信息安全技術雜湊函數3II目 次前言 II引言 IV1范引文件 1語定義 122湊數1 2概述 3參選擇 3填方法 3初化值 3輪數 3輸變換 3湊數2 3概述 4參選擇 4填方法 4初化值 4輪數 4輸變換 6湊數3 6概述 7參選擇 7填方法 7初化值 7輪數 7輸變換 9附錄A（料附）初始值變換u的義 10附錄B（料附）示例 12參考獻 18IVIV引 言雜湊函數是保護數據完整性的主要密碼算法之一。采用分組密碼的雜湊函數是指：在設計過程中，以分組密碼算法（如SM4等）為主要部件，通過一定的迭代機制形成的雜湊函數。GB/T18238分為以下部分：——第1部分：總則該部分規定了雜湊函數的要求和通用模型，指導GB/T18238的其它部分；——第2部分：采用分組密碼的雜湊函數該部分規定了采用分組密碼的雜湊函數；——第3部分：專門設計的雜湊函數該部分規定了專門設計的雜湊函數。PAGEPAGE1信息安全技術雜湊函數第2部分：采用分組密碼的雜湊函數范圍（??比特??GB/T18238.1—202X（GB/T18238.1—202X信息安全技術雜湊函數第1部分：總則（ISO/IEC10118-1:2016，ISO/IEC10118-1:2016/Amd.1:2021，MOD）GB/T25069—2022信息安全技術術語GB/T25069—2022界定的以及下列術語和定義適用于本文件。3.1分組block作為一個單位記錄或傳輸的元素序列。注：這里的元素可以是字符、字或記錄。[來源：GB/T25069—2022，3.354]3.2分組密碼blockcipher（GB/T25069—2022，3.161]3.3輪函數roundfunction將兩個特定長度的比特串映射為一個定長比特串的函數。注：輪函數迭代使用。符號下列符號適用于本文件。????/2????(??+1)/2??為????/2????(???1)/2??為????：當??是由多個??比特字構成的序列時，????(??≥0)表示??的第??個??比特字。特別地，當??=8時，????是??的第??個字節。??：數據。????：數據??經填充后的第??個??比特分組。??：??比特分組密碼算法。????(??)：以明文??和密鑰??作為輸入的??比特分組密碼算法??的加密運算。??：雜湊值。????：用于存儲雜湊運算中間結果的比特串，其長度為??2。????：初始化值。??：??比特分組密碼算法??的密鑰。????：比特串??的比特長度。??1：輸入到輪函數的兩個比特串中，第一個比特串的比特長度。??2IV??：??比特分組密碼算法??的分組長度。??：經過填充和分割操作后，輸入數據比特串D的分組個數。??：輸出變換，比如截短。??或??′：一種變換，把一個??比特分組轉換為分組密碼算法??的密鑰。??∥??X和Y??⊕??????（=????）。?：賦值符號，表示符號左邊的值應與符號右邊表達的值相等。??：輪函數。要求????GB/T18238.1—202X7——參數??1，??2，????；——填充方法；——初始化值????；——輪函數??；——輸出變換??。1PAGE6PAGE6.1概述PAGEPAGE3本章規定的雜湊函數提供長度為????的雜湊值，其中????≤??，推薦??不小于128。注：參考文獻[3]的9.4.1介紹了雜湊函數1。雜湊函數1的參數??1、??2和????應滿足??1=??2=??，并且????≤??，推薦??不小于128。??≥1??2??GB/T18238.1—202XA.2甚）雜湊函數1的????的定義超出了本文件的范圍。????應是一個長度為??比特的比特串，并且????的值應由雜湊函數的用戶協商確定。輪函數輪函數??用于產生????,其輸入包括填充后的數據分組????(長度為??1=??比特)與輪函數前一步的輸出?????1(長度為??2=??比特)，輸出為????(長度為??2=??比特)。作為輪函數的一部分，變換??將??比特分組變換成分組密碼算法??的密鑰。變換??的定義超出了本文件的范圍，資料性附錄A給出了示例。輪函數定義如下，如圖1所示。??(????,?????1)=??????(????)⊕????，其中，????=??(?????1)，1≤??≤??，??0=????。圖1雜湊函數1的輪函數輸出變換??是簡單的截短操作，即通過截取最終輸出????的左邊????比特得到雜湊值??。2PAGEPAGE10概述本章規定的雜湊函數提供長度為????的雜湊值，其中????=2??，??為偶數。注1：參考文獻[4]介紹了雜湊函數2。注2：參考文獻[6],[7],[8],[9]給出了針對雜湊函數2的輪函數的密碼攻擊。當??=128時，找到雜湊函數2的輪函數的碰撞的復雜度為276.8，找到原像的復雜度為2170.7。雜湊函數2的參數??1、??2和????應滿足??1=4??，??2=8??，且????=2??，推薦??不小于128。具體填充方法應采用GB/T18238.1—202X附錄A.3規定的方法2，且??=??。雜湊函數2的????的定義超出了本文件的范圍。????應是一個長度為8??比特的比特串，并且????的值應由雜湊函數的用戶協商確定。輪函數輪函數??具有8個并行的加密過程，用于產生8個??比特串????,1,????,2,?,????,8。在每次迭代中，輪函數??的輸入包括4個??比特數據分組????,1,????,2,????,3,????,4(總長度為??1=4??比特)與輪函數前一步的輸出?????1,1,?????1,2,?,?????1,8(總長度為??2=8??比特)，輸出為????,1,????,2,?,????,8(總長度為??2=8??比特)。令??0,1,??0,2,?,??0,8滿足??0,1∥??0,2∥?∥??0,8=????。對??=1到??，輪函數具有下列形式（如圖2所示）：{(??,1,??,2,?,??,8,??,1,??,2,?,??,8)?1(???,1,???,2,?,???,8,??,1,??,2,??,3,??,4)；對??=18?。}輪函數基于線性映射??1和8個函數????，其中分別使用了線性映射??和變換??，定義如下。????將一個2??????0??2??32??????3，??0???0⊕??3；??1???0⊕??1⊕??3；?⊕??2；???2⊕??3；其中，????和????（??,??=0,1,2,3）均為??/2長的比特串。12個????1??2??128個2????0??1??0。輸8????1??2??8和8??。（31)對??=05?????????2??+1；???????????2??+2；???????????∥????}。?? ??2)令0；對??=05???⊕????；??1???0⊕??(??)；??0???}。3)對??=18?????。令??1?????；??2?????；??3?????；??4?????；0 0 1 1對??=1到4，執行：??4+?????8+??。??定義??1,??2,?,????{1,2,8}??????，變換??1??2??8????(??)≠????(??)。上述條件可通過固定密鑰的特定比特而滿足。例如，可以將密鑰中3個比特的值分別固定為000,001,111????8個函數????定義如下：??(??,??,??,??)=????????)??,??)⊕??,??,1≤??≤8。圖2雜湊函數2的輪函數

圖3雜湊函數2的線性映射??1處理完所填充的消息后，得到????,1,????,2,?,????,8。然后執行4次附加的輪函數迭代，每次輸入的4個??比特數據分組分別定義如下：第1次，????+1,??=????,??,1≤??≤4；第2次，????+2,??=????,??+4,1≤??≤4；第3次，????+3,??=????,??,1≤??≤4；第4次，????+4,??=????,??+4,1≤??≤4。??????+4,1∥????+4,226（。3概述本章規定的雜湊函數提供長度為????的雜湊值，其中????=3??，??為偶數。注1：參考文獻[5]介紹了雜湊函數3。注2：參考文獻[6],[7],[8],[9]給出了針對雜湊函數3的輪函數的密碼攻擊。當??=128，找到雜湊函數3的輪函數的碰撞復雜度為285.3，找到原像復雜度為2192。雜湊函數3的參數??1、??2和????應滿足??1=3??，??2=9??，且????=3??，推薦??不小于128。具體填充方法應采用GB/T18238.1—202X附錄A.3規定的方法2，且??=??。雜湊函數3的????的定義超出了本文件的范圍。????應是一個長度為9??比特的比特串，并且????的值應由雜湊函數的用戶協商確定。輪函數輪函數??具有9個并行的加密過程，用于產生9個??比特串????,1,????,2,?,????,9。在每次迭代中，輪函數??的輸入包括3個??比特數據分組????,1,????,2,????,3(總長度為??1=3??比特)與輪函數前一步的輸出?????1,1,?????1,2,?,?????1,9(總長度為??2=9??比特)，輸出為????,1,????,2,?,????,9(總長度為??2=9??比特)。令??0,1,??0,2,?,??0,9滿足??0,1∥??0,2∥?∥??0,9=????。對??=1到??，輪函數具有下列形式（如圖4所示）：{(??,1,??,2,?,??,9,??,1,??,2,?,??,9)?2(???,1,???,2,?,???,9,??,1,??,2,??,3；對??=1到9，執行：????,???????(????,??,????,??)。}輪函數基于線性映射??2和9個函數????，其中分別使用了線性映射??和變換??，定義如下。??與該雜湊函數相關的??的具體定義見7.5。??212個????1??2??12??29個2????0??1??2??0。9個????1??2??9與9??比特串。??2所示1)對??=05?????????2??+1；???????????2??+2；???????????∥????}。?? ??2)令??0?0；??1?0；??2?0；對??=0到5，執行：{?????2⊕????；?????(??)；??2???1⊕??；??1???0⊕??；??0???}。3)對??=19?????。令??1?????；??2?????；??3?????；??4?????；??5?????；??6?????；0 0 1 1 2 2對??=1到3，執行：??6+?????9+??。??9??1,??2,?,????{1,2,9}??????，變換??1??2??9????(??)≠????(??)。上述條件可通過固定密鑰的特定比特而滿足。例如，可以將密鑰中4個比特的值分別固定為0000,0001,?,1000????9個函數????定義如下：??(??,??,??,??)=????????)??,??)⊕??,??,1≤??≤9。圖4雜湊函數3的輪函數

圖5雜湊函數3的線性映射??2處理完所填充的消息后，得到????,1,????,2,?,????,9。然后執行4次附加的輪函數迭代，每次輸入的3個??比特數據分組分別定義如下：第1次，????+1,??=????,??,1≤??≤3；第2次，????+2,??=????,??+3,1≤??≤3；第3次，????+3,??=????,??+6,1≤??≤3；第4次，????+4,??=????,??,1≤??≤3。雜湊函數的輸出由????+4,1∥????+4,2∥????+4,3構成。輸出變換需進行30次加密（最后一次迭代僅需要3次加密）。附錄A（資料性附錄）初始化值和變換??的定義概述本附錄提供了一種將SM4分組密碼算法（見GB/T32907—2016）與本文件中規定的雜湊函數聯合使用的參數實例。SM4分組密碼算法的參數??=128，密鑰??的長度為128比特。1????等于“52525252525252525252525252525252”（十六進制表示）。變換??的定義方式如下：定義??=??1??2???128為一個128比特串的二進制分解形式，則??=??(??)=??。注：通常認為尋找輪函數和雜湊函數的碰撞需要執行264次SM4加密操作。2????1,????2,?,????8等于“52525252525252525252525252525252”（十六進制表示）。變換??1,??2,?,??8的定義方式如下：定義??=??1??2???128為一個128比特串的二進制分解形式，??=????(??)表示將??1，??2，??3置為表1中給定值所得到的比特串。表A.1雜湊函數2中8個子函數中密鑰的第1、2、3位取值子函數??密鑰的前3位100020013010401151006101711081113????1,????2,?,????9等于“52525252525252525252525252525252”（十六進制表示）。變換??1,??2,?,??9的定義方式如下：定義??=??1??2???128為一個128位比特串的二進制分解形式，則??=????(??)表示將??1，??2，??3，??4置為表2中給定值所得到的比特串。表A.2雜湊函數3中9個子函數中密鑰的第1、2、3、4位取值子函數??密鑰的前4位100002000130010400115010060101701108011191000附錄B（資料性附錄）示例概述本附錄采用GB/T32907—2016規定的分組密碼算法給出了使用本文件第6章、第7章、第8章規定的所有雜湊函數計算雜湊值的示例，以及GB/T18238.1—202X的附錄A中規定的填充方法的舉例。根據GB/T1988-1998[1]，“Now_is_the_time_for_all_”（_”表示空格（“4E6F77206973207468652074696D6520666F7220616C6C20”。1雜湊函數1的????和變換??見A.2。雜湊函數1的填充方法采用GB/T18238.1—202X附錄A.2中描述的方法1。表B.1雜湊函數1的計算示例???????????1????14E6F77206973207468652074696D65205252525252525252525252525252525219962A4132D155DA150D485598C6E7AA2666F7220616C6C20800000000000000019962A4132D155DA150D485598C6E7AA64D32559B91664490B3255F75707B994雜湊值（十六進制）：“64D32559B91664490B3255F75707B994”。2雜湊函數2的????和變換??見A.3。雜湊函數2的填充方法采用GB/T18238.1—202X附錄A.3規定的方法2，且??=??。表B.2雜湊函數2的計算示例??1,1,??1,2,??1,3,??1,4??0,1,??0,2,??0,3,??0,4,??0,5,??0,6,??0,7,??1,1,??1,2,??1,3,??1,4,??1,5,??1,6,??1,7,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??2,1,??2,2,??2,3,??2,4??1,1,??1,2,??1,3,??1,4,??1,5,??1,6,??1,7,??2,1,??2,2,??2,3,??2,4,??2,5,??2,6,??2,7,30B6D4AAB455496987E5F12CF769F5233FDBF7F7E321EA69E362D9A035B05CA422CE803AD0AF18AE9E5A92E2492990DB20D76978ED8A2309A52A600CA0C2C1E930B6D4AAB455496987E5F12CF769F5233FDBF7F7E321EA69E362D9A035B05CA422CE803AD0AF18AE9E5A92E2492990DB20D76978ED8A2309A52A600CA0C2C1E97E65EC61DD0D8CCF26F6EA7E0F18CE70A52E8EE709E61F49B2E7E1A451EC8FC07AF1FD4E58EDF9C2B4013FAA55D0286C526E3CBB003BC67B39C61CAD4B35A2803529A333C1042D5CEA85BD9D380FA87C97C8810FC788F90B2B82AA57031E9EB3026FD58722F4CBC086A9A73F93DFEDFF7681630BBA6F90FD??3,1,??3,2,??3,3,??3,4??2,1,??2,2,??2,3,??2,4,??2,5,??2,6,??2,7,??3,1,??3,2,??3,3,??3,4,??3,5,??3,6,??3,7,7E65EC61DD0D8CCF26F6EA7E0F18CE70A52E8EE709E61F49B2E7E1A451EC8FC07AF1FD4E58EDF9C2B4013FAA55D0286C526E3CBB003BC67B39C61CAD4B35A280D025255C0A48163520AF0388099E7DA0CDC1BE650099E632A63C83A0E72797A247B805D736D699953529A333C1042D5CEA85BD9D380FA87C97C8810FC788F90B2B82AA57031E9EB337412B93DAC4B1B5D83895AB41545471B0330AB03DE0D24D236BFFA0A5032F9B1B901DD4375EC5B934EAE9628C9A860D026FD58722F4CBC086A9A73F93DFEDFF7681630BBA6F90FDC55A571D5D11923F??4,1,??4,2,??4,3,??4,4??3,1,??3,2,??3,3,??3,4,??3,5,??3,6,??3,7,??4,1,??4,2,??4,3,??4,4,??4,5,??4,6,??4,7,30B6D4AAB455496987E5F12CF769F5233FDBF7F7E321EA69E362D9A035B05CA422CE803AD0AF18AE9E5A92E2492990DB20D76978ED8A2309A52A600CA0C2C1E99FA15EB2B3046E98E512D833E6EF28A5A99E9BDFA6B6712B327AB301AAFEC6901B901DD4375EC5B99635DCEA9FF53442D0C8D4F3613064E7728ED1C306CB9E1F68EC1A727A0648FDBA56D6EFDC1B4127E9F66BD310B6D0735C7C3B95D52CB10D34EAE9628C9A860D23A3C089A1BCC263FBB06E6943303A3DC55A571D5D11923F0E95EE60F13169858CE066207EB2A1C9??5,1,??5,2,??5,3,??5,4??4,1,??4,2,??4,3,??4,4,??4,5,??4,6,??4,7,??5,1,??5,2,??5,3,??5,4,??5,5,??5,6,??5,7,7E65EC61DD0D8CCF26F6EA7E0F18CE70A52E8EE709E61F49B2E7E1A451EC8FC07AF1FD4E58EDF9C2B4013FAA55D0286C526E3CBB003BC67B39C61CAD4B35A2806294465C7D0BCCE6FB24698833DACFD77AF13EDCB4E5FF5AD65BC30F5409D69665CE0EDE8DEB3D3AD7F3DD403EC51A2F5A975116A7A8B2CFB78CB84C194A1A56AEF6C71C90A6840979BA0742ABD6202A867C209558F73C01A13028CA74ED7FC2E23248975CC39A799A3E3E459E3A43EB0E95EE60F13169858CE066207EB2A1C98F9261319386B74258436CDB2853400060E1EC7E69DC8313雜湊值（十六進制）：“47D40AFA02A78BCEACC4FD8AE5F27630F3E3E2EADA85CCB09C2B6FC7C52EAFC5”。3雜湊函數3的????和變換??見A.4。雜湊函數3的填充方法采用GB/T18238.1—202X附錄A.3規定的方法2，且??=??。表B.3雜湊函數3的計算示例??1,1,??1,2,??1,3??0,1,??0,2,??0,3,??0,4,??0,5,??0,6,??0,7,??0,8,??0,9??1,1,??1,2,??1,3,??1,4,??1,5,??1,6,??1,7,??1,8,??1,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??2,1,??2,2,??2,3??1,1,??1,2,??1,3,??1,4,??1,5,??1,6,??1,7,??1,8,??1,9??2,1,??2,2,??2,3,??2,4,??2,5,??2,6,??2,7,??2,8,??2,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??3,1,??3,2,??3,3??2,1,??2,2,??2,3,??2,4,??2,5,??2,6,??2,7,??2,8,??2,9??3,1,??3,2,??3,3,??3,4,??3,5,??3,6,??3,7,??3,8,??3,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??4,1,??4,2,??4,3??3,1,??3,2,??3,3,??3,4,??3,5,??3,6,??3,7,??3,8,??3,9??4,1,??4,2,??4,3,??4,4,??4,5,??4,6,??4,7,??4,8,??4,9151D61100664EE