OpenSSL中SHAKE128/SHAKE256算法输出异常问题分析

在OpenSSL 3.4.1及3.5.0-beta1版本中，用户报告了一个关于可扩展输出函数(SHAKE)的异常现象：当使用dgst命令或API调用SHAKE128/SHAKE256算法时，无法获得预期的哈希输出结果。本文将从技术角度分析该问题的成因及解决方案。

问题现象

测试对比显示，在OpenSSL 3.0.2版本中：

• openssl dgst -shake128 testdata 能正常输出32字节的哈希值
• openssl dgst -shake256 testdata 能正常输出64字节的哈希值

但在3.4.1及3.5.0-beta1版本中：

• 相同的命令执行后无任何输出
• API调用EVP_DigestFinal()返回成功(0)但无错误信息
• 传统SHA3-256算法仍能正常工作

技术背景

SHAKE128和SHAKE256是基于SHA-3的可扩展输出函数(XOF)，与传统哈希算法的关键区别在于：

1. 输出长度可变：不像SHA-256固定输出32字节
2. 采用海绵结构：允许任意长度的输出
3. 安全特性：保持与原始算法相同的安全强度

问题根源

OpenSSL开发团队确认这是对SHAKE实现的有意修改。由于早期版本中输出长度处理存在缺陷，技术委员会决定：

• 将输出长度参数设为必选项
• 不再提供默认输出长度
• 强制用户明确指定所需输出字节数

解决方案

使用新增的-xoflen参数显式指定输出长度：

openssl dgst -shake128 -xoflen 32 testdata
openssl dgst -shake256 -xoflen 64 testdata

在API编程中，需要通过EVP_MD_CTX_set_params()设置OSSL_DIGEST_PARAM_XOFLEN参数来指定输出长度。

版本兼容性建议

对于需要跨版本兼容的应用：

1. 检测OpenSSL版本号
2. 3.4.1+版本必须设置输出长度
3. 旧版本可保持原有调用方式
4. 建议所有版本都显式设置长度参数

安全实践

使用SHAKE算法时应注意：

• 根据安全需求选择足够长的输出
• SHAKE128至少需要32字节输出
• SHAKE256至少需要64字节输出
• 避免使用过短的输出长度

该变更体现了密码学实现中"显式优于隐式"的原则，虽然带来了短暂的兼容性问题，但提高了算法的正确性和安全性。