信息安全技术 分组密码算法的工作模式 编制说明

国家标准《信息安全技术分组密码算法的工作模式》

（征求意见稿）编制说明

一、工作简况

1、任务来源

本标准由国家标准化管理委员会下达的国家标准编制计划，项目名称为《信息安全技术分组密码算法的工作模式》（国标计划号：），项目类型为标准修订，项目所属工作组为WG3工作组，项目牵头单位为成都卫士通信息产业股份有限公司。

2、主要起草单位和工作组成员

该标准由成都卫士通信息产业股份有限公司主要负责起草，中国科学院软件研究所、中国科学院数据与通信保护研究教育中心、国家密码管理局商用密码检测中心、格尔软件股份有限公司、西安西电捷通无线网络通信股份有限公司、上海信息安全工程技术研究中心、……共同参与了该标准的起草工作。主要起草人有：张立廷，眭晗，涂彬彬，王鹏，毛颖颖，郑强，张国强，徐明翼，罗俊。

3、主要工作过程

2019年4月之前，编制团队分析GB/T 17964-2008标准文本及理论研究、行业应用情况，认为有必要修订该标准，原因如下：

1）学术界持续分析研究工作模式，产生了新的成果；产业界广泛应用工作模式，积攒了新的应用经验；有必要收集归纳。

2）现有标准文本未列举国家标准分组密码算法对应的测试向量，数据加密厂商、相关管理部门缺乏具体的参考数据。

3）产业界对现有标准之外的部分工作模式存在着强烈的应用需求，如磁盘加密模式XTS等，有必要评估引进的可行性。

4）国家标准化推进过程中，产生了与本标准相关的一些标准，如GB/T 36624-2018 《信息技术安全技术可鉴别的加密机制》，有必要在修订版本中做出协调性说明。

2019年4月，全国信息安全标准化技术委员会（以下简称“信安标委”）2019年第一次工作组会议周，在WG3工作组会议上，编制团队向专家和工作组成员单位汇报了《信息安全技术分组密码算法的工作模式》（投票草案稿）修订情况，

并听取专家及工作组其他成员单位的意见，WG3专家及成员工作组成员单位同意该标准立项修订。

2019年4月—9月，编制团队在对本标准进行深入的需求分析的基础上，对所修订的国家标准GB/T 17964-2008进行了全面理解，并对国际类似标准ISO/IEC 10116-2017进行了学习参考，对修订工作后期安排进行了规划。

2019年9月12日，编制团队参加信安标委秘书处组织的立项评审会，向专家汇报工作情况，根据专家意见对草案进行了修改。

2019年10月11日，编制团队参加WG3工作组组织的标准审查会，向专家汇报标准修订情况，根据专家意见进一步修订，明确tweak的说明，校对文字符号，并完善编制说明，补充修订思路和依据等。

2019年10月27日至29日，编制团队赴重庆参加全国信息安全标准化技术委员会2019年第二次工作组“会议周”，在WG3组汇报标准研究进展，介绍草案文本，解释修改依据，并根据现场意见进一步修订，删除了常见术语“分组密码算法”，补充了“XEX结构”术语，统一了“初始向量”、“异或”等表述方式，并优化了文字语言。工作组专家评审后，一致推荐标准文本进入征求意见稿阶段。

2019年11月25日，编制团队在北京召开修订项目启动会，邀请密码标准专家指导项目的组织和技术工作。会上，专家们认为，标准在现阶段相关工作符合信息安全国家标准项目的相关流程，执行情况良好；并针对标准草案给出了具体的修订意见。意见主要包括：增加附录C，列举常见的明文填充方法；全文优化统一描述语言、图示、符号标记等。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、标准编制原则

本次标准修订以GB/T 17964-2008为基础，同时参考了ISO/IEC 10116-2017和IEEE 1619-2007等相关国际标准。结合行业应用情况和理论研究分析进展，研究团队评估原标准中的工作模式安全性，增加已经在国内外广泛应用的磁盘加密模式XTS、性能良好的我国自主研制的工作模式HCTR；将底层的分组密码算法由AES、DEA中的密码算法替换为符合国家管理要求的密码算法SM4；相应地修改文本说明，更新测试向量与工作模式性质说明。

2、确定主要内容的论据及解决的主要问题

1）明确本标准中工作模式的定义和范围

随着密码研究的推进，分组密码算法的工作模式已经从最初仅提供加密功能逐步发展到提供鉴别（GB/T 15852.1-2008 信息技术安全技术消息鉴别码第1部分：采用分组密码的机制（mod ISO/IEC 9797-1:1999））、可鉴别的加密（GB/T 36624-2018 信息技术安全技术可鉴别的加密机制（mod ISO/IEC 19772:2009））以及杂凑等多种功能类型。

研究团队根据本标准的内容特点，听取评审专家指导意见，在标准文本的范围、术语等多处地方注明，本标准规范的工作模式仅提供加密功能，不提供鉴别、可鉴别加密等功能，并在规范性引用文件中引用了鉴别、可鉴别加密工作模式的国家标准，指导读者理解和采用。

2）保留原标准中的七个工作模式

考虑到原有七个工作模式ECB、CBC、CFB、OFB、CTR、BC、OFBNLF已经在工业界广泛应用，且近些年未被发现存在安全问题，编制团队决定保留原有全部工作模式，仅做编辑性修改，优化叙述语言。关于CBC、CFB、OFB、CTR的安全性分析，可参考Mayuresh Vivekanand Anand, Ehsan Ebrahimi Targhi, Gelo Noel Tabia, Dominique Unruh: Post-Quantum Security of the CBC, CFB, OFB, CTR, and XTS Modes of Operation. PQCrypto 2016: 44-63。关于OFBNLF的安全性分析，可参考Zhelei S., Peng W. Analysis of the OFBNLF encryption mode of operation, SCIENTIA SINICA Informationis, Volume 46, Issue 6: 729-742(2016)。

3）引进XTS工作模式

带密文挪用的XEX可调分组密码（XTS）工作模式于2007年成为IEEE标准，是磁盘加密领域应用的主要工作模式。研究团队调研发现，该工作模式在国内工业界已经广泛应用，且不存在专利限制，决定在修订过程中引进到标准文本中，以丰富标准文本工作模式的类型，指导现实应用。关于XTS的安全性分析，可参考Phillip R.: Efficient Instantiations of Tweakable Blockciphers and Refinements to Modes OCB and PMAC. ASIACRYPT 2004: 16-31 4）引进HCTR工作模式

带泛杂凑函数的计数器（HCTR）工作模式由我国学者在2005年提出，其设计理念和具体方案受到了国际密码专家的广泛推崇，安全性能也经受住了十多年的密码分析考验，不存在专利限制。研究团队决定将HCTR引进到标准文本，丰