1.SHA简介
; W1 ?& y3 e! P, A关于SHA的定义直接参考wiki介绍：
  }% j1 ?) {& |0 E7 X安全散列算法（英语：Secure Hash Algorithm，缩写为SHA）是一个密码散列函数家族，是FIPS所认证的安全散列算法。能计算出一个数字消息所对应到的，长度固定的字符串（又称消息摘要）的算法。且若输入的消息不同，它们对应到不同字符串的机率很高。
3 O2 [2 T! Z  e' E  F! A- N, }/ b- TSHA可看作是是一种单向函数，几乎不可逆，给一段信息，它会给你生成固定长度的摘要，当然，不同的信息是的确有可能生成相同的摘要的，这被称作碰撞，简单来说，摘要的长度越长，碰撞几率越低。
; \/ [7 ?3 F8 P& M1 j, a2 X1 q( d既然有碰撞这种可能性，那碰撞肯定会被拿来用作攻击手段的，SHA-1已经在17年被Google和荷兰的小组攻破了，目前使用的标准是SHA-2，其实在算法上SHA-2和SHA-1区别不大，但是至今SHA-2还没被攻破，所以暂且当它没什么弱点。
0 b+ p- A1 ?- n. ~# z3 Q从SHA的特点来看，用来作文件验证和数字签名是非常合适的。比特币使用的就是SHA-2中的SHA256算法。% E* Z5 K. l: a: w+ Z) r& C
2.SHA256的算法实现
% i8 Q1 B/ C9 @% v! M& t首先，SHA算法在数学原理上是相当复杂的（那些移位与或非对于算法的作用看着就头大），对于不以密码学研究为目的，同时也是初学者的我来说，去分析它的数学细节对我没有什么意义，因此我暂且忽略那一部分直接看它的算法实现。
& }; f# m$ p; G" P# x5 Z9 o1 C3 o实现可以分为三个部分：常量初始化，信息预处理，生成摘要。& F. o! E0 E# u  r
2.1常量初始化! L1 P# c! r+ x5 f% j  S7 x% C
首先是初始化8个值，分别是最开始的连续8个素数（从2到19）的平方根的二进制表示的小数部分的前32位，有点绕，不过就是这样啦，这些后面会作为迭代的初值使用。# r! q$ k" Y/ G6 Y# T) z5 _
Initialize variables6 H: D% V; i& t% ]' T- H' R
(first 32 bits of the fractional parts of the square roots of the first 8 primes 2..19):
+ n( j& W9 z* o. U9 Mh0 := 0x6a09e6675 Y, M% k$ d7 p
h1 := 0xbb67ae857 \8 j' L4 D( o2 Y" L
h2 := 0x3c6ef3722 ]8 ], W, l) D% G& H- K$ ?1 M, q) `9 G
h3 := 0xa54ff53a
* X: F( Y; d* T; Z2 N, [- ?- Kh4 := 0x510e527f
8 h8 L7 D; ^  F, ^: e- Zh5 := 0x9b05688c
; v2 ^( n. [) Sh6 := 0x1f83d9ab: P/ y2 T& A! l: p8 ?8 }( g
h7 := 0x5be0cd190 f  L8 Q. {  x: ]9 F: Z" a7 N& w
然后还要初始化64个值，分别是最开始的连续64个素数（从2到311）的立方根的二进制表示的小数部分的前32位，可以看到这64个数也成了数组的形式，因为是要在后面每次迭代中拿来进行循环运算的。
7 o  l1 B3 }% p1 [& w# \1 o# zInitialize table of round constants
& c+ M( E" u( p" m(first 32 bits of the fractional parts of the cube roots of the first 64 primes 2..311):
2 b. ?9 d2 q9 g* T3 T, Hk[0..63] :=
: l2 {" ^5 H) x& ?   0x428a2f98, 0x71374491, 0xb5c0fbcf, 0xe9b5dba5, 0x3956c25b, 0x59f111f1, 0x923f82a4, 0xab1c5ed5,
, \! n- T$ L" [' J" t   0xd807aa98, 0x12835b01, 0x243185be, 0x550c7dc3, 0x72be5d74, 0x80deb1fe, 0x9bdc06a7, 0xc19bf174,
& M( r4 ~- j8 y% O   0xe49b69c1, 0xefbe4786, 0x0fc19dc6, 0x240ca1cc, 0x2de92c6f, 0x4a7484aa, 0x5cb0a9dc, 0x76f988da,
  A; a) u' c1 P8 t9 |   0x983e5152, 0xa831c66d, 0xb00327c8, 0xbf597fc7, 0xc6e00bf3, 0xd5a79147, 0x06ca6351, 0x14292967,
* u% z4 W6 f, ~3 c9 F! @   0x27b70a85, 0x2e1b2138, 0x4d2c6dfc, 0x53380d13, 0x650a7354, 0x766a0abb, 0x81c2c92e, 0x92722c85,5 Q, ]) f% t+ {# j% q" n; _
   0xa2bfe8a1, 0xa81a664b, 0xc24b8b70, 0xc76c51a3, 0xd192e819, 0xd6990624, 0xf40e3585, 0x106aa070,
3 e; D" g' }" @, Y+ k   0x19a4c116, 0x1e376c08, 0x2748774c, 0x34b0bcb5, 0x391c0cb3, 0x4ed8aa4a, 0x5b9cca4f, 0x682e6ff3,
0 t) R1 |: I- b- g   0x748f82ee, 0x78a5636f, 0x84c87814, 0x8cc70208, 0x90befffa, 0xa4506ceb, 0xbef9a3f7, 0xc67178f2" h( a6 Q6 n2 _! M  Q
2.2信息预处理$ s% Z. m# M9 ^4 K; P
预处理分为三步，首先是在原信息后加一个‘1’；然后再添加k个0，直到信息长度 mod 512 = 448，如果原信息是447这种长度，那其实就不用加0了；最后就是再添加原信息的长度到末尾，是64位的大端模式的格式。
$ g5 h9 W4 \6 s+ V# R: {# l* tPre-processing:
. {# V  @+ t5 p$ c* Nappend the bit '1' to the message
, U% Y$ r: V) K$ A1 Tappend k bits '0', where k is the minimum number >= 0 such that the resulting message
: c  X* l( _7 Y. ?    length (in bits) is congruent to 448(mod 512)4 N/ J% M) Z2 ~0 i. ~  C' F+ P
append length of message (before pre-processing), in bits, as 64-bit big-endian integer+ }! @' C& d0 o; d' u6 \# o, a
2.3生成摘要% s# c- K# K) V' @) R
到了最麻烦的一步了，生成摘要。
# b, E+ ~" J- F7 R  D首先，经过第二步，现在信息已经是512bit的倍数这种格式了，所以这里首先是把信息分成块，每一块是512bit，然后每一块都是一次迭代，每一次迭代都会更新摘要，最后一次迭代结果就是最终生成的摘要。
& H3 z$ z% y2 n# b5 I; e所以，关键就是每一步迭代过程中发生了什么。
. O/ w5 _- [6 d5 i+ h' M  ^对于SHA256算法，最终的摘要是256bit的，结合前面的8个32bit的初值，这里就不难理解了，总的摘要是分成8个值进行更新的。块大小是512bit的，将其也以32bit为单位分成16个，然后通过对16个数进行运算，生成另外48个数，总之，得到了64个值，这和前面的64个常量相对应，剩下的就直接看下图吧：7 J; L7 I* f7 T5 u7 |4 U" s
4 Z: A3 T9 \! ]# [
每次迭代摘要的更新流程
: b+ o) k4 S" a& i! g中间各种运算符什么的，就是一些运算而已，没什么好说的， W是从块中得到的64个数的集合，K是之前初始化的64个数的集合，可以看到一次迭代内部有64次循环，每次循环都会更新一次摘要。
1 M! x2 m( [/ P0 j最后，来看看伪代码把：0 W4 y+ @4 P( c0 v+ P) l( _
Process the message in successive 512-bit chunks:
( @5 X7 z8 p( G$ x7 x# W/ y/ w- k4 {break message into 512-bit chunks
' v$ L. U  m3 D; Bfor each chunk
3 a! ^, \* W* r    break chunk into sixteen 32-bit big-endian words w[0..15]
& L4 n, u+ Y2 D; z% T0 }9 d( K9 Y    Extend the sixteen 32-bit words into sixty-four 32-bit words:- w( d, B5 s3 C
    for i from 16 to 63
( ^+ G3 y( Q/ J3 o        s0 := (w[i-15] rightrotate 7) xor (w[i-15] rightrotate 18) xor(w[i-15] rightshift 3)
: {  z* _& J) y        s1 := (w[i-2] rightrotate 17) xor (w[i-2] rightrotate 19) xor(w[i-2] rightshift 10)) t* Z8 c- }5 X  r4 S9 f! j' J1 Y
        w := w[i-16] + s0 + w[i-7] + s1$ e5 D4 ~( P  b0 d7 r; D
    Initialize hash value for this chunk:/ z7 y, G$ \- b3 x7 F8 s  T
    a := h0. W2 ]' k6 k; @( F- [, f. c
    b := h10 \% @, }$ y) n
    c := h26 ]  I4 m) g9 u9 n. L
    d := h3, P7 R8 L+ C$ N
    e := h4
/ s: w( E( h/ ~3 v# M5 |1 v    f := h5( K; Q) O. c% r& O8 X
    g := h6
3 S0 G' y4 J2 w9 c8 I    h := h7
9 B- ]: [# l& c    Main loop:% D# u; f! }1 B& [2 T3 T
    for i from 0 to 63) y; J' R# R2 e& ~. |7 d
        s0 := (a rightrotate 2) xor (a rightrotate 13) xor(a rightrotate 22): {8 N$ w% g: T+ ?) f
        maj := (a and b) xor (a and c) xor(b and c)
% d  V+ X$ Z* S2 l- X+ e: ?2 \8 I- j, e" q        t2 := s0 + maj( c, Z" W) q6 a- |) N
        s1 := (e rightrotate 6) xor (e rightrotate 11) xor(e rightrotate 25)2 [1 R3 v6 r2 K
        ch := (e and f) xor ((not e) and g)
5 |% e; X- c0 z6 _        t1 := h + s1 + ch + k + w
+ A1 _/ w' T3 p! Y' Y8 I        h := g
  `  K, {" @1 ]% l        g := f, J& s5 }, H: r/ @
        f := e
% E6 i. s5 p. ~5 ^( x1 S        e := d + t1" F- t! b! G8 U
        d := c
: a: d7 F4 u: w6 ?! c% K0 a        c := b
3 h2 R; `: H6 W* b/ b% a8 x2 f" s        b := a" R- m8 K( b% j9 w
        a := t1 + t2
; d% z4 |- x2 y* |    Add this chunk's hash to result so far:) n1 t0 W" p5 E( M
    h0 := h0 + a9 E5 ^; x7 q" u7 ^/ G
    h1 := h1 + b
6 W/ l" r( w& i. ^. N    h2 := h2 + c
+ ]$ P, w" ?7 C: p$ A' B) a; m    h3 := h3 + d( e! A6 P/ [6 X( [, I+ v
    h4 := h4 + e
, z7 ]" t  J( t6 ^: W: Z3 K. q; q    h5 := h5 + f
8 I4 g" n5 u, ?$ A    h6 := h6 + g# f- ~' a$ s0 F! M8 c) h1 a# u, r9 |4 O
    h7 := h7 + h$ X# Q' c- }! Y+ `
Produce the final hash value (big-endian):
* A8 _1 s* z  b3 ?. }; e5 O' udigest = hash = h0 append h1 append h2 append h3 append h4 append h5 append h6 append h7
: X& W* N2 V& q. q4 T) k' I一目了然，对吧。
* W6 ~) U# Y+ o( m! Z. w