GB/T 15852.2-2024 网络安全技术 消息鉴别码 第2部分：采用专门设计的杂凑函数的机制

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T158522—2024

.

代替GB/T158522—2012

.

网络安全技术消息鉴别码

第2部分采用专门设计的杂凑函数的机制

:

Cybersecuritytechnology—Messageauthenticationcodes

MACs—Part2Mechanismsusinadedicatedhash-function

():g

2024-09-29发布2025-04-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T158522—2024

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

符号

4………………………3

用户使用要求

5……………4

算法

6MAC1(MDx-MAC)………………4

通则

6.1…………………4

算法的描述

6.2MAC1…………………4

通则

6.2.1……………4

步骤密钥扩展

6.2.21()………………5

步骤修改常数和初始值

6.2.32()……………………5

步骤杂凑操作

6.2.43()………………5

步骤输出变换

6.2.54()………………5

步骤截断操作

6.2.65()………………5

效率

6.3…………………5

算法

7MAC2(HMAC)…………………6

通则

7.1…………………6

算法的描述

7.2MAC2…………………6

通则

7.2.1……………6

步骤密钥扩展

7.2.21()………………6

步骤杂凑操作

7.2.32()………………6

步骤输出变换

7.2.43()………………6

步骤截断操作

7.2.54()………………6

效率

7.3…………………6

算法的变种

8MAC3(MDx-MAC)………………………7

通则

8.1…………………7

算法的描述

8.2MAC3…………………7

通则

8.2.1……………7

步骤密钥扩展

8.2.21()………………7

步骤修改常数和初始值

8.2.32()……………………7

步骤填充

8.2.43()……………………7

Ⅰ

GB/T158522—2024

.

步骤应用轮函数

8.2.54()……………8

步骤截断操作

8.2.65()………………8

效率

8.3…………………8

常数的计算

9………………8

概述

9.1…………………8

密码杂凑函数

9.2SM3…………………8

附录资料性算法的安全性分析

A()MAC………………9

附录规范性对象标识符

B()……………11

附录资料性测试向量

C()………………13

参考文献

……………………17

Ⅱ

GB/T158522—2024

.

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件是的第部分已经发布了以下部分

GB/T158522。GB/T15852:

信息技术安全技术消息鉴别码第部分采用分组密码的机制

———1:;

网络安全技术消息鉴别码第部分采用专门设计的杂凑函数的机制

———2:;

信息技术安全技术消息鉴别码第部分采用泛杂凑函数的机制

———3:。

本文件代替信息技术安全技术消息鉴别码第部分采用专用杂凑

GB/T15852.2—2012《2:

函数的机制与相比除结构调整和编辑性改动外主要技术变化如下

》,GB/T15852.2—2012,,:

增加了术语熵输入数据位串安全性强度及定义更改了术语杂凑函数填充初始

a)“”“”“”,“”“”“

值轮函数分组字的定义删除了术语抗碰撞杂凑函数消息比特串见第章

”“”“”“”,“”“”(3,2012

年版的第章

3);

删除了符号D'更改了符号hK'KKKKKKRSSSTTTUU

b),、、0、1、2、、1、2、、0、1、2、0、1、2、0、1、

Uϕ'KiH的定义增加了符号w见第章年版的第章

2、、1[]、,、(4,20124);

更改了可选的杂凑函数的范围并更改了算法描述中采用专门设计的杂凑函数的说明和常数

c),

的计算见第章第章年版的第章第章

(5~9,20125~9);

增加了关于值和输入数据串长度限制的说明见第章

d)MAC(5);

增加了算法通则增加了算法密钥长度输入数据位串长度的说明见

e)MAC,MAC、(6.1、7.1、

8.1);

增加了算法描述的通则和步骤标注见

f)MAC(6.2、7.2、8.2);

增加了采用密码杂凑算法的算法和算法的描述和相应的常数计算见

g)SM3MAC1MAC3(

第章第章删除了采用其他专门设计的杂凑函数的描述和相应的常数计算见年

6~9);(2012

版的第章第章

6~9)

更改了关于算法的安全证明的说明见附录年版的附录

h)MAC2(A,2012B)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国科学院软件研究所中电科网络安全科技股份有限公司中国科学院大学

:、、、

国家密码管理局商用密码检测中心桂林电子科技大学广西网信信息技术有限公司格尔软件股份有

、、、

限公司兴唐通信科技有限公司郑州信大捷安信息技术股份有限公司北京时代新威信息技术有限公

、、、

司北京时代亿信科技股份有限公司长扬科技北京股份有限公司中国电子科技集团公司第十五研

、、()、

究所浙江大华技术股份有限公司陕西省信息化工程研究院华为技术有限公司

、、、。

本文件主要起草人吴文玲眭晗张立廷刘丽敏孙思维罗鹏毛颖颖张蕾郑雅菲韦永壮

:、、、、、、、、、、

韦博华郑强蔡子凡刘为华王连强刘伟丰赵华李艳俊魏东赵晓荣曾光

、、、、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2012GB/T15852.2—2012;

本次为第一次修订

———。

Ⅲ

GB/T158522—2024

.

引言

消息鉴别码能够保护数据的完整性也能够验证数据的来源采用专门设计的杂凑函数的消息鉴

,。

别码是指在设计过程中以专门设计的杂凑函数如等或其轮函数为主要部件通过一定的迭代

:,(SM3),

机制形成的消息鉴别码

。

拟分为以下部分

GB/T15852。

第部分采用分组密码的机制目的在于规定采用分组密码的消息鉴别码

———1:。。

第部分采用专门设计的杂凑函数的机制目的在于规定采用专门设计的杂凑函数的消息

———2:。

鉴别码

。

第部分采用泛杂凑函数的机制目的在于规定采用泛杂凑函数的消息鉴别码

———3:。。

Ⅳ

GB/T158522—2024

.

网络安全技术消息鉴别码

第2部分采用专门设计的杂凑函数的机制

:

1范围

本文件规定了采用专门设计的杂凑函数的消息鉴别码的用户使用要求提供了种采用专

(MAC),3

门设计的杂凑函数的消息鉴别码算法

。

注1这些消息鉴别码算法能用于数据完整性检验检验数据是否被非授权地改变

:,。

本文件适用于安全体系结构过程及应用的安全服务

、。

注2本文件定义的第一个算法通常被称作它调用一次完整的杂凑函数但对其中的轮函数做

:MACMDx-MAC。,

了细微的修改把一个密钥加到了轮函数的附加常数上第二个算法通常被称作它调用两次

,。MACHMAC,

完整的杂凑函数第三个算法是的一个变种它限制输入长度不大于位在只处理较

。MACMDx-MAC,256。

短输入的情况下它有更好的性能

,。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

网络安全技术杂凑函数第部分专门设计的杂凑函数

GB/T18238.3—20243:

信息安全技术术语

GB/T25069—2022

信息安全技术密码杂凑算法

GB/T32905—2016SM3

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069—2022。

31

.

熵entropy

封闭系统中无序性随机性或可变性的度量

、。

注随机变量X的熵是观察X所获得的信息量的量化度量

:。

来源

[:ISO/IEC18031:2011,3.11]

32

.

杂凑函数hash-function

将任意长的位串映射为定长位串的函数满足下列性质

,:

给定一个输出位串寻找一个输入位串来产生该输出位串在计算上不可行

———,,;

给定一个输入位串寻找另一个不同的输入位串来产生相同的输出位串在计算上不可行

———,,。

来源有修改

[:GB/T25069—2022,3.505,]

33

.

输入数据位串inputdatastring

输入算法的位串

MAC。

1

GB/T158522—2024

.

34

.

填充padding

向某一数据串附加额外位的操作

。

来源

[:GB/T25069—2022,3.598]

35

.

初始值initializingvalue

在密码变换中为增强安全性或使密码设备同步而引入的用于数据变换的起始数据

,。

来源有修改

[:GB/T25069—2022,3.80,]

36

.

杂凑值hashvalue

密码杂凑运算的结果

。

来源

[:GB/T25069—2022,3.764]

37

.

轮函数round-function

构成杂凑函数的主要部件之一将两个特定长度的位串映射为一个定长位串的函数被迭代地用于

,,

杂凑函数的计算过程

。

注在该领域的文献中多个术语具有与轮函数相同或相似的含义例如压缩函数和迭代函数

:,。:。

来源

[:GB/T18238.1—2024,3.8]

38

.

分组block

作为一个单位记录或传输的元素序列

。

注这里的元素可为字符字或记录

:、。

来源

[:GB/T25069—2022,3.354]

39

.

字word

为给定目的视为一个单位的字符串

。

来源有修改

[:GB/T25069—2022,3.812,]

310

.

消息鉴别码messageauthenticationcodeMAC

,

算法输出的位串

MAC。

注一个有时也称作一个密码校验值

:MAC。

来源有修改

[:GB/T15852.1—2020,3.10,]

311

.

消息鉴别码算法messageauthenticationcodealgorithm

输入为密钥和消息输出为一个固定长度的位串的算法满足下面两个性质

,,:

对于任何密钥和消息算法都能快速有效地计算

———,MAC;

对于任何固定的密钥攻击者在没有获得密钥信息的情况下即使获得了一些消息

———,,(,MAC)

对对任何新的消息预测其在计算上是不可行的

,MAC。

注1算法有时也称作密码校验函数

:MAC。

注2计算不可行性依赖于使用者具体的安全要求及其环境

:。

来源有修改

[:GB/T15852.1—2020,3.11,]

312

.

MAC算法密钥MACalgorithmkey

用于控制消息鉴别码算法运算的密钥

。

2

GB/T158522—2024

.

来源

[:GB/T15852.1—2020,3.12]

313

.

输出变换outputtransformation

在算法末尾且截断操作之前所应用的函数

。

来源

[:GB/T15852.1—2020,3.14]

314

.

安全性强度securitystrength

与攻破密码算法或系统所需的工作量相关的数值

。

注以位为单位s位的安全强度表示需要的操作数是s

:,2。

4符号

下列符号适用于本文件

。

CiC'i轮函数中使用的常数字

,:

D输入数据位串即将要被输入到算法的数据位串

:,:MAC

D经过填充的数据位串

:

H杂凑值

:

H'H″长度为L的位串在算法计算中被用来存储临时结果

、:2,MAC

h杂凑函数

:

h'被修改了常数和初始值IV的杂凑函数h

:

h简化的杂凑函数h没有数据填充和长度附加没有将轮函