需要存储什么状态才能进行可恢复的哈希计算？

[当今大多数加密散列，包括MD5，SHA-1和SHA-2系列，都是基于Merkle–Damgård construction。

[在这种结构中，通过将输入分为固定长度的块来进行处理，然后一次将其输入一个“混合函数”，该函数将不可逆地将其与算法的内部状态一起洗牌（也是固定的-length位字符串）。在输入的末尾，生成的内部状态将进一步不可逆地转换以防止某些类型的攻击：

（即将发布的SHA-3哈希标准基于更新的cryptographic sponge construction，在某些细节上有所不同，但在此处讨论的一般级别上没有显着差异。]

如果不是用于长度填充和终结处理步骤，则可以只获取任何消息的哈希值，并使用它来计算该消息的哈希值，并附加一些额外的数据，就像使用CRC一样。 las，从密码的角度来看，这被认为是一件坏事，而最终确定步骤特别包含在过程中，以使其不可能。

因此，如果要在消息中间中断哈希处理并在以后恢复它，则需要获取内部状态字符串之前，它会经过填充和完成阶段。

（（您可能还需要存储少量其他数据，例如到目前为止为正确长度填充而处理的块数，并且，如果哈希在块中间被中断，则还没有任何部分输入块输入混合功能。）

[大多数密码库使用散列对象实现散列算法，该散列对象存储内部状态并允许以任意片段形式提供输入，例如（伪代码）：

HashFunction hash = new SomeHashFunction();
hash.addInput( data );
// ...
hash.addInput( moreData );
BitString output = hash.finalize();

通常，即使散列对象可能不提供对其内部状态的直接访问，它们通常也会提供用于克隆和/或序列化自身的方法。我并不是特别熟悉Crypto++，但是乍一看，seems提供了Clone()方法。

Ps。如果您对使用加密哈希值进行文件完整性验证感兴趣，则可以查看universal hashing，尤其是基于多项式求值的通用哈希函数，例如GHASH或Poly1305。这些是非常快速且可并行化的哈希函数，通常用作authenticated encryption方案的一部分，但也可以单独用作message authentication codes。关于它们的好处是，它们不仅可以增量计算，而且通过一些聪明的数学方法，如果对数据的[[middle进行了更改，它们甚至可以进行增量更新。它们的主要缺点是，要从密码上防止伪造（例如，创建具有相同散列的两个文件），则需要将其与密钥一起使用。