OWASP ASVS 密码学附录中关于SHA-512/224的讨论与决策

在OWASP应用安全验证标准（ASVS）的密码学附录中，关于哈希函数的使用规范一直是一个重点讨论的领域。近期，社区对SHA-512/224这一特定哈希算法的处理方式进行了深入探讨，并最终形成了明确的指导原则。

背景与问题

密码学附录原本明确列出了允许和禁止使用的哈希函数，但SHA-512/224却未被明确归类。这种算法是SHA-512的截断版本，输出长度为224位。值得注意的是，虽然NIST目前仍允许其使用至2030年，但包括德国BSI和法国ANSSI在内的多家权威机构已不再推荐该算法。

技术分析

SHA-512/224作为截断哈希，其安全性主要存在以下考量：

1. 输出长度较短（224位），在现代计算能力下可能面临更高的碰撞攻击风险
2. 作为截断算法，其设计初衷更多是为了兼容性而非安全性
3. 实际企业应用中的使用率极低

相比之下，ASVS明确批准的SHA-512/256（256位输出）提供了更强的安全保障。社区经过讨论认为，224位的输出长度已经低于当前推荐的安全基线。

决策过程

技术社区经过多轮讨论后达成共识：

1. 明确将SHA-512/224归类为"禁止使用的哈希函数"
2. 同时扩展了相关说明，明确指出所有输出长度低于256位的哈希函数（包括SHA-224和SHA3-224）都不应用于需要抗碰撞性的场景
3. 对于HMAC、KDF等不需要强抗碰撞性的场景，这些算法可能仍可用于遗留系统兼容，但不应用于新设计

最终解决方案

通过修订文档，ASVS现在：

1. 在"禁止使用的哈希函数"部分明确包含SHA-512/224
2. 更新了相关说明文字，更清晰地阐述了不同场景下的使用限制
3. 保持了与NIST等标准机构的一致性，同时采用了更严格的安全立场

这一调整使得ASVS的密码学指导更加完整和明确，帮助开发者在实际应用中做出更安全的选择。