HASH和HMAC（5）：SHA-384、SHA-512、SHA-512/224和SHA-512/256算法原理_sha-512流程图

协议标准：https://csrc.nist.gov/CSRC/media/Publications/fips/180/2/archive/2002-08-01/documents/fips180-2withchangenotice.pdf

算法处理分如下几步：

• 消息填充 

消息填充分为两部分：第一部分是附加填充比特，第二部分是附加长度，目的是让整个消息满足指定的结构，从而处理起来可以统一化、格式化。

附加填充比特：指在消息尾部进行填充，使报文长度在对1024取模后的余数为896。具体操作是：先被1比特1，然后都被0，直到满足对1024取模余896。需要注意的是：即使原始消息长度已经满足对1024取模余896，补位也需要进行，这时地填充1024比特。所以附加填充时至少补1位，最多补1024位。

附加长度：将原始数据的长度信息补到已经进行了填充的消息后面。

• 消息分组

消息分组指将消息填充后的数据按1024（16*64bit）进行分组，并扩充为80*64bit，扩充算法如下：

当 0 ≤ t ≤ 15  时，W[t] = M[t]，M[t]为512bit原始数据中第t个32bit数据。

当 16 ≤ t ≤ 63时，W[t] = W[t-7] + (W[t-2] >>> 19) ⊕ (W[t-2] >>> 61) ⊕ (W[t-2] >> 6) + \

                                       W[t-16] + (W[t-15] >>> 1) ⊕ (W[t-15] >>> 8) ⊕ (W[t-15] >> 7)

消息填充和消息分组处理图示如下：

•  迭代运算

SHA-384/SHA-512算法对输入的消息进行64轮迭代运算，分别输出不同长度的HASH结果。

  

SHA-384/SHA-512处理过程中会用到8个哈希初值和64个哈希常量。

SHA-384/SHA-512的8个哈希初值分别为：

SHA-384：

A=0xCBBB9D5DC1059ED8，B=0x629A292A367CD507，

C=0x9159015A3070DD17，D=0x152FECD8F70E5939

E=0x67332667FFC00B31，F=0x8EB44A8768581511，

G=0xDB0C2E0D64F98FA7，H=0x47B5481DBEFA4FA4

SHA-512：

A=0x6A09E667F3BCC908，B=0xBB67AE8584CAA73B，

C=0x3C6EF372FE94F82B，D=0xA54FF53A5F1D36F1

E=0x510E527FADE682D1，F=0x9B05688C2B3E6C1F，

G=0x1F83D9ABFB41BD6B，H=0x5BE0CD19137E2179

64个哈希常量：

SHA-384/512迭代运算的详细流程为：

1. 哈希初值赋值：

H0=A，H1=B，H2=C，H3=D，H4=E，H5=F，H6=G，H7=H

2. 80轮迭代运算

for (t=0; t≤64; t++)

{

       T1 = H + (E >>> 14) ⊕ (E >>> 18) ⊕ (E >>>41) + (E & F)  ⊕ (~E & G) + K[t] + W[t]

       T2 = (A >>> 28) ⊕ (A >>> 34) ⊕ (A >>>39) + (A & B)  ⊕ (A & C)  ⊕ (B & C)

        H = G;

        G = F;

        F = E;

        E = D + T1;

        D = C;

        C = B;

        B = A;

        A = T1 + T2;

}

3. 结果输出

SHA-384输出384bit：

H0=H0+A，H1=H1+B，H2=H2+C，H3=H3+D，H4=H4+E，H5=H5+F

SHA-512输出512bit：

H0=H0+A，H1=H1+B，H2=H2+C，H3=H3+D，H4=H4+E，H5=H5+F，H6=H6+G，H7=H7+H

SHA-512/224输出224bit：

H0=H0+A，H1=H1+B，H2=H2+C，H3[63:32]=H3[63:32]+D[63:32]

SHA-256输出256bit：

H0=H0+A，H1=H1+B，H2=H2+C，H3=H3+D