תקן FIPS-180 לפונקציות גיבוב שהחל דרכו ב-1995 כלל תחילה את הפונקציה SHA-1 המבוססת על תמצית המסרים MD5 של רונלד ריבסט. החל משנת 2000 עם אימוץ תקן AES לצופן בלוקים, עדכון תקן הגיבוב התבקש ובאוגוסט 2002 פורסם עדכון שנקרא FIPS PUB 180-2. לראשונה SHA-2 ההפך לתקן פונקציות גיבוב החדש עם שלוש פונקציות בהתאם לגודל הפלט בסיביות: SHA-256, SHA-384, ו-SHA-512. ב-2008 נוספה למשפחה הפונקציה SHA-224 והתקן נקרא FIPS PUB 180-3 מלבד זאת לא נעשו שינויים משמעותיים. בעקבות השיפור הטכנולוגי לאורך השנים ובשל עליית רף הבטחון המינימלי פורסם עדכון נוסף במרץ 2012; הפונקציות SHA-512/224, SHA-512/256 מחליפות את הפונקציות 224 ו-256 בהתאמה והן בעצם גרסאות 'חתוכות' של SHA-512, בליווי פירוט כיצד לחתוך את פלט הפונקציה באופן בטוח והתקן הפך להיות FIPS PUB 180-4. בסוף אותה שנה פורסם SHA-3 כתקן גיבוב אופציונלי, הוא אינו ממשיכו של SHA-2 ואינו מבוסס עליו כלל. NIST הצהירו כי אין כוונה להחליף את SHA-2 אלא להמליץ על שימוש בשניהם כאשר SHA-3 אופציונלי.
פונקציית גיבוב קריפטוגרפית -סיביות היא פונקציית גיבוב חד-כיוונית וחסינת התנגשויות, הממפה קלט באורך שרירותי כלשהו לפלט בגודל סיביות שנקרא 'ערך גיבוב' המשמש כייצוג תמציתי של הקלט או מזהה ייחודי שלו. הרעיון הוא שערך הגיבוב של כל מסר שונה לחלוטין וקשה מאד מבחינה חישובית למצוא שני מסרים שונים אפילו בהבדל קל שהפונקציה מפיקה עבורם פלט זהה - כלומר התנגשות. פונקציות גיבוב קריפטוגרפיות נחשבות לסוסי-עבודה של ההצפנה המודרנית והן חלק אינטגרלי מכל מערכת אבטחת מידע. הן משמשות בתחומים רבים כגון הגנה על סיסמאות, חתימה דיגיטלית, אימות והבטחת שלמות, ביטקוין ועוד. בעשור הקודם פלט פונקציות הגיבוב הפופולריות היה 128 עד 160 סיביות. ידוע שמהיבט תאורטי בטחון כל פונקציית גיבוב כנגד התנגשויות, אינו גדול מפקטור שהוא מחצית מאורך התג בסיביות דהיינו . למשל במקרה של 128 סיביות בטחון הפונקציה הוא מסדר גודל של , כלומר יידרשו לפחות ניסיונות גיבוב של מסרים שונים על מנת להיתקל בהיתנגשות, זהו מרווח בטחון גבולי מאד ואינו מספק בסטנדרטים של ימינו. המטרה של SHA-2 הייתה לבצע את ההתאמה הדרושה לתקן החדש AES שמגיע עם שלושה מפתחות אפשריים 128, 192 או 256 סיביות. באופן זה מנהלי אבטחה יוכלו לקבוע רמת הבטחון אחידה במערכת הכוללת אוסף אלגוריתמים בעלי אופי שונה. בשל כך הפונקציה SHA-256 מספקת רמת בטחון המקבילה למפתח הראשון של AES שהוא 128 סיביות, SHA-384 מקבילה למפתח השני - 192 וכן SHA-512 למפתח 256.
SHA-256
כל פונקציות SHA פועלות באותה דרך שבה פעלה MD5. לפני הגיבוב המסר עובר הכנה וריפוד כדלהלן ומתקבל מערך של בלוקים כאשר . הבלוקים מעובדים אחד אחרי השני, תחילה עם ערך גיבוב התחלתי קבוע שנקרא ובאופן סידרתי מחשבים את
. הפונקציה היא פונקציית הכיווץ הפנימית הפועלת על 512 סיביות והערכים הם תוצאות הביניים לאחר כל סבב. מתנהגת כמו צופן בלוקים, מצפינה באופן איטרטיבי את ערך הביניים מהסבב הקודם כאשר בלוק-מסר הבא משמש כמפתח הצפנה ומפיקה ערך ביניים חדש עד להשלמת כל הבלוקים של המסר. המנגנון כולו מחולק לשני חלקים, פונקציית הכיווץ ופונקציית הכנה והרחבת המסר.
סימנים מוסכמים
לצורך תיאור פונקציית הגיבוב ייעשה שימוש בסימנים הבאים: "" הוא XOR, הסימן "" הוא האופרטור הלוגי וגם והסימן "" הוא לא. הסימן מייצג הזזה (shift) של סיביות המספר לימין במספר פוזיציות לפי הערך המופיע לימין הסימן. לדוגמה , לאחר הזזה של סיביות המספר 84 לימין 4 פוזיציות מתקבל 5. הסימן מייצג הזזה מעגלית של סיביות לימין, כאשר לימינו יופיע ערך המייצג את מספר הפוזיציות שיש להזיז. בהזזה מעגלית הסיביות הנפלטות מצד אחד מוחזרות מהצד השני, לפי אותה דוגמה, אם זהו משתנה בגודל בית אחד אזי , לאחר הזזה מעגלית של סיביות המספר 84 לימין 4 פוזיציות מתקבל 69. כל פעולות החיבור וההזזה ב-SHA-256 מתבצעות בין משתנים בגודל 32 סיביות מודולו. ראוי לציין שבמהדרים מסוימים מקובל שהצמצום המודולרי עקיף כאשר מתרחשת גלישה כך שאין צורך בפעולה כלשהי.
ערכים התחלתיים
פונקציית הגיבוב מתחילה את החישוב עם סדרה של שמונה ערכים קבועים בגודל 32 סיביות כל אחד, המייצגים את חלק השבר של השורש של שמונה המספרים הראשוניים הראשונים כאשר הם מעוגלים כלפי מעלה או מטה בהתאם לתוצאה, כפול והפיכת החלק השלם לבסיס הקסדצימלי:
הכנה
לצורך הכנת המסר לגיבוב מוסיפים בלוק המכיל את קידוד אורך המסר בסיביות לפי מבנה מרקל דמגרד. רואים במסר מחרוזת סיביות ארוכה ויהי (אורך המסר בסיביות). מוסיפים סיבית '1' בסוף מחרוזת המסר ולאחריה מוסיפים אפסים כאשר הוא המספר הנמוך ביותר המקיים . לזה מוסיפים בלוק בגודל 64 סיביות המכיל קידוד של הערך . לדוגמה אם המסר מכיל את האותיות "ABCD", אורכו הוא סיביות (לפי קידוד אסקי כל אות מכילה 8 סיביות). לאחר הוספת הסיבית '1' יש להוסיף אפסים. לאחריהם יופיעו 64 סיביות המכילות את הערך 32 בבסיס הקסדצימלי לפי סדר בתים גדול. לסיכום הבלוק ייראה כך:
לאחר שהמסר מרופד בשיטה זו הוא אמור להיות כפולה של 512 סיביות והוא מיוצג על ידי מערך של בלוקים . (בדוגמה זו ).
כדי לבצע את חישובי פונקציית הגיבוב להלן, מתייחסים לכל בלוק כאל מערך של 16 מילים באורך 32 סיביות כל אחת (64 סיביות במקרה של SHA-512 להלן), המסומנים על ידי (המציין התחתי מייצג את מספר הבלוק ואילו המספר העילי בסוגריים מציין את אינדקס המילה בתוך הבלוק). כל הפעולות הלוגיות והאריתמטיות של הפונקציה הפנימית מתבצעות על המילים בזה אחר זה. ההמרה ממערך סיביות למילה הוא לפי סדר בתים גדול, כך שבכל מילה הסיבית השמאלית ביותר מייצגת את הפוזיציה המשמעותית ביותר.
פונקציות עזר
כאמור SHA2 עושה שימוש בשש פונקציות עזר לוגיות הפועלות על משתנים בגודל 32 סיביות:
הרחבת המסר
לפני הפעלת פונקציית התמצות הפנימית, כל בלוק מורחב למערך של 64 כניסות כל אחת בגודל 32 סיביות כך, תחילה מעתיקים את מילות הבלוק ל-16 הכניסות הראשונות של ואת יתר הכניסות מחשבים על ידי פונקציות העזר ו- כדלהלן:
קבועים
כמו כן הפונקציה עושה שימוש ב-64 מילים קבועות המוצגות כאן בבסיס הקסדצימלי. הערכים הם למעשה 32 הסיביות הראשונות של השבר של השורשים מעוקבים של 64 המספרים הראשוניים הראשונים:
לדוגמה אם המסר הוא: "abcdefghijklmnopqrstuvwxyz"
תוצאת פונקציית הגיבוב היא:
71c480df93d6ae2f1efad1447c66c952
5e316218cf51fc8d9ed832f2daf18b73
SHA-512
הפונקציה SHA-512 היא גרסה מורחבת של SHA-256 אשר בניגוד לקודמת פועלת על שמונה משתני עזר בגודל 64 סיביות כל אחד. תחילה המסר המיועד לגיבוב מחולק ומרופד בשיטה דומה לזו המתוארת לעיל אך התוצאה צריכה להיות באורך שמתחלק לבלוקים בגודל 1024 סיביות במקום 512 לפי הנוסחה ומתקבל מערך של אחד או יותר בלוקים: אותם מעבדים באותו אופן כמו ב-SHA-256 כאשר פונקציית הכיווץ שונה כמתואר להלן. כל בלוק מתחלק ל-16 מילים בגודל 64 סיביות כל אחד וכל פעולות החיבור וההזזה מבוצעות מודולו . להלן תיאור הפרמטרים, הפונקציות והקבועים של SHA-512.
ערכים התחלתיים
ערכי הגיבוב ההתחלתיים הם:
פונקציות עזר
ששת פונצקיות העזר של SHA-512 הן:
הרחבת המסר
ב-SHA-512 כל בלוק מורחב ל-80 כניסות של 64 סיביות כל אחת כדלהלן:
קבועים
הקבועים הם 80 ערכים עד כל אחד בגודל 64 סיביות, שהם 64 הסיביות הפחות משמעותיות של חלק השבר של תוצאת השורשים המעוקבים של 80 המספרים הראשוניים הראשונים, ביצוג הקסדצימלי הם:
לדוגמה אם המסר הוא: "abcdefghijklmnopqrstuvwxyz" תוצאת פונקציית הגיבוב היא:
4dbff86cc2ca1bae1e16468a05cb9881
c97f1753bce3619034898faa1aabe429
955a1bf8ec483d7421fe3c1646613a59
ed5441fb0f321389f77f48a879c7b1f1
SHA-384
הפונקציה SHA-384 היא וריאציה של SHA-512 כאשר התוצאה נחתכת ל-384 סיביות. הפונקציה SHA-384 מוגדרת בדיוק כמו הפונקציה SHA-512 למעט הבדל בערכי האתחול המבוססים על השורש הריבועי של שמונה מספרים ראשוניים החל מהמספר הראשוני התשיעי ועד למספר הראשוני ה-16 כדלהלן:
כל הפעולות זהות ל-SHA-512 וכן הקבועים . ההבדל הוא בתוצאת הגיבוב שהיא בעצם 384 הסיביות הראשונות של התוצאה.
דוגמה
לדוגמה אם המסר הוא: "abcdefghijklmnopqrstuvwxyz" תוצאת פונקציית הגיבוב היא:
feb67349df3db6f5924815d6c3dc133f
091809213731fe5c7b5f4999e463479f
f2877f5f2936fa63bb43784b12f3ebb4
SHA-512/224, SHA-512/256
בגלל ש-SHA-512 מותאמת למעבד 64 סיביות, הפונקציה אמורה להיות מהירה ויעילה יותר מהאחרות, לכן בגרסה המתקדמת של SHA-2 התקן ממליץ כמו ב-SHA-384 להשתמש ב-SHA-512 גם כדי לייצר ערכי גיבוב קטנים יותר, כגון 224 או 256 סיביות, פשוט על ידי שחותכים את התוצאה לגודל הרצוי. משתמשים ב-224 או 256 הסיביות הראשונות ומהיתר מתעלמים.