《信息安全技术 杂凑函数 第3部分：专门设计的杂凑函数》编制说明

国家标准报批材料

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全

技术散列函数第3部分：专用散列函数》由成都卫士通信息产业股份有限公司

负责承办，计划号：20230244-T-469。该标准由全国信息安全标准化技术委员会

（TC260）归口管理。

2023年1月11日，成都卫士通信息产业股份有限公司更名为中电科网络安

全科技股份有限公司，本次公司名称变更不涉及法律主体变化。该任务由中电科

网络安全科技股份有限公司负责承办。

1.2制定背景

GB/T18238.3—2002《信息技术安全技术散列函数第3部分：专用散列

函数》国家标准等同采用了国际标准ISO/IEC10118-3:1998，该标准已经使用

了20多年，技术内容已经过时，算法的安全强度不能够保障现实应用，不符合

我国密码应用的管理要求。

具体地，经过近些年密码研究的深入分析以及软硬件计算能力的不断提升，

该标准规范的三个密码算法都出现了安全强度不足的问题。专用散列函数1

（RIPEMD-160）的输出值仅有160比特，不能够为现实密码应用提供足量的安全

保障。我国早在2010年12月发布的SM3密码杂凑算法的输出长度就已经达到了

256比特；专用散列函数2（RIPEMD-128）的输出长度仅为128比特，而且密码

研究者已经找到了其压缩函数的碰撞（复杂度2^61.57），破解了该算法；专用

散列函数3（SHA-1）输出长度160比特，也被密码专家找到了选择前缀碰撞（复

杂度2^69）。国家密码管理局早在2017年4月就发布了《关于使用SHA-1密码

算法的风险提示》。

同时，该标准文本中的一些专业名词术语、叙述语言文字也较为陈旧，不能

够很好地指导现实应用，也不能够支撑当前国家标准体系。而其采用的国际标准

已经更新到第四版ISO/IEC10118-3:2018。为促进GB/T18238.3技术内容进步，

使之与当前网络安全国家标准协调统一，亟待修订完善GB/T18238.3—2002。

2021年11月16日，申报团队在信安标委会议周WG3工作组汇报了针对该

标准的调研情况，并提出了修订建议，主要包括参考国际标准ISO/IEC

国家标准报批材料

10118-3:2018，充分调研该标准规范的三个杂凑算法的学术研究进展和工业应用

情况，评估算法适用性，剔除安全强度不足的算法，并完善语言文字等。WG3工

作组经过详细研讨，认为该系列标准从密码设计的角度规范了专门设计的杂凑函

数，具备一定学术研究价值，有必要修订完善。

此次修订GB/T18238.3—2002的目的是解决该标准现有技术内容与当前国

家标准体系不协调的问题，使之符合国家法律法规和相关政策要求。特别地，此

次修订无纳入新算法的考虑。

此次修订解决了原标准GB/T18238.3—2002的协调性问题，使之符合国家

法律法规及相关政策的要求，同时也通过规定具体的模型，为未来纳入新算法做

好了标准化技术准备。

如果当前个别场景存在使用新算法的需求，可以在充分技术论证评估的基础

上，向相关管理部门申请并获得批准后使用。对于是否引进国际算法的考虑，编

制组经过讨论后建议，可以在充分技术论证评估的基础上，本着平等互惠的原则，

双方国家同步纳入对方国家的标准算法。

该标准由中电科网络安全科技股份有限公司牵头，参与单位包括中国科学院

大学、国家密码管理局商用密码检测中心、中国电子技术标准化研究院、山东大

学、中国科学院软件研究所、西安西电捷通无线网络通信股份有限公司、格尔软

件股份有限公司、北京信安世纪科技股份有限公司、山东得安信息技术有限公司、

华为技术有限公司、智巡密码（上海）检测技术有限公司、北京江南天安科技有

限公司、北京海泰方圆科技股份有限公司。

另有北京银联金卡科技有限公司、中国电子科技集团公司第十五研究所给予

了技术支持。

1.3起草过程

2022年3月，按照全国信息安全标准化技术委员会（以下简称“信安标委”）

的要求，申报团队提交《信息安全技术散列函数第3部分：专用散列函数》标

准草案并准备立项材料。

2022年4月，申报团队在WG3工作组2022年第一次全体会议上进行了立项

答辩，WG3工作组听取成员单位意见建议，推荐该标准立项。

2022年7月，信安标委组织2022年网络安全国家标准立项专家评审会，同

国家标准报批材料

意该标准立项。

2022年7月～2022年11月成立了编制组，重点对标准的范围、框架及主要

技术内容进行了多次内部研讨，明确了标准草案的编制思路，完善了草案。

2022年12月5日，编制组在WG3工作组2022年第二次全体会议上汇报了

修订进展，根据工作组意见建议进一步完善了标准草案。

2023年1月12日，编制组在北京参加网络安全国家标准专家审查会，汇报

了标准编制情况，并根据专家意见完善了标准文本，将标准名称变更为《信息安

全技术杂凑函数第3部分：专门设计的杂凑函数》，形成征求意见稿。

2023年5月，为进一步提升标准质量，检验标准适用性和可操作性，编制

组开始试点验证工作。

2023年5月30日，编制组在昆明参加全国信息安全标准化技术委员会2023

年第一次“标准周”活动，在WG3工作组汇报了标准修订情况，并根据专家意见

进一步完善了标准草案。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本文件在编制过程中，遵循以下几个原则：

1)可行性原则：标准必须是可用的，才有实际意义，本文件在编制过程中

始终坚持与相关密码产品生产单位、用户单位以及主管部门保持联系，使标准能

够更好地应用到信息系统的开发、检测、选购等多方面，同时结合我国的实际情

况，使标准的可操作性更强。

2)合规性原则：本文件与我国现有的政策、法规、标准、规范等相一致。

编制组在对标准起草过程中始终遵循此原则，其内容符合我国已经发布的有关政

策、法律和法规。

3)科学性原则：本文件的修订主要参考ISO/IEC10118-3:2018ITSecurity

techniques-Hashfunctions-Part3:Dedicatedhash-functions中对杂凑

函数的要求和规范，并立足于当前国内信息系统安全的实际状况，对GB/T

18238.3—2002《信息技术安全技术散列函数第3部分：专用散列函数》进行

修订，全方位地提出科学、完整、可行的技术规范。

4)可用性原则：本文件通过规范杂凑函数的描述方法和使用要求，将统一

国家标准报批材料

主管部门、检测机构、科研院所和应用厂商对杂凑函数的理解和认识，规范具体

杂凑函数在相关技术和产品中落地应用，切实提高网络通信等领域的数据安全保

障能力。

2.2主要内容及其确定依据

本文件参考国际标准ISO/IEC10118-3:2018，修订国家标准GB/T18238.3

—2002，拟规范专门设计的杂凑函数。本文件主要内容如下：

1）规定了专门设计的杂凑函数模型：基于轮函数的通用模型。

2）引用GB/T32905规定的专门设计的杂凑函数SM3，作为基于轮函数的通

用模型的示例。

此次修订参考国际标准ISO/IEC10118-3:2018规范了轮函数模型。针对此

次修订删除了原标准中三个安全强度不足的算法，而缺少算法示例的情况，在标

准中引用了GB/T32905规定的专门设计的杂凑函数SM3，作为本标准6.2规定

的轮函数模型的示例。

此次修订解决了原标准GB/T18238.3—2002的协调性问题，使之符合国家

法律法规及相关政策的要求，同时也通过规定具体的模型，为未来纳入新算法做

好了标准化技术准备。如果当前个别场景存在使用新算法的需求，可以在充分技

术论证评估的基础上，向相关管理部门申请并获得批准后使用。对于是否引进国

际算法的考虑，编制组经过讨论后建议，可以在充分技术论证评估的基础上，本

着平等互惠的原则，双方国家同步纳入对方国家的标准算法。

2.3修订前后技术内容的对比[适用于国家标准修订项目]

本文件代替GB/T18238.3—2002《信息技术安全技术散列函数第3部分：

专用散列函数》，与GB/T18238.3—2002相比，除了结构调整和编辑性改动外，

主要技术变化如下：

a)更改了规范引用文件，删除GB/T1988—1998、GB/T18238.1—2000，增

加GB/T18238.1—202X、GB/T25069—2022、GB/T32905—2016；

b)删除了术语“散列函数标识符”、“循环函数”及定义；

c)删除了符号“”、“”等；

'

d)删除了专门设�计�的杂凑�函�数1、杂凑函数2和杂凑函数3；

e)增加了专门设计的杂凑函数SM3；

国家标准报批材料

f)更改了附录A实例为附录A对象标识符；

g)删除了附录B和附录C。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益和生态效益

3.1试验验证的分析、综述报告

通过调研目前学术界对杂凑函数的安全分析现状，确定了基于轮函数的通用

模型能够满足当前杂凑函数的应用需求，完成了关于专门设计的杂凑函数SM3

等的分析结论和报告。具体地，专门设计的杂凑函数SM3目前还有较高的安全冗

余度，抗原像攻击安全冗余度约50%((64-32)/64)，抗（伪）碰撞攻击安全冗余

度约48%((64-33)/64)。

3.2技术经济论证

本文件定义了专门设计的杂凑函数模型，并以专门设计的杂凑函数SM3作为

实例，适用于密码、信息安全领域的主管部门、检测机构、科研院所和应用厂商

等研究、开发、检测、分析、应用等。

3.3预期的经济效益、社会效益和生态效益

本文件规范了专门设计的杂凑函数的通用模型，并以专门设计的杂凑算法

SM3作为实例，有助于统一主管部门、检测机构、科研院所和应用厂商对专门设

计的杂凑函数的理解和认识，规范杂凑函数在相关技术和产品中落地应用，切实

提高网络通信等领域的数据安全保障能力。

杂凑函数是用于保障完整性的密码算法，是电子签名、数字证书等重要密码

系统和IPSec、SSL、3GPP等网络安全协议不可或缺的核心技术。其推广应用领

域包括数字证书、金融密码系统和产品、社会保障信息系统、国家电网等涵盖国

家重大基础设施的各个环节及各类电子产品，将有助于保障国家关键信息基础设

施安全，产生显著的社会经济效益。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

本文件修改采用ISO/IEC10118-3:2018ITSecuritytechniques-Hash

functions-Part3:Dedicatedhash-functions。

本文件与ISO/IEC10118-3:2018相比做了如下结构调整：

国家标准报批材料

——第7章对应国际标准的第23章；

——删除了国际标准的4.2、6.3、第7章至22章、附录B和附录C；

本文件与ISO/IEC10118-3:2018的技术差异及原因如下：

——增加了“引言”；

——关于规范性引用文件，本部分做了具有技术性差异的调整，以适应我国

的技术条件，调整的情况集中反映在第2章“规范性引用文件”中，具

体调整如下：

更改引用ISO/IEC10118-1为GB/T18238.1—202X；

增加引用了GB/T25069—2022和GB/T32905—2016；

——删除了术语“循环矩阵”“阿贝尔群”“域”及定义，因为本文件未使

用这些术语；

——删除了4.2，因为本文件未使用这些符号；

——删除了海绵模型及相应内容，因为目前的杂凑函数实例未使用该模型；

——删除了第7章至第22章，因为目前无标准化此类杂凑函数的需求；

——在第7章简要描述了SM3算法，作为轮函数模型的示例，并引用GB/T

32905—2016信息安全技术SM3密码杂凑算法；

——删除了数值示例，因为不需要原杂凑函数的示例；

——删除了SHA-3可扩展输出函数，因为目前无对SHA-3可扩展输出函数的标

准化需求。

本文件做了下列编辑性改动：

——为与我国技术标准体系协调，将标准名称改为《信息安全技术杂凑函

数第3部分专门设计的杂凑函数》；

——更改了参考文献。

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

本文件修改采用国际标准ISO/IEC10118-3:2018，该标准包含23章，包括

概述、规范引用、术语与定义、符号、要求、专门设计的杂凑函数模型，以及

RIPEMD-160、RIPEMD-160-128、SHA-1、SHA-256、SHA-512、SHA-384、WHIRLPOOL、

SHA-224、SHA-512/224、SHA-512/256、STREEBOG-512、STREEBOG-256、SHA3-224、

国家标准报批材料

SHA3-256、SHA3-384、SHA3-512、SM3等专门设计的杂凑函数。

本文件基于ISO/IEC10118-3:2018，以及我国杂凑函数应用现状和技术需

求，采纳杂凑函数轮函数模型与SM3算法。

六、与有关法律、行政法规及相关标准的关系

本文件在编制过程中，已经查阅了《网络安全法》、《密码法》、《中华人民共

和国电子签名法》等相关法规，确保本文件的内容遵守相关法律规定。本文件的

编制参考了GB/T18238.1《信息安全技术杂凑函数第1部分：概述》、GB/T

25069—2022《信息安全技术