2024信息安全技術(shù)消息鑒別碼第2部分：采用專用雜湊函數(shù)的機制

信息安全技術(shù)消息鑒別碼2目 次范圍 1規(guī)范性引用文件 1術(shù)語和定義 1符號 3用戶使用要求 4MAC算法1（MDx-MAC） 5概述 5MAC算法1的描述 5概述 5步驟1（密鑰擴展） 5步驟2（修改常數(shù)和初始值） 5步驟3（雜湊操作） 6步驟4（輸出變換） 6步驟5（截斷操作） 6效率 6MAC算法2（HMAC） 6概述 6MAC算法2的描述 6概述 6步驟1（密鑰擴展） 6步驟2（雜湊操作） 7步驟4（輸出變換） 7步驟5（截斷操作） 7效率 7MAC算法3（MDx-MAC的變種） 7概述 7MAC算法3的描述 7概述 7步驟1（密鑰擴展） 7步驟2（修改常數(shù)和初始值） 88.2.4步驟3（填充） 8步驟4（應(yīng)用輪函數(shù)） 8步驟5（截斷操作） 8效率 8常數(shù)的計算 8概述 8IISM3密碼雜湊函數(shù) 9附錄A（資料性）本文件與ISO/IEC9797-2:2021相比的結(jié)構(gòu)變化情況 10附錄B（資料性）測試向量 11概述 11MAC算法1（MDx-MAC） 11MAC算法2（HMAC） 12MAC算法3（MDx-MAC的變種） 13附錄C（資料性）MAC算法的安全性分析 14III信息安全技術(shù)消息鑒別碼第2部分：采用專用雜湊函數(shù)的機制范圍3種采用專用雜湊函數(shù)的消息鑒別碼算法。這些消息鑒別碼算法可用于數(shù)據(jù)完整性檢驗，檢驗數(shù)據(jù)是否被非授權(quán)地改變。本文件適用于安全體系結(jié)構(gòu)、過程及應(yīng)用的安全服務(wù)。本文件定義的第一個MAC算法通常被稱作MDx-MACMAC算法通常被稱作HMAC第三個MAC算法是MDx-MAC的一個變種，它限制輸入長度不大于256比特。在只處理較短輸入的情況下，它有更好的性能。規(guī)范性引用文件（包括所有的修改單適用于本文件。術(shù)語和定義GB/T25069-2022界定的以及下列術(shù)語和定義適用于本文件。熵entropy封閉系統(tǒng)中無序性、隨機性或可變性的度量。注：隨機變量X的熵是觀察X所獲得的信息量的量化度量。雜湊函數(shù)hash-function將任意長（但通常存在上限）的比特串映射為定長比特串的函數(shù)，滿足下列性質(zhì):——給定一個輸出比特串，尋找一個輸入比特串來產(chǎn)生該輸出比特串，在計算上不可行；——給定一個輸入比特串，尋找另一個不同的輸入比特串來產(chǎn)生相同的輸出比特串，在計算上不可行。注：計算不可行性取決于特定的安全要求和環(huán)境。[來源：GB/T25069-2022，3.505，有修改]輸入數(shù)據(jù)比特串inputdatastring輸入MAC算法的比特串。1填充padding向某一數(shù)據(jù)串附加額外比特的操作。[來源：GB/T25069-2022，3.598]初始值initializingvalue在密碼變換中，為增強安全性或使密碼設(shè)備同步而引入的用于數(shù)據(jù)變換的起始數(shù)據(jù)。[來源：GB/T25069-2022，3.80]雜湊碼hash-code雜湊函數(shù)輸出的比特串。輪函數(shù)round-functionL2L2的比特串，被迭代地用于雜湊函數(shù)的計算過程。注1：輪函數(shù)記為?(?,?)。該函數(shù)輸入長度為?1的數(shù)據(jù)串和長度為?2的前一個輪函數(shù)的輸出值（或初始化值），出一個長度為?2的比特串。注2：在該領(lǐng)域的文獻中，多個術(shù)語具有與輪函數(shù)相同或相似的含義。例如：壓縮函數(shù)和迭代函數(shù)。[來源：GB/T18238.1，3.8]分組block作為一個單位記錄或傳輸?shù)脑匦蛄?。注：這里的元素可以是字符、字或記錄。[來源：GB/T25069-2022，3.354]字word為給定目的視為一個單位的字符串。[來源：GB/T25069-2022，3.812]消息鑒別碼messageauthenticationcodeMAC注：一個MAC有時也稱作一個密碼校驗值。[來源：GB/T15852.1-2020，3.10]消息鑒別碼算法messageauthenticationcodealgorithm輸入為密鑰和消息，輸出為一個固定長度的比特串的算法，滿足下面兩個性質(zhì)：——對于任何密鑰和消息，MAC算法都能快速有效地計算；——對于任何固定的密鑰，攻擊者在沒有獲得密鑰信息的情況下，即使獲得了一些（消息，MAC）對，對任何新的消息預(yù)測其MAC在計算上是不可行的。注1：MAC算法有時也稱作密碼校驗函數(shù)。注2：計算不可行性依賴于使用者具體的安全要求及其環(huán)境。2[來源：GB/T15852.1-2020，3.11]MAC算法密鑰MACalgorithmkey用于控制消息鑒別碼算法運算的密鑰。[來源：GB/T15852.1-2020，3.12]輸出變換outputtransformation在算法末尾且截斷操作之前所應(yīng)用的函數(shù)。[來源：GB/T15852.1-2020，3.14]安全性強度securitystrengths比特的安全強度表示需要的操2s。符號下列符號適用于本文件。Ci,C'i

輪函數(shù)中使用的常數(shù)字D 輸入數(shù)據(jù)比特串，即：將要被輸入到MAC算法的數(shù)據(jù)比特串D 經(jīng)過填充的數(shù)據(jù)比特串H 雜湊碼、長度為L2的比特串，在MAC算法計算中被用來存儲臨時結(jié)果h 雜湊函數(shù)h' 的雜湊函數(shù)hh 簡化的雜湊函數(shù)h，沒有數(shù)據(jù)填充和長度附加，沒有將輪函數(shù)輸出（L2比特）LH比特。注1：被用來處理長度為L1正整數(shù)倍的輸入比特串。注2：h的輸出是長度為L2位的比特串，而不是長度為LH位的比特串。IV、IV'、IV1、IV2

初始值K MAC算法的密鑰K'、K0、K1、K2、K、K1、K2K1[i]

被用于MAC算法的誘導(dǎo)密鑰誘導(dǎo)密鑰K1的第i個字MAC算法1的輸出變換步驟中，函數(shù)的第一個輸入比特串k MAC算法密鑰的比特長度° MAC算法315852.2—XXXXLX X的比特長度輸入到輪函數(shù)的兩個比特串中，第一個比特串的比特長度L輸入到輪函數(shù)的兩個比特串中，第二個比特串的比特長度；輪L2MSBj(X)

函數(shù)輸出值的比特長度；初始值IV的比特長度比特串X最左側(cè)j位比特串m MAC值的比特長度OPAD、MAC算法2中使用的常數(shù)比特串q D的分組個數(shù)RS0S1S2T0、、T2、U0、U1、U2

MAC算法1和3的常數(shù)計算中使用的常數(shù)比特串MAC算法1和3的密鑰誘導(dǎo)中使用的常數(shù)比特串w 字的比特長度，取32XY X和Y的異或值X||Y X和Y連接所構(gòu)成的比特串MAC算法定義中使用的賦值符號向上取整符號 輪函數(shù)，即：若XY分別表示長度為L2的比特串，則(X,Y)表示將作用到X和Y所得到的比特串修改的輪函數(shù)，其常數(shù)與原輪函數(shù)中使用的不同ww 模2wwAB是字，AB看作是整數(shù)的2進制表示，計算它們的和再模2w，所得到的結(jié)果在02w1AB。w用戶使用要求使用本文件中給出的MAC算法的用戶需要選擇：——GB/T18238.3中的專用雜湊函數(shù)；——章節(jié)6、7、8中定義的一種MAC算法；——MAC的比特長度m，其中m不小于32。用戶之間就這些選擇達成協(xié)議對數(shù)據(jù)完整機制的運作至關(guān)重要。MAC算法中使用的密鑰K的熵應(yīng)滿足或超過由MAC算法提供的安全性強度。在任何情況下，MAC算法密鑰K的選擇應(yīng)使每個可能的密鑰被選擇的可能性近似相等。MAC12，MACmLHMAC2，MACm32MAC3，MACm應(yīng)該是一個正整數(shù)并且不大于雜湊mLH/2/MACMAC具體的MAC算法和m值的選擇超出了本文件所規(guī)定的范圍。4這些選擇影響MAC算法的安全性級別。詳細(xì)討論見附錄C。生成和驗證MAC使用的密鑰相同。如果輸入數(shù)據(jù)串也被加密，那么計算MAC的密鑰宜不同于用于加密的密鑰。因為，為保密性和數(shù)據(jù)完整性使用相互獨立的密鑰被認(rèn)為是好的密碼實踐。BMACCMACMAC1（MDx-MAC）概述本章描述了采用GB/T18238.3-XXXX中的專用雜湊函數(shù)的MAC算法1。MAC算法1又稱MDx-MAC。MAC算法1要求調(diào)用一次雜湊函數(shù)以計算MAC值，而且要求修改對應(yīng)輪函數(shù)中的常數(shù)。MAC算法1可最大容納128K128MAC算法SM3密碼雜D2641。MAC1概述MAC算法1要求如下五步操作：密鑰擴展、修改常數(shù)和初始值、雜湊操作、輸出變換和截斷操作。1（密鑰擴展）K長度小于128K/K次，選取所得結(jié)果的最左側(cè)128比特作為128比特密：K':MSB128(KPKPKPK)。若K長度不小于128比特，K':MSB128(K)。K0K1K2：K0h(K'PU0PK')，(h(K'PU1PK'))K2(h(K'PU2PK'))hhU0、U1和U2是第9章中定義的768比特的常數(shù)。數(shù)據(jù)填充和長度L或2L比特。1 1K0K0L2比特。K1K1[ii，即：K1K1[0]||K1[1]||K1[2]||K1[3]||K1[4]||K1[5]||K1[6]||K1[7]從比特串到字的轉(zhuǎn)換，需要規(guī)定字節(jié)排列順序。在這里的轉(zhuǎn)換中，采用GB/T32905-2016中規(guī)定的字節(jié)排列順序。2（修改常數(shù)和初始值）1輪函數(shù)中采用的附加常數(shù)，被修改為它與K中的一個字進行模2w加的結(jié)果，例如：1C0:C0wK1[0]每個常數(shù)具體與K1的哪個字相加取決于使用的雜湊函數(shù)，在第9章中規(guī)定。用IV':K0取代雜湊函數(shù)的初始值IV，所得的雜湊函數(shù)記作h'，其中的輪函數(shù)記作'。53（雜湊操作）Dh'，即：H'h'(D)4（輸出變換）增加一次被修改的輪函數(shù)（步驟3的結(jié)果），即：H'':'(KT,H')KTK2||(K2||(K2||(K2)。這里T0、和T2是長度為1289章中定義。輸出變換對應(yīng)于處理在數(shù)據(jù)填充和長度附加操作之后由K2誘導(dǎo)得到的一個額外的數(shù)據(jù)分組。5（截斷操作）取比特串H''最左側(cè)m比特，作為MAC值，即：MAC:MSBm(H")效率如果填充后的輸入數(shù)據(jù)比特串包括q（其中填充方法由雜湊函數(shù)決定那么MAC算法1需要q7K0K1K2IV'，MAC算法1調(diào)q12要求的強制性修改共同使用。對于長的輸入比特串，MAC算法1和相應(yīng)雜湊函數(shù)的性能相當(dāng)。MAC2（HMAC）概述本章描述了采用GB/T18238.3-XXXX中的專用雜湊函數(shù)的MAC算法2。MAC算法2又稱HMAC。MAC算法2計算MAC值要求調(diào)用兩次雜湊函數(shù)。雜湊函數(shù)要求L1是8的正整數(shù)倍。密鑰長度k不小于L2比特，其中L2是雜湊碼的比特長度。若輸入密鑰的長度大于L1比特，其中L1L2MAC算法2L2k。對于MAC算法2，采用SM3密碼雜湊算法時的輸入數(shù)據(jù)串D的比特長度應(yīng)不大于264512。MAC2概述MAC算法2要求如下四步操作：密鑰擴展、雜湊操作、輸出變換和截斷操作。1（密鑰擴展）Kk個0K。KK1K2。將1630010101/8D。KK1，即：6K1:KIPAD將165C0101101/8OPAD。K和比特串OPADK2，即：K2:KOPAD2（雜湊操作）將K1和D相連接，作為輸入到雜湊函數(shù)的比特串，即：H':h(K1||D)3（輸出變換）K2相連接，作為輸入到雜湊函數(shù)的比特串，即：H'':h(K2||H')4（截斷操作）取比特串H''最左側(cè)m比特，作為MAC值，即：MAC:MSBm(H")效率如果填充后的輸入數(shù)據(jù)比特串包括q（其中填充方法由雜湊函數(shù)決定MAC算法2調(diào)用輪函數(shù)q3次。通過修改雜湊函數(shù)代碼，MAC2調(diào)用輪函數(shù)的次數(shù)可以降低到q1次?？梢灶A(yù)計算I1(K1,IV)和I2(K2,IV)1V（第二次調(diào)用雜湊函數(shù)IV2上。MAC3（MDx-MAC）概述本章描述了MAC算法1的一個變種，該變種對短輸入（不大于256比特）做了優(yōu)化。對于MAC算法3D的比特長度應(yīng)不大于256。密鑰比特長度k應(yīng)不大于128，MAC值比特長度m應(yīng)不大于LH/2。MAC3概述MAC算法3要求如下五步操作：密鑰擴展、修改常數(shù)和初始值、填充、應(yīng)用輪函數(shù)和截斷操作。1（密鑰擴展）K長度小于128K/K次，選取所得結(jié)果的最左側(cè)128比特作為128比特密：K':MSB128(KPKPKPK)。若K長度不小于128比特，K':MSB128(K)。K0K1K2：7K0h(K'PU0PK')，(h(K'PU1PK'))K2(h(K'PU2PK'))hhU0、U1和U2是第9章中定義的768比特的常數(shù)。數(shù)據(jù)填充和長度L或2L比特。1 1K0K0L2比特。K1K1[ii，即：K1K1[0]||K1[1]||K1[2]||K1[3]||K1[4]||K1[5]||K1[6]||K1[7]從比特串到字的轉(zhuǎn)換，需要規(guī)定字節(jié)排列順序。在這里的轉(zhuǎn)換中，采用GB/T32905-2016中規(guī)定的字節(jié)排列順序。2（修改常數(shù)和初始值）1輪函數(shù)中采用的附加常數(shù)，被修改為它與K四個字中的一個進行模2w加的結(jié)果，例如：1C0:C0wK1[0]。每個常數(shù)具體與K1的哪個字相加取決于使用的雜湊函數(shù)，在第9章中規(guī)定。用IV':K0取代雜湊函數(shù)的初始值IV，所得的雜湊函數(shù)記作h'，其中的輪函數(shù)記作'。3（填充）對原始消息填充的比特串只用來計算MAC。所以，這些填充比特串（如果有）不必隨原始消息存儲MACMACD，在其右側(cè)填充盡可能少（可能沒有）的“0”比特以獲得長度是256D。如果輸入數(shù)據(jù)比特串D是空串，那么規(guī)定填充后的比特串D為256個“0”。4（應(yīng)用輪函數(shù)）D的二進制表示，并在左側(cè)填充盡可能少的“0”以獲得128位的比K2DK2的異或值相連接，作為（修改常數(shù)的）輪函數(shù)的輸入。''(K2||D||(K2,')5（截斷操作）取比特串H'最左側(cè)m比特，作為MAC值，即：MAC:MSBm(H')效率MAC算法3需要調(diào)用7K0K1K2，可以降低到僅調(diào)用1次。常數(shù)的計算概述第9章規(guī)定的常數(shù)被用在MAC算法1和3中。比特串Ti和Ui是MAC算法中固定的元素。它們通過雜湊函數(shù)計算得到（只計算一次），不同雜湊函數(shù)中的常數(shù)不同。8128比特的常數(shù)Ti和768比特的常數(shù)Ui按照如下的方法定義。Ti的定義使用到496比特的常數(shù)R"abK

yzABK

YZ

89和16S0S1S2Sii的16進制ASCII編碼得到（S1的16進制表示為3131）RSi都采用ASCII編碼，等同于采用GB/T1988-1998進行編碼：Ti:MSB128(h(Si||R)),Ui||1||2||||1||2,

i2i2其中Ti的下標(biāo)采用模3加。對于所有的常數(shù)Ci、C'i和所有的字K1[i]，最高位對應(yīng)于最左側(cè)的比特。常數(shù)Ci和C'i采用16進制表示。SM3SM3密碼雜湊函數(shù)中的128比特常數(shù)Ti定義如下（以16進制表示）：SM3密碼雜湊函數(shù)的輪函數(shù)中用到的常數(shù)字序列C0,C1,K,C63定義如下：其中，序列C'0,K

CiK1[imod8]32C'i,C'63用16進制表示定義如下：

(0i63)，C'i(0i15),C'ii9附錄 A（資料性）本文件與ISO/IEC9797-2:2021相比的結(jié)構(gòu)變化情況本文件與ISO/IEC9797-2:2021相比在結(jié)構(gòu)上有較多調(diào)整，具體章條編號對照情況見表A.1。表A.1本文件與ISO/IEC9797-2:2021的章條編號對照情況本文件章條編號對應(yīng)的ISO/IEC標(biāo)準(zhǔn)章條編號3.13.23.23.53.33.33.43.113.53.63.63.43.73.123.83.13.93.143.103.83.113.93.123.73.133.103.143.1396.49.16.4.19.26.4.9—9附錄A——附錄A10附錄 B（資料性）測試向量概述本附錄提供了MAC算法1、2和3的計算示例，采用GB/T32905-2016的SM3密碼雜湊算法。表B.1包含了序號為1至9的輸入比特串。對于MAC算法1和2，本附錄給出了計算MAC值的九個示例；對于MAC算法3，只給出了表中的前五個示例。在整個附錄中，采用ASCII碼對輸入數(shù)據(jù)比特串進行編碼，等同于采用GB/T1988-1998規(guī)定的七位編碼字符。表B.1用于測試的輸入比特串序號輸入比特串1“”（空比特串）2“a”3“abc”4“messagedigest”5“abcdefghijklmnopqrstuvwxyz”6“abcdbcdecdefdefgefghfghighijhijkijkljklmklmnlmnomnopnopq”7“ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789”8“1234567890”重復(fù)8次所得的長為80的字符串9“a”重復(fù)1，000，000次得到1兆長的字符串兩個128比特的密鑰如下：對于本附錄中的示例，選取mLH/2，其中LH取可選最大值。對于采用SM3密碼雜湊函數(shù)的MAC算法，即：m128。MAC1（MDx-MAC）對于采用SM3密碼雜湊函數(shù)的MAC算法1，測試向量如下：密鑰1：00112233445566778899AABBCCDDEEFF序號128比特MAC值：下列比特串的最左側(cè)的128比特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密鑰2：0123456789ABCDEFFEDCBA9876543210序號128比特MAC值：下列比特串的最左側(cè)的128比特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（HMAC）對于采用SM3密碼雜湊函數(shù)的MAC算法2，測試向量如下：密鑰1：00112233445566778899AABBCCDDEEFF序號128比特MAC值：下列比特串的最左側(cè)的128比特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密鑰2：0123456789ABCDEFFEDCBA9876543210序號128比特MAC值：下列比特串的最左側(cè)的128比特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（MDx-MAC的變種）對于采用SM3密碼雜湊函數(shù)的MAC算法3，測試向量如下：密鑰1：00112233445566778899AABBCCDDEEFF序號128比特MAC值：下列比特串的最左側(cè)的128比特1B7DA221372494909407DAE9BAA89EC6F97B4B5FF44453C1C634B0CBB642612F22C9333F511344032C70CA41DAB3E335A2AB28DF5B933344E90B4EFC91BA90DC6B3336202E1213B63AF5A141FDFCD2B2213C6EDC56CEE7EC12B8A8878182C530FB34E6A3BC8769F5DC27131F4799AD710C8B933347FA65D3A7EFDF354472B81F023854602CD8E9DA630CB863A14362B0D7DD025D2F5855ABC283DFEEFB1E720B32467密鑰2：0123456789ABCDEFFEDCBA9876543210序號128比特MAC值：下列比特串的最左側(cè)的128比特194160AE33