ICSFORMTEXT35.030FORMTEXTCCSL80中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/TFORMTEXT18238.1—FORMTEXT202XFORMTEXT代替GB/T18238.1—2000FORMTEXT信息安全技術(shù)雜湊函數(shù)第1部分：總則FORMTEXTInformationsecuritytechnology—Hash-functions—

Part1:GeneralFORMTEXT(ISO/IEC10118-1:2016,Informationtechnology—Securitytechniques—

Hash-functions—Part1:General,MOD)

FORMDROPDOWNFORMTEXT2023年6月16日在提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的相關(guān)專(zhuān)利連同支持性文件一并附上。XXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實(shí)施GB/T18238.1—202X范圍本文件規(guī)定了雜湊函數(shù)的要求和通用模型，描述了雜湊運(yùn)算的四個(gè)步驟，并給出了通用模型的使用方法。本文件包含GB/T18238（所有部分）所共用的定義、符號(hào)和要求。規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)術(shù)語(yǔ)與定義GB/T25069—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。抗碰撞雜湊函數(shù)collision-resistanthash-function抗碰撞散列函數(shù)滿足如下性質(zhì)的雜湊函數(shù)：找出映射到同一輸出的任何兩個(gè)不同輸入在計(jì)算上是不可行的。計(jì)算可行性依賴于特定安全要求和環(huán)境。[來(lái)源：GB/T25069—2022，3.322，有修改]數(shù)據(jù)串datastring雜湊函數(shù)的輸入比特串。雜湊值hashvalue密碼雜湊運(yùn)算的結(jié)果。[來(lái)源：GB/T25069—2022，3.764]雜湊函數(shù)hash-function散列函數(shù)將任意長(zhǎng)比特串映射為定長(zhǎng)比特串的函數(shù)，滿足下列性質(zhì)：——給定一個(gè)輸出比特串，尋找一個(gè)輸入比特串來(lái)產(chǎn)生該輸出比特串，在計(jì)算上不可行；——給定一個(gè)輸入比特串，尋找另一個(gè)不同的輸入比特串來(lái)產(chǎn)生相同的輸出比特串，在計(jì)算上不可行。[來(lái)源：GB/T25069—2022，3.505]初始化值initializationvalueIV在密碼變換中，為增強(qiáng)安全性或使密碼設(shè)備同步而引入的用于數(shù)據(jù)變換的起始數(shù)據(jù)。[來(lái)源：GB/T25069—2022，3.80]輸出變換outputtransformation在算法中，對(duì)迭代操作的輸出所進(jìn)行的變換。填充padding向某一數(shù)據(jù)串附加額外比特的操作。[來(lái)源：GB/T25069—2022，3.598]輪函數(shù)round-function構(gòu)成雜湊函數(shù)的主要部件之一，將兩個(gè)長(zhǎng)度分別為L(zhǎng)1和L2的比特串轉(zhuǎn)換為一個(gè)長(zhǎng)度為L(zhǎng)2輪函數(shù)記為?(?,?)。該函數(shù)輸入長(zhǎng)度為L(zhǎng)1的數(shù)據(jù)串和長(zhǎng)度為L(zhǎng)2在該領(lǐng)域的文獻(xiàn)中，多個(gè)術(shù)語(yǔ)具有與輪函數(shù)相同或相似的含義。例如：壓縮函數(shù)和迭代函數(shù)。符號(hào)一般符號(hào)下列符號(hào)適用于本文件。Bi：當(dāng)B是由多個(gè)m比特字構(gòu)成的序列時(shí)，Bii≥0表示B的第i個(gè)m比特字。特別地，當(dāng)m=8時(shí)，BiD：數(shù)據(jù)串。Di：數(shù)據(jù)D經(jīng)填充后的第i個(gè)nH：雜湊值。Hi：用于存儲(chǔ)雜湊運(yùn)算中間結(jié)果的比特串，其長(zhǎng)度為L(zhǎng)?：雜湊函數(shù)。IV：初始化值。L1：輸入到輪函數(shù)的兩個(gè)比特串中，第一個(gè)比特串的比特長(zhǎng)度。L2：輸入到輪函數(shù)的兩個(gè)比特串中，第二個(gè)比特串的比特長(zhǎng)度，也是輪函數(shù)輸出值的比特長(zhǎng)度，以及初始值的比特長(zhǎng)度。LX：比特串Xn：n比特分組密碼算法E的分組長(zhǎng)度。q：經(jīng)過(guò)填充和分割操作后，輸入數(shù)據(jù)比特串的分組個(gè)數(shù)。T：輸出變換，比如截短。X∥Y：按順序?qū)⒈忍卮瓦B接所構(gòu)成的比特串。X⊕Y：比特串X和比特串Y的異或（其中LX?：輪函數(shù)。編碼約定如果需要定義“最高有效比特/字節(jié)”和“最低有效比特/字節(jié)”（例如，將比特/字節(jié)串視為數(shù)值），則一個(gè)分組的最左邊的比特/字節(jié)被視為最高有效比特/字節(jié)。要求實(shí)體在使用雜湊函數(shù)前，應(yīng)將數(shù)據(jù)串表示為統(tǒng)一形式，使得即使各個(gè)實(shí)體環(huán)境中表示數(shù)據(jù)串的方式可能不同，但各方操作的比特串是完全相同的。為使得數(shù)據(jù)串的長(zhǎng)度達(dá)到要求，GB/T18238(所有部分)中規(guī)定的雜湊函數(shù)需進(jìn)行填充操作。具體填充方法可采用附錄A中描述的方法。雜湊函數(shù)的通用模型概述GB/T18238（所有部分）中規(guī)定的雜湊函數(shù)要求使用輪函數(shù)?。GB/T18238的后續(xù)部分中規(guī)定的雜湊函數(shù)輸出長(zhǎng)度為L(zhǎng)H比特的雜湊值，其中LH不大于輪函數(shù)?中的雜湊運(yùn)算概述在GB/T18238后續(xù)部分規(guī)定的雜湊函數(shù)使用輪函數(shù)?和長(zhǎng)度為L(zhǎng)2的初始化值IV。對(duì)于給定的?，IV的值應(yīng)是固定的。通過(guò)以下四個(gè)步驟計(jì)算數(shù)據(jù)串D的雜湊值H步驟1（填充）對(duì)數(shù)據(jù)串D進(jìn)行填充操作，以確保其長(zhǎng)度是L1步驟2（分割）填充后的數(shù)據(jù)串D被分割成多個(gè)L1比特長(zhǎng)的分組D1,D2填充和分割示意圖步驟3（迭代）令H0=IV，以如下方式迭代計(jì)算長(zhǎng)度為L(zhǎng)2對(duì)i=1,?,q，依次Hi步驟4（輸出變換）對(duì)步驟3的輸出Hq執(zhí)行變換T，得到LH比特的雜湊值變換T可以是截短操作。通用模型的使用GB/T18238的后續(xù)部分規(guī)定了基于通用模型的雜湊函數(shù)的示例。在每個(gè)示例中，描述一個(gè)具體雜湊函數(shù)都需要定義以下內(nèi)容：——參數(shù)L1,L——填充方法；——初始化值IV；——輪函數(shù)?；——輸出變換T。在實(shí)際中使用通用模型所定義的雜湊函數(shù)還需要選擇參數(shù)LH

（規(guī)范性附錄）

填充方法概述如GB/T18238其它部分所規(guī)定的，雜湊值的計(jì)算可能需要選擇一種填充方法，使得填充后的數(shù)據(jù)串的比特長(zhǎng)度為L(zhǎng)1如存在填充，這些填充比特串無(wú)需隨原消息存儲(chǔ)或發(fā)送。驗(yàn)證者應(yīng)知道填充比特串是否已經(jīng)被存儲(chǔ)或發(fā)送，以及使用的是何種填充方法。方法1在數(shù)據(jù)串右側(cè)填充一個(gè)比特“1”，然后在所得到的比特串右側(cè)填充“0”，盡可能少填充（甚至不填充），以達(dá)到所要求的長(zhǎng)度。方法1總是要求填充至少一個(gè)比特。方法2選擇一個(gè)參數(shù)r（其中r≤L1），例如r=64，以及一種將數(shù)據(jù)串D的比特長(zhǎng)度LD編碼為r比特的比特串的方法。參數(shù)r的選擇限制了可處理的數(shù)據(jù)串為計(jì)算雜湊值，需按以下方式填充數(shù)據(jù)串D：在數(shù)據(jù)串D右側(cè)填充一個(gè)比特“1”；在上一步得到的比特串右側(cè)填充比特“0”，盡可能少填充（甚至不填充），使填充后的比特串長(zhǎng)度與L1–r模L1同余，即填充后的比特串長(zhǎng)度比L1充后的比特串長(zhǎng)度等于L1使用選定的編碼方法在上述結(jié)果后面添加r比特編碼的LD，得到填充后的數(shù)據(jù)串D

（資料性附錄）

安全性注意事項(xiàng)攻擊目標(biāo)與雜湊函數(shù)相關(guān)的攻擊目標(biāo)有多種(參考文獻(xiàn)[3]給出了示例)。以下幾點(diǎn)尤為重要。碰撞攻擊—攻擊目標(biāo)是尋找兩個(gè)不同的數(shù)據(jù)串M1,M2,滿足原像攻擊—給定適合長(zhǎng)度的比特串H，攻擊目標(biāo)是找到數(shù)據(jù)串M，滿足?M第二原像攻擊—給定數(shù)據(jù)串M，攻擊目標(biāo)是找到另外一個(gè)數(shù)據(jù)串M'，滿足?M'=?(M)長(zhǎng)度延長(zhǎng)攻擊—給定比特串?(M)，其中M為未知的非空數(shù)據(jù)串，攻擊目標(biāo)是找到任意數(shù)據(jù)串M'以及?(M∥M')。當(dāng)前針對(duì)雜湊函數(shù)的密碼分析涉及很多種攻擊目標(biāo)，包括但不限于上述目標(biāo)。標(biāo)準(zhǔn)化過(guò)程會(huì)考慮這些目標(biāo)，但僅作為參考。此外，在應(yīng)用中通常并不要求雜湊函數(shù)能夠抵抗所有攻擊目標(biāo)。一般地，僅考慮一部分特定目標(biāo)。通用攻擊通用攻擊是一種適用于所有雜湊函數(shù)且不依賴于雜湊函數(shù)具體構(gòu)造的攻擊。暴力搜索原像攻擊。給定一個(gè)雜湊值，攻擊者嘗試所有可能的數(shù)據(jù)串M，計(jì)算?(M)的值，并將結(jié)果與給定的雜湊值進(jìn)行比較，如果兩者匹配，則完成原像搜索目標(biāo)。密碼算法攻擊的影響在GB/T18238(所有部分)中，雜湊函數(shù)抵抗?jié)撛诠舻哪芰κ歉鶕?jù)攻擊達(dá)到目標(biāo)的“計(jì)算不可行性”來(lái)衡量的。正如定義所示，計(jì)算不可行性的含義取決于特定的安全需求和環(huán)境。一種經(jīng)常被安全從業(yè)人員使用的含義是，當(dāng)完成一個(gè)任務(wù)需要的計(jì)算資源超過(guò)了通常可用的資源，則稱(chēng)該任務(wù)具有計(jì)算不可行性。一種更嚴(yán)格的方法是在相同攻擊目標(biāo)下，比較特定攻擊與通用攻擊的效率。對(duì)于一個(gè)給定的攻擊目標(biāo)，如果所有已知密碼攻擊的效率都不高于相應(yīng)的通用攻擊，則稱(chēng)該雜湊函數(shù)能夠抵抗該攻擊目標(biāo)。然而，如果存在一種比相應(yīng)的通用攻擊的效率高得多的密碼攻擊，則稱(chēng)該雜湊函數(shù)被攻破了。密碼算法攻擊的效率取決于三個(gè)參數(shù)：攻擊復(fù)雜度、存儲(chǔ)需求和成功概率。密碼算法攻擊的復(fù)雜度由調(diào)用輪函數(shù)的次數(shù)定義，以確定它們相對(duì)于通用攻擊的復(fù)雜性。這種標(biāo)準(zhǔn)化的復(fù)雜性可能因攻擊性質(zhì)而有所不同。在大多數(shù)情況下，只能估計(jì)密碼算法攻擊的復(fù)雜度。考慮一個(gè)具有256比特雜湊值的雜湊函數(shù)。如果存在原像搜索攻擊，該攻擊調(diào)用約2192次輪函數(shù)，實(shí)際存儲(chǔ)需求約220字節(jié)，成功概率接近1，則對(duì)于原像搜索攻擊，該參?考?文?獻(xiàn)ISO/IEC9797-2,Informationtechnology—Securitytechniques—MessageAuthenticationCodes(MACs)—Part2:Mechanismsusingadedicatedhash-functionISO/IEC10118-1/Amd.1:2021,Informationtechnology—Securitytechniques—Hash-functions—Part1:GeneralPreneelB.Analysisand