《信息安全技術(shù) 雜湊函數(shù) 第3部分：專門設(shè)計的雜湊函數(shù)》編制說明

國家標準報批材料

一、工作簡況

1.1任務(wù)來源

根據(jù)國家標準化管理委員會2023年下達的國家標準制修訂計劃，《信息安全

技術(shù)散列函數(shù)第3部分：專用散列函數(shù)》由成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司

負責承辦，計劃號：20230244-T-469。該標準由全國信息安全標準化技術(shù)委員會

（TC260）歸口管理。

2023年1月11日，成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司更名為中電科網(wǎng)絡(luò)安

全科技股份有限公司，本次公司名稱變更不涉及法律主體變化。該任務(wù)由中電科

網(wǎng)絡(luò)安全科技股份有限公司負責承辦。

1.2制定背景

GB/T18238.3—2002《信息技術(shù)安全技術(shù)散列函數(shù)第3部分：專用散列

函數(shù)》國家標準等同采用了國際標準ISO/IEC10118-3:1998，該標準已經(jīng)使用

了20多年，技術(shù)內(nèi)容已經(jīng)過時，算法的安全強度不能夠保障現(xiàn)實應(yīng)用，不符合

我國密碼應(yīng)用的管理要求。

具體地，經(jīng)過近些年密碼研究的深入分析以及軟硬件計算能力的不斷提升，

該標準規(guī)范的三個密碼算法都出現(xiàn)了安全強度不足的問題。專用散列函數(shù)1

（RIPEMD-160）的輸出值僅有160比特，不能夠為現(xiàn)實密碼應(yīng)用提供足量的安全

保障。我國早在2010年12月發(fā)布的SM3密碼雜湊算法的輸出長度就已經(jīng)達到了

256比特；專用散列函數(shù)2（RIPEMD-128）的輸出長度僅為128比特，而且密碼

研究者已經(jīng)找到了其壓縮函數(shù)的碰撞（復雜度2^61.57），破解了該算法；專用

散列函數(shù)3（SHA-1）輸出長度160比特，也被密碼專家找到了選擇前綴碰撞（復

雜度2^69）。國家密碼管理局早在2017年4月就發(fā)布了《關(guān)于使用SHA-1密碼

算法的風險提示》。

同時，該標準文本中的一些專業(yè)名詞術(shù)語、敘述語言文字也較為陳舊，不能

夠很好地指導現(xiàn)實應(yīng)用，也不能夠支撐當前國家標準體系。而其采用的國際標準

已經(jīng)更新到第四版ISO/IEC10118-3:2018。為促進GB/T18238.3技術(shù)內(nèi)容進步，

使之與當前網(wǎng)絡(luò)安全國家標準協(xié)調(diào)統(tǒng)一，亟待修訂完善GB/T18238.3—2002。

2021年11月16日，申報團隊在信安標委會議周WG3工作組匯報了針對該

標準的調(diào)研情況，并提出了修訂建議，主要包括參考國際標準ISO/IEC

國家標準報批材料

10118-3:2018，充分調(diào)研該標準規(guī)范的三個雜湊算法的學術(shù)研究進展和工業(yè)應(yīng)用

情況，評估算法適用性，剔除安全強度不足的算法，并完善語言文字等。WG3工

作組經(jīng)過詳細研討，認為該系列標準從密碼設(shè)計的角度規(guī)范了專門設(shè)計的雜湊函

數(shù)，具備一定學術(shù)研究價值，有必要修訂完善。

此次修訂GB/T18238.3—2002的目的是解決該標準現(xiàn)有技術(shù)內(nèi)容與當前國

家標準體系不協(xié)調(diào)的問題，使之符合國家法律法規(guī)和相關(guān)政策要求。特別地，此

次修訂無納入新算法的考慮。

此次修訂解決了原標準GB/T18238.3—2002的協(xié)調(diào)性問題，使之符合國家

法律法規(guī)及相關(guān)政策的要求，同時也通過規(guī)定具體的模型，為未來納入新算法做

好了標準化技術(shù)準備。

如果當前個別場景存在使用新算法的需求，可以在充分技術(shù)論證評估的基礎(chǔ)

上，向相關(guān)管理部門申請并獲得批準后使用。對于是否引進國際算法的考慮，編

制組經(jīng)過討論后建議，可以在充分技術(shù)論證評估的基礎(chǔ)上，本著平等互惠的原則，

雙方國家同步納入對方國家的標準算法。

該標準由中電科網(wǎng)絡(luò)安全科技股份有限公司牽頭，參與單位包括中國科學院

大學、國家密碼管理局商用密碼檢測中心、中國電子技術(shù)標準化研究院、山東大

學、中國科學院軟件研究所、西安西電捷通無線網(wǎng)絡(luò)通信股份有限公司、格爾軟

件股份有限公司、北京信安世紀科技股份有限公司、山東得安信息技術(shù)有限公司、

華為技術(shù)有限公司、智巡密碼（上海）檢測技術(shù)有限公司、北京江南天安科技有

限公司、北京海泰方圓科技股份有限公司。

另有北京銀聯(lián)金卡科技有限公司、中國電子科技集團公司第十五研究所給予

了技術(shù)支持。

1.3起草過程

2022年3月，按照全國信息安全標準化技術(shù)委員會（以下簡稱“信安標委”）

的要求，申報團隊提交《信息安全技術(shù)散列函數(shù)第3部分：專用散列函數(shù)》標

準草案并準備立項材料。

2022年4月，申報團隊在WG3工作組2022年第一次全體會議上進行了立項

答辯，WG3工作組聽取成員單位意見建議，推薦該標準立項。

2022年7月，信安標委組織2022年網(wǎng)絡(luò)安全國家標準立項專家評審會，同

國家標準報批材料

意該標準立項。

2022年7月～2022年11月成立了編制組，重點對標準的范圍、框架及主要

技術(shù)內(nèi)容進行了多次內(nèi)部研討，明確了標準草案的編制思路，完善了草案。

2022年12月5日，編制組在WG3工作組2022年第二次全體會議上匯報了

修訂進展，根據(jù)工作組意見建議進一步完善了標準草案。

2023年1月12日，編制組在北京參加網(wǎng)絡(luò)安全國家標準專家審查會，匯報

了標準編制情況，并根據(jù)專家意見完善了標準文本，將標準名稱變更為《信息安

全技術(shù)雜湊函數(shù)第3部分：專門設(shè)計的雜湊函數(shù)》，形成征求意見稿。

2023年5月，為進一步提升標準質(zhì)量，檢驗標準適用性和可操作性，編制

組開始試點驗證工作。

2023年5月30日，編制組在昆明參加全國信息安全標準化技術(shù)委員會2023

年第一次“標準周”活動，在WG3工作組匯報了標準修訂情況，并根據(jù)專家意見

進一步完善了標準草案。

二、標準編制原則、主要內(nèi)容及其確定依據(jù)

2.1標準編制原則

本文件在編制過程中，遵循以下幾個原則：

1)可行性原則：標準必須是可用的，才有實際意義，本文件在編制過程中

始終堅持與相關(guān)密碼產(chǎn)品生產(chǎn)單位、用戶單位以及主管部門保持聯(lián)系，使標準能

夠更好地應(yīng)用到信息系統(tǒng)的開發(fā)、檢測、選購等多方面，同時結(jié)合我國的實際情

況，使標準的可操作性更強。

2)合規(guī)性原則：本文件與我國現(xiàn)有的政策、法規(guī)、標準、規(guī)范等相一致。

編制組在對標準起草過程中始終遵循此原則，其內(nèi)容符合我國已經(jīng)發(fā)布的有關(guān)政

策、法律和法規(guī)。

3)科學性原則：本文件的修訂主要參考ISO/IEC10118-3:2018ITSecurity

techniques-Hashfunctions-Part3:Dedicatedhash-functions中對雜湊

函數(shù)的要求和規(guī)范，并立足于當前國內(nèi)信息系統(tǒng)安全的實際狀況，對GB/T

18238.3—2002《信息技術(shù)安全技術(shù)散列函數(shù)第3部分：專用散列函數(shù)》進行

修訂，全方位地提出科學、完整、可行的技術(shù)規(guī)范。

4)可用性原則：本文件通過規(guī)范雜湊函數(shù)的描述方法和使用要求，將統(tǒng)一

國家標準報批材料

主管部門、檢測機構(gòu)、科研院所和應(yīng)用廠商對雜湊函數(shù)的理解和認識，規(guī)范具體

雜湊函數(shù)在相關(guān)技術(shù)和產(chǎn)品中落地應(yīng)用，切實提高網(wǎng)絡(luò)通信等領(lǐng)域的數(shù)據(jù)安全保

障能力。

2.2主要內(nèi)容及其確定依據(jù)

本文件參考國際標準ISO/IEC10118-3:2018，修訂國家標準GB/T18238.3

—2002，擬規(guī)范專門設(shè)計的雜湊函數(shù)。本文件主要內(nèi)容如下：

1）規(guī)定了專門設(shè)計的雜湊函數(shù)模型：基于輪函數(shù)的通用模型。

2）引用GB/T32905規(guī)定的專門設(shè)計的雜湊函數(shù)SM3，作為基于輪函數(shù)的通

用模型的示例。

此次修訂參考國際標準ISO/IEC10118-3:2018規(guī)范了輪函數(shù)模型。針對此

次修訂刪除了原標準中三個安全強度不足的算法，而缺少算法示例的情況，在標

準中引用了GB/T32905規(guī)定的專門設(shè)計的雜湊函數(shù)SM3，作為本標準6.2規(guī)定

的輪函數(shù)模型的示例。

此次修訂解決了原標準GB/T18238.3—2002的協(xié)調(diào)性問題，使之符合國家

法律法規(guī)及相關(guān)政策的要求，同時也通過規(guī)定具體的模型，為未來納入新算法做

好了標準化技術(shù)準備。如果當前個別場景存在使用新算法的需求，可以在充分技

術(shù)論證評估的基礎(chǔ)上，向相關(guān)管理部門申請并獲得批準后使用。對于是否引進國

際算法的考慮，編制組經(jīng)過討論后建議，可以在充分技術(shù)論證評估的基礎(chǔ)上，本

著平等互惠的原則，雙方國家同步納入對方國家的標準算法。

2.3修訂前后技術(shù)內(nèi)容的對比[適用于國家標準修訂項目]

本文件代替GB/T18238.3—2002《信息技術(shù)安全技術(shù)散列函數(shù)第3部分：

專用散列函數(shù)》，與GB/T18238.3—2002相比，除了結(jié)構(gòu)調(diào)整和編輯性改動外，

主要技術(shù)變化如下：

a)更改了規(guī)范引用文件，刪除GB/T1988—1998、GB/T18238.1—2000，增

加GB/T18238.1—202X、GB/T25069—2022、GB/T32905—2016；

b)刪除了術(shù)語“散列函數(shù)標識符”、“循環(huán)函數(shù)”及定義；

c)刪除了符號“”、“”等；

'

d)刪除了專門設(shè)?計?的雜湊?函?數(shù)1、雜湊函數(shù)2和雜湊函數(shù)3；

e)增加了專門設(shè)計的雜湊函數(shù)SM3；

國家標準報批材料

f)更改了附錄A實例為附錄A對象標識符；

g)刪除了附錄B和附錄C。

三、試驗驗證的分析、綜述報告，技術(shù)經(jīng)濟論證，預(yù)期的經(jīng)濟效益、社會

效益和生態(tài)效益

3.1試驗驗證的分析、綜述報告

通過調(diào)研目前學術(shù)界對雜湊函數(shù)的安全分析現(xiàn)狀，確定了基于輪函數(shù)的通用

模型能夠滿足當前雜湊函數(shù)的應(yīng)用需求，完成了關(guān)于專門設(shè)計的雜湊函數(shù)SM3

等的分析結(jié)論和報告。具體地，專門設(shè)計的雜湊函數(shù)SM3目前還有較高的安全冗

余度，抗原像攻擊安全冗余度約50%((64-32)/64)，抗（偽）碰撞攻擊安全冗余

度約48%((64-33)/64)。

3.2技術(shù)經(jīng)濟論證

本文件定義了專門設(shè)計的雜湊函數(shù)模型，并以專門設(shè)計的雜湊函數(shù)SM3作為

實例，適用于密碼、信息安全領(lǐng)域的主管部門、檢測機構(gòu)、科研院所和應(yīng)用廠商

等研究、開發(fā)、檢測、分析、應(yīng)用等。

3.3預(yù)期的經(jīng)濟效益、社會效益和生態(tài)效益

本文件規(guī)范了專門設(shè)計的雜湊函數(shù)的通用模型，并以專門設(shè)計的雜湊算法

SM3作為實例，有助于統(tǒng)一主管部門、檢測機構(gòu)、科研院所和應(yīng)用廠商對專門設(shè)

計的雜湊函數(shù)的理解和認識，規(guī)范雜湊函數(shù)在相關(guān)技術(shù)和產(chǎn)品中落地應(yīng)用，切實

提高網(wǎng)絡(luò)通信等領(lǐng)域的數(shù)據(jù)安全保障能力。

雜湊函數(shù)是用于保障完整性的密碼算法，是電子簽名、數(shù)字證書等重要密碼

系統(tǒng)和IPSec、SSL、3GPP等網(wǎng)絡(luò)安全協(xié)議不可或缺的核心技術(shù)。其推廣應(yīng)用領(lǐng)

域包括數(shù)字證書、金融密碼系統(tǒng)和產(chǎn)品、社會保障信息系統(tǒng)、國家電網(wǎng)等涵蓋國

家重大基礎(chǔ)設(shè)施的各個環(huán)節(jié)及各類電子產(chǎn)品，將有助于保障國家關(guān)鍵信息基礎(chǔ)設(shè)

施安全，產(chǎn)生顯著的社會經(jīng)濟效益。

四、與國際、國外同類標準技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、

樣機的有關(guān)數(shù)據(jù)對比情況

本文件修改采用ISO/IEC10118-3:2018ITSecuritytechniques-Hash

functions-Part3:Dedicatedhash-functions。

本文件與ISO/IEC10118-3:2018相比做了如下結(jié)構(gòu)調(diào)整：

國家標準報批材料

——第7章對應(yīng)國際標準的第23章；

——刪除了國際標準的4.2、6.3、第7章至22章、附錄B和附錄C；

本文件與ISO/IEC10118-3:2018的技術(shù)差異及原因如下：

——增加了“引言”；

——關(guān)于規(guī)范性引用文件，本部分做了具有技術(shù)性差異的調(diào)整，以適應(yīng)我國

的技術(shù)條件，調(diào)整的情況集中反映在第2章“規(guī)范性引用文件”中，具

體調(diào)整如下：

更改引用ISO/IEC10118-1為GB/T18238.1—202X；

增加引用了GB/T25069—2022和GB/T32905—2016；

——刪除了術(shù)語“循環(huán)矩陣”“阿貝爾群”“域”及定義，因為本文件未使

用這些術(shù)語；

——刪除了4.2，因為本文件未使用這些符號；

——刪除了海綿模型及相應(yīng)內(nèi)容，因為目前的雜湊函數(shù)實例未使用該模型；

——刪除了第7章至第22章，因為目前無標準化此類雜湊函數(shù)的需求；

——在第7章簡要描述了SM3算法，作為輪函數(shù)模型的示例，并引用GB/T

32905—2016信息安全技術(shù)SM3密碼雜湊算法；

——刪除了數(shù)值示例，因為不需要原雜湊函數(shù)的示例；

——刪除了SHA-3可擴展輸出函數(shù)，因為目前無對SHA-3可擴展輸出函數(shù)的標

準化需求。

本文件做了下列編輯性改動：

——為與我國技術(shù)標準體系協(xié)調(diào)，將標準名稱改為《信息安全技術(shù)雜湊函

數(shù)第3部分專門設(shè)計的雜湊函數(shù)》；

——更改了參考文獻。

五、以國際標準為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外

標準，并說明未采用國際標準的原因

本文件修改采用國際標準ISO/IEC10118-3:2018，該標準包含23章，包括

概述、規(guī)范引用、術(shù)語與定義、符號、要求、專門設(shè)計的雜湊函數(shù)模型，以及

RIPEMD-160、RIPEMD-160-128、SHA-1、SHA-256、SHA-512、SHA-384、WHIRLPOOL、

SHA-224、SHA-512/224、SHA-512/256、STREEBOG-512、STREEBOG-256、SHA3-224、

國家標準報批材料

SHA3-256、SHA3-384、SHA3-512、SM3等專門設(shè)計的雜湊函數(shù)。

本文件基于ISO/IEC10118-3:2018，以及我國雜湊函數(shù)應(yīng)用現(xiàn)狀和技術(shù)需

求，采納雜湊函數(shù)輪函數(shù)模型與SM3算法。

六、與有關(guān)法律、行政法規(guī)及相關(guān)標準的關(guān)系

本文件在編制過程中，已經(jīng)查閱了《網(wǎng)絡(luò)安全法》、《密碼法》、《中華人民共

和國電子簽名法》等相關(guān)法規(guī)，確保本文件的內(nèi)容遵守相關(guān)法律規(guī)定。本文件的

編制參考了GB/T18238.1《信息安全技術(shù)雜湊函數(shù)第1部分：概述》、GB/T

25069—2022《信息安全技術(shù)