《信息安全技术 杂凑函数 第 2 部分： 采用分组 密码的杂凑函数》 编制说明.docx

《《信息安全技术 杂凑函数 第 2 部分： 采用分组 密码的杂凑函数》 编制说明.docx》由会员分享，可在线阅读，更多相关《《信息安全技术 杂凑函数 第 2 部分： 采用分组 密码的杂凑函数》 编制说明.docx（7页珍藏版）》请在第一文库网上搜索。

1、国家标准信息安全技术杂凑函数第2部分：采用分组密码的杂凑函数（征求意见稿）编制说明一、工作简况1.1 任务来源根据国家标准化管理委员会2023年下达的国家标准制修订计划，信息安全技术散列函数第2部分：采用n位块密码的散列函数由成都卫士通信息产业股份有限公司负责承办，计划号：20230243-T-469o该标准由全国信息安全标准化技术委员会（TC260）归口管理。2023年1月11日，成都卫士通信息产业股份有限公司更名为中电科网络安全科技股份有限公司，本次公司名称变更不涉及法律主体变化。该任务由中电科网络安全科技股份有限公司负责承办。1.2 制定背景GB/T18238.2-2002信息技术安全技

2、术散列函数第2部分：采用n位块密码的散列函数国家标准等同采用了国际标准ISO/IECFDIS10118-2:2000,该标准已经使用了20多年，目前出现了部分技术内容过时的问题。特别是，经过近些年密码研究的深入分析以及软硬件计算能力的不断提升，其中规范的算法2（MDC-2）已经被破解，不能够为现实应用提供足够的安全强度。同时，该标准文本中的一些专业名词术语、叙述语言文字也较为陈旧，不能够很好地指导现实应用，也不能够支撑当前国家标准体系。而其采用的国际标准已经更新到第三版ISO/IEC10118-2:2010,又在2011年做过技术勘误ISO/IEC10118-2:2010/COR1:2011o

3、2023年10月，ISO/IECSC27/WG2经过研讨，确定ISO/IEC10118-2:2010继续有效，不做修订。为促进GB/T18238.2技术内容进步，使之与当前网络安全国家标准协调统一，亟待修订完善GB/T18238.22002。2023年11月16日，申报团队在信安标委会议周WG3工作组汇报了针对该标准的调研情况，并提出了修订建议，主要包括参考国际标准ISO/IEC10118-2:2010及其ISO/IEC10118-2:2010/COR1:2011,充分调研该标准规范的四个杂凑算法的学术研究进展和工业应用情况，评估算法适用性，剔除安全强度不足的算法，并针对保留的算法采用SM4分

4、组密码产生测试向量，完善语言文字等。WG3工作组经过详细研讨，认为该系列标准从密码设计的角度规范了采用分组密码的杂凑函数，具备一定学术研究价值，有必要修订完善。此次修订GB/T18238.22002的目的是解决其技术内容与当前国家标准标准体系不协调的问题，使之符合国家法律法规和相关政策要求。特别地，此次修订并无纳入新算法的考虑。该标准由中电科网络安全科技股份有限公司牵头，参与单位包括国家密码管理局商用密码检测中心、中国电子技术标准化研究院、中国科学院软件研究所、山东大学、西安西电捷通无线网络通信股份有限公司、中国科学院信息工程研究所、中国科学院大学、山东得安信息技术有限公司、华为技术有限公司、

5、格尔软件股份有限公司、智巡密码（上海）检测技术有限公司、北京江南天安科技有限公司、北京信安世纪科技股份有限公司、北京海泰方圆科技股份有限公司。另有北京银联金卡科技有限公司、北京航空航天大学、中国电子科技集团公司第十五研究所给予了技术支持。1.3 起草过程2023年3月，按照全国信息安全标准化技术委员会（以下简称“信安标委”）的要求，申报团队提交信息安全技术散列函数第2部分：采用n位块密码的散列函数标准草案并准备立项材料。2023年4月，申报团队在WG3工作组2023年第一次全体会议上进行了立项答辩，WG3工作组听取成员单位意见建议，推荐该标准立项。2023年7月，信安标委组织2023年网络安全

6、国家标准立项专家评审会，同意该标准立项。2023年7月2023年11月成立了编制组，重点对标准的范围、框架及主要技术内容进行了多次内部研讨，明确了标准草案的编制思路，完善了草案。2023年12月5日，编制组在WG3工作组2023年第二次全体会议上汇报了修订进展，根据工作组意见建议进一步完善了标准草案。2023年1月120,编制组在北京参加网络安全国家标准专家审查会，汇报了标准编制情况，并根据专家意见完善了标准文本，将标准名称变更为信息安全技术杂凑函数第2部分：采用分组密码的杂凑函数，形成征求意见稿。2023年5月，为进一步提升标准质量，检验标准适用性和可操作性，编制组开始试点验证工作。2023

7、年5月30日，编制组在昆明参加全国信息安全标准化技术委员会2023年第一次“标准周”活动，在WG3工作组汇报了标准修订情况，并根据专家意见进一步完善了标准草案。二、标准编制原则、主要内容及其确定依据2.1 标准编制原则本标准在编制过程中，遵循以下几个原则：1）可行性原则：标准必须是可用的，才有实际意义，本标准在编制过程中始终坚持与相关密码产品生产单位、用户单位以及主管部门保持联系，使标准能够更好地应用到信息系统的开发、检测、选购等多方面，同时结合我国的实际情况，使标准的可操作性更强。2）合规性原则：本标准与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容

8、符合我国已经发布的有关政策、法律和法规。3）科学性原则：本标准的修订主要参考ISO/IEC10118-2:2010Informationtechno1ogy-Securitytechniques-Hash-functions-Part2:Hash-functionsusingann-bitb1ockCiPher中对散列函数的要求和规范，修订国家标准GB/T18238.22002信息技术安全技术散列函数第2部分:采用n位块密码的散列函数，并立足于当前国内信息系统安全的实际状况，全方位地提出科学、完整、可行的技术规范。4）可用性原则：本标准可用于指导、规范采用分组密码算法的杂凑函数在相关技术和产品

9、中落地应用，切实提高网络通信等领域的数据安全保障能力。2.2 主要内容及其确定依据本标准参考国际标准IS0/IEC10118-2:2010和ISO/IEC10118-2:2010/Cor.1:2011,修订国家标准GB/T18238.22002,拟规定采用分组密码的杂凑函数，适用于已经部署了分组密码算法的场景。本标准主要内容如下：1、规定了三种杂凑函数。第一种提供长度不大于几的杂凑值，其中n是所使用的分组密码算法的分组长度。第二种提供长度等于2九的杂凑值；第三种提供长度等于3n的杂凑值。GB/T18238的本部分指定的三种杂凑函数都符合GB/T18238.1中规定的通用模型。2、提供了一种将S

10、M4分组密码算法（GB/T329072016）与本标准中规定的杂凑操作联合使用的方法，并给出了所有杂凑函数的计算示例。2.3 修订前后技术内容的对比适用于国家标准修订项目本标准代替GB/T18238.22002信息技术安全技术散列函数第2部分：采用n位块密码的散列函数，与GB/T18238.22002相比，除了结构调整和编辑性改动外，主要技术变化如下：a）更改了规范性引用文件,增加GB/T18238.KGB/T250692023,删除GB/T19881998、GB/T179642000、ISO/IEC10118-1:2000；b）增加了“分组”等常见术语；c）更改了符号和缩略语，将正更改为当,

11、增加了。、Di.H、Hi.IV.11.12、1x、n、q、T、XY.X八：=、,删除了BA匕d）增加了杂凑函数的概述；e）删除了散列函数2并将散列函数3调整为杂凑函数2,散列函数4调整为杂凑函数3；f）调整了附录C；g）增加了参考文献。三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益和生态效益3.1 试验验证的分析、综述报告本标准编制期间，围绕4种基于分组密码的通用杂凑函数，展开安全评估试验，经过验证，这4种杂凑函数针对碰撞攻击、原像攻击以及第二原像攻击的安全强度足够，现实应用无安全风险。具体地，杂凑函数1具有可证明安全的抗碰撞攻击与抗原像攻击安全界，达到了设计目标，当其采

12、用SM4分组密码算法时，杂凑函数1目前尚无安全问题。杂凑函数2的抗碰撞攻击安全界低于生日界，未达到安全设计目标，我们在本标准文本中将之删除。杂凑函数3与4的压缩函数的抗碰撞攻击与抗原像攻击的可证明安全界低于设计者的预期，安全界均高于九比特但低于2n比特理想杂凑函数的安全性。具体安全性性分析形成相应的综述报告GB/T18238杂凑函数的安全评估现状。3.2 技术经济论证本标准定义了采用分组密码算法的杂凑函数的描述方法和使用要求，适用于密码、信息安全领域的主管部门、检测机构、科研院所和应用厂商掌握杂凑函数的描述方法，指导部分场景中使用分组密码算法提供数据完整性保护等。3.3 预期的经济效益、社会效

13、益和生态效益本标准规范了3种采用分组密码算法的杂凑函数，将有助于统一主管部门、检测机构、科研院所和应用厂商对杂凑函数的理解和认识，规范具体杂凑函数在相关技术和产品中落地应用，切实提高网络通信等领域的数据安全保障能力。四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、样机的有关数据对比情况本标准修改采用ISO/IEC10118-2:2010Informationtechno1ogy-Securitytechniques-Hash-functions-Part2:Hash-functionsusingann-bitb1ockcipher0本标准与ISO/IEC10118-2:201

14、0相比做了下述结构调整：第7章对应ISO/IEC10118-2:2010的第8章；第8章对应ISO/IEC10118-2:2010的第9章；删除了ISO/IEC10118-2:2010的第7章。本标准与ISO/IEC10118-2:2010技术差异及原因如下：增加了规范性引用文件GB/T250692023； 增力口了。、Di.H、Hi.IV.J、1z、1x、几、q、T、XI1丫、X丫、：=、，完善了符号定义； 更改了6.1概述，将“本章规定的杂凑函数提供长度为1I和G的杂凑值，其中1i和G均等于九”修改为“本章规定的杂凑函数提供长度为卬的杂凑值”，以简化描述； 因杂凑函数2的安全性被攻破，删除

15、了杂凑函数2；调整第8章杂凑函数3为第7章杂凑函数2,调整第9章杂凑函数4为第8章杂凑函数3,并优化了逻辑描述； 增加了关于杂凑函数安全性提示的注释; 更改了ISO/IEC第9章轮函数中笔误，将“与该杂凑函数相关的S的具体定义见&1”更改为“与该杂凑函数相关的S的具体定义见7.5”； 更改了资料性附录A,使用SM4分组密码算法替换了AES分组密码算法，将表A.1中“子函数i”更改为“密钥的前3位”，将表A.2中“子函数i”更改为“密钥的前4位”； 更改了资料性附录B,使用SM4分组密码算法给出了三种杂凑函数的示例;本标准做了下列编辑性改动： 为与我国技术标准体系协调，将标准名称改为信息安全技术杂凑函数第2部分：采用分组密码的杂凑函数；更改了参考文献。五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标准，并说明未采用国际标准的原因本标准以国际标准ISO/IEC10118-2为基础，经过安全性评估分析认为，这4种杂凑函数针对碰撞攻击、原像攻击以及第二原像攻击的安全强度足够，现实应用无安全风险。但是，学术界已经提出针对杂凑函数2的攻击方法，说明其未达到安全设计目标。因此，在本标准中删除了杂凑函数2,继续采纳使用其余的杂凑函数，将杂凑函数3调整为杂凑函数2,杂凑函数4调整为杂凑函数3,并提供了一种将SM4分组密码算法与本文件中规定的杂凑操作联合使用的方法以及示例。