信息安全技術(shù) 雜湊函數(shù)-第1部分：總則

ICSFORMTEXT35.030FORMTEXTCCSL80中華人民共和國國家標準GB/TFORMTEXT18238.1—FORMTEXT202XFORMTEXT代替GB/T18238.1—2000FORMTEXT信息安全技術(shù)雜湊函數(shù)第1部分：總則FORMTEXTInformationsecuritytechnology—Hash-functions—

Part1:GeneralFORMTEXT(ISO/IEC10118-1:2016,Informationtechnology—Securitytechniques—

Hash-functions—Part1:General,MOD)

FORMDROPDOWNFORMTEXT2023年6月16日在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。XXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實施GB/T18238.1—202X范圍本文件規(guī)定了雜湊函數(shù)的要求和通用模型，描述了雜湊運算的四個步驟，并給出了通用模型的使用方法。本文件包含GB/T18238（所有部分）所共用的定義、符號和要求。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語術(shù)語與定義GB/T25069—2022界定的以及下列術(shù)語和定義適用于本文件?？古鲎搽s湊函數(shù)collision-resistanthash-function抗碰撞散列函數(shù)滿足如下性質(zhì)的雜湊函數(shù)：找出映射到同一輸出的任何兩個不同輸入在計算上是不可行的。計算可行性依賴于特定安全要求和環(huán)境。[來源：GB/T25069—2022，3.322，有修改]數(shù)據(jù)串datastring雜湊函數(shù)的輸入比特串。雜湊值hashvalue密碼雜湊運算的結(jié)果。[來源：GB/T25069—2022，3.764]雜湊函數(shù)hash-function散列函數(shù)將任意長比特串映射為定長比特串的函數(shù)，滿足下列性質(zhì)：——給定一個輸出比特串，尋找一個輸入比特串來產(chǎn)生該輸出比特串，在計算上不可行；——給定一個輸入比特串，尋找另一個不同的輸入比特串來產(chǎn)生相同的輸出比特串，在計算上不可行。[來源：GB/T25069—2022，3.505]初始化值initializationvalueIV在密碼變換中，為增強安全性或使密碼設(shè)備同步而引入的用于數(shù)據(jù)變換的起始數(shù)據(jù)。[來源：GB/T25069—2022，3.80]輸出變換outputtransformation在算法中，對迭代操作的輸出所進行的變換。填充padding向某一數(shù)據(jù)串附加額外比特的操作。[來源：GB/T25069—2022，3.598]輪函數(shù)round-function構(gòu)成雜湊函數(shù)的主要部件之一，將兩個長度分別為L1和L2的比特串轉(zhuǎn)換為一個長度為L2輪函數(shù)記為?(?,?)。該函數(shù)輸入長度為L1的數(shù)據(jù)串和長度為L2在該領(lǐng)域的文獻中，多個術(shù)語具有與輪函數(shù)相同或相似的含義。例如：壓縮函數(shù)和迭代函數(shù)。符號一般符號下列符號適用于本文件。Bi：當B是由多個m比特字構(gòu)成的序列時，Bii≥0表示B的第i個m比特字。特別地，當m=8時，BiD：數(shù)據(jù)串。Di：數(shù)據(jù)D經(jīng)填充后的第i個nH：雜湊值。Hi：用于存儲雜湊運算中間結(jié)果的比特串，其長度為L?：雜湊函數(shù)。IV：初始化值。L1：輸入到輪函數(shù)的兩個比特串中，第一個比特串的比特長度。L2：輸入到輪函數(shù)的兩個比特串中，第二個比特串的比特長度，也是輪函數(shù)輸出值的比特長度，以及初始值的比特長度。LX：比特串Xn：n比特分組密碼算法E的分組長度。q：經(jīng)過填充和分割操作后，輸入數(shù)據(jù)比特串的分組個數(shù)。T：輸出變換，比如截短。X∥Y：按順序?qū)⒈忍卮瓦B接所構(gòu)成的比特串。X⊕Y：比特串X和比特串Y的異或（其中LX?：輪函數(shù)。編碼約定如果需要定義“最高有效比特/字節(jié)”和“最低有效比特/字節(jié)”（例如，將比特/字節(jié)串視為數(shù)值），則一個分組的最左邊的比特/字節(jié)被視為最高有效比特/字節(jié)。要求實體在使用雜湊函數(shù)前，應(yīng)將數(shù)據(jù)串表示為統(tǒng)一形式，使得即使各個實體環(huán)境中表示數(shù)據(jù)串的方式可能不同，但各方操作的比特串是完全相同的。為使得數(shù)據(jù)串的長度達到要求，GB/T18238(所有部分)中規(guī)定的雜湊函數(shù)需進行填充操作。具體填充方法可采用附錄A中描述的方法。雜湊函數(shù)的通用模型概述GB/T18238（所有部分）中規(guī)定的雜湊函數(shù)要求使用輪函數(shù)?。GB/T18238的后續(xù)部分中規(guī)定的雜湊函數(shù)輸出長度為LH比特的雜湊值，其中LH不大于輪函數(shù)?中的雜湊運算概述在GB/T18238后續(xù)部分規(guī)定的雜湊函數(shù)使用輪函數(shù)?和長度為L2的初始化值IV。對于給定的?，IV的值應(yīng)是固定的。通過以下四個步驟計算數(shù)據(jù)串D的雜湊值H步驟1（填充）對數(shù)據(jù)串D進行填充操作，以確保其長度是L1步驟2（分割）填充后的數(shù)據(jù)串D被分割成多個L1比特長的分組D1,D2填充和分割示意圖步驟3（迭代）令H0=IV，以如下方式迭代計算長度為L2對i=1,?,q，依次Hi步驟4（輸出變換）對步驟3的輸出Hq執(zhí)行變換T，得到LH比特的雜湊值變換T可以是截短操作。通用模型的使用GB/T18238的后續(xù)部分規(guī)定了基于通用模型的雜湊函數(shù)的示例。在每個示例中，描述一個具體雜湊函數(shù)都需要定義以下內(nèi)容：——參數(shù)L1,L——填充方法；——初始化值IV；——輪函數(shù)?；——輸出變換T。在實際中使用通用模型所定義的雜湊函數(shù)還需要選擇參數(shù)LH

（規(guī)范性附錄）

填充方法概述如GB/T18238其它部分所規(guī)定的，雜湊值的計算可能需要選擇一種填充方法，使得填充后的數(shù)據(jù)串的比特長度為L1如存在填充，這些填充比特串無需隨原消息存儲或發(fā)送。驗證者應(yīng)知道填充比特串是否已經(jīng)被存儲或發(fā)送，以及使用的是何種填充方法。方法1在數(shù)據(jù)串右側(cè)填充一個比特“1”，然后在所得到的比特串右側(cè)填充“0”，盡可能少填充（甚至不填充），以達到所要求的長度。方法1總是要求填充至少一個比特。方法2選擇一個參數(shù)r（其中r≤L1），例如r=64，以及一種將數(shù)據(jù)串D的比特長度LD編碼為r比特的比特串的方法。參數(shù)r的選擇限制了可處理的數(shù)據(jù)串為計算雜湊值，需按以下方式填充數(shù)據(jù)串D：在數(shù)據(jù)串D右側(cè)填充一個比特“1”；在上一步得到的比特串右側(cè)填充比特“0”，盡可能少填充（甚至不填充），使填充后的比特串長度與L1–r模L1同余，即填充后的比特串長度比L1充后的比特串長度等于L1使用選定的編碼方法在上述結(jié)果后面添加r比特編碼的LD，得到填充后的數(shù)據(jù)串D

（資料性附錄）

安全性注意事項攻擊目標與雜湊函數(shù)相關(guān)的攻擊目標有多種(參考文獻[3]給出了示例)。以下幾點尤為重要。碰撞攻擊—攻擊目標是尋找兩個不同的數(shù)據(jù)串M1,M2,滿足原像攻擊—給定適合長度的比特串H，攻擊目標是找到數(shù)據(jù)串M，滿足?M第二原像攻擊—給定數(shù)據(jù)串M，攻擊目標是找到另外一個數(shù)據(jù)串M'，滿足?M'=?(M)長度延長攻擊—給定比特串?(M)，其中M為未知的非空數(shù)據(jù)串，攻擊目標是找到任意數(shù)據(jù)串M'以及?(M∥M')。當前針對雜湊函數(shù)的密碼分析涉及很多種攻擊目標，包括但不限于上述目標。標準化過程會考慮這些目標，但僅作為參考。此外，在應(yīng)用中通常并不要求雜湊函數(shù)能夠抵抗所有攻擊目標。一般地，僅考慮一部分特定目標。通用攻擊通用攻擊是一種適用于所有雜湊函數(shù)且不依賴于雜湊函數(shù)具體構(gòu)造的攻擊。暴力搜索原像攻擊。給定一個雜湊值，攻擊者嘗試所有可能的數(shù)據(jù)串M，計算?(M)的值，并將結(jié)果與給定的雜湊值進行比較，如果兩者匹配，則完成原像搜索目標。密碼算法攻擊的影響在GB/T18238(所有部分)中，雜湊函數(shù)抵抗?jié)撛诠舻哪芰κ歉鶕?jù)攻擊達到目標的“計算不可行性”來衡量的。正如定義所示，計算不可行性的含義取決于特定的安全需求和環(huán)境。一種經(jīng)常被安全從業(yè)人員使用的含義是，當完成一個任務(wù)需要的計算資源超過了通?？捎玫馁Y源，則稱該任務(wù)具有計算不可行性。一種更嚴格的方法是在相同攻擊目標下，比較特定攻擊與通用攻擊的效率。對于一個給定的攻擊目標，如果所有已知密碼攻擊的效率都不高于相應(yīng)的通用攻擊，則稱該雜湊函數(shù)能夠抵抗該攻擊目標。然而，如果存在一種比相應(yīng)的通用攻擊的效率高得多的密碼攻擊，則稱該雜湊函數(shù)被攻破了。密碼算法攻擊的效率取決于三個參數(shù)：攻擊復(fù)雜度、存儲需求和成功概率。密碼算法攻擊的復(fù)雜度由調(diào)用輪函數(shù)的次數(shù)定義，以確定它們相對于通用攻擊的復(fù)雜性。這種標準化的復(fù)雜性可能因攻擊性質(zhì)而有所不同。在大多數(shù)情況下，只能估計密碼算法攻擊的復(fù)雜度。考慮一個具有256比特雜湊值的雜湊函數(shù)。如果存在原像搜索攻擊，該攻擊調(diào)用約2192次輪函數(shù)，實際存儲需求約220字節(jié)，成功概率接近1，則對于原像搜索攻擊，該參?考?文?獻ISO/IEC9797-2,Informationtechnology—Securitytechniques—MessageAuthenticationCodes(MACs)—Part2:Mechanismsusingadedicatedhash-functionISO/IEC10118-1/Amd.1:2021,Informationtechnology—Securitytechniques—Hash-functions—Part1:GeneralPreneelB.Analysisand