信息安全技术分组密码算法的工作模式编制说明0001

1、国家标准信息安全技术分组密码算法的工作模式（征求意见稿）编制说明一、工作简况1、任务来源本标准山国家标准化管理委员会下达的国家标准编制计划，项LI名称为信息安 全技术 分组密码算法的工作模式（国标计划号：人项类型为标准修订，项H所属工作组为WG3工作组，项H牵头单位为成都卫士通信息产业股份有限 公司。2、主要起草单位和工作组成员该标准山成都卫士通信息产业股份有限公司主要负责起草，中国科学院软件研究 所、中国科学院数据与通信保护研究教育中心、国家密码管理局商用密码检测中 心、格尔软件股份有限公司、西安西电捷通无线网络通信股份有限公司、上海信 息安全工程技术研究中心、共同参与了该标准的起草工作。主

2、要起草人有: 张立廷，哇啥，涂彬彬，王鹏，毛颖颖，郑强，张国强，徐明翼，罗俊。3、主要工作过程2019年4月之前，编制团队分析GB/T 17964-2008标准文本及理论研究、行业 应用情况，认为有必要修订该标准，原因如下：1）学术界持续分析研究工作模式，产生了新的成果；产业界广泛应用工作模式， 积攒了新的应用经验；有必要收集归纳。2）现有标准文本未列举国家标准分组密码算法对应的测试向量，数据加密厂商、 相关管理部门缺乏具体的参考数据。3）产业界对现有标准之外的部分工作模式存在着强烈的应用需求，如磁盘加密 模式XTS等，有必要评估引进的可行性。4）国家标准化推进过程中，产生了与本标准相关的一些

3、标准，如GB/T 36624-2018信息技术安全技术可鉴别的加密机制，有必要在修订版本中做 出协调性说明。2019年4月，全国信息安全标准化技术委员会（以下简称“信安标委”）2019 年第一次工作组会议周，在WG3工作组会议上，编制团队向专家和工作组成员 修订情况，（投票草案稿）分组密码算法的工作模式信息安全技术单位汇报 7.并听取专家及工作组其他成员单位的意见，WG3专家及成员工作组成员单位同 意该标准立项修订。2019年4月一9月，编制团队在对本标准进行深入的需求分析的基础上，对所修 订的国家标准GB/T 17964-2008进行了全面理解，并对国际类似标准ISO/IEC 10116-2

4、017进行了学习参考，对修订工作后期安排进行了规划。2019年9月12日，编制团队参加信安标委秘书处组织的立项评审会，向专家汇 报工作情况，根据专家意见对草案进行了修改。2019年10月11 0,编制团队参加WG3工作组组织的标准审查会，向专家汇报 标准修订情况，根据专家意见进一步修订，明确tweak的说明，校对文字符号, 并完善编制说明，补充修订思路和依据等。2019年10月27日至29 0,编制团队赴重庆参加全国信息安全标准化技术委员 会2019年第二次工作组“会议周S在WG3组汇报标准研究进展，介绍草案文本， 解释修改依据，并根据现场意见进一步修订，删除了常见术语“分组密码算法S 补充了

5、 “XEX结构”术语，统一了 “初始向量”、“异或”等表述方式，并优化了 文字语言。工作组专家评审后，一致推荐标准文本进入征求意见稿阶段。2019年11月25 0,编制团队在北京召开修订项启动会，邀请密码标准专家 指导项U的组织和技术工作。会上，专家们认为，标准在现阶段相关工作符合信 息安全国家标准项LI的相关流程，执行情况良好；并针对标准草案给出了具体的 修订意见。意见主要包括：增加附录C,列举常见的明文填充方法；全文优化统 一描述语言、图示、符号标记等。二、标准编制原则和确定主要内容的论据及解决的主要问题1、标准编制原则本次标准修订以GB/T 17964-2008为基础,同时参考T ISO

6、/IEC 10116-2017和 IEEE 1619-2007等相关国际标准。结合行业应用悄况和理论研究分析进展，研 究团队评估原标准中的工作模式安全性，增加已经在国内外广泛应用的磁盘加密 模式XTS、性能良好的我国自主研制的工作模式HCTR；将底层的分组密码算法山 AES、DEA中的密码算法替换为符合国家管理要求的密码算法SM4；相应地修改文 本说明，更新测试向量与工作模式性质说明。2、确定主要内容的论据及解决的主要问题）明确本标准中工作模式的定义和范围1随着密码研究的推进，分组密码算法的工作模式已经从最初仅提供加密功能逐步 发展到提供鉴别（GB/T 15852. 1-2008信息技术安全技

7、术消息鉴别码第1部 分：采用分组密码的机制（mod ISO/IEC 9797-1:1999）、可鉴别的加密（GB/T 36624-2018信息技术 安全技术 可鉴别的加密机制（mod ISO/IEC 19772:2009） 以及杂凑等多种功能类型。研究团队根据本标准的内容特点，听取评审专家指导意见，在标准文本的范围、 术语等多处地方注明，本标准规范的工作模式仅提供加密功能，不提供鉴别、可 鉴别加密等功能，并在规范性引用文件中引用了鉴别、可鉴别加密工作模式的国 家标准，指导读者理解和采用。2）保留原标准中的七个工作模式考虑到原有七个工作模式ECB、CBC、CFB、OFB、CTR、BC、0FBNL

8、F已经在工业界 广泛应用，且近些年未被发现存在安全问题，编制团队决定保留原有全部工作模 式，仅做编辑性修改，优化叙述语言。关于CBC、CFB、OFB、CTR的安全性分析， 可参考 Mayuresh Vivekanand Anand, Ehsan Ebrahimi Targhi, Gelo Noel Tabia, Dominique Unruh: Post-Quantum Security of the CBC, CFB, OFB, CTR, and XTS Modes of Operation. PQCrypto 2016: 44-63o 关于 OFBNLF 的安全性 分析，可参考 Zhele

9、i S., Peng W. Analysis of the OFBNLF encryption mode of operation, SCIENTIA SINICA Informationis, Volume 46, Issue 6: 729-742 （2016）o3）引进XTS工作模式带密文挪用的XEX可调分组密码（XTS）工作模式于2007年成为IEEE标准，是 磁盘加密领域应用的主要工作模式。研究团队调研发现，该工作模式在国内工业 界已经广泛应用，且不存在专利限制，决定在修订过程中引进到标准文本中，以 丰富标准文本工作模式的类型，指导现实应用。关于XTS的安全性分析，可参考 Philli

10、p R. : Efficient Instantiations of Tweakable Blockciphers and Refinements to Modes OCB and PMAC. ASIACRYPT 2004: 16-314）引进HCTR JI作模式带泛杂凑函数的计数器（HCTR）工作模式山我国学者在2005年提出，其设计理 念和具体方案受到了国际密码专家的广泛推崇，安全性能也经受住了十多年引进 到标准文本，丰HCTR的密码分析考验，不存在专利限制。研究团队决定将. 富标准文本中工作模式的类型。关于HCTR的安全性分析，可参考Peng W., Dengguo F,Wenling

11、W. : HCTR A Variable-Input-Length Enciphering Mode CISC 2005: 175-188。5）采用SM4算法生成测试向量原标准中工作模式的测试向量是IIIAES或DEA算法生成，研究团队在修订过程中， 调研了 SM4算法以及九个工作模式的安全分析结论，在分析验证了融合SM4算法 不会降低工作模式安全性的基础上，根据SM4算法和丄作模式的参数特点和要求, 确定具体的运算机制，生成相关测试向量，为规范我国密码算法的使用提供具体 参照依据。6）协调使用多个标准中关于比特串高低位的定义原标准中CTR工作模式对计数器的值采用左高右低的定义，而IEEE中X

12、TS工作 模式的有限域乘法运算采用左低右高的定义。左低右高的有限域乘法同时被国家 标准GB/T 36624-2018和GB/T 15852. 3-2019信息技术 安全技术 消息鉴别码 第3部分：采用泛杂凑函数的机制（mod ISO/IEC 9797-3:2011）采纳。研究团队经过研讨，决定采取兼顾的方案，在修订标准中保留CTR的左高右低， 在引进的XTS、HCTR中采用左低右高。主要依据是，保证不影响现有标准中七个 丄作模式的应用，同时遵循IEEE及相关国家标准的通用做法，以保障XTS和HCTR 的有限域乘法运算与国际和相关国家标准同步。3、本部分在确定主要内容时主要基于如下儿个方面：作为

13、修订标准，在整体内容上与GB/T 17964-2008保持一致，明确标准的范圉为 仅提供加密功能的匸作模式，评佔并保留现有全部模式，根据应用需求增加安全 性能可鼎的XTS和HCTRX作模式，深入调研明确无专利障碍，兼顾使用相关国 际、国家标准中关于比特串高低位定义，同时确保技术可行。推荐使用符合国家 管理要求的密码算法，使用国家商用密码算法SM4生成测试向量。三、主要试验或验证情况分析在生成测试向量的过程中，严格按照标准文本中的工作模式描述，多家参与单位 独立完成，汇总输出数据作比对，确保了最终测试向量的正确性。四. 知识产权情况说明本标准不涉及专利。五. 产业化情况.推广应用论证和预期达到的经济效果无。六、采用国际标准和国外先进标准情况本标准参考了同类型国际标准ISO/IEC 10116-2017的部分内容，增加了第五章 要求。在第十三章引进了 IEEE 1619-2007关于磁盘加密的工作模式XTS。七、与现行相关法律、法规、规章及相关标准的协调性本标准在编制过程中，已经查阅了中华人民共和国电子签名法等相关法规， 确保本标准的内容遵守相关法律规定。同时查阅了 GB/T 36624-2018信息技 术安全技术 可鉴别的加密机制等相关国家标准，确保相关内容和术语与这些 标准的内容保持一致。八. 重大分歧意见的处理经过和依据无。九、标准性质的建议根据本标准的性质，建议本标准