国家标准《信息安全技术 杂凑函数 第1部分：总则》（征求意见稿）编制说明

国家标准报批材料一、工作简况1.1任务来源根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术散列函数第1部分：概述》由成都卫士通信息产业股份有限公司负责承办，计划号：20230242-T-469。本标准由全国信息安全标准化技术委员会（TC260）归口管理。2023年1月11日，成都卫士通信息产业股份有限公司更名为中电科网络安全科技股份有限公司，本次公司名称变更不涉及法律主体变化。该任务由中电科网络安全科技股份有限公司负责承办。1.2制定背景GB/T18238.1—2000《信息技术安全技术散列函数第1部分：概述》国家标准等同采用了国际标准ISO/IEC10118-1:1994，该标准已经使用了20多年，目前出现了部分技术内容过时的问题，同时一些专业名词术语、叙述语言文字也较为陈旧，不能够很好地指导现实应用，也不能够支撑当前国家标准体系。与此同时，相对应的国际标准已经更新到第三版ISO/IEC10118-1:2016，又在2021年增加了补篇ISO/IEC10118-1:2016/AMD1:2021。为促进GB/T18238.1技术内容进步，使之与当前网络安全国家标准协调统一，亟待修订完善GB/T18238.1—2000。2021年11月16日，申报团队在信安标委会议周WG3工作组汇报了针对该标准的调研情况，并提出了修订建议，主要包括参考国际标准ISO/IEC10118-1:2016和其补篇ISO/IEC10118-1:2016/AMD1:2021，引入杂凑函数的一般模型，调整填充方法，完善语言文字等。WG3工作组经过详细研讨，认为该系列标准从密码设计的角度规范了杂凑函数的一般模型和几条设计路线，并给出了算法示例，具备一定学术研究价值，有必要修订完善。此次修订GB/T18238.1—2000的目的是解决其技术内容与当前国家标准标准体系不协调的问题，使之符合国家法律法规和相关政策要求。特别地，此次修订并无纳入新算法的考虑。本标准由中电科网络安全科技股份有限公司牵头，参与单位包括国家密码管理局商用密码检测中心、中国电子技术标准化研究院、中国科学院信息工程研究所、中国科学院软件研究所、中国科学院大学、山东大学、西安西电捷通无线网络通信股份有限公司、格尔软件股份有限公司、北京信安世纪科技股份有限公司、山东得安信息技术有限公司、华为技术有限公司、北京江南天安科技有限公司、智巡密码（上海）检测技术有限公司等、北京海泰方圆科技股份有限公司。另有北京银联金卡科技有限公司、中国电子科技集团公司第十五研究所给予了技术支持。1.3起草过程2022年3月，按照全国信息安全标准化技术委员会（以下简称“信安标委”）的要求，申报团队提交《信息安全技术散列函数第1部分：概述》标准草案并准备立项材料。2022年4月,申报团队在WG3工作组2022年第一次全体会议上进行了立项答辩，WG3工作组听取成员单位意见建议，推荐本标准立项。2022年7月，信安标委组织2022年网络安全国家标准立项专家评审会，同意本标准立项。2022年7月～2022年11月成立了编制组，重点对标准的范围、框架及主要技术内容进行了多次内部研讨，明确了标准草案的编制思路，完善了草案。2022年12月5日，编制组在WG3工作组2022年第二次全体会议上汇报了修订进展，根据工作组意见建议进一步完善了标准草案。2023年1月12日，编制组在北京参加网络安全国家标准专家审查会，汇报了标准编制情况，并根据专家意见完善了标准文本，将标准名称变更为《信息安全技术杂凑函数第1部分：总则》，形成征求意见稿。2023年5月，为进一步提升标准质量，检验标准适用性和可操作性，编制组开始试点验证工作。2023年5月30日，编制组在昆明参加全国信息安全标准化技术委员会2023年第一次“标准周”活动，在WG3工作组汇报了标准修订情况，并根据专家意见进一步完善了标准草案。二、标准编制原则、主要内容及其确定依据2.1标准编制原则本标准在编制过程中，遵循以下几个原则：1) 可行性原则：标准必须是可用的，才有实际意义，本标准在编制过程中始终坚持与相关密码产品生产单位、用户单位以及主管部门保持联系，使标准能够更好地应用到信息系统的开发、检测、选购等多方面，同时结合我国的实际情况，使标准的可操作性更强。2) 合规性原则：本标准与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。3) 科学性原则：本标准的修订主要参考ISO/IEC10118-1:2016Informationtechnology-Securitytechniques-Hash-functions-Part1:General和ISO/IEC10118-1:2016/Amd1:2021Paddingmethodsforspongefunctions中对杂凑函数的要求和规范，并立足于当前国内信息系统安全的实际状况，对GB/T18238.1—2000《信息技术安全技术散列函数第1部分：概述》进行修订，全方位地提出科学、完整、可行的技术规范。4)可用性原则：本标准通过规范杂凑函数的描述方法和使用要求，将统一主管部门、检测机构、科研院所和应用厂商对杂凑函数的理解和认识，规范具体杂凑函数在相关技术和产品中落地应用，切实提高网络通信等领域的数据安全保障能力。2.2主要内容及其确定依据本标准参考国际标准ISO/IEC10118-1:2016和ISO/IEC10118-1:2016/Amd1:2021，修订国家标准GB/T18238.1—2000，拟解决杂凑函数的统一描述问题，规范杂凑函数的描述方法，指导本标准后续部分规定具体的杂凑函数。本标准主要内容如下：规定了GB/T18238系列标准所共用的定义、符号和要求作为GB/T18238系列标准的第1部分：总则，本标准统一规定了该系列标准所共用的定义、符号和要求。与原标准相比，删除了ISO/IEC前言；增加了GB/T25069—2022规范性引用文件；根据国家标准GB/T25069—2022中的定义，将术语“无碰撞散列函数”更改为“抗碰撞杂凑函数”；增加了“输出变换”、“轮函数”等常见术语；增加了“Bi规范了杂凑函数的通用模型及使用方法考虑到杂凑函数的现有模型成熟，能够覆盖实际应用情况，因此本标准在原标准的基础上，给出了杂凑函数的通用模型描述。其中，提出了用于GB/T18238后续部分的轮函数；规定了杂凑操作过程，包括填充、分割、迭代、输出变换四个步骤；规定了通用模型的使用方法，定义了一个杂凑函数应包括参数长度、填充方法、初始向量、轮函数、输出变换等。给出了杂凑函数的填充方法本标准以资料性附录的方式，说明了杂凑函数的数据填充方法。杂凑值的计算需要选择一种填充方法，使得填充后的数据串满足相应的长度要求。原标准中提供了两种填充方法。通过参考国际标准ISO/IEC10118-1:2016Informationtechnology-Securitytechniques-Hash-functions-Part1:General，本标准删除了原标准的第一种填充方法，保留第二种填充方法，并且增加了一种新的填充方法。新方法通过引入一个与数据串长度相关的参数，使得填充更加灵活且具有针对性。说明了杂凑函数相关的安全性注意事项本标准以资料性附录的方式，说明了对杂凑函数的安全性考虑。其中，描述了与杂凑函数相关的几种典型攻击目标，包括碰撞攻击、原像攻击、第二原像攻击、长度延长攻击和通用攻击；分析了密码攻击对杂凑函数安全性的影响，包括杂凑函数抵抗潜在攻击能力的衡量方法、密码攻击效率的决定因素、密码攻击复杂性的定义方式，并给出了杂凑函数安全性分析的具体示例。2.3修订前后技术内容的对比[适用于国家标准修订项目]本标准代替GB/T18238.1—2000《信息技术安全技术散列函数第1部分：概述》，与GB/T18238.1—2000相比，除了结构调整和编辑性改动外，主要技术变化如下：增加了GB/T25069—2022规范性引用文件；更改了术语“无碰撞散列函数”为“抗碰撞杂凑函数”；更改了术语“散列码”为“杂凑值”；增加了术语“输出变换”、“轮函数”等；增加了符号Bi、Di、Hi、ℎ、L1、L2、n、q增加了第6章“杂凑函数的通用模型”；删除了附录A关于初始化值的指南、附录C参考标准；删除了附录B中填充方法1，将填充方法2调整为填充方法1，增加了填充方法2，将附录B调整为附录A；增加了资料性附录B，介绍安全性注意事项。三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益和生态效益3.1试验验证的分析、综述报告编制组调研了杂凑函数的分析进展和应用情况，考察了通用模型和填充方法，形成了研究报告。本标准涉及的技术内容经历了长期的学术研究和实际应用，相关定义和模型等都较为成熟；本标准后续部分规定的具体杂凑函数具备充分的安全强度和实用价值，进一步试验验证了本标准的技术内容。3.2技术经济论证本标准定义了杂凑函数的概念、通用模型、基本操作方法等，为该系列标准规定具体杂凑函数提供了技术基础，适用于密码、信息安全领域的主管部门、检测机构、科研院所和应用厂商掌握杂凑函数的描述方法，理解使用本标准后续部分规定的具体杂凑函数。3.3预期的经济效益、社会效益和生态效益本标准解决了杂凑函数的统一描述问题，规范杂凑函数的描述方法，指导本标准后续部分规定具体的杂凑函数，将有助于统一主管部门、检测机构、科研院所和应用厂商对杂凑函数的理解和认识，规范具体杂凑函数在相关技术和产品中落地应用，切实提高网络通信等领域的数据安全保障能力。杂凑函数是用于保障完整性的密码算法，是电子签名、数字证书等重要密码系统和IPSec、SSL、3GPP等网络安全协议不可或缺的核心技术。其推广应用领域包括数字证书、金融密码系统和产品、社会保障信息系统、国家电网等涵盖国家重大基础设施的各个环节及各类电子产品，将有助于保障国家关键信息基础设施安全，产生显著的社会经济效益。四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、样机的有关数据对比情况本项目修改采用国际标准ISO/IEC10118-1:2016和ISO/IEC10118-1:2016/Amd1:2021，形成的国家标准与国际标准在杂凑函数的填充方法等方面存在差异。五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标准，并说明未采用国际标准的原因本标准修改采用国际标准ISO/IEC和ISO/IEC10118-1:2016/Amd1:2021，与这两个标准的技术性差异及原因如下：——增加了“引言”，将“范围”中关于杂凑函数的介绍内容移至“引言”；——增加了规范性引用文件GB/T25069—2022；——增加了符号n、q；——删除了规范性附录B“ISO/IEC10118（所有部分）采纳杂凑函数的原则”；——删除了ISO/IEC10118-1:2016/Amd.1:2021的填充方法3，因为本系列文件规定的杂凑函数未使用该填充方法。本标准做了下列编辑性改动：——为与我国技术标准体系协调，将标准名称更改为《信息安全技术杂凑函数第1部分：总则》；——增加了ISO/IEC10118-1:2016/Amd.1:2021的内容；——删除了资料性附录C.3中的示例1；——更改了参考文献。六、与有关法律、行政法规及相关标准的关系本标准在编制过程中，已经查阅了《网络安全法》、《密码法》、《中华人民共和国电子签名法》等相关法规，确保本标准的内容遵守相关法律规定。同时，本标准的编制参考了GB/T36624—2018（所有部分）《信息技术安全技术消息鉴别码》、GB/T25069—2022《信息安全技术术语》等国家标准，确保相关定义、术语等与这些标准保持一致。此外，本标准的内容与我国现行的其它国家标准、国家军用标准、行业标准不存在冲突问题。七、重大分歧意见的处理经过和依据暂无。八、涉及专利的有关说明暂无。九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期的建议等措施建议原标准GB/T18238.1—2000等同采用国际标准ISO/IEC10118-1:1994Informationtechnology-Securitytechniques-Hash-functions-Part1:General，由于制定时间较早，叙述语言陈旧，并且技术内容远远落后于国际标准的最新版本。本标准以最新国际标准ISO/IEC10118-1:2016为基础，并参考ISO/IEC