信息安全技术SM3密码杂凑算法编制说明全国信息安全标准化docWord文档格式.docx

1、在保障安全性 的前提下，综合性能指标优于 SHA-256。5合法性： 符合国家有关法律法规和已经制定的标准规范的相关要求。三、 主要工作过程（一）密码行业标准起草工作过程1设计评审阶段2002年1月 21日，国密办下达了 “杂凑算法”研制任务的通知，算法于 2002 年 5月设计完成。 2002年8月 22日，技术处对数据所研制的 SCH1杂凑算法进 行了算法审查，并于 8月 29日至 31日对其余六个分别由数据所、济南得安、中 科院 DCS 中心、成都卫士通、江南所和山东大学研制的 SCH2-SCH7 进行了集 中审查。确定并评审出 SCH4 杂凑算法。2优化检测阶段2003年 7月，国密办

2、向 SCH4研制单位中科院数据与通信保护研究教育中心 下达了“关于对 SCH4杂凑算法进行修改完善的通知 ”，9月 26日“LSW杂凑算法 课题组”完成 SCH4杂凑算法修改完善工作完成并形成相关技术文档。 2003年 10 月 27 日志 12 月 26 日，商用密码杂凑算法综合检测组在 SSR02密码算法综合检 测平台、 IC卡汇编语言仿真检测平台、 FPGA/ASIC 仿真检测平台上对优化后的SCH4 杂凑算法进行了综合检测并形成综合检测记录和检测报告。3初稿编写及 IP 核实施阶段2004年 6月国密办下达杂凑算法标准编写任务。 7月 10月底，中科院数 据通信与保护研究教育中心根据

3、杂凑算法标准编写任务的要求完成商用密码杂 凑算法标准，形成初稿。同年 11月，根据国密办关于下达杂凑算法 IP 核设计任务的通知，国家 密码管理委员会办公室商用密码研究中心承担了 SCH4 杂凑算法 0.35um、 0.25um、0.18um三种工艺 IP核实现的设计任务，形成SCH4算法 IP核实施方案。4算法修改及初稿重新修订阶段2005年3月，针对王小云教授自主研发的比特追踪法破解 MD5 等算法的情 况，国家密码管理局请专家组对 SCH4 算法进行了针对性分析， 分析结果表明该 算法不能有效抵御比特追踪法分析；随后国家密码管理局紧急组织成立了 SCH 杂凑算法研制攻关组， 在保持 SC

4、H4 基本结构的基础上， 运用最先进的杂凑算法 分析和设计理论对其修改，研制了 SCH 算法并对初稿进行重新修订。新算法采 用了新颖的消息扩展算法、双字介入的并行压缩结构以及混合使用不同群运算， 有利于消息的扩散和混乱，便于软、硬件实现。针对算法本身特点，综合运用差 分抗碰撞分析、 线性分析和均差分析等方法进行了深入的安全性分析， 特别是针 对国际上最先进的比特追踪法进行了安全设计和分析。 结果表明， 该算法安全强 度高，灵活性好，技术先进，设计上有创新，适合软硬件实现，适合 IC 卡等终 端用户产品实现。5征求意见稿编写阶段2005 年 5 月，对初稿进行修改和补充，结合各成员单位多年技术积

5、累，反 复交流，求同存异，在形成一致共识的基础上整理完成了规范的征求意见稿。6送审稿编写阶段2008年 4月，依据国密局字 2008190 号文件“关于下达 SM1 分组密码算 法等标准文本修订任务的通知 ”，无锡江南信息安全工程技术中心组成了标准 文本修订工作小组，开展对 SM3 密码杂凑算法标准文本的修订工作。工作小组 遵照国家密码管理局关于 “精心组织、周密安排，合理使用经费 “的要求采取了集 中办公的方式，统筹安排、合理分工、认真编写、交流讨论等方式开展工作。按 照标准的规范性要求，在标准的结构、 规范性要素的编写规则， 尤其是密码算法 的标准名称、前言、引言、范围、术语和定义、符号和

6、缩略语、内容设置、图、 表、公式表述、词语表达、符号选择、规范性引用文件和参考性文献以及规范性 附录和资料性附录等方面，经多次讨论，反复修订，形成了 SM3 密码杂凑算 法标准文本。2012年1 月 2012年 2月，国家密码管理局组织专家审查，对算法进 行修改和讨论，并对送审稿进行补充完善，形成了 SM3 密码杂凑算法 （送审 稿）。（二）国家标准工作过程1、2013年 3月-2013年 9月，在上述工作的基础上，根据信息安全国家标 准制修订工作程序，对标准文本进行完善修改，形成信息安全技术 SM3 密码杂凑算法征求意见稿，提交信安标委秘书处。2、 2013年 11月 20日，信安标委秘书处

7、组织专家对文本进行讨论修改；编 制组根据专家意见对标准文本进行修改完善。四、 标准的主要内容及确定内容的依据1SM3 杂凑算法流程描述SM3 杂凑算法是一种基于分组迭代结构的杂凑算法。SM3 杂凑算法流程描述如下：（1）消息填充分组处理：将输入消息比特 X （不失一般性，限制消息串的比 特长度小于 264），按照特定的规定填充并分组成为固定长度整数倍的消 息分组序列 BB = BB0BBn-2BBn-1，其中每一消息分组 BBi 长度固定为 512比特，并且 BB n-1中最好 64比特用来指示消息 x 的比特长度。（2）迭代处理：从 0到 n-1迭代计算：（3）SM3（ ） ： Hi+1=C

8、F（Hi，BBi）（4）消息比特串 X 的输出结果为： Hn=SM3（X）是输出长度为 256 比特的压缩 函数。（5）其中 H0-IV 为一 256比特常量， CF（ Hi，BB i）是输出长度为 256 比特的 压缩函数。（6）杂凑值输出： SM3 杂凑算法将以上第 n 次迭代处理的 256 比特输出值 Hn，通过选裁函数个 g（Hn）得到 160比特、192比特或 256 比特三种长度 的杂凑输出值。2 SM3 杂凑算法主要结构描述（1）填充过程假设消息 x的长度为 l 。则首先将比特 “1添”加到消息的末尾，再添加 k个“0，” 这里k是满足 l 1 k 448（mod512） 的最小

9、非负整数。然后再添加一个 64 比特 长的块，其值等于消息 x的长度 l的二进制表示。产生的比特串 x的比特长度恰 好为 512 的整数倍。例如，对消息比特串： 01100001 01100010 01100011应 用以上填充得到比特 串：64 742348 6 44 764 4 481014120040301 1014120040310 1014120040311 1 00L 00 00L 011000l 24将消息 x按 512比特进行分组： x B 0 B 1 B n 1 ，其中n （l k 65） 512 。（2）迭代压缩算法对每一个消息分组 B i 按顺序进行以下处理：V i 1

10、CF（V i ,B i ） i 0,1,., n 1其中 CF 是压缩函数， V 0 为 256 比特初始值 IV 。迭代压缩的输出为 V n 。（3）消息扩展算法将消息分组 B i 按以下方法扩展成 132个消息字 W0 ,W1 ,.,W67, W0 , , W63 ：a.将消息分组 B i 划分为 16 个字W0W1.W15 。b.FOR j 16 TO 67c.FOR j 16 TO 63Wj Wj Wj 4 ENDFOR（4）压缩函数令 A,B,C,D,E,F,G,H 为字寄存器， SS1, SS2,TT 1,TT 2为中间变量， 压缩函 数V i 1 CF（V i ,B i ） 计算

11、过程详细描述如下：ABCDEFGH V iFOR j 0 TO 63SS1 （ A 12） E （T j） 7SS2SS1 （A12）TT1FF （A,B,C）DSS2WjTT2GG（E,F,G）HSS1WjCB9BAGF 19FEP0（TT 2）ENDFORVi1ABCDEFGHVi压缩函数第 j 步框图如下：（5）选裁过程令消息 x的 n次迭代压缩输出值为 V n ABCDEFGH ，长度为 256 比特。192 比特或 160 比特的杂凑值。a. 256 比特输出ABCDEFGH V n输出 y ABCDEFGHb. 192 比特输出c. 160 比特输出y3 D H ， y4 D G输

12、出 160比特的杂凑值 y y0 y1 y2 y3 y4 。五、 与相关法律法规及国家有关规定、国内相关标准的关系1） 与相关法律法规及国家有关规定的关系 本标准遵守商用密码管理条例的各项规定，标准中定义的各项标识与 GM/T 0004-2012 SM3 密码杂凑算法中规定的相关密码算法的使用要求保持 一致。2） 与相关国际标准的关系本标准中的附录 A“商用密码领域中的相关 OID 定义 ”定义了国产密码算法 相关的标识符 OID ，与国际上相关密码算法的 OID 定义不存在冲突，是对国际 上密码算法的 OID 定义的扩展。六、 有关问题的说明1函数与常数（1）初始值IV=7380166F 4

13、914B2B9 172442D7 DA8A0600A96F30BC 163138AA E38DEE4D B0FB0E4E（2）内部常数77CC4519 0 j 15 Tjj 7A879D8A 16 j 63（3）函数FFj （A,B,C） （A （AB）GGj （E,F,G） （EF）（4） 置换P0（X） X （X9）P1（X） X （X15）（X 17）（X 23）2算法特点A B C 0 j 15（A C） （B C） 16 j 63F G 0 j 15（ E G） 16 j 63（1） 创新的结构设计SM3 杂凑算法的压缩函数采用 P 置换作为加强雪崩的基本运算，结合双字 介入的并行处理结构，增加了扩散和混乱的速度，在提高安全性的同时， 又保证 了算法的实现效率。消息扩展算法采用了带 P 置换的线性反馈移位寄存器结构， 加强消息的雪崩，增强了寻找特殊结构消息的难度。（2） 抗比特追踪法的高安全性设计针对单向性、 抗碰撞性等密码安全要求，进行了差分分析、线性分析等全面 的密码分析，优化了算法相关参数， 满足杂凑算法安全性需求。 特别是针对比特 追踪法等最新杂凑算法分析方法， 增加 16步全异或布尔函数运算， 采用 P置换、 消息快速扩散结构和不同群运算， 首次设计出第一圈抗碰撞攻击的设计技