快速實現(xiàn)SHA-1算法的硬件結(jié)構(gòu)

摘要：安全散列算法是數(shù)字簽名等密碼學(xué)應(yīng)用中重要的工具。目前最常用的安全散列算法是SHA-1算法，它被廣泛地應(yīng)用于電子商務(wù)等信息安全領(lǐng)域。為了滿足應(yīng)用對安全散列算法計算速度的需要，該文提出了一種快速計算SHA-1算法的硬件結(jié)構(gòu)。該方法通過改變硬件結(jié)構(gòu)、引入中間變量，達(dá)到縮短關(guān)鍵路徑的目的，進(jìn)而提高計算速度。這種硬件結(jié)構(gòu)在0.18Lm工藝下的ASIC實現(xiàn)可以達(dá)到3.9Gb/s的數(shù)據(jù)吞吐量，是改進(jìn)前的兩倍以上;它在FPGA上實現(xiàn)的性能也接近目前SHA-1算法商用IP核的兩倍。

關(guān)鍵詞：集成電路設(shè)計;安全散列算法(SHA-1);關(guān)鍵路徑;硬件結(jié)構(gòu)

單向散列函數(shù)是密碼學(xué)中一種重要的工具，它可以將一個較長的位串映射成一個較短的位串，同時它的逆函數(shù)很難求解。許多安全技術(shù)中都會用到單向散列函數(shù)的這種特殊性質(zhì)，比如數(shù)字簽名、密碼保護(hù)、消息鑒別等。鑒于單向散列函數(shù)在密碼系統(tǒng)中的重要地位，密碼學(xué)家們設(shè)計了各種各樣的安全散列函數(shù)。目前最常用的散列函數(shù)是NIST于1995年頒布的安全散列算法SHA-1。

SHA-1算法和之前的MD4、MD5等安全散列算法原理很接近，但是安全性更好。它可以通過一系列的迭代計算把任意長度的比特串壓縮成長度為160bit的位串。而且一般認(rèn)為它的這個計算過程在密碼學(xué)意義上是單向的，也就是說很難找到兩個不同的位串可以壓縮成相同的160bit。到目前為止，還沒有對SHA-1有效的攻擊方法。

由于SHA-1算法的良好特性，它被廣泛使用在諸如電子商務(wù)這樣的現(xiàn)代安全領(lǐng)域，尤其是被大量應(yīng)用于公鑰密碼系統(tǒng)的數(shù)字簽名中。目前幾乎所有相關(guān)密碼協(xié)議、標(biāo)準(zhǔn)或者系統(tǒng)中，都包括了SHA-1算法，其中比較著名的有SSL、IPSec和PKCS。在這些場合下，能否快速計算出消息的散列值直接影響到整個系統(tǒng)的處理能力。但是，由于SHA-1算法本身是一個很復(fù)雜的算法，計算量也較大，加上每次迭代都需要依賴上次的計算結(jié)果，因此不論是硬件還是軟件實現(xiàn)，計算速度都很有限，這大大限制了算法的適用場合。

本文提出一種新的硬件實現(xiàn)方法，通過改變迭代結(jié)構(gòu)，達(dá)到縮短關(guān)鍵路徑的目的，進(jìn)而提高SHA-1的計算速度。

SHA-1算法

算法描述

SHA-1算法能夠?qū)⑷我忾L的輸入壓縮成160bit的輸出。但是，SHA-1算法中的基本迭代只能處理512bit的數(shù)據(jù)塊，因此為了處理任意長度的數(shù)據(jù)，首先需要將輸入的消息每512bit分成一塊，并且將最后一塊不足512bit的消息按一定規(guī)則補(bǔ)齊。(限于篇幅，SHA-1算法的詳細(xì)描述見文[1]，下面是算法進(jìn)一步的簡單描述。)

分塊之后就可以對每塊消息按下述方法依次進(jìn)行處理。

1)在5個中間變量H0、H1、H2、H3和H4中置入特定初值。

2)對每塊消息依次執(zhí)行步驟a)到e)

a)將512bit的消息塊分成16個32bit的字W0，W1，…，W15;

b)For t=16 to 79l etWt=S1(W t-3W t-8

W t-14

W t-16);

c)LetA=H0，B=H1，C=H2，D=H3，E=H4;

d)For t=0 to 79 do

i)teMP=S 5 (A)+f t(B，C，D)+E+Wt+Kt;

ii)E=D;D=C;C=S30(B);B=A;A=TEMP;

e)LetH0=H0+A，H1=H1+B，H2=H2+C，H3=H3+D，H4=H4+E。

所有消息塊處理完后得到的5個32bit變量H0到H4構(gòu)成了160bit的數(shù)據(jù)，這就是SHA-1算法輸出的散列值。

算法中使用了一些簡單的邏輯函數(shù)和常數(shù)，其中函數(shù)ft()和常數(shù)Kt分別為

算法中S1(*)、S5(*)和S30(*)分別表示按位循環(huán)左移1bit、5bit和30bit。算子“∧”、“∨”、“©”和“+”分別表示按位“與”、按位“或”、按位“異或”以及32bit整數(shù)加法。

算法分析

從算法描述可以看出，SHA-1最核心的計算是一個計算5個中間變量的迭代：

An=S5(A n-1)+f n(B n-1，C n-1，D n-1)+

E+Wn+Kn，

Bn=A n-1，

Cn=S30(B n-1)，

Dn=C n-1，

En=D n-1.

在硬件實現(xiàn)中，5個變量在一個周期內(nèi)同時由組合邏輯電路根據(jù)上次迭代的計算值產(chǎn)生，因此每次迭代所需要的時間是由最慢的計算過程決定。這樣一條最慢的計算路徑也就是所謂的關(guān)鍵路徑。如果完全按照SHA-1的原始算法進(jìn)行硬件設(shè)計，那么很明顯的關(guān)鍵路徑是變量A的計算。在每次迭代過程中，計算變量A需要進(jìn)行4次32bit的整數(shù)加法和若干組合邏輯。這些計算一共需要的時間也就是算法硬件實現(xiàn)的最短周期。正是因為變量A的計算比較復(fù)雜，造成SHA-1算法硬件實現(xiàn)的工作頻率難以提高。

因此，加快SHA-1硬件實現(xiàn)的計算速度關(guān)鍵就是改變迭代結(jié)構(gòu)，從而縮短每次迭代過程的關(guān)鍵路徑。

硬件快速實現(xiàn)的新結(jié)構(gòu)

觀察算法可發(fā)現(xiàn)，除了變量A以外，其他4個變量的計算都相當(dāng)簡單。因此，如果將變量A的計算過程通過一定方式分解成若干并行的計算，那么就可以在不增加迭代次數(shù)的前提下，縮短整個計算的關(guān)鍵路徑。

出于這種目的，1997年A.Bosselaers等人對SHA-1算法的結(jié)構(gòu)進(jìn)行了分析，發(fā)現(xiàn)SHA-1算法的數(shù)據(jù)流圖可以分解成并行的7路數(shù)據(jù)處理，每路數(shù)據(jù)上一個周期只需一個基本操作：加法、“異或”或者循環(huán)移位。

在此關(guān)于SHA-1結(jié)構(gòu)結(jié)論的基礎(chǔ)上，本文通過引入中間變量的方法，將計算的關(guān)鍵路徑分解成若干個較短的路徑，從而達(dá)到加速硬件計算的效果?？紤]到硬件實現(xiàn)中32bit整數(shù)加法的延時遠(yuǎn)遠(yuǎn)大于循環(huán)移位和普通邏輯運算，所以分析關(guān)鍵路徑時只考慮加法的代價，而忽略其他邏輯運算的延時。

首先引入中間變量P n-1=fn(B n-1，C n-1，D n-1)+E n-1+Wn+Kn，那么可以得到An=S5(A n-1)+P n-1。也就是說，將第n次迭代的部分計算提前到第n-1次迭代中進(jìn)行計算。變形后，第n次迭代中A的計算只需要進(jìn)行一次32bit整數(shù)加法。

但是這種方式下，變量P的計算仍然需要依賴于同一次迭代中的其他變量，也就是說在一次迭代中需要在計算完其他變量后才能計算出P，這樣的話計算的關(guān)鍵路徑還是沒有縮短。所以還要充分利用A到E5個變量之間的相互關(guān)系

B n-1=A n-2，

C n-1=S30(B n-2)，

D n-1=C n-2，

E n-1=D n-2.

將P的計算變化為P n-1=f n(A n-2，S30(B n-2)，C n-2)+D n-2+Wn+Kn。如此之后，第n-1輪的P值可以完全依賴于前一輪也就是第n-2輪的變量值計算而得。迭代計算的關(guān)鍵路徑就分裂成變量A和P兩路并行的計算。

類似的再引入其他中間變量，不斷的分解關(guān)鍵路徑，最終的迭代可變形為

An=S5(A n-1)+P n-1，

Pn=f n+1(A n-1，S30(B n-1)，C n-1)+Q n-1，

Qn= C n-1+R n-1，

Rn=W n+3+K n+3，

Bn=A n-1，

Cn=S30(B n-1).

可以發(fā)現(xiàn)通過引入中間變量，使得計算變量A的關(guān)鍵路徑分解成A、P、Q、R的4路并行計算，所需要的4次加法平均在4個周期內(nèi)完成。這樣每次迭代過程中任何一個變量的計算最多只需要一次32bit整數(shù)加法和少量組合邏輯。在此基礎(chǔ)上，SHA-1算法可以通過如下方法來計算

1)將輸入的512bit消息分成16個字W0，W1， …，W15;

2)For t=16 to 79 let Wt=S1(W t-3

W t-8

W t-14

W t-16);

3)LetA=H0，B=H1，C=H2，D=H3;

4)LetP=f 0 (B，C，D)+E+W0+K0，Q=D+W1+K1，R=W2+K2;

5)Fort=0 to 79 do

a)TEMP=S5(A)+P;

b)P=f t+1(A，S30(B)，C)+Q;

c)Q=C+R;

d)R=W t+3+K t+3;

e)B=A;C=S30(B);A=TEMP;

6)LetH0=H0+A，H1=H1+B，H2=H2+ C，H3=H3+S30(A76)，H4=H4+S30(A75)。

雖然引入中間變量的計算后，每塊數(shù)據(jù)需要額外增加一個預(yù)計算的步驟4)，但是因為關(guān)鍵路徑得以縮短，整體硬件實現(xiàn)的速度仍然會大大提高。

實現(xiàn)結(jié)果

使用Verilog硬件描述語言按本文提出的優(yōu)化方法實現(xiàn)了SHA-1算法，并使用Synopsys Design Compiler在0.18Lm標(biāo)準(zhǔn)單元庫下綜合，得到表1中的結(jié)果。表1中還包括了文[6]的實現(xiàn)結(jié)果。文[6]同樣使用了0.18Lm工藝，但是實現(xiàn)SHA-1算法的方法仍然是傳統(tǒng)的直接計算ABCDE5個中間變量的方法。

表1　ASIC實現(xiàn)結(jié)果比較

從前文的算法分析可以看出，傳統(tǒng)實現(xiàn)方法的關(guān)鍵路徑上有4次加法，如果把這4次加法按樹型組織，那么關(guān)鍵路徑的延時大約為3個32bit加法器的延時;通過本文方法改進(jìn)后，關(guān)鍵路徑延時可以縮短為1個32bit加法器延時加上少量組合邏輯延時。因此理論上速度大約可以提高為傳統(tǒng)方法的2～3倍。從表1和使用傳統(tǒng)方法實現(xiàn)的文[6]對比可以發(fā)現(xiàn)，實現(xiàn)結(jié)果和理論分析完全一致。改進(jìn)方法因為計算中引入了中間變量，所以面積比傳統(tǒng)方法要略大;同時為了計算中間變量的初值，每塊數(shù)據(jù)也需要多兩個周期的計算。但是因為關(guān)鍵路徑得以明顯縮短，整體的計算速度大大提高，吞吐量達(dá)到傳統(tǒng)方法的兩倍以上。

通過縮短關(guān)鍵路徑加速SHA-1計算的方法不僅適用于ASIC設(shè)計，而且一樣適用于基于FPGA的硬件設(shè)計。文[6，7]是目前常用的兩種SHA-1算法的商業(yè)IP核。使用本文提出的改進(jìn)方法在和文[6，7]同樣的FPGA芯片上(XilinxVirtex2II系列XC2V50025)實現(xiàn)SHA-1算法。具體結(jié)果以及和文[6，7]結(jié)果的對比見表2。

表2　FPGA實現(xiàn)結(jié)果比較

結(jié)論

針對有理分式擬合中的保證生成二端口網(wǎng)絡(luò)無源性的問題，本文提出了一種簡單且有效的局部補(bǔ)償方法，其主要思想在于：在生成網(wǎng)絡(luò)的Y參數(shù)矩陣的對角元素上加上(相當(dāng)于并聯(lián))一個RLC串聯(lián)的濾波回路，使得該回路可以以恰好補(bǔ)償原網(wǎng)絡(luò)違反無源性條件的頻率段，而盡量少的引入誤差。經(jīng)過實驗表明，該方法能很好的達(dá)到預(yù)期的目的，在保證無源性條件的同時，能使引入的誤差限制在2%以內(nèi)。