SHA-1

SHAシリーズ全体ぜんたいの俯瞰ふかんについてはSecure Hash Algorithmの記事きじを参照さんしょうのこと。

SHA-1は、160ビット（20バイト）のハッシュ値ちを生成せいせいする。SHA-1はSHA-0にきわめて類似るいじしており、SHA-0において脆弱ぜいじゃく性せいの原因げんいんとなっていた仕様しようのエラーを修正しゅうせいしたものがSHA-1であるため、SHA-0は基本きほん的てきに全まったく用もちいられない。

以前いぜんは、SHA-1はSHAシリーズの中なかで最もっとも広ひろく用もちいられていたものであり、多おおくのアプリケーションやプロトコルに採用さいようされていたが、2017年ねん2月がつには衝突しょうとつ攻撃こうげき（強つよ衝突しょうとつ耐たい性せいの突破とっぱ）の成功せいこうが現実げんじつに示しめされている。そのため、下記かきの通とおりセキュリティの懸念けねんから利用りようが控ひかえられつつある状況じょうきょうにある。

2005年ねん、SHA-1に対たいする攻撃こうげき法ほうが発見はっけんされ、将来しょうらい的てきな利用りように十分じゅうぶんな安全あんぜん性せいを有ゆうしていないことが示唆しさされた^[6]。NISTは、合衆国がっしゅうこくの政府せいふ組織そしきに対たいして、2010年ねんまでにSHA-1からSHA-2へ移行いこうするよう要請ようせいした^[7]。SHA-2に対たいする有効ゆうこうな攻撃こうげき法ほうはいまだ報告ほうこくされていないが、その構造こうぞうはSHA-1に類似るいじしたものである。2012年ねん、公募こうぼを経へて、KeccakがSHA-3として選定せんていされた^[7]。2013年ねん11月にはマイクロソフトが、2017年ねんまでにMicrosoft WindowsのTLS/SSLにおいてSHA-1を利用りようした証明しょうめい書しょを受うけ入いれないようにすることを表明ひょうめいした^[8]。2014年ねん9月がつにはGoogleも2017年ねんまでにGoogle ChromeにおいてSHA-1による証明しょうめい書しょを受うけ入いれないようにすることを表明ひょうめいした^[9]。Mozillaでも同様どうように2017年ねんまでにSHA-1による証明しょうめい書しょを受うけ入いれないようにすることを検討けんとうしている^[10][11][12]。

日本にっぽんにおいても、CRYPTRECが2003年ねんの初版しょはんでは推奨すいしょうリストに掲載けいさいされていたSHA-1を2013年ねんの改訂かいていにおいて互換ごかん性せい維持いじのための利用りように限定げんていした運用うんよう監視かんしリストに移行いこうし^[13]、総務そうむ省しょうおよび法務省ほうむしょうでは、政府せいふ認証にんしょう基盤きばんおよび電子でんし認証にんしょう登記とうき所しょ（商業しょうぎょう登記とうき認証にんしょう局きょく）においてSHA-1を用もちいた電子でんし証明しょうめい書しょの検証けんしょうを2015年度ねんどまで（特別とくべつの事情じじょうがある場合ばあいは2019年度ねんどまで）に終了しゅうりょうすることとしている^[14]。 これらを受うけて、SHA-1を使つかっているウェブサイトはSHA-2への移行いこうが予定よていされており、SHA-2に対応たいおうできないソフトや機器ききによるアクセスは不能ふのうになる^[15]。特とくに2009年ねん以前いぜんの携帯けいたい電話機でんわきは一部いちぶを除のぞき内蔵ないぞうソフト更新こうしんが行おこなわれないため、ハードウェアの買かい替かえを余儀よぎなくされる^[16][17][18]。

NISTは2030年ねん12月31日にちに仕様しようを廃止はいしする予定よていで、それ以降いこうは米国べいこく政府せいふはSHA-1を使用しようしている商品しょうひんを購入こうにゅうしない予定よてい^[5]。

SHA-1は、マサチュまさちゅーセッツ工科大学せっつこうかだいがくのロナルド・リベストがMD4やMD5の設計せっけいで用もちいたものと同様どうようの原理げんりに基もとづいているが、より保守ほしゅ的てきな設計せっけいとなっている。

オリジナルの仕様しようは、1993年ねんにNISTによってFIPS 180 "Secure Hash Standard" として発表はっぴょうされた。このバージョンは現在げんざいではしばしば SHA-0 と呼よばれる。このバージョンは発表はっぴょうからしばらくしてNSAによって撤回てっかいされ、1995年ねんに改訂かいてい版ばんがFIPS PUB 180-1として発表はっぴょうされた。これがSHA-1と呼よばれるものであり、SHA-0とは圧縮あっしゅく関数かんすうにおけるビット演算えんざんのローテートが1つ異ことなるのみである。NSAによれば、これによってSHA-0においてセキュリティを低下ていかさせていたフローが修正しゅうせいされたとしているが、NSAはそれ以上いじょうの説明せつめいや証拠しょうこの提示ていじを行おこなわなかった。その後ごも、SHA-0、SHA-1の双方そうほうについてセキュリティ脆弱ぜいじゃく性せいの報告ほうこくがなされている。

SHA-1は暗号あんごうに関かんする多おおくのアプリケーションやプロトコルに用もちいられている。例れいとしては、TLS/SSL、OpenPGP、SSH、S/MIME、IPsecなどが挙あげられる。これらではMD5もよく用もちいられる（SHA-1とMD5はともにMD4の後継こうけいである）。

SHA-1とSHA-2は、アメリカ合衆国あめりかがっしゅうこくにおいて機密きみつ情報じょうほうを扱あつかう際さいに法律ほうりつによって要求ようきゅうされるハッシュアルゴリズムの一ひとつである。FIPS 180-1では、SHA-1を私的してきにあるいは商業しょうぎょうで用もちいることも推奨すいしょうしている。SHA-1は合衆国がっしゅうこく政府せいふでの利用りようはほぼ終了しゅうりょうしており、NISTでは「連邦れんぽう組織そしきは、電子でんし署名しょめい、タイムスタンプ、衝突しょうとつへの耐たい性せいを必要ひつようとするアプリケーションでのSHA-1の利用りようを可及的かきゅうてき速すみやかに中止ちゅうしすべきである。2010年ねん以降いこうはSHA-2を利用りようすべきである」としている^[19]。

SHA制定せいていの重要じゅうような動機どうきはDigital Signature Standardであった。DSAの仕様しようには、SHA-1を利用りようする過程かていが含ふくまれている。

SHAハッシュ関数かんすうはブロック暗号あんごうであるSHACALの基礎きそとなっている。

SHA-1ハッシュはGit、Mercurial、Monotoneといった分散ぶんさん型がたバージョン管理かんりシステムにおいても、バージョンの管理かんりやデータの破損はそん、改竄かいざんの検出けんしゅつに用もちいられている。任天堂にんてんどうのWiiにおいては、起動きどう時じにSHA-1による署名しょめいを検証けんしょうしているが、これを回避かいひする手法しゅほうも開発かいはつされている^[20]。

ハッシュ長ちょうが L ビットであるハッシュ関数かんすうにおいて、与あたえられた特定とくていのハッシュに対応たいおうする元もとのメッセージを見みつけることは、総そう当あたり攻撃こうげきでは 2^L の試行しこうで可能かのうである。これは原はら像ぞう攻撃こうげきと呼よばれる。一方いっぽう、同おなじハッシュを与あたえる2つの異ことなるメッセージを見みつけることは衝突しょうとつ攻撃こうげきと呼よばれ、およそ 1.2 * 2^{L / 2} の試行しこうで可能かのうである。後者こうしゃの理由りゆうにより、ハッシュ関数かんすうの強度きょうどはハッシュ長ちょうの半分はんぶんの鍵かぎ長ちょうの共通きょうつう鍵かぎ暗号あんごうと比較ひかくされる。これより、SHA-1の強度きょうどは80ビットであると考かんがえられてきた。

暗号あんごう研究けんきゅう者しゃによって、SHA-0については衝突しょうとつペアが発見はっけんされ、SHA-1についても当初とうしょ想定そうていされていた 2⁸⁰ の試行しこうよりもずっと少すくない試行しこうで衝突しょうとつを発生はっせいさせうる手法しゅほうが発見はっけんされた。

そのブロック構造こうぞう、繰くり返かえし構造こうぞうと、追加ついか的てきな最終さいしゅうステップの欠如けつじょにより、SHAシリーズは伸長しんちょう攻撃こうげきおよびpartial-message collision attacksに対たいして脆弱ぜいじゃくである^[21]。これらの攻撃こうげき法ほうにより、${\displaystyle {\mathit {SHA}}({\mathit {message}}\,||\,{\mathit {key}})}$  または ${\displaystyle {\mathit {SHA}}({\mathit {key}}\,||\,{\mathit {message}})}$  のような鍵かぎをつけたハッシュだけでメッセージが署名しょめいされている場合ばあい、攻撃こうげき者しゃは、そのメッセージを伸長しんちょうしハッシュを再さい計算けいさんする（鍵かぎを知しることなしにできる）ことでメッセージを改竄かいざんすることができる。この攻撃こうげきに対たいするもっとも単純たんじゅんな対処たいしょ法ほうは、ハッシュ計算けいさんを2回かい行おこなうことである。${\displaystyle {\mathit {SHA_{d}}}({\mathit {message}})={\mathit {SHA}}({\mathit {SHA}}(0^{b}\,||\,{\mathit {message}}))}$ （ゼロのみからなるブロック ${\displaystyle 0^{b}}$  の長ながさはハッシュ関数かんすうのブロック長ちょうと等ひとしい）。

2005年ねん初頭しょとう、フィンセント・ライメンとElisabeth Oswaldは80ラウンドから53ラウンドに削減さくげんされたSHA-1において 2⁸⁰ より少すくない試行しこうにおいて衝突しょうとつを発見はっけんする攻撃こうげきを報告ほうこくした^[22]。

2005年ねん2月がつ、Xiaoyun Wang、Yiqun Lisa Yin、Hongbo Yuによって、フルバージョン（80ラウンド）のSHA-1において 2⁶⁹ より少すくない試行しこうで衝突しょうとつを発見はっけんできる攻撃こうげきが報告ほうこくされた^[23]。総そう当あたり攻撃こうげきでは 2⁸⁰ の試行しこうを必要ひつようとする。

2005年ねん8月がつ17日にち、Xiaoyun Wang、Andrew Yao、Frances Yaoによって改良かいりょうされた攻撃こうげきが報告ほうこくされ、必要ひつようとする試行しこうは 2⁶³ まで削減さくげんされた^[24]。2007年ねん12月18日にちに、Martin Cochranによってこの結果けっかの詳細しょうさいが説明せつめい、検証けんしょうされた^[25]。

Christophe De CannièreとChristian Rechbergerは"Finding SHA-1 Characteristics: General Results and Applications,"^[26]においてさらに攻撃こうげきを改良かいりょうし、ASIACRYPT 2006においてBest Paper Awardを受賞じゅしょうした。64ラウンドに削減さくげんされたSHA-1において、2³⁵ の圧縮あっしゅく関数かんすうの試行しこうで2ブロックの衝突しょうとつが発見はっけんされた。この攻撃こうげきでは 2³⁵ の試行しこうしか要ようしないことから、理論りろん的てきに破やぶられたものとみなされている^[27]。さらに、2010年ねんにはGrechnikovがこの攻撃こうげきを73ラウンドのSHA-1に対応たいおうするよう拡張かくちょうしている^[28]。80ラウンドのSHA-1で実際じっさいに衝突しょうとつを発見はっけんするには、膨大ぼうだいな計算けいさん機き資源しげんが必要ひつようとされる。そのため、グラーツ工科こうか大学だいがくによってSHA-1での衝突しょうとつ発見はっけんのためのBOINCプロジェクトが開始かいしされたが、進展しんてんがなかったことから2009年ねんに中止ちゅうしされた^[29]。

CRYPTO 2006のRump SessionにおいてChristian RechbergerとChristophe De Cannièreは、攻撃こうげき者しゃが少すくなくともメッセージの一部いちぶを選えらぶことができるSHA-1での衝突しょうとつを発見はっけんしたと主張しゅちょうした^[30][31]。

2008年ねん、Stéphane Manuelによって理論りろん的てきに 2⁵¹ to 2⁵⁷ の試行しこうで衝突しょうとつを発見はっけんしうる攻撃こうげき法ほうが報告ほうこくされた^[32]。しかし、ローカル衝突しょうとつパスが独立どくりつでなく、最もっとも効率こうりつの良よい衝突しょうとつベクトルが既知きちであったことが明あきらかとなり、この報告ほうこくは撤回てっかいされた^[33]。

Cameron McDonald、Philip Hawkes、Josef Pieprzykは、Eurocrypt 2009のRump sessionにおいて 2⁵² の試行しこうでの衝突しょうとつ攻撃こうげきを報告ほうこくしたが^[34]、それに伴ともなう論文ろんぶん "Differential Path for SHA-1 with complexity O(2⁵²)" は著者ちょしゃによって推定すいていが誤あやまりであることが発見はっけんされ撤回てっかいされた^[35]。

2012年ねんには、Marc Stevensによる攻撃こうげき法ほうが報告ほうこくされている^[36]。この攻撃こうげきでは1つのハッシュを破やぶるためにクラウドサーバからCPUリソースを借かり受うけるためのコストは277万まんドルと見積みつもられている^[37]。Stevensは、差分さぶん経路けいろ攻撃こうげきを実装じっそうし、この手法しゅほうをHashClashと呼よばれるプロジェクト^[38]で開発かいはつした。2010年ねん11月8日にち、StevensはフルバージョンのSHA-1に対たいして 2^57.5 の圧縮あっしゅくの試行しこうで衝突しょうとつ攻撃こうげきに近ちかいものを達成たっせいしたと主張しゅちょうし、完全かんぜんな衝突しょうとつ攻撃こうげきには 2⁶¹ の試行しこうで可能かのうだと見積みつもっている。

2015年ねん10月がつ8日にち、Marc Stevens、Pierre Karpman、Thomas Peyrinによって2⁵⁷ の試行しこうで可能かのうなSHA-1の圧縮あっしゅく関数かんすうに対たいする衝突しょうとつ攻撃こうげきが報告ほうこくされた。この攻撃こうげきでは攻撃こうげき者しゃが初期しょき状態じょうたいを自由じゆうに決定けっていできる必要ひつようがあるため、内部ないぶ状態じょうたいの初期しょき状態じょうたいを選択せんたくすることができない完全かんぜんなSHA-1そのものにおける衝突しょうとつ攻撃こうげきの成功せいこうを直接ちょくせつに意味いみするものではないが、SHA-1の安全あんぜん性せいに対たいする懸念けねんとなる。特とくに、これまでに報告ほうこくされている攻撃こうげき法ほうが膨大ぼうだいな計算けいさん機き資源しげんと資金しきんを必要ひつようとしていたことに対たいして、今回こんかいの報告ほうこくは完全かんぜんなSHA-1に対たいする実用じつよう的てきな攻撃こうげきが可能かのうであることを示しめしたものである。報告ほうこく者しゃによって、この攻撃こうげき法ほうは The SHAppening と命名めいめいされた^[39]。

この攻撃こうげき法ほうは報告ほうこく者しゃによる既知きちの攻撃こうげき法ほうに基もとづいており、高性能こうせいのうかつコストパフォーマンスに優すぐれたNVIDIAのGPUカードを用もちいたものである。衝突しょうとつは計けい64枚まいのグラフィックカードからなる16ノードのクラスタによって発見はっけんされた。報告ほうこく者しゃによれば、同様どうようの衝突しょうとつを発見はっけんするためにはAmazon EC2で2000米あめりかドル分ぶんのGPU時間じかんを購入こうにゅうすれば可能かのうであると見積みつもられている^[39]。

また、完全かんぜんなSHA-1において衝突しょうとつを発見はっけんするためには、EC2において7万まん5000から12万まん米あめりかドル程度ていどのGPU時間じかんで可能かのうであると報告ほうこく者しゃは見積みつもっている。これは、国家こっか規模きぼの情報じょうほう機関きかんなどにとどまらず、一般いっぱん的てきな犯罪はんざい組織そしきでさえ用意よういできるレベルと言いえる。このため、報告ほうこく者しゃは一刻いっこくも早はやくSHA-1の使用しようを中止ちゅうしするよう推奨すいしょうしている^[39]。

2017年ねん2月がつ23日にち、Googleは「SHAttered」と題だいして^[40]、2つのPDFファイルのSHA-1ハッシュを一致いっちさせることに成功せいこうしたと発表はっぴょうした^[41]。衝突しょうとつするハッシュの算出さんしゅつには、922京きょう回かいのハッシュ計算けいさん（110台だいのGPUで1年ねんかかる計算けいさん）が必要ひつようであるとしている^[41]。これを受うけて、Mozilla Firefoxでも発表はっぴょう翌日よくじつの2月がつ24日にちに、既存きそんのバージョンについてもSHA-1証明しょうめい書しょを無効むこう化かしている^[42]。

CRYPTO 98において、Florent ChabaudとAntoine JouxによってSHA-0への攻撃こうげきが報告ほうこくされた^[43]。ハッシュの衝突しょうとつは 2⁶¹ の試行しこうで発見はっけんされた。

2004年ねん、Eli BihamとChenはほぼ同おなじSHA-0ハッシュを持もつ2つのメッセージを発見はっけんした。160ビットのハッシュのうち142ビットが一致いっちしていた。彼かれらは80ラウンドから62ラウンドに削減さくげんしたSHA-0における完全かんぜんな衝突しょうとつも発見はっけんした。

2004年ねん8月がつ12日にち、Joux、Carribault、Lemuet、Jalbyによって、フルバージョンのSHA-0における衝突しょうとつが報告ほうこくされた。これはChabaudとJouxによる攻撃こうげきを一般いっぱん化かしたものであり、256基きのItanium 2プロセッサを搭載とうさいしたスーパーコンピュータで80000 CPU時間じかんを費ついやすことにより（このコンピュータの全ぜん計算けいさん能力のうりょくの13日にち分ぶんである）、 2⁵¹ の試行しこうで衝突しょうとつを発見はっけんした。

2004年ねん8月がつ17日にちのCRYPTO 2004のRump sessionにおいて、Wang、Feng、Lai、YuによってMD5、SHA-1他たいくつかのハッシュ関数かんすうに対たいする攻撃こうげきの初期しょき的てきな結果けっかが報告ほうこくされた。SHA-0への攻撃こうげきは 2⁴⁰ の試行しこうが必要ひつようであり、これはJouxらによるものより優すぐれたものである^[44]。

2005年ねん2月がつ、Wang、Yin、Yuによって、 2³⁹ の試行しこうでSHA-0の衝突しょうとつを発見はっけん可能かのうであることが報告ほうこくされた^[23][45]。

CRYPTO 2004における報告ほうこくの後のち、NISTは2010年ねんまでにSHA-1の使用しようを終了しゅうりょうし、SHA-2に移行いこうするプランを発表はっぴょうした^[46]。

FIPSに認定にんていされたすべての関数かんすうの実装じっそうは、NISTとCommunications Security Establishment Canada (CSEC) によるCryptographic Module Validation Programの認定にんていを申請しんせいすることが可能かのうである。2013年ねん現在げんざい、SHA-1については2000以上いじょうの実装じっそうが認定にんていされている^[47]。

SHA-1のハッシュの例れいを、十じゅう六ろく進しん法ほうおよびBase64エンコードにて示しめす。

SHA1("The quick brown fox jumps over the lazy dog")
gives hexidecimal: 2fd4e1c6 7a2d28fc ed849ee1 bb76e739 1b93eb12
gives Base64 binary to ASCII text encoding: L9ThxnotKPzthJ7hu3bnORuT6xI=

メッセージをわずかでも変更へんこうすれば、得えられるハッシュ値ちは大おおきく変化へんかする。例たとえば、上うえの例れいで dog を cog に変かえると、160ビットのハッシュのうち81ビットが変化へんかする。

SHA1("The quick brown fox jumps over the lazy cog")
gives hexidecimal: de9f2c7f d25e1b3a fad3e85a 0bd17d9b 100db4b3
gives Base64 binary to ASCII text encoding: 3p8sf9JeGzr60+haC9F9mxANtLM=

空そらの入力にゅうりょくに対たいするハッシュ値ちは以下いかの通とおりである。

SHA1("")
gives hexidecimal: da39a3ee 5e6b4b0d 3255bfef 95601890 afd80709
gives Base64 binary to ASCII text encoding: 2jmj7l5rSw0yVb/vlWAYkK/YBwk=

SHA-1の疑似ぎじコードは以下いかの通とおりである。

Note 1: All variables are unsigned 32 bits and wrap modulo 232 when calculating, except
        ml the message length which is 64 bits, and
        hh the message digest which is 160 bits.
Note 2: All constants in this pseudo code are in big endian.
        Within each word, the most significant byte is stored in the leftmost byte position

Initialize variables:

h0 = 0x67452301
h1 = 0xEFCDAB89
h2 = 0x98BADCFE
h3 = 0x10325476
h4 = 0xC3D2E1F0

ml = message length in bits (always a multiple of the number of bits in a character).

Pre-processing:
append the bit '1' to the message i.e. by adding 0x80 if characters are 8 bits.
append 0 ≤ k < 512 bits '0', so that the resulting message length (in bits)
   is congruent to 448 (mod 512)
append ml, as a 64-bit big-endian integer. So now the message length is a multiple of 512 bits.

Process the message in successive 512-bit chunks:
break message into 512-bit chunks
for each chunk
    break chunk into sixteen 32-bit big-endian words w[i], 0 ≤ i ≤ 15

    Extend the sixteen 32-bit words into eighty 32-bit words:
    for i from 16 to 79
        w[i] = (w[i-3] xor w[i-8] xor w[i-14] xor w[i-16]) leftrotate 1

    Initialize hash value for this chunk:
    a = h0
    b = h1
    c = h2
    d = h3
    e = h4

    Main loop:[48]
    for i from 0 to 79
        if 0 ≤ i ≤ 19 then
            f = (b and c) or ((not b) and d)
            k = 0x5A827999
        else if 20 ≤ i ≤ 39
            f = b xor c xor d
            k = 0x6ED9EBA1
        else if 40 ≤ i ≤ 59
            f = (b and c) or (b and d) or (c and d)
            k = 0x8F1BBCDC
        else if 60 ≤ i ≤ 79
            f = b xor c xor d
            k = 0xCA62C1D6

        temp = (a leftrotate 5) + f + e + k + w[i]
        e = d
        d = c
        c = b leftrotate 30
        b = a
        a = temp

    Add this chunk's hash to result so far:
    h0 = h0 + a
    h1 = h1 + b
    h2 = h2 + c
    h3 = h3 + d
    h4 = h4 + e

Produce the final hash value (big-endian) as a 160 bit number:
hh = (h0 leftshift 128) or (h1 leftshift 96) or (h2 leftshift 64) or (h3 leftshift 32) or h4

hh はメッセージダイジェストであり、十じゅう六ろく進しん法ほう (base 16) あるいはBase64エンコードで表現ひょうげんされる。

定数ていすうは "nothing up my sleeve number" として選択せんたくされる。4つのラウンド定数ていすう k はそれぞれ 2、3、5、10の平方根へいほうこんの 2³⁰ 倍ばいの値ねである。状態じょうたい値ちのうち h0 から h3 まではMD5と同おなじであり、h4 は類似るいじしたものである。

FIPS PUB 180-1によるものの代かわりに、下記かきの式しきをメインループでの f の計算けいさんに用もちいることができる。

(0  ≤ i ≤ 19): f = d xor (b and (c xor d))                (alternative 1)
(0  ≤ i ≤ 19): f = (b and c) xor ((not b) and d)          (alternative 2)
(0  ≤ i ≤ 19): f = (b and c) + ((not b) and d)            (alternative 3)
(0  ≤ i ≤ 19): f = vec_sel(d, c, b)                       (alternative 4)
 
(40 ≤ i ≤ 59): f = (b and c) or (d and (b or c))          (alternative 1)
(40 ≤ i ≤ 59): f = (b and c) or (d and (b xor c))         (alternative 2)
(40 ≤ i ≤ 59): f = (b and c) + (d and (b xor c))          (alternative 3)
(40 ≤ i ≤ 59): f = (b and c) xor (b and d) xor (c and d)  (alternative 4)

Max Locktyukhin は、32-79ラウンドにおける

w[i] = (w[i-3] xor w[i-8] xor w[i-14] xor w[i-16]) leftrotate 1

を

w[i] = (w[i-6] xor w[i-16] xor w[i-28] xor w[i-32]) leftrotate 2

で置換ちかんすることが可能かのうであることを示しめした^[49]。

SHA-1をサポートしているライブラリは以下いかの通とおり。

• Botan
• Bouncy Castle
• cryptlib
• Crypto++
• Libgcrypt
• Nettle
• OpenSSL
• wolfSSL
• GnuTLS

• Secure Hash Algorithm
• sha1sum
• RIPEMD-160
• タイムスタンプ
• 衝突しょうとつ (計算けいさん機き科学かがく)

• CSRC Cryptographic Toolkit – Official NIST site for the Secure Hash Standard
• FIPS 180-4: Secure Hash Standard (SHS) (PDF, 1.7 MB) – Current version of the Secure Hash Standard (SHA-1, SHA-224, SHA-256, SHA-384, and SHA-512), March 2012
• RFC 3174 (with sample C implementation)
  • SHA-1 (US Secure Hash Algorithm 1 (SHA1))（IPAによる日本語にほんご訳やく）
• NIST Retires SHA-1 Cryptographic Algorithm