信息技術 安全技術 采用專用雜湊函數(shù)的機制-編制說明

PAGE信息技術安全技術消息鑒別碼第2部分采用專用雜湊函數(shù)的機制編制說明中國科學院軟件研究所信息安全國家重點實驗室2011年1月《信息技術安全技術消息鑒別碼采用專用雜湊函數(shù)的機制》編制說明中國科學院軟件研究所PAGE1編制背景根據(jù)國家標準化管理委員會2009年下達的國家標準制修訂計劃，國家標準《信息技術安全技術消息鑒別碼采用專用雜湊函數(shù)的機制》標準制定項目由中國科學院軟件研究所信息安全國家重點實驗室負責主辦。另外，全國信息安全標準化技術委員會（SAC/TC260）在“2009年國家信息安全標準制訂工作專項”中下達了GB15852.2-XXXX《信息技術安全技術消息鑒別碼采用專用雜湊函數(shù)的機制》標準編制項目。采用專用雜湊函數(shù)的消息鑒別碼有著運行速度快、結構明確清晰、實現(xiàn)代價小、升級代價小等諸多優(yōu)點，國際標準化組織早在2002年就頒布了ISO/IEC9797-2：2002《信息技術安全技術消息鑒別碼第2部分：采用專用雜湊函數(shù)的機制》。而在我們國家的標準體系中，目前還沒有采用專用雜湊函數(shù)的消息鑒別碼算法標準，相關行業(yè)對此類消息鑒別碼算法的選擇與應用缺乏依據(jù)。因此，標準化采用專用雜湊函數(shù)的消息鑒別碼算法，有助于規(guī)范國內(nèi)各行業(yè)對此類消息鑒別碼算法的選擇與應用，推動國家信息安全算法標準化的進程。國際標準ISO/IEC9797-2:2002采用三種專用雜湊函數(shù)，分別是RIPEMD-160、RIPEMD-128和SHA-1，這三種專用雜湊函數(shù)有著類似的設計思路。考慮到最近幾年學術界對這三種專用雜湊函數(shù)的深入研究和各種攻擊，為保證本標準在使用過程中的多樣性和持久性。我們在本標準中增加一種備選的專用雜湊函數(shù)WHIRLPOOL。WHIRLPOOL是ISO/IEC10118-3:2004中的專用雜湊函數(shù)7，它的設計思路與前面三種專用雜湊函數(shù)截然不同，因此它的安全性不會因為其它專用雜湊函數(shù)的安全性降低而降低。標準計劃號為：20090330-T-469。編制原則和依據(jù)本標準的編制原則是先進性和兼容性。良好的標準應對技術的發(fā)展起到推動作用，它要有一定的前瞻性。作為標準不僅要適合我國當前的發(fā)展水平，而且要考慮到與國際的接軌。因此，在采用專用雜湊函數(shù)的消息鑒別碼標準的編制中，我們應吸收國際最新的研究成果。這樣使得我們的標準能滿足信息安全技術進一步發(fā)展的需要。同時我們所編制的《采用專用雜湊函數(shù)的消息鑒別碼》是全國信息安全標準化委員會的系列標準之一，與現(xiàn)行的國家信息安全方面的相關標準、條例保持一致?！恫捎脤Ｓ秒s湊函數(shù)的消息鑒別碼》還應于相關的國際技術標準兼容，尤其是ISO/IEC9797-2：2002。GB15852.2-XXXX修改采用了ISO/IEC9797-2：2002《信息技術安全技術消息鑒別碼第2部分：采用專用雜湊函數(shù)的機制》。編制依據(jù)包括：ISO/IEC9797-2:2002《信息技術安全技術消息鑒別碼第2部分：采用專用雜湊函數(shù)的機制》ISO/IEC10118-3:2004《信息技術安全技術雜湊函數(shù)第3部分：專用雜湊函數(shù)》ISO/IEC10118-3：2004《信息技術安全技術散列函數(shù)第3部分：專用散列函數(shù)》的2006年的補充材料（HASH函數(shù)8：SHA-224）GB/T18238.3-2002信息技術安全技術散列函數(shù)第3部分：專用散列函數(shù)（idtISO/IEC10118-3:1998）GB/T1.1-2000《標準化工作導則第1部分：標準的結構和編寫規(guī)則》編制過程說明2009年4月2日下午在北京應物會議中心召開了標準編制項目會議，在會議中安標委秘書處介紹并部署了本次項目編制的任務。會議確定中國科學院軟件研究所為負責單位，吳文玲研究員為負責專家進行“GB15852.2-XXXX《信息技術安全技術消息鑒別碼采用專用雜湊函數(shù)的機制》”的編制工作。課題相關的主要標準包括：ISO/IEC9797-2:2002《信息技術安全技術消息鑒別碼第2部分：采用專用雜湊函數(shù)的機制》，GB/T18238.3-2002信息技術安全技術散列函數(shù)第3部分：專用散列函數(shù)（idtISO/IEC10118-3:1998），ISO/IEC10118-3：2004《信息技術安全技術散列函數(shù)第3部分：專用散列函數(shù)》，ISO/IEC10118-3：2004《信息技術安全技術散列函數(shù)第3部分：專用散列函數(shù)》的2006年的補充材料（HASH函數(shù)8：SHA-224）。ISO/IEC10118-3：2004包含的專用散列算法有：專用散列算法1：RIPEMD-160專用散列算法2：RIPEMD-128專用散列算法3：SHA-1專用散列算法4：SHA-256專用散列算法5：SHA-512專用散列算法6：SHA-384專用散列算法7：WHIRLPOOLGB/T18238.3-2002專用散列算法1：RIPEMD-160專用散列算法2：RIPEMD-128專用散列算法3：SHA-1課題組對上述標準進行了研究與分析，通過研究消息鑒別碼算法的設計原理和安全性，調(diào)研專用雜湊函數(shù)的分析現(xiàn)狀，確認本次編制的國家標準是國際標準的修改采用。首先我們組織人員對ISO/IEC9797-2:2002進行了標準文本的翻譯、錄入和整理；二是依據(jù)最新國際專用雜湊函數(shù)標準，以及SHA系列專用雜湊函數(shù)所面臨的安全問題，在保留GB/T18238.3-2002主體的基礎上，增加了基于ISO/IEC10118-3:2004中專用雜湊函數(shù)7WHRILPOOL的MAC生成方法及例子；三是對內(nèi)容的正確性進行檢查，更新了附錄和參考文獻的內(nèi)容；最后是依據(jù)GB/T1.1-2000對結構和編寫進行規(guī)范。2009年5月7日完成《信息技術安全技術消息鑒別碼采用專用雜湊函數(shù)的機制》標準草案，向WG4工作組的各成員單位和相關專家征求意見。2009年10月15日，專家意見返回。2010年1月23日，WG4組織了專家審查會，課題負責人介紹了依據(jù)專家意見修改的新版本，并回答了專家的質(zhì)詢。專家組同意標準草案通過審查，建議編制組根據(jù)專家意見修改后提交WG4工作組成員單位進行表決。2010年4月，根據(jù)專家意見修改后提交WG4工作組2010年5月，在WG4工作組內(nèi)進行的投票中，獲得全票通過。同時投票單位提出一些文字修正意見，編制組根據(jù)意見進行了修改，形成征求意見稿。2010年9月28日—10月28日，征求七大部門意見并面向社會在安標委網(wǎng)站上對標準征求意見稿征求意見。根據(jù)意見進行修改完善后，形成送審稿。2010年11月-12月，收到7個部門的反饋意見，編制組對其進行了處理，經(jīng)過內(nèi)部討論，對標準進行進一步修訂，形成了標準送審稿；2010年12月30日—2011年1月15日，就標準送審稿征求安標委全體委員意見，并對反饋意見進行了處理，修改完善了標準送審稿。2011年1月16日—2011年1月19日，征求安標委全體委員意見；并對反饋意見進行了處理，經(jīng)過小組內(nèi)部討論修改，形成標準報批稿。編制內(nèi)容具體說明和要點GB15852.2-XXXX修改采用ISO/IEC9797-2：2002《信息技術安全技術消息鑒別碼第2部分：采用專用雜湊函數(shù)的機制》，在保留GB/T18238.3-2002主體的基礎上，增加了基于ISO/IEC10118-3:2004中專用雜湊函數(shù)7WHRILPOOL的MAC生成方法及例子。標題、目次和前言的編制下面是依據(jù)按照GB/T1.1-2000對標準進行的規(guī)范性編制。標題依據(jù)GB15852.2-2008和ISO/IEC9797-2:2002，采用《信息技術安全技術消息鑒別碼第2部分采用專用雜湊函數(shù)的機制》。前言按照GB/T1.1-2000進行修改和整理。ISO/IEC前言按照GB/T1.1-2000刪除國際標準的前言。引言依據(jù)ISO/IEC9797-2:2002進行了修改。簡述了3個MAC算法，介紹了本標準中用到的4個專用雜湊函數(shù)的出處。說明了使用的專用雜湊函數(shù)也可以為國家密碼管理部門公開發(fā)布的專用雜湊函數(shù)。5范圍等同ISO/IEC9797-2:2002。6.引用標準改為“規(guī)范性引用文件”，應采用按照GB/T1.1-2000規(guī)定的引導語（見GB/T1.1-2000P55）：“下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注明日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標準，然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準”。規(guī)范性引用文件已經(jīng)更新：按照GB/T1.1-2000，盡量使用國標，最好使用最新版本。具體引用標準如下：GB/T9387.2-1995信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分：安全體系結構（idtISO7498-2：1989)GB/T18238.1-2000信息技術安全技術散列函數(shù)第1部分：概述（idtISO/IEC10118-1:1994）GB/T18238.3-2002信息技術安全技術散列函數(shù)第3部分：專用散列函數(shù)（idtISO/IEC10118-3:1998）ISO/IEC10118-3：2004信息技術安全技術雜湊函數(shù)第3部分：專用雜湊函數(shù)GB/T1988-1998信息技術信息交換用七位編碼字符集（eqvISO/IEC646：1991）其中ISO/IEC10118-3：2004在ISO/IEC9797-2:2002引用標準基礎上增加的引用，是因為本標準增加了一種備選專用雜湊函數(shù)WHIRLPOOL出自ISO/IEC10118-3：2004。定義和記法的編制依據(jù)ISO/IEC9797-2:2002分為兩部分：術語和定義等同ISO/IEC9797-2:2002的第3章。符號和記法在ISO/IEC9797-2:2002的第4章的基礎上，增加了對WHIRLPOOL中修改常數(shù)的符號表示，即，專用雜湊函數(shù)4中用到的常數(shù)矩陣。要求的編制修改了ISO/IEC9797-2:2002的第5章，將“從GB/T18238.3中的1、2、3中選取一個散列函數(shù)”修改為“從GB/T18238.3-2002中的專用雜湊函數(shù)1、2、3或ISO/IEC10118-3：2004中的專用雜湊函數(shù)7中選取一個雜湊函數(shù)”。正文的編制由于WHIRLPOOL的引入，修改了ISO/IEC9797-2:2002中第6章部分語句的表述；將“散列函數(shù)應當從GB/T18238.3-2002中的專用雜湊函數(shù)1、2、3中選取”修改為“散列函數(shù)應當從GB/T18238.3-2002中的專用雜湊函數(shù)1、2、3或ISO/IEC10118-3：2004中的專用雜湊函數(shù)7中選取”。將“本條款包括MDx-MAC的描述[5]。具體來講，若采用專用雜湊函數(shù)1，MAC算法1也被稱作RIPEMD-160-MAC；若采用專用雜湊函數(shù)2，MAC算法1也被稱作RIPEMD-128-MAC；若采用專用雜湊函數(shù)3，MAC算法1也被稱作SHA-1-MAC?！毙薷臑椤氨緱l款包括MDx-MAC的描述[5]。具體來講，若采用專用雜湊函數(shù)1，MAC算法1也被稱作RIPEMD-160-MAC；若采用專用雜湊函數(shù)2，MAC算法1也被稱作RIPEMD-128-MAC；若采用專用雜湊函數(shù)3，MAC算法1也被稱作SHA-1-MAC；若采用專用雜湊函數(shù)4（即ISO/IEC10118-3：2004中的專用雜湊函數(shù)7），MAC算法1也被稱作WHIRLPOOL-MAC。”將“ISO/IEC10118-3中的散列函數(shù)1、2、3滿足這些條件”修改為“GB/T18238.3-2002中的散列函數(shù)1、2、3和ISO/IEC10118-3：2004中的散列函數(shù)7滿足這些條件”。修改了對標準的引用；將“從比特串到字的轉(zhuǎn)換，需要規(guī)定字節(jié)的排列順序。在這里的轉(zhuǎn)換中，采用ISO/IEC10118-3中對所有專用雜湊函數(shù)規(guī)定的字節(jié)排列順序”修改為“從比特串到字的轉(zhuǎn)換，需要規(guī)定字節(jié)的排列順序。在這里的轉(zhuǎn)換中，采用GB/T18238.3-2002中對所有專用雜湊函數(shù)規(guī)定的字節(jié)排列順序”。將6.3小節(jié)的內(nèi)容移動到新建的第9章，并增加一節(jié)9.4，介紹對專用雜湊函數(shù)4的常數(shù)修改說明。附錄的編制所有附錄類型改為資料性附錄。附錄A在ISO/IEC9797-2:2002附錄A的基礎上，增加了使用WHORLPOOL生成MAC的例子；修改了對標準的引用，將“在整個附錄中，我們對消息比特串采用ASCII編碼，它等價于ISO/IEC646中的編碼。”修改為“在整個附錄中，我們對消息比特串采用ASCII編碼，它等價于GB/T1988-1998中的編碼?！保桓戒汢根據(jù)近幾年的研究情況，增加了側信道攻擊、可證明安全和一般攻擊的分析結果；參考文獻用ISO16609：2004取代了ISO9807：1991；增加了對3種MAC算法的最新分析文獻[6-13]。WHIRPOOL修改常數(shù)方法的說明WHIRPOOL算法的狀態(tài)矩陣是8*8的，其中每個元素占8比特。常數(shù)加都是位于狀態(tài)矩陣的第一行。在MAC算法1中，子密鑰K1的長度為128比特。在修改WHIRPOOL算法輪常數(shù)的時候，K1被分為32比特長度的四塊K1[0],K1[1],K1[2]和K1[3]，分別用來修改原算法中不同輪數(shù)的常數(shù)。如下圖所示：圖1修改位置原WHIRPOOL算法中常數(shù)矩陣除了第一行以外都是0。如果我們將K1模加到第一行，則需要進行一次額外的操作。因此我們將K1放在第二行和第六行，不需要額外的計算成本。另外，在不同輪數(shù)相繼地選擇第二行和第六行引入K1進行修改，有利于K1達到最佳的擴散效果。具體說明如下圖：圖2擴散路徑在第二行的前四個字節(jié)引入子密鑰以后，在接下來的一輪操作中，經(jīng)過列移位和行混淆，它將影響到狀態(tài)矩陣的第二至第五行，因此下一輪的子密鑰在第六行引入，不會受到上一輪子密鑰的直接影響。同樣，在第六行的前四個字節(jié)引入子密鑰以后，在接下來的一輪操作中，它將影響到狀態(tài)矩陣的第六、七、八行以及第一行。這時候在第二行引入下一個子密鑰，也可以獲得同樣的效果。因此，用這種方法交替反復地引入子密鑰修改輪常數(shù)的方法，可以獲得最佳的擴散效果。標準編號的建議本標準是修改采用國際標準ISO/IEC9797-2:2002。ISO/IEC9797由如下部分組成，它們共同的大標題是信息技術安全技術消息鑒別碼：-第1部分：采用分組密碼的機制。-第2部分：采用專用雜湊函數(shù)的機制。將對后續(xù)內(nèi)容另行增補。為了便于以后編制消息鑒別碼的系列國家標準，建議本標準編號為：GB15852.2-XXXX。與相關法律法規(guī)與標準的遵循情況本標準在編制過程中，已經(jīng)查閱了相關法規(guī)，確保本標準內(nèi)容遵守相關法律規(guī)定。同時查閱了相關國家標準，確保相關內(nèi)容和術語與這些標準的內(nèi)容保持一致。知識產(chǎn)權情況本標準不涉及專利問