PAGE4工作簡況1.1任務(wù)來源根據(jù)全國信息安全標準化技術(shù)委員會2018年7月下發(fā)的國家標準制定任務(wù)，GB/T15852.1《信息技術(shù)安全技術(shù)消息鑒別碼第1部分：采用分組密碼的機制》修訂項目正式獲得國標委標準修訂立項，國標計劃號為：2018BZXD-WG4-002。該項修訂工作由全國信息安全標準化技術(shù)委員會歸口管理，由中國科學(xué)院軟件研究所負責(zé)承辦。1.2主要起草單位和工作組成員中國科學(xué)院軟件研究所主要負責(zé)起草，成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、桂林電子科技大學(xué)、國家密碼管理局商用密碼檢測中心共同參與了該標準的起草工作。吳文玲、眭晗、張立廷、張蕾、韋永壯、毛穎穎、鄭雅菲、涂彬彬、劉仁章、丁勇、王玉玨、張眾等為主要起草人。1.3主要工作過程2018年7月，編制組成員在對本標準進行深入的需求分析的基礎(chǔ)上，全面學(xué)習(xí)掌握所修改采用的國際標準ISO/IEC9797-1:2011，以此作為GB/T15852.1修訂工作的重要參考，并對后期工作做出計劃安排和分工。2018年8月，編制組充分調(diào)研GB/T15852.1-2008中的6個算法的分析與應(yīng)用現(xiàn)狀，參考國際標準ISO/IEC9797-1:2011的修訂情況，討論決定刪除原標準中的MAC算法5和6，增加四個新的算法OMAC1、LMAC、TrCBC和CBCR0，并歸納形成統(tǒng)一的算法模型。2018年9月，編制組進一步完善標準文本，修改文本說明，采用國家標準GB/T32907-2016中規(guī)定的SM4分組密碼算法生成相應(yīng)的MAC算法的測試向量，并在附錄B中補充完善算法的安全性說明，最終形成標準草案，于2018年9月提交信安標委WG4工作組征求意見。2018年10月18日，編制組成員眭晗在北京參加WG4工作組組織的專家評審會，根據(jù)專家意見更新標準文本。2018年10月24日，編制組成員眭晗、張立廷參加信安標委2018年第二次工作組會議周；眭晗在WG4工作組會議上匯報了標準修訂工作情況，經(jīng)WG4工作組內(nèi)投票決議本標準形成征求意見稿。2018年11月18日，根據(jù)專家審查提出的意見，編制組對標準文本進行修改完善。標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題2.1標準修訂原則本次標準修訂以國際標準ISO/IEC9797-1:2011為依據(jù)，結(jié)合行業(yè)應(yīng)用情況和理論研究分析進展，更新原標準中的MAC算法，增加性能良好的我國自主研制的MAC算法；將底層的分組密碼算法由國際標準ISO/IEC18033-3中的密碼算法替換為符合國家管理要求的密碼算法；相應(yīng)地修改文本說明，擴展算法模型，更新測試向量與算法安全性說明。2.2主要修訂內(nèi)容及確定修訂內(nèi)容的依據(jù)本部分修改采用國際標準ISO/IEC9797-1:2011《InformationTechnology–SecurityTechniques–MessageAuthenticationCodes(MACs)–Part1:Mechanismsusingablockcipher》，同時是對國家標準GB/T15852.1-2008《信息技術(shù)安全技術(shù)消息鑒別碼第1部分：采用分組密碼的機制》（等同采用ISO/IEC9797-1:1999）的修訂。本部分修訂的主要內(nèi)容及依據(jù)包括如下幾個方面：1）更新原標準中的算法保留MAC算法1、2、3和4，刪除GB/T15852.1-2008中的MAC算法5和6，增加兩個新算法OMAC1和LMAC作為新的MAC算法5和6。根據(jù)密碼理論研究成果，ISO/IEC9797-1:1999中的MAC算法5和6獲得的額外安全強度低于預(yù)期，因此ISO/IEC9797-1:2011刪除了這兩個算法，替換為OMAC1和LMAC。其中，OMAC1僅需要一次分組密碼密鑰設(shè)置，但需要一個較長的中間密鑰；相較于MAC算法1具有更高的安全性，相較于MAC算法2、3和4降低了密鑰量和分組密碼調(diào)用次數(shù)，具有更好的實現(xiàn)性能。LMAC是MAC算法2的可選變種，減少了一次分組密碼調(diào)用。本部分參考使用了ISO/IEC9797-1:2011的修訂策略，用OMAC1和LMAC替換掉原有的MAC算法5和6。2）增加自主研發(fā)算法增加我國自主研發(fā)的兩個新算法TrCBC和CBCR0作為MAC算法7和8。TrCBC和CBCR0均是我國自主研發(fā)的采用分組密碼的MAC算法，分別提出于2012年和2011年，安全性具有可證明安全理論的保障。TrCBC在MAC算法1的基礎(chǔ)上修改了截斷操作以提高算法的安全性，當MAC值的長度小于分組長度的1/2時具有可證明安全性。CBCR0在最終迭代步驟中采用循環(huán)移位操作，與MAC算法5具有相同的安全性。TrCBC和CBCR0在提出時，設(shè)計者給出了安全性分析并給出了算法的可證明安全界。同時，近幾年相關(guān)的密碼理論研究成果也佐證了該可證明安全界的正確性，包括：CRYPTO2015中Ga?i等論證了截斷CBC的安全性并給出了緊致的安全界，印證了TrCBC的安全性分析；FSE2009中Nandi提出的GCBC框架，統(tǒng)一給出了CBCR0通用結(jié)構(gòu)的安全界。此外，CBCR0在最終迭代步驟中采用循環(huán)移位操作，也被借鑒用于可鑒別加密CLOC的設(shè)計（FSE2014）。TrCBC和CBCR0僅使用一個密鑰，其密鑰即為分組密碼密鑰，無須進行密鑰誘導(dǎo)或存儲額外的密鑰，可以達到最優(yōu)的存儲空間，存儲空間需求低于MAC算法2、3、4、5、6；采用填充方法4，填充長度達到最優(yōu)；并且具有可證明安全性。相較于ISO/IEC9797-1中的算法，TrCBC和CBCR0在安全性、實現(xiàn)性能等方面具有一定的優(yōu)勢，因此選擇納入本部分。3）擴展MAC算法的模型融合ISO/IEC9797-1:2011和ISO/IEC9797-1:1999中的一般模型，將MAC算法的模型擴展為八步操作，包括密鑰誘導(dǎo)（可選）、消息填充、數(shù)據(jù)分割、初始變換、迭代應(yīng)用分組密碼、最終迭代、輸出變換和截斷操作，并增加了初始變換3、最終迭代4、截斷操作2。ISO/IEC9797-1:1999中MAC算法的模型包含消息填充、數(shù)據(jù)分割、初始變換、迭代應(yīng)用分組密碼、輸出變換和截斷操作共六步操作。ISO/IEC9797-1:2011將模型修改為七步操作，增加了密鑰誘導(dǎo)（可選）、最終迭代，刪除了初始變換，將初始變換視為迭代應(yīng)用分組密碼操作的一部分。然而，刪除了初始變換的模型并不適用于MAC算法4，該算法在迭代的初始階段與其他階段不同，模型的適用性較差。因此，本部分融合了ISO/IEC9797-1中MAC算法的模型，形成了包含八步操作的一般模型，適用于本部分推薦的所有MAC算法。對應(yīng)于新增加的MAC算法7，本部分對截斷操作的方法進行了擴展，將原截斷操作命名為截斷操作1，并增加了截斷操作2，以適應(yīng)于MAC算法7的設(shè)計。對應(yīng)于新增加的MAC算法8，本部分增加了初始變換3和最終迭代4。4）替換底層分組密碼將底層分組密碼替換為我國SM4分組密碼，并相應(yīng)地修改了測試向量。ISO/IEC9797-1:2011中指定采用ISO/IEC18033-3中的分組密碼作為MAC算法的底層分組密碼。在分析驗證了融合SM4分組密碼不會降低算法安全性的基礎(chǔ)上，本部分指定以GB/T32907的SM4分組密碼算法作為采用分組密碼的MAC算法的底層分組密碼。相應(yīng)地，根據(jù)SM4分組密碼的參數(shù)特點重新選擇了測試用的密鑰和數(shù)據(jù)比特串，使得密鑰長度滿足SM4分組密碼的密鑰長度、數(shù)據(jù)比特串1和數(shù)據(jù)比特串2在填充后可以體現(xiàn)出不同填充方法之間的區(qū)別，并給出了完整的MAC算法的測試向量。5）刪除存在異議的方法刪除了附錄中獲得高安全強度的MAC算法的方法及建議。ISO/IEC9797-1:1999中的MAC算法5使用兩個并行的MAC算法1，分別得到兩個中間量MAC1和MAC2，將MAC1與MAC2的異或值作為MAC值。這一算法以兩倍于MAC算法1的實現(xiàn)代價期望獲得額外的高安全性，然而在采用填充方法1或2時，存在生日偽造攻擊。ISO/IEC9797-1:2011刪除了這一算法和采用類似方法得到的MAC算法6，并建議在需要高安全強度的MAC算法時，可以使用相互獨立的密鑰執(zhí)行兩個MAC的計算并將結(jié)果連接起來（而不是異或）。然而這個建議是錯誤的，經(jīng)過理論分析，將兩個MAC值連接并不能夠一定得到高安全強度的MAC算法。因此，本部分刪去了這種獲得高安全強度的MAC算法的方法及建議，避免引起誤導(dǎo)。本部分與ISO/IEC9797-1:2011相比，主要變化如下：——本部分在前言中，指出增加了MAC算法7和8，將ISO/IEC18033-3中指定的密碼算法替換為GB/T32907-2016《信息安全技術(shù)SM4分組密碼算法》中的分組密碼算法SM4，并在資料性附錄中列舉了采用SM4的消息鑒別碼算法所生成的測試向量；——本部分在引言中，增加了對MAC算法7和8的介紹；聲明凡涉及到采用密碼技術(shù)解決機密性、完整性、真實性、不可否認性需求的須遵循密碼相關(guān)國家標準和行業(yè)標準；——本部分在第1章中，刪除了密鑰管理機制和對象標識符的說明；——本部分在第2章中，增加規(guī)范性引用文件GB/T9387.2-1995《信息處理系統(tǒng)開放系統(tǒng)互聯(lián)基本參考模型第2部分：安全體系結(jié)構(gòu)》、GB/T15843.1-2017《信息技術(shù)安全技術(shù)實體鑒別第1部分：概述》和GB/T17964-2008《信息安全技術(shù)分組密碼算法的工作模式》，替換ISO/IEC18033-3為GB/T32907-2016《信息安全技術(shù)SM4分組密碼算法》；——本部分在第3章中，調(diào)整了條目順序，按照術(shù)語的英文首字母進行排序；——本部分在第4章中，增加符號I、LSBj(X)、、，以及相應(yīng)的說明；增加縮略語部分，給出MAC、CTR、CBC的說明；——本部分在第5章中，修改標題“要求”為“用戶要求”；修改用戶選擇密鑰誘導(dǎo)方法的要求，增加MAC算法7的參數(shù)要求；刪除管理密鑰、泄露中間狀態(tài)對安全性影響的說明；——本部分在第6章中，擴展模型為八步操作并修改了相應(yīng)的標號及描述，按照擴展后的模型修改“MAC算法模型”圖；增加初始變換3、最終迭代4、截斷操作2，給出相應(yīng)的說明；——本部分在第7章中，增加了MAC算法7和8，給出算法的說明及圖示；修改了MAC算法4的描述，將“分組密碼密鑰K和K'用于輸出變換2”改為“分組密碼密鑰K'用于輸出變換2”，修正錯誤描述?！静糠謩h除了ISO/IEC9797-1:2011中附錄A關(guān)于對象標識符的描述，主要依據(jù)為目前國內(nèi)尚未注冊國家標準15852系列的OID，無法編寫相應(yīng)的對象標識符描述；——本部分的附錄A為測試向量，對應(yīng)于ISO/IEC9797-1:2011中的附錄B，根據(jù)SM4分組密碼的參數(shù)修改了測試向量；增加了MAC算法7和8的測試向量；——本部分的附錄B為安全性說明，對應(yīng)于ISO/IEC9797-1:2011中的附錄C，刪除了獲得高安全強度的MAC算法的方法，增加了MAC算法7和8的安全性說明、算法的特性、安全強度估計，修改了表B.1中序號為1.2的算法效率；——本部分的參考文獻增加了MAC算法7和8的參考文獻[28]和[29]。主要試驗（驗證）情況分析在生成測試向量的過程中，嚴格按照標準文本中的算法描述，首先實現(xiàn)了ISO/IEC9797-1:2011中的MAC算法代碼，并規(guī)定了對接DES、AES的接口。通過對比ISO/IEC9797-1:2011中附錄B的測試向量確保了該實現(xiàn)過程的正確性。其次根據(jù)算法描述完成新增的MAC算法和SM4算法的代碼實現(xiàn)，多方驗證以確保實現(xiàn)過程的正確性。最后，使用SM4代碼替換了AES算法代碼生成測試向量。接口的重新對接保證了MAC算法和DES、AES、SM4算法的代碼互不干擾，確保了最終測試向量的正確性。四、知識產(chǎn)權(quán)情況說明無五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達到的經(jīng)濟效果無六、采用國際標準和國外先進標準情況ISO/IEC9797-1:2011為ISO正在應(yīng)用的采用分組密碼的MAC算法標準，2016年通過重審。本部分在ISO/IEC9797-1:2011的基礎(chǔ)上增加了兩個我國自主研發(fā)的MAC算法，與我國SM4分組密碼算法相結(jié)合，構(gòu)成了適用于我國密碼管理要求的采用分組密碼的MAC算法。這些MAC算法的實現(xiàn)性能、安全強度與國際水平相當。七、與相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標準的協(xié)調(diào)性本標準的修訂工作與目前國家開展的信息系統(tǒng)安全工作緊密相關(guān)，本標準符合現(xiàn)有法律法規(guī)，是國家標準GB/T15852系列的第一部分,與GB/T15852.2、GB/T15852.3互為姊妹篇。本部分在編制過程中，查閱了《中華人民共和國電子簽名法》等相關(guān)法規(guī)，確保本部分的內(nèi)容遵守相關(guān)法律規(guī)定；同時查閱了GB/T15852.2、GM/T32907、GB/T17964和GB/T32907等相關(guān)國家標準，確保相關(guān)內(nèi)容和術(shù)語與這些標準的內(nèi)容保持一致。八、重大分歧意見的處理經(jīng)過和依據(jù)無九、標準性質(zhì)的建議建議本標準作為