国家标准《信息安全技术 杂凑函数-第3部分：专门设计的杂凑函数》（征求意见稿）编制说明

国家标准报批材料一、工作简况1.1任务来源根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术散列函数第3部分：专用散列函数》由成都卫士通信息产业股份有限公司负责承办，计划号：20230244-T-469。该标准由全国信息安全标准化技术委员会（TC260）归口管理。2023年1月11日，成都卫士通信息产业股份有限公司更名为中电科网络安全科技股份有限公司，本次公司名称变更不涉及法律主体变化。该任务由中电科网络安全科技股份有限公司负责承办。1.2制定背景GB/T18238.3—2002《信息技术安全技术散列函数第3部分：专用散列函数》国家标准等同采用了国际标准ISO/IEC10118-3:1998，该标准已经使用了20多年，技术内容已经过时，算法的安全强度不能够保障现实应用，不符合我国密码应用的管理要求。具体地，经过近些年密码研究的深入分析以及软硬件计算能力的不断提升，该标准规范的三个密码算法都出现了安全强度不足的问题。专用散列函数1（RIPEMD-160）的输出值仅有160比特，不能够为现实密码应用提供足量的安全保障。我国早在2010年12月发布的SM3密码杂凑算法的输出长度就已经达到了256比特；专用散列函数2（RIPEMD-128）的输出长度仅为128比特，而且密码研究者已经找到了其压缩函数的碰撞（复杂度2^61.57），破解了该算法；专用散列函数3（SHA-1）输出长度160比特，也被密码专家找到了选择前缀碰撞（复杂度2^69）。国家密码管理局早在2017年4月就发布了《关于使用SHA-1密码算法的风险提示》。同时，该标准文本中的一些专业名词术语、叙述语言文字也较为陈旧，不能够很好地指导现实应用，也不能够支撑当前国家标准体系。而其采用的国际标准已经更新到第四版ISO/IEC10118-3:2018。为促进GB/T18238.3技术内容进步，使之与当前网络安全国家标准协调统一，亟待修订完善GB/T18238.3—2002。2021年11月16日，申报团队在信安标委会议周WG3工作组汇报了针对该标准的调研情况，并提出了修订建议，主要包括参考国际标准ISO/IEC10118-3:2018，充分调研该标准规范的三个杂凑算法的学术研究进展和工业应用情况，评估算法适用性，剔除安全强度不足的算法，并完善语言文字等。WG3工作组经过详细研讨，认为该系列标准从密码设计的角度规范了专门设计的杂凑函数，具备一定学术研究价值，有必要修订完善。此次修订GB/T18238.3—2002的目的是解决该标准现有技术内容与当前国家标准体系不协调的问题，使之符合国家法律法规和相关政策要求。特别地，此次修订无纳入新算法的考虑。此次修订解决了原标准GB/T18238.3—2002的协调性问题，使之符合国家法律法规及相关政策的要求，同时也通过规定具体的模型，为未来纳入新算法做好了标准化技术准备。如果当前个别场景存在使用新算法的需求，可以在充分技术论证评估的基础上，向相关管理部门申请并获得批准后使用。对于是否引进国际算法的考虑，编制组经过讨论后建议，可以在充分技术论证评估的基础上，本着平等互惠的原则，双方国家同步纳入对方国家的标准算法。该标准由中电科网络安全科技股份有限公司牵头，参与单位包括中国科学院大学、国家密码管理局商用密码检测中心、中国电子技术标准化研究院、山东大学、中国科学院软件研究所、西安西电捷通无线网络通信股份有限公司、格尔软件股份有限公司、北京信安世纪科技股份有限公司、山东得安信息技术有限公司、华为技术有限公司、智巡密码（上海）检测技术有限公司、北京江南天安科技有限公司、北京海泰方圆科技股份有限公司。另有北京银联金卡科技有限公司、中国电子科技集团公司第十五研究所给予了技术支持。1.3起草过程2022年3月，按照全国信息安全标准化技术委员会（以下简称“信安标委”）的要求，申报团队提交《信息安全技术散列函数第3部分：专用散列函数》标准草案并准备立项材料。2022年4月，申报团队在WG3工作组2022年第一次全体会议上进行了立项答辩，WG3工作组听取成员单位意见建议，推荐该标准立项。2022年7月，信安标委组织2022年网络安全国家标准立项专家评审会，同意该标准立项。2022年7月～2022年11月成立了编制组，重点对标准的范围、框架及主要技术内容进行了多次内部研讨，明确了标准草案的编制思路，完善了草案。2022年12月5日，编制组在WG3工作组2022年第二次全体会议上汇报了修订进展，根据工作组意见建议进一步完善了标准草案。2023年1月12日，编制组在北京参加网络安全国家标准专家审查会，汇报了标准编制情况，并根据专家意见完善了标准文本，将标准名称变更为《信息安全技术杂凑函数第3部分：专门设计的杂凑函数》，形成征求意见稿。2023年5月，为进一步提升标准质量，检验标准适用性和可操作性，编制组开始试点验证工作。2023年5月30日，编制组在昆明参加全国信息安全标准化技术委员会2023年第一次“标准周”活动，在WG3工作组汇报了标准修订情况，并根据专家意见进一步完善了标准草案。二、标准编制原则、主要内容及其确定依据2.1标准编制原则本文件在编制过程中，遵循以下几个原则：1) 可行性原则：标准必须是可用的，才有实际意义，本文件在编制过程中始终坚持与相关密码产品生产单位、用户单位以及主管部门保持联系，使标准能够更好地应用到信息系统的开发、检测、选购等多方面，同时结合我国的实际情况，使标准的可操作性更强。2) 合规性原则：本文件与我国现有的政策、法规、标准、规范等相一致。编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政策、法律和法规。3) 科学性原则：本文件的修订主要参考ISO/IEC10118-3:2018ITSecuritytechniques-Hashfunctions-Part3:Dedicatedhash-functions中对杂凑函数的要求和规范，并立足于当前国内信息系统安全的实际状况，对GB/T18238.3—2002《信息技术安全技术散列函数第3部分：专用散列函数》进行修订，全方位地提出科学、完整、可行的技术规范。4)可用性原则：本文件通过规范杂凑函数的描述方法和使用要求，将统一主管部门、检测机构、科研院所和应用厂商对杂凑函数的理解和认识，规范具体杂凑函数在相关技术和产品中落地应用，切实提高网络通信等领域的数据安全保障能力。2.2主要内容及其确定依据本文件参考国际标准ISO/IEC10118-3:2018，修订国家标准GB/T18238.3—2002，拟规范专门设计的杂凑函数。本文件主要内容如下：规定了专门设计的杂凑函数模型：基于轮函数的通用模型。引用GB/T32905规定的专门设计的杂凑函数SM3，作为基于轮函数的通用模型的示例。此次修订参考国际标准ISO/IEC10118-3:2018规范了轮函数模型。针对此次修订删除了原标准中三个安全强度不足的算法，而缺少算法示例的情况，在标准中引用了GB/T32905规定的专门设计的杂凑函数SM3，作为本标准6.2规定的轮函数模型的示例。此次修订解决了原标准GB/T18238.3—2002的协调性问题，使之符合国家法律法规及相关政策的要求，同时也通过规定具体的模型，为未来纳入新算法做好了标准化技术准备。如果当前个别场景存在使用新算法的需求，可以在充分技术论证评估的基础上，向相关管理部门申请并获得批准后使用。对于是否引进国际算法的考虑，编制组经过讨论后建议，可以在充分技术论证评估的基础上，本着平等互惠的原则，双方国家同步纳入对方国家的标准算法。2.3修订前后技术内容的对比[适用于国家标准修订项目]本文件代替GB/T18238.3—2002《信息技术安全技术散列函数第3部分：专用散列函数》，与GB/T18238.3—2002相比，除了结构调整和编辑性改动外，主要技术变化如下：更改了规范引用文件，删除GB/T1988—1998、GB/T18238.1—2000，增加GB/T18238.1—202X、GB/T25069—2022、GB/T32905—2016；删除了术语“散列函数标识符”、“循环函数”及定义；删除了符号“ai”、“a删除了专门设计的杂凑函数1、杂凑函数2和杂凑函数3；增加了专门设计的杂凑函数SM3；更改了附录A实例为附录A对象标识符；删除了附录B和附录C。三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益和生态效益3.1试验验证的分析、综述报告通过调研目前学术界对杂凑函数的安全分析现状，确定了基于轮函数的通用模型能够满足当前杂凑函数的应用需求，完成了关于专门设计的杂凑函数SM3等的分析结论和报告。具体地，专门设计的杂凑函数SM3目前还有较高的安全冗余度，抗原像攻击安全冗余度约50%((64-32)/64)，抗（伪）碰撞攻击安全冗余度约48%((64-33)/64)。3.2技术经济论证本文件定义了专门设计的杂凑函数模型，并以专门设计的杂凑函数SM3作为实例，适用于密码、信息安全领域的主管部门、检测机构、科研院所和应用厂商等研究、开发、检测、分析、应用等。3.3预期的经济效益、社会效益和生态效益本文件规范了专门设计的杂凑函数的通用模型，并以专门设计的杂凑算法SM3作为实例，有助于统一主管部门、检测机构、科研院所和应用厂商对专门设计的杂凑函数的理解和认识，规范杂凑函数在相关技术和产品中落地应用，切实提高网络通信等领域的数据安全保障能力。杂凑函数是用于保障完整性的密码算法，是电子签名、数字证书等重要密码系统和IPSec、SSL、3GPP等网络安全协议不可或缺的核心技术。其推广应用领域包括数字证书、金融密码系统和产品、社会保障信息系统、国家电网等涵盖国家重大基础设施的各个环节及各类电子产品，将有助于保障国家关键信息基础设施安全，产生显著的社会经济效益。四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、样机的有关数据对比情况本文件修改采用ISO/IEC10118-3:2018ITSecuritytechniques-Hashfunctions-Part3:Dedicatedhash-functions。本文件与ISO/IEC10118-3:2018相比做了如下结构调整：——第7章对应国际标准的第23章；——删除了国际标准的4.2、6.3、第7章至22章、附录B和附录C；本文件与ISO/IEC10118-3:2018的技术差异及原因如下：——增加了“引言”；——关于规范性引用文件，本部分做了具有技术性差异的调整，以适应我国的技术条件，调整的情况集中反映在第2章“规范性引用文件”中，具体调整如下：更改引用ISO/IEC10118-1为GB/T18238.1—202X；增加引用了GB/T25069—2022和GB/T32905—2016；——删除了术语“循环矩阵”“阿贝尔群”“域”及定义，因为本文件未使用这些术语；——删除了4.2，因为本文件未使用这些符号；——删除了海绵模型及相应内容，因为目前的杂凑函数实例未使用该模型；——删除了第7章至第22章，因为目前无标准化此类杂凑函数的需求；——在第7章简要描述了SM3算法，作为轮函数模型的示例，并引用GB/T32905—2016信息安全技术SM3密码杂凑算法；——删除了数值示例，因为不需要原杂凑函数的示例；——删除了SHA-3可扩展输出函数，因为目前无对SHA-3可扩展输出函数的标准化需求。本文件做了下列编辑性改动：——为与我国技术标准体系协调，将标准名称改为《信息安全技术杂凑函数第3部分专门设计的杂凑函数》；——更改了参考文献。五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标准，并说明未采用国际标准的原因本文件修改采用国际标准ISO/IEC10118-3:2018，该标准包含23章，包括概述、规范引用、术语与定义、符号、要求、专门设计的杂凑函数模型，以及RIPEMD-160、RIPEMD-160-128、SHA-1、SHA-256、SHA-512、SHA-384、WHIRLPOOL、SHA-224、SHA-512/224、SHA-512/256、STREEBOG-512、STREEBOG-256、SHA3-224、SHA3-256、SHA3-384、SHA3-512、SM3等专门设计的杂凑函数。本文件基于ISO/IEC10118-3:2018，以及我国杂凑函数应用现状和技术需求，采纳杂凑函数轮函数模型与SM3算法。六、与有关法律、行政法规及相关标准的关系本文件在编制过程中，已经查阅了《网络安全法》、《密码法》、《中华人民共和国电子签名法》等相关法规，确保本文件的内容遵守相关法律规定。本文件的编制参考了GB/T18238.1《信息安全技术杂凑函数第1部分：概述》、GB/T25069—2022《信息安全技术术语》、GB/T32905—2016《信息安全技术S