) L+ k+ l& c- v    c := h23 i) E; V9 O5 e' _/ V
    d := h3. ~+ o0 b% U4 F, B4 u. _
    e := h48 h0 K& r' }5 ?! ~; f
    f := h5) |4 W. j0 d( G7 c+ p
    g := h68 }6 S# X9 q8 P9 v. i2 k, ?
    h := h7  q: p: o/ \' l1 d. ~
    Main loop:
4 [2 l! H* r4 l    for i from 0 to 63! z$ R  J. v& y$ d$ r3 K+ w9 [
        s0 := (a rightrotate 2) xor (a rightrotate 13) xor(a rightrotate 22)
! ?- U% p! G+ t3 V        maj := (a and b) xor (a and c) xor(b and c); u5 N2 z) k6 X+ f4 f% X
        t2 := s0 + maj
+ ?5 o) ?; r8 v6 g! g1 V. }' k        s1 := (e rightrotate 6) xor (e rightrotate 11) xor(e rightrotate 25)
- ]5 j" l3 d9 L, i& e: c. h        ch := (e and f) xor ((not e) and g)
3 K5 W) s6 o+ @) Y        t1 := h + s1 + ch + k + w/ O  h6 @! A  B2 o
        h := g0 H: Q5 y4 C, P. g# W. k2 U
        g := f
1 B, I9 f% r' E, ^" B7 h+ D        f := e% j; Z$ S/ x/ ]  Y% y
        e := d + t1
6 q; }5 Q* j$ A& E: C        d := c
& Q' P! j5 X3 W% }' e        c := b
& o1 Q4 N% F/ q% A! J: z        b := a- r. c, D4 W+ f' z5 _/ L
        a := t1 + t2
: Z8 ^, Y* z) C0 n0 |( E    Add this chunk's hash to result so far:7 Y) c* ]3 k0 E8 y: M
    h0 := h0 + a  A3 n9 p6 t  {& N4 W5 c
    h1 := h1 + b" R- O* q: ^% {5 R
    h2 := h2 + c
/ p& U8 ]6 }$ M  z* K9 t# d, Q* G& r- _1 H    h3 := h3 + d( N% }1 y4 B+ N6 ~/ F- N( ?
    h4 := h4 + e
# U* C/ b* ~/ h- w& F3 L    h5 := h5 + f
+ s1 Z3 i( T$ I; g    h6 := h6 + g. z% I2 x" Y3 i
    h7 := h7 + h% q, v: J2 y; j, U
Produce the final hash value (big-endian):- c0 J, W) f* }) M5 T& [3 A
digest = hash = h0 append h1 append h2 append h3 append h4 append h5 append h6 append h7
0 \, I9 ~+ W, `. D一目了然，对吧。, G- f  b, s$ v+ X9 W6 g& s