無論數(shù)字證書品牌、價格和類型如何，所有SSL證書的通用規(guī)范是采用SHA 256算法，您可以在證書詳細信息或產(chǎn)品信息中列出的功能中看到。對于非技術(shù)人員來說，SHA 256 算法通常是個謎，但是銳成信息將用通俗的語言向您展示SHA256是什么以及它是如何工作的。

SHA 256算法是什么

要理解SHA 256算法，我們需要先解釋哈希函數(shù)。哈希函數(shù)又稱散列函數(shù)，是將任何長度的信息轉(zhuǎn)換為另一個值的過程。本質(zhì)上，它包含數(shù)據(jù)塊，這些數(shù)據(jù)塊從原始字符串轉(zhuǎn)換為固定長度的值。這種值被稱為散列值（哈希值）。

SHA 256是SHA 2系列算法細分出的一種算法，其中SHA是 Secure Hash Algorithm 的縮寫，名稱中的256值代表最終的哈希值摘要。哈希值通常用一個長度為64的十六進制字符串（由隨機字母和數(shù)字組成的）來表示，相當(dāng)于是個長度為32個字節(jié)的數(shù)組，其中1個字節(jié)=8位。即無論明文大小如何，哈希值始終為256 位。舉例說明一下：

銳成信息連接一切服務(wù)

這句話經(jīng)過哈希函數(shù)SHA256后得到的哈希值為：

1033C30AE28488FF7497D61D2FB1DA50AB480824186A24019D6736126870FBF9

簡而言之，SHA 256通過將消息和文件等數(shù)據(jù)轉(zhuǎn)換為固定長度為256位的、且難以區(qū)分的字符串來保護數(shù)據(jù)不被截取或篡改。幾乎各行各業(yè)都會使用SHA256算法，包括政府機構(gòu)和區(qū)塊鏈等創(chuàng)新技術(shù)。

SHA 256算法的主要特點

SHA 256算法的關(guān)鍵特性是消息長度、摘要長度和不可逆性。

消息長度：明文（即加密前的可讀文本）的長度應(yīng)小于 264 位。

摘要長度：消息摘要（即將加密哈希函數(shù)應(yīng)用于數(shù)據(jù)的哈希值）長度應(yīng)為 256 位。在您的服務(wù)器上安裝 SSL 證書時，您可以選擇SHA-512或更大的摘要。雖然SHA-512更安全，但不建議將其用于大多數(shù)系統(tǒng)，因為它需要更強大計算能力和計算機性能。

不可逆性：所有哈希函數(shù)（例如 SHA 256）在設(shè)計上都是不可逆的。對于每個輸入，您只有一個輸出，但反之則不然。多個輸入產(chǎn)生相同的輸出。輸出具有固定大小，但輸入沒有大小限制。

SHA 256算法實踐

現(xiàn)在請看哈希函數(shù)是如何工作的真實示例。假設(shè)您寫了“便宜SSL證書”的消息并對其應(yīng)用 SHA-256 哈希函數(shù)，將會得到：

3868401EDD8E4AE2F804AC3A6215C5EC522AE032F59C13296C1A25CAE4F26C52

現(xiàn)在，我們在消息末尾添加一個感嘆號：“便宜SSL證書！”，并生成輸出。結(jié)果則是這樣：

EE39F1A692558947B80109483AF80ACC1E3722D533B7A9E7713E823F6E2D2A57

如您所見，僅添加一個字符，哈希值長度保持不變，但是得到的結(jié)果完全不同，這也就是為什么sha256比較安全的原因。如果您要將此消息發(fā)送給朋友，則需提供哈希值并指定算法。您的朋友會在他們的那端驗證哈希值，如果匹配，他們就會知道該消息是真實的。

SHA 算法歷史

安全散列算法是美國國家安全局 (NSA) 創(chuàng)建的。美國政府為這項技術(shù)申請了專利，然后以免版稅許可的形式發(fā)布，供所有人使用。

第一個SHA-0算法可以追溯到 1993 年。緊接著SHA-1于1995年問世，盡管已被破解，但現(xiàn)在還是有在一些老版本的服務(wù)器和客戶端上使用。2001年，NSA發(fā)布了 SHA -2系列算法，其中包括 SHA 256 和其他五個不同算法標(biāo)準(zhǔn)：

• SHA 224
• SHA 384
• SHA 512
• SHA 512/224
• SHA 512/256

2015 年 8 月 5 日，NIST（美國國家標(biāo)準(zhǔn)與技術(shù)研究院）發(fā)布了 SHA -3，這是最新的安全哈希算法，內(nèi)部算法設(shè)計與以往不同。雖然 NIST 目前還沒有計劃吊銷 SHA-2 算法，但如果有必要，SHA-3可以在當(dāng)前應(yīng)用中替代掉SHA-2。

根據(jù)用于監(jiān)控 SSL/TLS 支持質(zhì)量的全球儀表板SSL Pulse稱，Alexa全世界最受歡迎的網(wǎng)站列表中，有97.2%的網(wǎng)站使用 SHA-256 算法的SSL證書。

SHA 256應(yīng)用

SHA 256 是用于數(shù)字簽名驗證、SSL 握手、密碼保護和許多其他安全相關(guān)操作的標(biāo)準(zhǔn)哈希算法。

數(shù)字簽名驗證

數(shù)字簽名是一種電子簽名，用于驗證消息（例如電子郵件、信用卡交易或電子文檔）的真實性和完整性。它是通過散列文件并使用 PKI（公鑰基礎(chǔ)設(shè)施）對其進行加密而創(chuàng)建的。

SHA 256算法在整個過程中的作用是保證數(shù)字簽名的完整性。接收方的客戶端檢查自己端的哈希算法，并使用公鑰對消息進行解密。如果匹配，則數(shù)據(jù)是真實有效、未被篡改。

SSL 握手

SSL 握手是Web瀏覽會話的關(guān)鍵元素，它依賴于SHA算法功能。通過SSL/TLS的通信總是從SSL握手開始，這是一種非對稱加密技術(shù)，允許瀏覽器驗證web服務(wù)器，獲得公鑰，并在數(shù)據(jù)傳輸開始之前建立一個安全連接。

密碼保護

網(wǎng)站以散列格式存儲用戶密碼。如前所述，哈希使用加密算法將密碼轉(zhuǎn)換為一串短的字母和數(shù)字。如果網(wǎng)站被黑客入侵，網(wǎng)絡(luò)攻擊者將無法獲得哈希密碼。

區(qū)塊鏈交易

SHA-256 算法是創(chuàng)建比特幣時用于加密貨幣的第一個算法。區(qū)塊頭是區(qū)塊鏈的基本元素，因為它們有助于以特定順序?qū)⒁粋€交易區(qū)塊連接到下一個交易區(qū)塊。正如之前提到的，當(dāng)輸入的信息有微不足道的差別，SHA算法也能產(chǎn)生大相徑庭的結(jié)果。當(dāng)任意區(qū)塊發(fā)生變化時，都會影響后續(xù)的所有區(qū)塊。所以如果想要修改某個區(qū)塊的內(nèi)容，就必須修改后許所有區(qū)塊的內(nèi)容，而這幾乎是不可能的，從而保證了區(qū)塊數(shù)據(jù)的安全。

結(jié)束語

SHA 256算法是Web數(shù)據(jù)保護不可或缺的一部分。在本文中，我們只是淺談SHA2算法，并沒有深入研究數(shù)學(xué)及其背后的函數(shù)。即便您不是技術(shù)人員，想必也大概清楚SHA2算法的概念和應(yīng)用了吧。

在我們還沒有造出破解復(fù)雜哈希函數(shù)的量子計算機之前，SHA 256仍將是數(shù)據(jù)和文件完整性的行業(yè)標(biāo)準(zhǔn)哈希算法。距離這種場景可能還有幾十年，所以目前，SHA 256還是加密和身份驗證協(xié)議的一部分。