Secure Hash Algorithm

「SHA」はこの項目へ転送されています。その他の用法については「SHA (曖昧さ回避)」をご覧ください。

Secure Hash Algorithm（セキュアハッシュアルゴリズム）、略称SHA（エスエイチエー、シャー）は、一群の関連したハッシュ関数であり、アメリカ国立標準技術研究所 (NIST) によってアメリカ政府標準のハッシュ関数 Secure Hash Standard (SHS) として採用されている。

アルゴリズムはMD4を元にしており、MD5よりも攻撃に対して強いと考えられている。

2013年現在、SHAは生成するビット長が異なるSHA-1（160ビット）、SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256、SHA-3の8種類が存在している。このうちSHA-1、SHA-256、SHA-384、SHA-512は2002年8月のFIPS Publication 180-2の初版に含まれている。SHA-224はChange Notice 1として、2004年2月に同規格に追加された。SHA-512/224、SHA-512/256は2012年のFIPS 180-4で追加された。

もっともよく使われる関数はSHA-1でTLS、SSL、PGP、SSH、S/MIME、IPSecなど、さまざまなセキュリティのアプリケーションやプロトコルに採用されている。 SHA-1は、以前から広範囲に使われているハッシュ関数であるMD5に代わるものであると考えられている。SHAアルゴリズムは国家安全保障局 (NSA) によって開発され、アメリカ政府の標準として発表された。

グループのメンバーで1993年にはじめに発表されたものは、公式にはSHAと呼ばれている。しかしその後のものと区別するためにしばしばSHA-0と呼ばれている。2年後、SHAに初めての後継となるSHA-1が発表された。さらにSHA-224、SHA-256、SHA-384、SHA-512と4つの変形が、増加する出力の範囲とわずかなデザインの違いで2001年に発行されている。2012年に加えられたSHA-512/224、SHA-512/256と合わせてそれらはまとめてSHA-2といわれている。また、SHA-3としてKeccakが、アメリカ国立標準技術研究所 (NIST) が公募した新しいハッシュ関数アルゴリズムとして、2012年10月2日に選出された。

SHA-0、SHA-1ともに、対象とした攻撃（ハッシュ値の強衝突耐性突破）が見つかっているが、SHA-2には攻撃された記事はまだない。「MD5」の「ハッシュの衝突耐性について」の項も参照。

SHA-1のハッシュキーの長さは、160ビット＝ 2¹⁶⁰（約 1.4615×10⁴⁸）通りのハッシュ値をとり、40桁の16進数で表される。

SHA1("") = da39a3ee 5e6b4b0d 3255bfef 95601890 afd80709（入力データ長が0バイトの場合）

SHA-256、SHA-512は、それぞれ32ビット、64ビットのワードサイズを持ち、出力されるハッシュ値の長さは256ビット、512ビットである。SHA-224、SHA-384はそれぞれSHA-256、SHA-512を切り詰めたものであり、ワードサイズはそれぞれ32ビット、64ビット、出力長はそれぞれ224ビット、384ビットである。SHA-512/224、SHA-512/256はSHA-512を切り詰めたものであり、ワードサイズは64ビット、出力長はそれぞれ224ビット、256ビットである。

SHA-2のハッシュキーの長さは以下の通りである。

• SHA-224: 224ビット＝2²²⁴（約 2.696×10⁶⁷）通りのハッシュ値をとり、56桁の16進数
• SHA-256: 256ビット＝2²⁵⁶（約 1.579×10⁷⁷）通りのハッシュ値をとり、64桁の16進数
• SHA-384: 384ビット＝2³⁸⁴（約 3.940×10¹¹⁵）通りのハッシュ値をとり、96桁の16進数
• SHA-256: 512ビット＝2⁵¹²（約 1.341×10¹⁵⁴）通りのハッシュ値をとり、128桁の16進数
• SHA-512/224: 224ビット＝2²²⁴（約 2.696×10⁶⁷）通りのハッシュ値をとり、56桁の16進数
• SHA-512/256: 256ビット＝2²⁵⁶（約 1.579×10⁷⁷）通りのハッシュ値をとり、64桁の16進数

入力データ長が0バイトの場合のSHA-2は次のようになる。

• SHA224("") = d14a028c 2a3a2bc9 476102bb 288234c4 15a2b01f 828ea62a c5b3e42f
• SHA256("") = e3b0c442 98fc1c14 9afbf4c8 996fb924 27ae41e4 649b934c a495991b 7852b855
• SHA384("") = 38b060a7 51ac9638 4cd9327e b1b1e36a 21fdb711 14be0743 4c0cc7bf 63f6e1da 274edebf e76f65fb d51ad2f1 4898b95b
• SHA512("") = cf83e135 7eefb8bd f1542850 d66d8007 d620e405 0b5715dc 83f4a921 d36ce9ce 47d0d13c 5d85f2b0 ff8318d2 877eec2f 63b931bd 47417a81 a538327a f927da3e
• SHA512/224("") = 6ed0dd02 806fa89e 25de060c 19d3ac86 cabb87d6 a0ddd05c 333b84f4
• SHA512/256("") = c672b8d1 ef56ed28 ab87c362 2c511406 9bdd3ad7 b8f97374 98d0c01e cef0967a

SHA-3としてKeccakが、アメリカ国立標準技術研究所 (NIST) が公募した新しいハッシュ関数アルゴリズムとして、2012年10月2日に選出された^[3]。

Keccakは64ビットのワードサイズを持ち、出力されるハッシュ値の長さは224ビット、256ビット、384ビット、512ビットの4種類である。SHA-2と同様、Keccak-224はKeccak-256を、Keccak-384はKeccak-512を切り詰めたものである。

Keccakのハッシュキーの長さは以下の通りである。

• Keccak-224: 224ビット＝2²²⁴（約 2.696×10⁶⁷）通りのハッシュ値をとり、56桁の16進数
• Keccak-256: 256ビット＝2²⁵⁶（約 1.579×10⁷⁷）通りのハッシュ値をとり、64桁の16進数
• Keccak-384: 384ビット＝2³⁸⁴（約 3.940×10¹¹⁵）通りのハッシュ値をとり、96桁の16進数
• Keccak-256: 512ビット＝2⁵¹²（約 1.341×10¹⁵⁴）通りのハッシュ値をとり、128桁の16進数

入力データ長が0バイトの場合のKeccakは次のようになる。

• Keccak-224("") = f7183750 2ba8e108 37bdd8d3 65adb855 91895602 fc552b48 b7390abd
• Keccak-256("") = c5d24601 86f7233c 927e7db2 dcc703c0 e500b653 ca82273b 7bfad804 5d85a470
• Keccak-384("") = 2c23146a 63a29acf 99e73b88 f8c24eaa 7dc60aa7 71780ccc 006afbfa 8fe2479b 2dd2b213 62337441 ac12b515 911957ff
• Keccak-512("") = 0eab42de 4c3ceb92 35fc91ac ffe746b2 9c29a8c3 66b7c60e 4e67c466 f36a4304 c00fa9ca f9d87976 ba469bcb e06713b4 35f091ef 2769fb16 0cdab33d 3670680e

• ハッシュ関数
• MD2
• MD4
• MD5
• HMAC

1. ^ Marc Stevens. hashclash - Framework for MD5 & SHA-1 Differential Path Construction and Chosen-Prefix Collisions for MD5. http://code.google.com/p/hashclash/. 
2. ^ ^{a b} Yu Sasaki, Lei Wang, and Kazumaro Aoki (2008-11-25). Preimage Attacks on 41-Step SHA-256 and 46-Step SHA-512. http://eprint.iacr.org/2009/479.pdf.  引用エラー: 無効な <ref> タグ; name "preimage-sasaki"が異なる内容で複数回定義されています
3. ^ “NIST Selects Winner of Secure Hash Algorithm (SHA-3) Competition”. NIST. 2012年10月2日閲覧。
4. ^ “Crypto++ 5.6.0 Benchmarks”. 2014年1月1日閲覧。
5. ^ AMD Opteron 8354 2.2 GHzプロセッサと64ビット版Linuxによる計測^[4]
6. ^ “Announcing the first SHA1 collision”. 2017年2月23日閲覧。
7. ^ “The Sponge Functions Corner”. 2016年1月28日閲覧。
8. ^ “The Keccak sponge function family”. 2016年1月28日閲覧。

• FIPS PUB 180-1, SECURE HASH STANDARD
• (PDF) FIPS PUB 180-2, SECURE HASH STANDARD
• SHA-0、MD5、 MD4にコリジョン発見、reduced SHA-1も スラッシュドットジャパン
• オンラインでSHA256ハッシュ関数ツール
• オンラインでSHA512ハッシュ関数ツール
• SHA1, SHA-256, SHA-384, SHA-512 Online Calculator Calculate SHA file hashes using an on-line web form.

表 話 編 歴 暗号学的ハッシュ関数とメッセージ認証コード セキュリティ要約（英語版） 一般的関数 MD5 SHA-1 SHA-2 SHA-3/Keccak SHA-3最終候補（英語版） BLAKE Grøstl（英語版） JH（英語版） Skein（英語版） Keccak (勝者) その他の関数 FSB（英語版） ECOH（英語版） GOST（英語版） HAS-160（英語版） HAVAL（英語版） Kupyna（英語版） LMハッシュ MDC-2（英語版） MD2 MD4 MD6（英語版） N-Hash（英語版） RadioGatún RIPEMD SipHash（英語版） Snefru（英語版） Streebog（英語版） SWIFFT（英語版） Tiger（英語版） VSH（英語版） WHIRLPOOL crypt(3)（英語版） (DES) MACアルゴリズム DAA（英語版） CBC-MAC HMAC OMAC（英語版）/CMAC PMAC（英語版） VMAC（英語版） UMAC（英語版） Poly1305 認証付き暗号モード CCM CWC（英語版） EAX（英語版） GCM IAPM（英語版） OCB（英語版） 攻撃 衝突攻撃（英語版） 原像攻撃 誕生日攻撃 総当たり攻撃 レインボーテーブル サイドチャネル攻撃 伸長攻撃（英語版） 差分解読法 設計 アバランシェ効果（英語版） ハッシュ衝突 Merkle–Damgård構成法（英語版） 標準化 CRYPTREC NESSIE NISTハッシュ関数コンベンション（英語版） NSA Suite B（英語版） CNSA 利用 ソルト キーストレッチ（英語版） メッセージ認証（英語版） パスワードハッシュ関数 bcrypt PBKDF2 scrypt Argon2 Catena（英語版） Lyra2（英語版） Makwa（英語版） yescrypt Balloon（英語版） crypt（英語版） カテゴリ：ハッシュ関数・メッセージ認証コード・認証付き暗号

表 話 編 歴 暗号 暗号史 暗号解読 Cryptography portal en:Outline of cryptography 共通鍵暗号 ブロック暗号 ストリーム暗号 暗号利用モード 公開鍵暗号 暗号学的ハッシュ関数 メッセージ認証コード 認証付き暗号 乱数生成器 ステガノグラフィー

カテゴリ