Erlang/OTP中SHAKE哈希算法的兼容性处理

在密码学应用中，哈希函数是不可或缺的基础组件。Erlang/OTP作为一款成熟的函数式编程语言运行时，其crypto模块提供了对各种哈希算法的支持。本文将重点讨论Erlang/OTP中SHAKE-128和SHAKE-256哈希算法的实现细节及其在OpenSSL 3.4版本中的兼容性问题。

SHAKE算法简介

SHAKE-128和SHAKE-256是可扩展输出函数(XOF)，属于SHA-3家族的一部分。与传统的哈希函数不同，XOF可以产生任意长度的输出，这使得它们在需要可变长度哈希值的场景中特别有用。

在OpenSSL 3.3及更早版本中，这两个算法有默认的输出长度：

• SHAKE-128默认输出16字节(128位)
• SHAKE-256默认输出32字节(256位)

OpenSSL 3.4带来的变化

OpenSSL 3.4移除了SHAKE算法的默认输出长度，这一变化直接影响了Erlang/OTP的crypto模块。当开发者尝试使用传统方式调用这些哈希函数时：

crypto:hash_init(shake128) 
|> crypto:hash_update("test") 
|> crypto:hash_final()

系统会抛出错误，提示低层EVP_DigestFinal调用失败。这是因为OpenSSL 3.4要求显式指定输出长度。

临时解决方案

在Erlang/OTP的PR #9002中，开发团队采取了向后兼容的方案，恢复了SHAKE算法的默认输出长度：

• SHAKE-128恢复为16字节输出
• SHAKE-256恢复为32字节输出

这使得现有代码可以继续工作，但需要注意的是，SHAKE-128的16字节输出实际上只提供了64位的安全强度，而非算法理论上能够达到的128位安全强度。

未来改进方向

从技术角度来看，更完善的解决方案可能包括：

1. 参数化初始化：引入类似crypto:hash_init({shake128, Length})的API，允许在初始化时指定输出长度。

2. 显式输出长度函数：添加crypto:hash_final_xof(State, Length)函数，在最终计算时指定输出长度。

3. 安全默认值：考虑将默认输出长度调整为更安全的32字节(SHAKE-128)和64字节(SHAKE-256)，以充分发挥算法的安全潜力。

开发者建议

对于使用Erlang/OTP crypto模块的开发者，建议：

1. 如果使用OpenSSL 3.4或更高版本，确保Erlang/OTP版本包含相关修复。

2. 对于需要更高安全性的场景，考虑显式指定更长的输出长度，而不是依赖默认值。

3. 关注Erlang/OTP未来版本中可能引入的新API，以便更灵活地使用SHAKE算法。

密码学算法的正确使用对系统安全至关重要，开发者应当充分理解所使用算法的特性和限制，做出合理的技术选择。