2023信息安全技术杂凑函数 第1部分：总则

1目次目次II前言 II引言 IV1范引文件 1语定义 12一符号 2编约定 33凑数通模型 3概述 3杂运算 336.2.2骤1（充） 36.2.3骤2（割） 36.2.4骤3（代） 46.2.5骤4（出） 4通模的用 4附录A（范附）填充法 5附录B（料附）安全注事项 6参考献 7引言引言IVIV杂凑函数使用特定的算法将任意长度(通常设有上限)的比特串映射到固定长度的比特串。杂凑函数可以用于：——将消息压缩为摘要，用于数字签名机制的输入；——向用户承诺一个给定的比特串，而不泄露该比特串。注：GB/T18238（所有部分）AuthenticationCodeMACGB/T15852.2给出了杂凑函数计算MAC的技术。GB/T18238分为以下部分：——第1部分：总则该部分规定了杂凑函数的要求和通用模型，指导GB/T18238的其它部分；——第2部分：采用分组密码的杂凑函数该部分规定了采用分组密码的杂凑函数；——第3部分：专门设计的杂凑函数该部分规定了专门设计的杂凑函数。PAGEPAGE1信息安全技术杂凑函数第1部分：总则范围本文件包含GB/T18238（所有部分）所共用的定义、符号和要求。GB/T25069—2022信息安全技术术语GB/T25069—2022界定的以及下列术语和定义适用于本文件。3.1抗碰撞杂凑函数collision-resistanthash-function抗碰撞散列函数满足如下性质的杂凑函数：找出映射到同一输出的任何两个不同输入在计算上是不可行的。注：计算可行性依赖于特定安全要求和环境。[来源：GB/T25069—2022，3.322，有修改]3.2数据串datastring杂凑函数的输入比特串。3.3杂凑值hashvalue密码杂凑运算的结果。[来源：GB/T25069—2022，3.764]3.4杂凑函数hash-function散列函数将任意长比特串映射为定长比特串的函数，满足下列性质：——给定一个输出比特串，寻找一个输入比特串来产生该输出比特串，在计算上不可行；[来源：GB/T25069—2022，3.505]3.5初始化值initializationvalueIVGB/T25069—2022，3.80]3.6输出变换outputtransformation在算法中，对迭代操作的输出所进行的变换。3.7填充padding向某一数据串附加额外比特的操作。[来源：GB/T25069—2022，3.598]3.8轮函数round-function构成杂凑函数的主要部件之一，将两个长度分别为𝐿1和𝐿2的比特串转换为一个长度为𝐿2的比特串，被迭代地用于杂凑函数的计算过程。注1：轮函数记为𝜙(∙,∙)。该函数输入长度为𝐿1的数据串和长度为𝐿2的前一个轮函数的输出值（或初始化值），输出一个长度为𝐿2的比特串。注2：在该领域的文献中，多个术语具有与轮函数相同或相似的含义。例如：压缩函数和迭代函数。符号下列符号适用于本文件。𝐵𝑖：当𝐵是由多个𝑚比特字构成的序列时，𝐵𝑖(𝑖≥0)表示𝐵的第𝑖个𝑚比特字。特别地，当𝑚=8时，𝐵𝑖是𝐵的第𝑖个字节。𝐷：数据串。𝐷𝑖：数据𝐷经填充后的第𝑖个𝑛比特分组。𝐻：杂凑值。𝐻𝑖：用于存储杂凑运算中间结果的比特串，其长度为𝐿2。ℎ：杂凑函数。𝐼𝑉：初始化值。𝐿1：输入到轮函数的两个比特串中，第一个比特串的比特长度。𝐿2IV𝐿𝑋：比特串𝑋的比特长度。𝑛：𝑛比特分组密码算法𝐸的分组长度。𝑞：经过填充和分割操作后，输入数据比特串D的分组个数。𝑇：输出变换，比如截短。𝑋∥𝑌X和Y𝑋⊕𝑌𝑋𝑌（=𝐿𝑌）。𝜙：轮函数。/，//要求18238概述GB/T18238（所有部分）中规定的杂凑函数要求使用轮函数𝜙。GB/T18238的后续部分中规定的杂凑函数输出长度为𝐿𝐻比特的杂凑值，其中𝐿𝐻不大于轮函数𝜙中的𝐿2。概述在GB/T18238𝜙𝐿2𝐼𝑉𝜙，𝐼𝑉𝐷的杂凑值𝐻。1（）对数据串𝐷进行填充操作，以确保其长度是𝐿1的整数倍。具体方法可采用附录A中描述的方法。2（）𝐷𝐿1,𝐷2,⋯,𝐷𝑞表示第LD将被杂凑的数据DLD将被杂凑的数据DDqL1DqL1L1D2D1L1L1L1图1填充和分割示意图3（）令𝐻0=𝐼𝑉，以如下方式迭代计算长度为𝐿2比特的串𝐻1,𝐻2,⋯,𝐻𝑞。对𝑖=1,⋯,𝑞，依次计算：𝐻𝑖=𝜙(𝐷𝑖,𝐻𝑖−1)。4（）对步骤3的输出𝐻𝑞执行变换𝑇，得到𝐿𝐻比特的杂凑值𝐻。示例：变换𝑇可以是截短操作。GB/T18238——参数𝐿1,𝐿2；——填充方法；——初始化值𝐼𝑉；——轮函数𝜙；——输出变换𝑇。在实际中使用通用模型所定义的杂凑函数还需要选择参数𝐿𝐻。附录A（规范性附录）填充方法概述如GB/T18238𝐿11（注：方法1总是要求填充至少一个比特。2选择一个参数𝑟（其中𝑟≤𝐿1），例如𝑟=64，以及一种将数据串𝐷的比特长度𝐿𝐷编码为𝑟比特的比特串的方法。参数𝑟的选择限制了可处理的数据串𝐷的长度，𝐿𝐷<2𝑟。为计算杂凑值，需按以下方式填充数据串𝐷：𝐷1”；（𝐿1𝑟𝐿1𝐿1𝑟𝑟=𝐿1，则填𝐿1𝑟𝐿𝐷𝐷。附录B（资料性附录）安全性注意事项𝑀。

与杂凑函数相关的攻击目标有多种(参考文献[3]给出了示例)。以下几点尤为重要。碰撞攻击—攻击目标是寻找两个不同的数据串𝑀1,𝑀2,满足ℎ(𝑀1)=ℎ(𝑀2)。原像攻击—给定适合长度的比特串𝐻，攻击目标是找到数据串𝑀，满足ℎ(𝑀)=𝐻。第二原像攻击—给定数据串𝑀，攻击目标是找到另外一个数据串𝑀′，满足ℎ(𝑀′)=ℎ(𝑀)𝑀′≠长度延长攻击—给定比特串ℎ(𝑀)，其中𝑀为未知的非空数据串，攻击目标是找到任意数据串𝑀′以及ℎ(𝑀∥𝑀′)。通用攻击是一种适用于所有杂凑函数且不依赖于杂凑函数具体构造的攻击。示例：暴力搜索原像攻击。给定一个杂凑值，攻击者尝试所有可能的数据串𝑀，计算ℎ(𝑀)的值，并将结果与给定的杂凑值进行比较，如果两者匹配，则