一、简介
SM3密码杂凑算法是中国国家密码管理局2010年公布的中国商用密码杂凑算法标准。适用于商用密码应用中的数字签名和验证。
SM3是在[SHA-256]基础上改进实现的一种算法,其安全性和SHA-256相当。SM3和MD5的迭代过程类似,也采用Merkle-Damgard结构。消息分组长度为512位,摘要值长度为256位。
整个算法执行过程分四个步骤:消息填充、消息扩展、迭代压缩、输出结果
二、SM3算法步骤
1. 消息填充
SM3的消息扩展步骤是以512位的数据分组作为输入的。因此,我们需要在一开始就把数据长度填充至512位的倍数。数据填充规则和MD5一样,具体步骤如下:
- 先填充一个“1”,后面加上k个“0”。其中k是满足 ( n + 1 + k ) m o d 512 = 448 (n+1+k) \quad mod \quad 512 = 448 (n+1+k)mod512=448 的最小正整数。
- 追加64位的数据长度(bit为单位,大端序存放1。观察算法标准原文附录A运算示例可以推知。)
2. 消息扩展
SM3的迭代压缩步骤没有直接使用数据分组进行运算,而是使用这个步骤产生的132个消息字。(一个消息字的长度为32位/4个字节/8个16进制数字)概括来说,先将一个512位数据分组划分为16个消息字,并且作为生成的132个消息字的前16个。再用这16个消息字递推生成剩余的116个消息字。
在最终得到的132个消息字中,前68个消息字构成数列
W
j
{W_j}
Wj ,后64个消息字构成数列
W
j
‘
W_j^`
Wj‘ ,其中下标j从0开始计数。
3. 迭代压缩
SM3的迭代过程和MD5类似,也是Merkle-Damgard结构。但和MD5不同的是,SM3使用消息扩展得到的消息字进行运算。这个迭代过程图示如下:
初值IV被放在A、B、C、D、E、F、G、H八个32位变量中,其具体数值参见《SM3密码杂凑算法》。整个算法中最核心、也最复杂的地方就在于压缩函数。压缩函数将这八个变量进行64轮相同的计算,一轮的计算过程如下图所示:
图中不同的数据流向用不同颜色的箭头表示。
最后,再将计算完成的A、B、C、D、E、F、G、H和原来的A、B、C、D、E、F、G、H分别进行异或,就是压缩函数的输出。这个输出再作为下一次调用压缩函数时的初值。依次类推,直到用完最后一组132个消息字为止。
4. 输出结果
将得到的A、B、C、D、E、F、G、H八个变量拼接输出,就是SM3算法的输出。