《信息安全技术 杂凑函数 第2部分：采用分组密码的杂凑函数》编制说明

国家标准报批材料

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安

全技术散列函数第2部分：采用n位块密码的散列函数》由成都卫士通信息产

业股份有限公司负责承办，计划号：20230243-T-469。该标准由全国信息安全标

准化技术委员会（TC260）归口管理。

2023年1月11日，成都卫士通信息产业股份有限公司更名为中电科网络安

全科技股份有限公司，本次公司名称变更不涉及法律主体变化。该任务由中电科

网络安全科技股份有限公司负责承办。

1.2制定背景

GB/T18238.2—2002《信息技术安全技术散列函数第2部分：采用n位

块密码的散列函数》国家标准等同采用了国际标准ISO/IECFDIS10118-2:2000，

该标准已经使用了20多年，目前出现了部分技术内容过时的问题。特别是，经

过近些年密码研究的深入分析以及软硬件计算能力的不断提升，其中规范的算法

2（MDC-2）已经被破解，不能够为现实应用提供足够的安全强度。同时，该标准

文本中的一些专业名词术语、叙述语言文字也较为陈旧，不能够很好地指导现实

应用，也不能够支撑当前国家标准体系。而其采用的国际标准已经更新到第三版

ISO/IEC10118-2:2010，又在2011年做过技术勘误ISO/IEC10118-2:2010/COR1:

2011。2021年10月，ISO/IECSC27/WG2经过研讨，确定ISO/IEC10118-2:2010

继续有效，不做修订。为促进GB/T18238.2技术内容进步，使之与当前网络安

全国家标准协调统一，亟待修订完善GB/T18238.2—2002。

2021年11月16日，申报团队在信安标委会议周WG3工作组汇报了针对该

标准的调研情况，并提出了修订建议，主要包括参考国际标准ISO/IEC

10118-2:2010及其ISO/IEC10118-2:2010/COR1:2011，充分调研该标准规范

的四个杂凑算法的学术研究进展和工业应用情况，评估算法适用性，剔除安全强

度不足的算法，并针对保留的算法采用SM4分组密码产生测试向量，完善语言文

字等。WG3工作组经过详细研讨，认为该系列标准从密码设计的角度规范了采用

分组密码的杂凑函数，具备一定学术研究价值，有必要修订完善。

此次修订GB/T18238.2—2002的目的是解决其技术内容与当前国家标准标

国家标准报批材料

准体系不协调的问题，使之符合国家法律法规和相关政策要求。特别地，此次修

订并无纳入新算法的考虑。

该标准由中电科网络安全科技股份有限公司牵头，参与单位包括国家密码管

理局商用密码检测中心、中国电子技术标准化研究院、中国科学院软件研究所、

山东大学、西安西电捷通无线网络通信股份有限公司、中国科学院信息工程研究

所、中国科学院大学、山东得安信息技术有限公司、华为技术有限公司、格尔软

件股份有限公司、智巡密码（上海）检测技术有限公司、北京江南天安科技有限

公司、北京信安世纪科技股份有限公司、北京海泰方圆科技股份有限公司。

另有北京银联金卡科技有限公司、北京航空航天大学、中国电子科技集团公

司第十五研究所给予了技术支持。

1.3起草过程

2022年3月，按照全国信息安全标准化技术委员会（以下简称“信安标委”）

的要求，申报团队提交《信息安全技术散列函数第2部分：采用n位块密码的

散列函数》标准草案并准备立项材料。

2022年4月,申报团队在WG3工作组2022年第一次全体会议上进行了立项

答辩，WG3工作组听取成员单位意见建议，推荐该标准立项。

2022年7月，信安标委组织2022年网络安全国家标准立项专家评审会，同

意该标准立项。

2022年7月～2022年11月成立了编制组，重点对标准的范围、框架及主要

技术内容进行了多次内部研讨，明确了标准草案的编制思路，完善了草案。

2022年12月5日，编制组在WG3工作组2022年第二次全体会议上汇报了

修订进展，根据工作组意见建议进一步完善了标准草案。

2023年1月12日，编制组在北京参加网络安全国家标准专家审查会，汇报

了标准编制情况，并根据专家意见完善了标准文本，将标准名称变更为《信息安

全技术杂凑函数第2部分：采用分组密码的杂凑函数》，形成征求意见稿。

2023年5月，为进一步提升标准质量，检验标准适用性和可操作性，编制

组开始试点验证工作。

2023年5月30日，编制组在昆明参加全国信息安全标准化技术委员会2023

年第一次“标准周”活动，在WG3工作组汇报了标准修订情况，并根据专家意见

国家标准报批材料

进一步完善了标准草案。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准在编制过程中，遵循以下几个原则：

1)可行性原则：标准必须是可用的，才有实际意义，本标准在编制过程中

始终坚持与相关密码产品生产单位、用户单位以及主管部门保持联系，使标准能

够更好地应用到信息系统的开发、检测、选购等多方面，同时结合我国的实际情

况，使标准的可操作性更强。

2)合规性原则：本标准与我国现有的政策、法规、标准、规范等相一致。

编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政

策、法律和法规。

3)科学性原则：本标准的修订主要参考ISO/IEC10118-2:2010

Informationtechnology-Securitytechniques-Hash-functions-Part2:

Hash-functionsusingann-bitblockcipher中对散列函数的要求和规范，

修订国家标准GB/T18238.2—2002《信息技术安全技术散列函数第2部分：

采用n位块密码的散列函数》，并立足于当前国内信息系统安全的实际状况，全

方位地提出科学、完整、可行的技术规范。

4)可用性原则：本标准可用于指导、规范采用分组密码算法的杂凑函数在

相关技术和产品中落地应用，切实提高网络通信等领域的数据安全保障能力。

2.2主要内容及其确定依据

本标准参考国际标准ISO/IEC10118-2:2010和ISO/IEC

10118-2:2010/Cor.1:2011，修订国家标准GB/T18238.2—2002，拟规定采用分

组密码的杂凑函数，适用于已经部署了分组密码算法的场景。本标准主要内容如

下：

1、规定了三种杂凑函数。第一种提供长度不大于的杂凑值，其中是所使

用的分组密码算法的分组长度。第二种提供长度等于2�的杂凑值；第三�种提供

长度等于3的杂凑值。GB/T18238的本部分指定的三�种杂凑函数都符合GB/T

18238.1中规�定的通用模型。

2、提供了一种将SM4分组密码算法（GB/T32907—2016）与本标准中规定

国家标准报批材料

的杂凑操作联合使用的方法，并给出了所有杂凑函数的计算示例。

2.3修订前后技术内容的对比[适用于国家标准修订项目]

本标准代替GB/T18238.2—2002《信息技术安全技术散列函数第2部分：

采用n位块密码的散列函数》，与GB/T18238.2—2002相比，除了结构调整和

编辑性改动外，主要技术变化如下：

a)更改了规范性引用文件，增加GB/T18238.1、GB/T25069—2022，删除

GB/T1988—1998、GB/T17964—2000、ISO/IEC10118-1:2000；

b)增加了“分组”等常见术语；

c)更改了符号和缩略语，将更改为，增加了、、、、、、

�

、、、、、、�、��、，删�除了���；��𝐼�1

�−�

d)�增2加�了�杂�凑函�数的�概�述∥；��⊕�≔��

e)删除了散列函数2并将散列函数3调整为杂凑函数2，散列函数4调整为杂

凑函数3；

f)调整了附录C；

g)增加了参考文献。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益和生态效益

3.1试验验证的分析、综述报告

本标准编制期间，围绕4种基于分组密码的通用杂凑函数，展开安全评估试

验，经过验证，这4种杂凑函数针对碰撞攻击、原像攻击以及第二原像攻击的安

全强度足够，现实应用无安全风险。具体地，杂凑函数1具有可证明安全的抗碰

撞攻击与抗原像攻击安全界，达到了设计目标，当其采用SM4分组密码算法时，

杂凑函数1目前尚无安全问题。杂凑函数2的抗碰撞攻击安全界低于生日界，未

达到安全设计目标，我们在本标准文本中将之删除。杂凑函数3与4的压缩函数

的抗碰撞攻击与抗原像攻击的可证明安全界低于设计者的预期，安全界均高于

比特但低于2比特理想杂凑函数的安全性。具体安全性性分析形成相应的综述�

报告《GB/T1�8238杂凑函数的安全评估现状》。

3.2技术经济论证

本标准定义了采用分组密码算法的杂凑函数的描述方法和使用要求，适用于

国家标准报批材料

密码、信息安全领域的主管部门、检测机构、科研院所和应用厂商掌握杂凑函数

的描述方法，指导部分场景中使用分组密码算法提供数据完整性保护等。

3.3预期的经济效益、社会效益和生态效益

本标准规范了3种采用分组密码算法的杂凑函数，将有助于统一主管部门、

检测机构、科研院所和应用厂商对杂凑函数的理解和认识，规范具体杂凑函数在

相关技术和产品中落地应用，切实提高网络通信等领域的数据安全保障能力。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

本标准修改采用ISO/IEC10118-2:2010Informationtechnology-

Securitytechniques-Hash-functions-Part2:Hash-functionsusingan

n-bitblockcipher。

本标准与ISO/IEC10118-2:2010相比做了下述结构调整：

——第7章对应ISO/IEC10118-2:2010的第8章；

——第8章对应ISO/IEC10118-2:2010的第9章；

——删除了ISO/IEC10118-2:2010的第7章。

本标准与ISO/IEC10118-2:2010技术差异及原因如下：

——增加了规范性引用文件GB/T25069—2022；

——增加了、、、、、、、、、、、、、、

，完善�了�符�号�定义�；�𝐼�1�2������∥��⊕�≔

——�更改了6.1概述，将“本章规定的杂凑函数提供长度为和的杂凑值，

其中和均等于”修改为“本章规定的杂凑函数提�供1长�度2为的杂

凑值�”1，�以2简化描�述；��

——因杂凑函数2的安全性被攻破，删除了杂凑函数2；调整第8章杂凑函数3

为第7章杂凑函数2，调整第9章杂凑函数4为第8章杂凑函数3，并优化了

逻辑描述；

——增加了关于杂凑函数安全性提示的注释；

——更改了ISO/IEC第9章轮函数中笔误，将“与该杂凑函数相关的的具体

定义见8.1”更改为“与该杂凑函数相关的的具体定义见7.5”�；

�

国家标准报批材料

——更改了资料性附录A，使用SM4分组密码算法替换了AES分组密码算法，

将表A.1中“子函数”更改为“密钥的前位”，将表A.2中“子函数”

更改为“密钥的前�位”；3�

——更改了资料性附录4B，使用SM4分组密码算法给出了三种杂凑函数的示例；

本标准做了下列编辑性改动：

——为与我国技术标准体系协调，将标准名称改为《信息安全技术杂凑函

数第2部分：采用分组密码的杂凑函数》；

——更改了参考文献。

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

本标准以国际标准ISO/IEC10118-2为基础，经过安全性评估分析认为，这

4种杂凑函数针对碰撞攻击、原像攻击以及第二原像攻击的安全强度足够，现实

应用无安全风险。但是，学术界已经提出针对杂凑函数2的攻击方法，说明其未

达到安全设计目标。因此，在本标准中删除了杂凑函数2，继续采纳使用其余的

杂凑函数，将杂凑函数3调整为杂凑函数2，杂凑函数4调整为杂凑函数3，并

提供了一种将SM4分组密码算法与本文件中规定的杂凑操作联合使用的方法以

及示例。

六、与有关法律、行政法规及相关标准的关系

本标准在编制过程中，已经查阅了《网络安全法》、《密码法》、《中华人

民共和国电子签名法》等相关法规，确保本标准的内容遵守相关法律规定。同时，

本标准的编制参考了GB/T32907—2016《信息安全技术SM4分