國家標準報批材料一、工作簡況1.1任務來源根據(jù)國家標準化管理委員會2023年下達的國家標準制修訂計劃，《信息安全技術散列函數(shù)第3部分：專用散列函數(shù)》由成都衛(wèi)士通信息產業(yè)股份有限公司負責承辦，計劃號：20230244-T-469。該標準由全國信息安全標準化技術委員會（TC260）歸口管理。2023年1月11日，成都衛(wèi)士通信息產業(yè)股份有限公司更名為中電科網(wǎng)絡安全科技股份有限公司，本次公司名稱變更不涉及法律主體變化。該任務由中電科網(wǎng)絡安全科技股份有限公司負責承辦。1.2制定背景GB/T18238.3—2002《信息技術安全技術散列函數(shù)第3部分：專用散列函數(shù)》國家標準等同采用了國際標準ISO/IEC10118-3:1998，該標準已經使用了20多年，技術內容已經過時，算法的安全強度不能夠保障現(xiàn)實應用，不符合我國密碼應用的管理要求。具體地，經過近些年密碼研究的深入分析以及軟硬件計算能力的不斷提升，該標準規(guī)范的三個密碼算法都出現(xiàn)了安全強度不足的問題。專用散列函數(shù)1（RIPEMD-160）的輸出值僅有160比特，不能夠為現(xiàn)實密碼應用提供足量的安全保障。我國早在2010年12月發(fā)布的SM3密碼雜湊算法的輸出長度就已經達到了256比特；專用散列函數(shù)2（RIPEMD-128）的輸出長度僅為128比特，而且密碼研究者已經找到了其壓縮函數(shù)的碰撞（復雜度2^61.57），破解了該算法；專用散列函數(shù)3（SHA-1）輸出長度160比特，也被密碼專家找到了選擇前綴碰撞（復雜度2^69）。國家密碼管理局早在2017年4月就發(fā)布了《關于使用SHA-1密碼算法的風險提示》。同時，該標準文本中的一些專業(yè)名詞術語、敘述語言文字也較為陳舊，不能夠很好地指導現(xiàn)實應用，也不能夠支撐當前國家標準體系。而其采用的國際標準已經更新到第四版ISO/IEC10118-3:2018。為促進GB/T18238.3技術內容進步，使之與當前網(wǎng)絡安全國家標準協(xié)調統(tǒng)一，亟待修訂完善GB/T18238.3—2002。2021年11月16日，申報團隊在信安標委會議周WG3工作組匯報了針對該標準的調研情況，并提出了修訂建議，主要包括參考國際標準ISO/IEC10118-3:2018，充分調研該標準規(guī)范的三個雜湊算法的學術研究進展和工業(yè)應用情況，評估算法適用性，剔除安全強度不足的算法，并完善語言文字等。WG3工作組經過詳細研討，認為該系列標準從密碼設計的角度規(guī)范了專門設計的雜湊函數(shù)，具備一定學術研究價值，有必要修訂完善。此次修訂GB/T18238.3—2002的目的是解決該標準現(xiàn)有技術內容與當前國家標準體系不協(xié)調的問題，使之符合國家法律法規(guī)和相關政策要求。特別地，此次修訂無納入新算法的考慮。此次修訂解決了原標準GB/T18238.3—2002的協(xié)調性問題，使之符合國家法律法規(guī)及相關政策的要求，同時也通過規(guī)定具體的模型，為未來納入新算法做好了標準化技術準備。如果當前個別場景存在使用新算法的需求，可以在充分技術論證評估的基礎上，向相關管理部門申請并獲得批準后使用。對于是否引進國際算法的考慮，編制組經過討論后建議，可以在充分技術論證評估的基礎上，本著平等互惠的原則，雙方國家同步納入對方國家的標準算法。該標準由中電科網(wǎng)絡安全科技股份有限公司牽頭，參與單位包括中國科學院大學、國家密碼管理局商用密碼檢測中心、中國電子技術標準化研究院、山東大學、中國科學院軟件研究所、西安西電捷通無線網(wǎng)絡通信股份有限公司、格爾軟件股份有限公司、北京信安世紀科技股份有限公司、山東得安信息技術有限公司、華為技術有限公司、智巡密碼（上海）檢測技術有限公司、北京江南天安科技有限公司、北京海泰方圓科技股份有限公司。另有北京銀聯(lián)金卡科技有限公司、中國電子科技集團公司第十五研究所給予了技術支持。1.3起草過程2022年3月，按照全國信息安全標準化技術委員會（以下簡稱“信安標委”）的要求，申報團隊提交《信息安全技術散列函數(shù)第3部分：專用散列函數(shù)》標準草案并準備立項材料。2022年4月，申報團隊在WG3工作組2022年第一次全體會議上進行了立項答辯，WG3工作組聽取成員單位意見建議，推薦該標準立項。2022年7月，信安標委組織2022年網(wǎng)絡安全國家標準立項專家評審會，同意該標準立項。2022年7月～2022年11月成立了編制組，重點對標準的范圍、框架及主要技術內容進行了多次內部研討，明確了標準草案的編制思路，完善了草案。2022年12月5日，編制組在WG3工作組2022年第二次全體會議上匯報了修訂進展，根據(jù)工作組意見建議進一步完善了標準草案。2023年1月12日，編制組在北京參加網(wǎng)絡安全國家標準專家審查會，匯報了標準編制情況，并根據(jù)專家意見完善了標準文本，將標準名稱變更為《信息安全技術雜湊函數(shù)第3部分：專門設計的雜湊函數(shù)》，形成征求意見稿。2023年5月，為進一步提升標準質量，檢驗標準適用性和可操作性，編制組開始試點驗證工作。2023年5月30日，編制組在昆明參加全國信息安全標準化技術委員會2023年第一次“標準周”活動，在WG3工作組匯報了標準修訂情況，并根據(jù)專家意見進一步完善了標準草案。二、標準編制原則、主要內容及其確定依據(jù)2.1標準編制原則本文件在編制過程中，遵循以下幾個原則：1) 可行性原則：標準必須是可用的，才有實際意義，本文件在編制過程中始終堅持與相關密碼產品生產單位、用戶單位以及主管部門保持聯(lián)系，使標準能夠更好地應用到信息系統(tǒng)的開發(fā)、檢測、選購等多方面，同時結合我國的實際情況，使標準的可操作性更強。2) 合規(guī)性原則：本文件與我國現(xiàn)有的政策、法規(guī)、標準、規(guī)范等相一致。編制組在對標準起草過程中始終遵循此原則，其內容符合我國已經發(fā)布的有關政策、法律和法規(guī)。3) 科學性原則：本文件的修訂主要參考ISO/IEC10118-3:2018ITSecuritytechniques-Hashfunctions-Part3:Dedicatedhash-functions中對雜湊函數(shù)的要求和規(guī)范，并立足于當前國內信息系統(tǒng)安全的實際狀況，對GB/T18238.3—2002《信息技術安全技術散列函數(shù)第3部分：專用散列函數(shù)》進行修訂，全方位地提出科學、完整、可行的技術規(guī)范。4)可用性原則：本文件通過規(guī)范雜湊函數(shù)的描述方法和使用要求，將統(tǒng)一主管部門、檢測機構、科研院所和應用廠商對雜湊函數(shù)的理解和認識，規(guī)范具體雜湊函數(shù)在相關技術和產品中落地應用，切實提高網(wǎng)絡通信等領域的數(shù)據(jù)安全保障能力。2.2主要內容及其確定依據(jù)本文件參考國際標準ISO/IEC10118-3:2018，修訂國家標準GB/T18238.3—2002，擬規(guī)范專門設計的雜湊函數(shù)。本文件主要內容如下：規(guī)定了專門設計的雜湊函數(shù)模型：基于輪函數(shù)的通用模型。引用GB/T32905規(guī)定的專門設計的雜湊函數(shù)SM3，作為基于輪函數(shù)的通用模型的示例。此次修訂參考國際標準ISO/IEC10118-3:2018規(guī)范了輪函數(shù)模型。針對此次修訂刪除了原標準中三個安全強度不足的算法，而缺少算法示例的情況，在標準中引用了GB/T32905規(guī)定的專門設計的雜湊函數(shù)SM3，作為本標準6.2規(guī)定的輪函數(shù)模型的示例。此次修訂解決了原標準GB/T18238.3—2002的協(xié)調性問題，使之符合國家法律法規(guī)及相關政策的要求，同時也通過規(guī)定具體的模型，為未來納入新算法做好了標準化技術準備。如果當前個別場景存在使用新算法的需求，可以在充分技術論證評估的基礎上，向相關管理部門申請并獲得批準后使用。對于是否引進國際算法的考慮，編制組經過討論后建議，可以在充分技術論證評估的基礎上，本著平等互惠的原則，雙方國家同步納入對方國家的標準算法。2.3修訂前后技術內容的對比[適用于國家標準修訂項目]本文件代替GB/T18238.3—2002《信息技術安全技術散列函數(shù)第3部分：專用散列函數(shù)》，與GB/T18238.3—2002相比，除了結構調整和編輯性改動外，主要技術變化如下：更改了規(guī)范引用文件，刪除GB/T1988—1998、GB/T18238.1—2000，增加GB/T18238.1—202X、GB/T25069—2022、GB/T32905—2016；刪除了術語“散列函數(shù)標識符”、“循環(huán)函數(shù)”及定義；刪除了符號“ai”、“a刪除了專門設計的雜湊函數(shù)1、雜湊函數(shù)2和雜湊函數(shù)3；增加了專門設計的雜湊函數(shù)SM3；更改了附錄A實例為附錄A對象標識符；刪除了附錄B和附錄C。三、試驗驗證的分析、綜述報告，技術經濟論證，預期的經濟效益、社會效益和生態(tài)效益3.1試驗驗證的分析、綜述報告通過調研目前學術界對雜湊函數(shù)的安全分析現(xiàn)狀，確定了基于輪函數(shù)的通用模型能夠滿足當前雜湊函數(shù)的應用需求，完成了關于專門設計的雜湊函數(shù)SM3等的分析結論和報告。具體地，專門設計的雜湊函數(shù)SM3目前還有較高的安全冗余度，抗原像攻擊安全冗余度約50%((64-32)/64)，抗（偽）碰撞攻擊安全冗余度約48%((64-33)/64)。3.2技術經濟論證本文件定義了專門設計的雜湊函數(shù)模型，并以專門設計的雜湊函數(shù)SM3作為實例，適用于密碼、信息安全領域的主管部門、檢測機構、科研院所和應用廠商等研究、開發(fā)、檢測、分析、應用等。3.3預期的經濟效益、社會效益和生態(tài)效益本文件規(guī)范了專門設計的雜湊函數(shù)的通用模型，并以專門設計的雜湊算法SM3作為實例，有助于統(tǒng)一主管部門、檢測機構、科研院所和應用廠商對專門設計的雜湊函數(shù)的理解和認識，規(guī)范雜湊函數(shù)在相關技術和產品中落地應用，切實提高網(wǎng)絡通信等領域的數(shù)據(jù)安全保障能力。雜湊函數(shù)是用于保障完整性的密碼算法，是電子簽名、數(shù)字證書等重要密碼系統(tǒng)和IPSec、SSL、3GPP等網(wǎng)絡安全協(xié)議不可或缺的核心技術。其推廣應用領域包括數(shù)字證書、金融密碼系統(tǒng)和產品、社會保障信息系統(tǒng)、國家電網(wǎng)等涵蓋國家重大基礎設施的各個環(huán)節(jié)及各類電子產品，將有助于保障國家關鍵信息基礎設施安全，產生顯著的社會經濟效益。四、與國際、國外同類標準技術內容的對比情況，或者與測試的國外樣品、樣機的有關數(shù)據(jù)對比情況本文件修改采用ISO/IEC10118-3:2018ITSecuritytechniques-Hashfunctions-Part3:Dedicatedhash-functions。本文件與ISO/IEC10118-3:2018相比做了如下結構調整：——第7章對應國際標準的第23章；——刪除了國際標準的4.2、6.3、第7章至22章、附錄B和附錄C；本文件與ISO/IEC10118-3:2018的技術差異及原因如下：——增加了“引言”；——關于規(guī)范性引用文件，本部分做了具有技術性差異的調整，以適應我國的技術條件，調整的情況集中反映在第2章“規(guī)范性引用文件”中，具體調整如下：更改引用ISO/IEC10118-1為GB/T18238.1—202X；增加引用了GB/T25069—2022和GB/T32905—2016；——刪除了術語“循環(huán)矩陣”“阿貝爾群”“域”及定義，因為本文件未使用這些術語；——刪除了4.2，因為本文件未使用這些符號；——刪除了海綿模型及相應內容，因為目前的雜湊函數(shù)實例未使用該模型；——刪除了第7章至第22章，因為目前無標準化此類雜湊函數(shù)的需求；——在第7章簡要描述了SM3算法，作為輪函數(shù)模型的示例，并引用GB/T32905—2016信息安全技術SM3密碼雜湊算法；——刪除了數(shù)值示例，因為不需要原雜湊函數(shù)的示例；——刪除了SHA-3可擴展輸出函數(shù)，因為目前無對SHA-3可擴展輸出函數(shù)的標準化需求。本文件做了下列編輯性改動：——為與我國技術標準體系協(xié)調，將標準名稱改為《信息安全技術雜湊函數(shù)第3部分專門設計的雜湊函數(shù)》；——更改了參考文獻。五、以國際標準為基礎的起草情況，以及是否合規(guī)引用或者采用國際國外標準，并說明未采用國際標準的原因本文件修改采用國際標準ISO/IEC10118-3:2018，該標準包含23章，包括概述、規(guī)范引用、術語與定義、符號、要求、專門設計的雜湊函數(shù)模型，以及RIPEMD-160、RIPEMD-160-128、SHA-1、SHA-256、SHA-512、SHA-384、WHIRLPOOL、SHA-224、SHA-512/224、SHA-512/256、STREEBOG-512、STREEBOG-256、SHA3-224、SHA3-256、SHA3-384、SHA3-512、SM3等專門設計的雜湊函數(shù)。本文件基于ISO/IEC10118-3:2018，以及我國雜湊函數(shù)應用現(xiàn)狀和技術需求，采納雜湊函數(shù)輪函數(shù)模型與SM3算法。六、與有關法律、行政法規(guī)及相關標準的關系本文件在編制過程中，已經查閱了《網(wǎng)絡安全法》、《密碼法》、《中華人民共和國電子簽名法》等相關法規(guī)，確保本文件的內容遵守相關法律規(guī)定。本文件的編制參考了GB/T18238.1《信息安全技術雜湊函數(shù)第1部分：概述》、GB/T25069—2022《信息安全技術術語》、GB/T32905—2016《信息安全技術S