《信息安全技術(shù) 雜湊函數(shù) 第1部分：總則》

ICS35.030

CCSL80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T18238.1—202X

代替GB/T18238.1—2000

信息安全技術(shù)雜湊函數(shù)

第1部分：總則

Informationsecuritytechnology—Hash-functions—

Part1:General

(ISO/IEC10118-1:2016,Informationtechnology—Securitytechniques—

Hash-functions—Part1:General,MOD)

（征求意見稿）

2023年6月16日

在提交反饋意見時(shí)，請(qǐng)將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/T18238.1—202X

前??言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

本文件是GB/T18238《信息安全技術(shù)雜湊函數(shù)》的第1部分。GB/T18238已經(jīng)發(fā)布了以下部分：

——第1部分：總則；

——第2部分：采用分組密碼的雜湊函數(shù)；

——第3部分：專門設(shè)計(jì)的雜湊函數(shù)。

本文件代替GB/T18238.1—2000《信息技術(shù)安全技術(shù)散列函數(shù)第1部分：概述》，與GB/T18238.1

—2000相比，除結(jié)構(gòu)調(diào)整和編輯性改動(dòng)外，主要技術(shù)變化如下：

a)增加了GB/T25069—2022規(guī)范性引用文件（見第2章）；

b)更改了術(shù)語“無碰撞散列函數(shù)”為“抗碰撞雜湊函數(shù)”（見3.1，2000年版的2.1）；

c)更改了術(shù)語“散列碼”為“雜湊值”（見3.3，2000年版的2.3）；

d)增加了術(shù)語“輸出變換”、“輪函數(shù)”等（見第3章）；

e)增加了符號(hào)、、、、、、、、、（見第4章）；

f)增加了第6章“雜湊函數(shù)的通用模型”（見第6章）；

????????1?2????

g)刪除了附錄A關(guān)于初始化值的指南、附錄C參考標(biāo)準(zhǔn)（見2000年版的附錄A、附錄C）；

h)刪除了附錄B中填充方法1，將填充方法2調(diào)整為填充方法1，增加了填充方法2；將附錄B調(diào)整為

附錄A（見附錄A.3，2000年版的附錄B）；

i)增加了資料性附錄B，介紹安全性注意事項(xiàng)（見附錄B）。

本文件修改采用ISO/IEC10118-1:2016《信息技術(shù)安全技術(shù)雜湊函數(shù)第1部分：總則》和ISO/IEC

10118-1:2016/Amd.1:2021《信息技術(shù)安全技術(shù)雜湊函數(shù)第1部分：總則補(bǔ)篇1：海綿函數(shù)的填充方

法》。

本文件與ISO/IEC10118-1:2016及ISO/IEC10118-1:2016/Amd.1:2021的技術(shù)差異及原因如下：

——增加了“引言”，將“范圍”中關(guān)于雜湊函數(shù)的介紹內(nèi)容移至“引言”；

——增加了規(guī)范性引用文件GB/T25069—2022（見第3章）；

——增加了符號(hào)、（見第4章）；

——?jiǎng)h除了規(guī)范性附錄B“ISO/IEC10118（所有部分）采納雜湊函數(shù)的原則”；

??

——?jiǎng)h除了ISO/IEC10118-1:2016/Amd.1:2021的填充方法3，因?yàn)楸鞠盗形募?guī)定的雜湊函數(shù)未使

用該填充方法。

本文件做了下列編輯性改動(dòng)：

——為與我國技術(shù)標(biāo)準(zhǔn)體系協(xié)調(diào)，將標(biāo)準(zhǔn)名稱更改為《信息安全技術(shù)雜湊函數(shù)第1部分：總則》；

——增加了ISO/IEC10118-1:2016/Amd.1:2021的內(nèi)容；

——?jiǎng)h除了資料性附錄C.3中的示例1；

——更改了參考文獻(xiàn)。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260）提出并歸口。

本文件起草單位：中電科網(wǎng)絡(luò)安全科技股份有限公司、國家密碼管理局商用密碼檢測中心、中國電

子技術(shù)標(biāo)準(zhǔn)化研究院、中國科學(xué)院信息工程研究所、中國科學(xué)院軟件研究所、中國科學(xué)院大學(xué)、山東大

學(xué)、西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司、格爾軟件股份有限公司、北京信安世紀(jì)科技股份有限公

I

GB/T18238.1—202X

司、山東得安信息技術(shù)有限公司、華為技術(shù)有限公司、北京江南天安科技有限公司、智巡密碼（上海）

檢測技術(shù)有限公司、北京海泰方圓科技股份有限公司。

本文件主要起草人：

本文件及其所代替文件的歷次版本發(fā)布情況為：

——2000年首次發(fā)布為GB/T18238.1—2000；

——本次為第一次修訂。

II

GB/T18238.1—202X

引??言

雜湊函數(shù)使用特定的算法將任意長度(通常設(shè)有上限)的比特串映射到固定長度的比特串。雜湊函數(shù)

可以用于：

——將消息壓縮為摘要，用于數(shù)字簽名機(jī)制的輸入；

——向用戶承諾一個(gè)給定的比特串，而不泄露該比特串。

注：GB/T18238（所有部分）中規(guī)定的雜湊函數(shù)不涉及密鑰的使用。但是，這些雜湊函數(shù)可以與密鑰搭配使用，以

構(gòu)建消息鑒別碼(MessageAuthenticationCode,MAC)。消息鑒別碼提供數(shù)據(jù)源鑒別和消息完整性保護(hù)。GB/T

15852.2給出了雜湊函數(shù)計(jì)算MAC的技術(shù)。

GB/T18238分為以下部分：

——第1部分：總則

該部分規(guī)定了雜湊函數(shù)的要求和通用模型，指導(dǎo)GB/T18238的其它部分；

——第2部分：采用分組密碼的雜湊函數(shù)

該部分規(guī)定了采用分組密碼的雜湊函數(shù)；

——第3部分：專門設(shè)計(jì)的雜湊函數(shù)

該部分規(guī)定了專門設(shè)計(jì)的雜湊函數(shù)。

III

GB/T18238.1—202X

信息安全技術(shù)雜湊函數(shù)

第1部分：總則

1范圍

本文件規(guī)定了雜湊函數(shù)的要求和通用模型，描述了雜湊運(yùn)算的四個(gè)步驟，并給出了通用模型的使用

方法。

本文件包含GB/T18238（所有部分）所共用的定義、符號(hào)和要求。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069—2022信息安全技術(shù)術(shù)語

3術(shù)語與定義

GB/T25069—2022界定的以及下列術(shù)語和定義適用于本文件。

3.1

抗碰撞雜湊函數(shù)collision-resistanthash-function

抗碰撞散列函數(shù)

滿足如下性質(zhì)的雜湊函數(shù)：找出映射到同一輸出的任何兩個(gè)不同輸入在計(jì)算上是不可行的。

注：計(jì)算可行性依賴于特定安全要求和環(huán)境。

[來源：GB/T25069—2022，3.322，有修改]

3.2

數(shù)據(jù)串datastring

雜湊函數(shù)的輸入比特串。

3.3

雜湊值hashvalue

密碼雜湊運(yùn)算的結(jié)果。

[來源：GB/T25069—2022，3.764]

3.4

雜湊函數(shù)hash-function

1

GB/T18238.1—202X

散列函數(shù)

將任意長比特串映射為定長比特串的函數(shù)，滿足下列性質(zhì)：

——給定一個(gè)輸出比特串，尋找一個(gè)輸入比特串來產(chǎn)生該輸出比特串，在計(jì)算上不可行；

——給定一個(gè)輸入比特串，尋找另一個(gè)不同的輸入比特串來產(chǎn)生相同的輸出比特串，在計(jì)算上不可

行。

[來源：GB/T25069—2022，3.505]

3.5

初始化值initializationvalue

IV

在密碼變換中，為增強(qiáng)安全性或使密碼設(shè)備同步而引入的用于數(shù)據(jù)變換的起始數(shù)據(jù)。

[來源：GB/T25069—2022，3.80]

3.6

輸出變換outputtransformation

在算法中，對(duì)迭代操作的輸出所進(jìn)行的變換。

3.7

填充padding

向某一數(shù)據(jù)串附加額外比特的操作。

[來源：GB/T25069—2022，3.598]

3.8

輪函數(shù)round-function

構(gòu)成雜湊函數(shù)的主要部件之一，將兩個(gè)長度分別為和的比特串轉(zhuǎn)換為一個(gè)長度為的比特串，

被迭代地用于雜湊函數(shù)的計(jì)算過程。

122

注1：輪函數(shù)記為。該函數(shù)輸入長度為的數(shù)據(jù)串和長?度為?的前一個(gè)輪函數(shù)的輸出值（或初?始化值），輸

出一個(gè)長度為的比特串。

?(?,?)?1?2

注2：在該領(lǐng)域的文獻(xiàn)中，多個(gè)術(shù)語具有與輪函數(shù)相同或相似的含義。例如：壓縮函數(shù)和迭代函數(shù)。

?2

4符號(hào)

4.1一般符號(hào)

下列符號(hào)適用于本文件。

：當(dāng)是由多個(gè)比特字構(gòu)成的序列時(shí)，表示的第個(gè)比特字。特別地，當(dāng)時(shí)，

是的第個(gè)字節(jié)。

???????≥0????=8

：數(shù)據(jù)串。

????

：數(shù)據(jù)經(jīng)填充后的第個(gè)比特分組。

?

：雜湊值。

?????

：用于存儲(chǔ)雜湊運(yùn)算中間結(jié)果的比特串，其長度為。

?

：雜湊函數(shù)。

???2

：初始化值。

?

??

2

GB/T18238.1—202X

：輸入到輪函數(shù)的兩個(gè)比特串中，第一個(gè)比特串的比特長度。

：輸入到輪函數(shù)的兩個(gè)比特串中，第二個(gè)比特串的比特長度，也是輪函數(shù)輸出值的比特長

?1

度，以及初始值IV的比特長度。

?2

：比特串的比特長度。

：比特分組密碼算法的分組長度。

???

：經(jīng)過填充和分割操作后，輸入數(shù)據(jù)比特串D的分組個(gè)數(shù)。

???

：輸出變換，比如截短。

?

：按順序?qū)⒈忍卮甔和Y連接所構(gòu)成的比特串。

?

：比特串和比特串的異或（其中）。

?∥?

：輪函數(shù)。

?⊕?????=??

4.2?編碼約定

如果需要定義“最高有效比特/字節(jié)”和“最低有效比特/字節(jié)”（例如，將比特/字節(jié)串視為數(shù)值），

則一個(gè)分組的最左邊的比特/字節(jié)被視為最高有效比特/字節(jié)。

5要求

實(shí)體在使用雜湊函數(shù)前，應(yīng)將數(shù)據(jù)串表示為統(tǒng)一形式，使得即使各個(gè)實(shí)體環(huán)境中表示數(shù)據(jù)串的方式

可能不同，但各方操作的比特串是完全相同的。

為使得數(shù)據(jù)串的長度達(dá)到要求，GB/T18238(所有部分)中規(guī)定的雜湊函數(shù)需進(jìn)行填充操作。具體填

充方法可采用附錄A中描述的方法。

6雜湊函數(shù)的通用模型

6.1概述

GB/T18238（所有部分）中規(guī)定的雜湊函數(shù)要求使用輪函數(shù)。

GB/T18238的后續(xù)部分中規(guī)定的雜湊函數(shù)輸出長度為比特的雜湊值，其中不大于輪函數(shù)中的

?

。

?????

?6.22雜湊運(yùn)算

6.2.1概述

在GB/T18238后續(xù)部分規(guī)定的雜湊函數(shù)使用輪函數(shù)和長度為的初始化值。對(duì)于給定的，

的值應(yīng)是固定的。通過以下四個(gè)步驟計(jì)算數(shù)據(jù)串的雜湊值。

??2?????

6.2.2步驟1（填充）??

對(duì)數(shù)據(jù)串進(jìn)行填充操作，以確保其長度是的整數(shù)倍。具體方法可采用附錄A中描述的方法。

6.2.3步驟2?（分割）?1

填充后的數(shù)據(jù)串被分割成多個(gè)比特長的分組。其中，表示第一個(gè)分組，表示

第二個(gè)分組，以此類推。填充和分割過程如圖1所示。

??1?1,?2,?,???1?2

3

GB/T18238.1—202X

圖1填充和分割示意圖

6.2.4步驟3（迭代）

令，以如下方式迭代計(jì)算長度為比特的串。

對(duì)，依次計(jì)算：

?0=???2?1,?2,?,??

。

?=1,?,?

6.2.5步驟4?（?輸=出?(變??換,?）??1)

對(duì)步驟3的輸出執(zhí)行變換，得到比特的雜湊值。

示例：變換可以是截短操作。

??????

6.3通用模型?的使用

GB/T18238的后續(xù)部分規(guī)定了基于通用模型的雜湊函數(shù)的示例。在每個(gè)示例中，描述一個(gè)具體雜湊

函數(shù)都需要定義以下內(nèi)容：

——參數(shù),；

——填充方法；

?1?2

——初始化值；

——輪函數(shù)；

??

——輸出變換。

?

在實(shí)際中使用通用模型所定義的雜湊函數(shù)還需要選擇參數(shù)。

?

??

4

GB/T18238.1—202X

附錄A

（規(guī)范性附錄）

填充方法

A.1概述

如GB/T18238其它部分所規(guī)定的，雜湊值的計(jì)算可能需要選擇一種填充方法，使得填充后的數(shù)據(jù)串

的比特長度為的整數(shù)倍。本附錄列出了兩種填充方法。

如存在填充，這些填充比特串無需隨原消息存儲(chǔ)或發(fā)送。驗(yàn)證者應(yīng)知道填充比特串是否已經(jīng)被存儲(chǔ)

?1

或發(fā)送，以及使用的是何種填充方法。

A.2方法1

在數(shù)據(jù)串右側(cè)填充一個(gè)比特“1”，然后在所得到的比特串右側(cè)填充“0”，盡可能少填充（甚至不

填充），以達(dá)到所要求的長度。

注：方法1總是要求填充至少一個(gè)比特。

A.3方法2

選擇一個(gè)參數(shù)（其中），例如，以及一種將數(shù)據(jù)串的比特長度編碼為比特的比

特串的方法。參數(shù)的選擇限制了可處理的數(shù)據(jù)串的長度，。

??≤?1?=64????

為計(jì)算雜湊值，需按以下方式填充數(shù)據(jù)串：?

????<2

a)在數(shù)據(jù)串右側(cè)填充一個(gè)比特“1”；

?

b)在上一步得到的比特串右側(cè)填充比特“0”，盡可能少填充（甚至不填充），使填充后的比特串

?

長度與模同余，即填充后的比特串長度比比特的整數(shù)倍少比特，如果，則填

充后的比特串長度等于比特的整數(shù)倍；

?1–??1?1??=?1

c)使用選定的編碼方法在上述結(jié)果后面添加比特編碼的，得到填充后的數(shù)據(jù)串。

?1

????

5

GB/T18238.1—202X

附錄B

（資料性附錄）

安全性注意事項(xiàng)

B.1攻擊目標(biāo)

與雜湊函數(shù)相關(guān)的攻擊目標(biāo)有多種(參考文獻(xiàn)[3]給出了示例)。以下幾點(diǎn)尤為重要。

碰撞攻擊—攻擊目標(biāo)是尋找兩個(gè)不同的數(shù)據(jù)串,,滿足。

原像攻擊—給定適合長度的比特串，攻擊目標(biāo)是找到數(shù)據(jù)串，滿足。

?1?2??1=?(?2)

第二原像攻擊—給定數(shù)據(jù)串，攻擊目標(biāo)是找到另外一個(gè)數(shù)據(jù)串，滿足且。

????=?

長度延長攻擊—給定比特串，其中為未知的非空數(shù)據(jù)串，攻擊目標(biāo)是'找到任意數(shù)據(jù)'串

??'??=?(?)?≠?

以及。

?(?)??'

注：當(dāng)前針對(duì)雜湊函數(shù)的密碼分析涉及很多種攻擊目標(biāo)，包括但不限于上述目標(biāo)。標(biāo)準(zhǔn)化過程會(huì)考慮這些目標(biāo)，但

?(?∥?')

僅作為參考。此外，在應(yīng)用中通常并不要求雜湊函數(shù)能夠抵抗所有攻擊目標(biāo)。一般地，僅考慮一部分特定目標(biāo)。

B.2通用攻擊

通用攻擊是一種適用于所有雜湊函數(shù)且不依賴于雜湊函數(shù)具體構(gòu)造的攻擊。

示例：暴力搜索原像攻擊。給定一個(gè)雜湊值，攻擊者嘗試所有可能的數(shù)據(jù)串，計(jì)算的值，并將結(jié)果與給定的

雜湊值進(jìn)行比較，如果兩者匹配，則完成原像搜索目標(biāo)。

??(?)

B.3密碼算法攻擊的影響

在GB/T18238(所有部分)中，雜湊函數(shù)抵抗?jié)撛诠舻哪芰κ歉鶕?jù)攻擊達(dá)到目標(biāo)的“計(jì)算不可行性”

來衡量的。正如定義所示，計(jì)算不可行性的含義取決于特定的安全需求和環(huán)境。一種經(jīng)常被安全從業(yè)人

員使用的含義是，當(dāng)完成一個(gè)任務(wù)需要的計(jì)算資源超過了通常可用的資源，則稱該任務(wù)具有計(jì)算不可行

性。

一種更嚴(yán)格的方法是在相同攻擊目標(biāo)下，比較特定攻擊與通用攻擊的效率。對(duì)于一個(gè)給定的攻擊目

標(biāo)，如果所