《信息安全技术 公钥基础设施 电子签名卡应用接口测试规范》编制说明

信息技术安全技术消息鉴别码第2部分

采用专用杂凑函数的机制

编制说明

中国科学院软件研究所

信息安全国家重点实验室

2011年1月

《信息技术安全技术消息鉴别码采用专用杂凑函数的机制》编制说明中国科学院软件研究所

1

《信息技术安全技术消息鉴别码采用专用杂凑函数的机制》编制说明中国科学院软件研究所

1编制背景

根据国家标准化管理委员会2009年下达的国家标准制修订计划，国家标准

《信息技术安全技术消息鉴别码采用专用杂凑函数的机制》标准制定项目由

中国科学院软件研究所信息安全国家重点实验室负责主办。另外，全国信息安全

标准化技术委员会（SAC/TC260）在“2009年国家信息安全标准制订工作专项”

中下达了GB15852.2-XXXX《信息技术安全技术消息鉴别码采用专用杂凑函数

的机制》标准编制项目。

采用专用杂凑函数的消息鉴别码有着运行速度快、结构明确清晰、实现代价

小、升级代价小等诸多优点，国际标准化组织早在2002年就颁布了ISO/IEC

9797-2：2002《信息技术安全技术消息鉴别码第2部分：采用专用杂凑函数

的机制》。而在我们国家的标准体系中，目前还没有采用专用杂凑函数的消息鉴

别码算法标准，相关行业对此类消息鉴别码算法的选择与应用缺乏依据。因此，

标准化采用专用杂凑函数的消息鉴别码算法，有助于规范国内各行业对此类消息

鉴别码算法的选择与应用，推动国家信息安全算法标准化的进程。

国际标准ISO/IEC9797-2:2002采用三种专用杂凑函数，分别是RIPEMD-160、

RIPEMD-128和SHA-1，这三种专用杂凑函数有着类似的设计思路。考虑到最近几

年学术界对这三种专用杂凑函数的深入研究和各种攻击，为保证本标准在使用过

程中的多样性和持久性。我们在本标准中增加一种备选的专用杂凑函数

WHIRLPOOL。WHIRLPOOL是ISO/IEC10118-3:2004中的专用杂凑函数7，它的设

计思路与前面三种专用杂凑函数截然不同，因此它的安全性不会因为其它专用杂

凑函数的安全性降低而降低。标准计划号为：20090330-T-469。

2编制原则和依据

本标准的编制原则是先进性和兼容性。良好的标准应对技术的发展起到推动

作用，它要有一定的前瞻性。作为标准不仅要适合我国当前的发展水平，而且要

考虑到与国际的接轨。因此，在采用专用杂凑函数的消息鉴别码标准的编制中，

我们应吸收国际最新的研究成果。这样使得我们的标准能满足信息安全技术进一

1

《信息技术安全技术消息鉴别码采用专用杂凑函数的机制》编制说明中国科学院软件研究所

步发展的需要。同时我们所编制的《采用专用杂凑函数的消息鉴别码》是全国信

息安全标准化委员会的系列标准之一，与现行的国家信息安全方面的相关标准、

条例保持一致。《采用专用杂凑函数的消息鉴别码》还应于相关的国际技术标准

兼容，尤其是ISO/IEC9797-2：2002。

GB15852.2-XXXX修改采用了ISO/IEC9797-2：2002《信息技术安全技术消

息鉴别码第2部分：采用专用杂凑函数的机制》。编制依据包括：

ISO/IEC9797-2:2002《信息技术安全技术消息鉴别码第2部分：采

用专用杂凑函数的机制》

ISO/IEC10118-3:2004《信息技术安全技术杂凑函数第3部分：专

用杂凑函数》

ISO/IEC10118-3：2004《信息技术安全技术散列函数第3部分：专

用散列函数》的2006年的补充材料（HASH函数8：SHA-224）

GB/T18238.3-2002信息技术安全技术散列函数第3部分：专用散

列函数（idtISO/IEC10118-3:1998）

GB/T1.1-2000《标准化工作导则第1部分：标准的结构和编写规则》

3编制过程说明

2009年4月2日下午在北京应物会议中心召开了标准编制项目会议，在会议

中安标委秘书处介绍并部署了本次项目编制的任务。会议确定中国科学院软件研

究所为负责单位，吴文玲研究员为负责专家进行“GB15852.2-XXXX《信息技术安

全技术消息鉴别码采用专用杂凑函数的机制》”的编制工作。

课题相关的主要标准包括：ISO/IEC9797-2:2002《信息技术安全技术消

息鉴别码第2部分：采用专用杂凑函数的机制》，GB/T18238.3-2002信息技术

安全技术散列函数第3部分：专用散列函数（idtISO/IEC10118-3:1998），

ISO/IEC10118-3：2004《信息技术安全技术散列函数第3部分：专用散列函

数》，ISO/IEC10118-3：2004《信息技术安全技术散列函数第3部分：专用

散列函数》的2006年的补充材料（HASH函数8：SHA-224）。

ISO/IEC10118-3：2004包含的专用散列算法有：

2

《信息技术安全技术消息鉴别码采用专用杂凑函数的机制》编制说明中国科学院软件研究所

专用散列算法1：RIPEMD-160

专用散列算法2：RIPEMD-128

专用散列算法3：SHA-1

专用散列算法4：SHA-256

专用散列算法5：SHA-512

专用散列算法6：SHA-384

专用散列算法7：WHIRLPOOL

GB/T18238.3-2002

专用散列算法1：RIPEMD-160

专用散列算法2：RIPEMD-128

专用散列算法3：SHA-1

课题组对上述标准进行了研究与分析，通过研究消息鉴别码算法的设计原理

和安全性，调研专用杂凑函数的分析现状，确认本次编制的国家标准是国际标准

的修改采用。首先我们组织人员对ISO/IEC9797-2:2002进行了标准文本的翻译、

录入和整理；二是依据最新国际专用杂凑函数标准，以及SHA系列专用杂凑函数

所面临的安全问题，在保留GB/T18238.3-2002主体的基础上，增加了基于

ISO/IEC10118-3:2004中专用杂凑函数7WHRILPOOL的MAC生成方法及例子；

三是对内容的正确性进行检查，更新了附录和参考文献的内容；最后是依据GB/T

1.1-2000对结构和编写进行规范。

2009年5月7日完成《信息技术安全技术消息鉴别码采用专用杂凑函数

的机制》标准草案，向WG4工作组的各成员单位和相关专家征求意见。

2009年10月15日，专家意见返回。

2010年1月23日，WG4组织了专家审查会，课题负责人介绍了依据专家意

见修改的新版本，并回答了专家的质询。专家组同意标准草案通过审查，建议编

制组根据专家意见修改后提交WG4工作组成员单位进行表决。

2010年4月，根据专家意见修改后提交WG4工作组

2010年5月，在WG4工作组内进行的投票中，获得全票通过。同时投票单位

提出一些文字修正意见，编制组根据意见进行了修改，形成征求意见稿。

2010年9月28日—10月28日，征求七大部门意见并面向社会在安标委网

3

《信息技术安全技术消息鉴别码采用专用杂凑函数的机制》编制说明中国科学院软件研究所

站上对标准征求意见稿征求意见。根据意见进行修改完善后，形成送审稿。

2010年11月-12月，收到7个部门的反馈意见，编制组对其进行了处理，

经过内部讨论，对标准进行进一步修订，形成了标准送审稿；

2010年12月30日—2011年1月15日，就标准送审稿征求安标委全体委员

意见，并对反馈意见进行了处理，修改完善了标准送审稿。

2011年1月16日—2011年1月19日，征求安标委全体委员意见；并对反

馈意见进行了处理，经过小组内部讨论修改，形成标准报批稿。

4编制内容具体说明和要点

GB15852.2-XXXX修改采用ISO/IEC9797-2：2002《信息技术安全技术消

息鉴别码第2部分：采用专用杂凑函数的机制》，在保留GB/T18238.3-2002

主体的基础上，增加了基于ISO/IEC10118-3:2004中专用杂凑函数7WHRILPOOL

的MAC生成方法及例子。

4.1标题、目次和前言的编制

下面是依据按照GB/T1.1-2000对标准进行的规范性编制。

1．标题

依据GB15852.2-2008和ISO/IEC9797-2:2002，采用《信息技术安全

技术消息鉴别码第2部分采用专用杂凑函数的机制》。

2．前言

按照GB/T1.1-2000进行修改和整理。

3．ISO/IEC前言

按照GB/T1.1-2000删除国际标准的前言。

4．引言

依据ISO/IEC9797-2:2002进行了修改。简述了3个MAC算法，介绍了

本标准中用到的4个专用杂凑函数的出处。说明了使用的专用杂凑函数也可

4

《信息技术安全技术消息鉴别码采用专用杂凑函数的机制》编制说明中国科学院软件研究所

以为国家密码管理部门公开发布的专用杂凑函数。

5范围

等同ISO/IEC9797-2:2002。

6.引用标准

a)改为“规范性引用文件”，应采用按照GB/T1.1-2000规定的引导语

（见GB/T1.1-2000P55）：

“下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注

明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订

版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否

可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适

用于本标准”。

b)规范性引用文件已经更新：

按照GB/T1.1-2000，尽量使用国标，最好使用最新版本。具体引用标准

如下：

GB/T9387.2-1995信息处理系统开放系统互连基本参考模型第2部分：

安全体系结构（idtISO7498-2：1989)

GB/T18238.1-2000信息技术安全技术散列函数第1部分：概述（idt

ISO/IEC10118-1:1994）

GB/T18238.3-2002信息技术安全技术散列函数第3部分：专用散列

函数（idtISO/IEC10118-3:1998）

ISO/IEC10118-3：2004信息技术安全技术杂凑函数第3部分：专用

杂凑函数

GB/T1988-1998信息技术信息交换用七位编码字符集（eqvISO/IEC

646：1991）

其中ISO/IEC10118-3：2004在ISO/IEC9797-2:2002引用标准基础上

增加的引用，是因为本标准增加了一种备选专用杂凑函数WHIRLPOOL出

自ISO/IEC10118-3：2004。

5

《信息技术安全技术消息鉴别码采用专用杂凑函数的机制》编制说明中国科学院软件研究所

4.2定义和记法的编制

依据ISO/IEC9797-2:2002分为两部分：

1.术语和定义

等同ISO/IEC9797-2:2002的第3章。

2.符号和记法

在ISO/IEC9797-2:2002的第4章的基础上，增加了对WHIRLPOOL中修

改常数的符号表示，即CCi，专用杂凑函数4中用到的常数矩阵。

4.3要求的编制

修改了ISO/IEC9797-2:2002的第5章，将“从GB/T18238.3中的1、2、

3中选取一个散列函数”修改为“从GB/T18238.3-2002中的专用杂凑函数1、2、

3或ISO/IEC10118-3：2004中的专用杂凑函数7中选取一个杂凑函数”。

4.4正文的编制

1.由于WHIRLPOOL的引入，修改了ISO/IEC9797-2:2002中第6章部分语

句的表述；

将“散列函数应当从GB/T18238.3-2002中的专用杂凑函数1、2、3中选取”

修改为“散列函数应当从GB/T18238.3-2002中的专用杂凑函数1、2、3或ISO/IEC

10118-3：2004中的专用杂凑函数7中选取”。

将“本条款包括MDx-MAC的描述[5]。具体来讲，若采用专用杂凑函数1，

MAC算法1也被称作RIPEMD-160-MAC；若采用专用杂凑函数2，MAC算法1也

被称作RIPEMD-128-MAC；若采用专用杂凑函数3，MAC算法1也被称作

SHA-1-MAC。”修改为“本条款包括MDx-MAC的描述[5]。具体来讲，若采用专用

杂凑函数1，MAC算法1也被称作RIPEMD-160-MAC；若采用专用杂凑函数2，

MAC算法1也被称作RIPEMD-128-MAC；若采用专用杂凑函数3，MAC算法1也

被称作SHA-1-MAC；若采用专用杂凑函数4（即ISO/IEC10118-3：2004中的专

用杂凑函数7），MAC算法1也被称作WHIRLPOOL-MAC。”

6

《信息技术安全技术消息鉴别码采用专用杂凑函数的机制》编制说明中国科学院软件研究所

将“ISO/IEC10118-3中的散列函数1、2、3满足这些条件”修改为“GB/T

18238.3-2002中的散列函数1、2、3和ISO/IEC10118-3：2004中的散列函数7

满足这些条件”。

2.修改了对标准的引用；

将“从比特串到字的转换，需要规定字节的排列顺序。在这里的转换中，采

用ISO/IEC10118-3中对所有专用杂凑函数规定的字节排列顺序”修改为“从比

特串到字的转换，需要规定字节的排列顺序。在这里的转换中，采用GB/T

18238.3-2002中对所有专用杂凑函数规定的字节排列顺序”。

3.将6.3小节的内容移动到新建的第9章，并增加一节9.4，介绍对专用

杂凑函数4的常数修改说明。

4.5附录的编制

1.所有附录类型改为资料性附录。

2.附录A

a)在ISO/IEC9797-2:2002附录A的基础上，增加了使用WHORLPOOL

生成MAC的例子；

b)修改了对标准的引用，将“在整个附录中，我们对消息比特串采用

ASCII编码，它等价于ISO/IEC646中的编码。”修改为“在整个附

录中，我们对消息比特串采用ASCII编码，它等价于GB/T1988-1998

中的编码。”；

3.附录B

根据近几年的研究情况，增加了侧信道攻击、可证明安全和一般攻击的分析

结果；

4.参考文献

a)用ISO16609：2004取代了ISO9807：1991；

b)增加了对3种MAC算法的最新分析文献[6-13]。

7

《信息技术安全技术消息鉴别码采用专用杂凑函数的机制》编制说明中国科学院软件研究所

5WHIRPOOL修改常数方法的说明

WHIRPOOL算法的状态矩阵是8*8的，其中每个元素占8比特。常数加都是位

于状态矩阵的第一行。在MAC算法1中，子密钥K1的长度为128比特。在修改

WHIRPOOL算法轮常数的时候，K1被分为32比特长度的四块K1[0],K1[1],K1[2]

和K1[3]，分别用来修改原算法中不同轮数的常数。如下图所示：

图1修改位置

原WHIRPOOL算法中常数矩阵除了第一行以外都是0。如果我们将K1模加到

第一行，则需要进行一次额外的操作。因