信息安全技术 分组密码算法的工作模式 编制说明

2024年1月4日发(作者：)

国家标准《信息安全技术 分组密码算法的工作模式》

（征求意见稿）编制说明

一、工作简况

1、任务来源

本标准由国家标准化管理委员会下达的国家标准编制计划，项目名称为《信息安全技术 分组密码算法的工作模式》（国标计划号： ），项目类型为标准修订，项目所属工作组为WG3工作组，项目牵头单位为成都卫士通信息产业股份有限公司。

2、主要起草单位和工作组成员

该标准由成都卫士通信息产业股份有限公司主要负责起草，中国科学院软件研究所、中国科学院数据与通信保护研究教育中心、国家密码管理局商用密码检测中心、格尔软件股份有限公司、西安西电捷通无线网络通信股份有限公司、上海信息安全工程技术研究中心、……共同参与了该标准的起草工作。主要起草人有：张立廷，眭晗，涂彬彬，王鹏，毛颖颖，郑强，张国强，徐明翼，罗俊。

3、主要工作过程

2019年4月之前，编制团队分析GB/T 17964-2008标准文本及理论研究、行业应用情况，认为有必要修订该标准，原因如下：

1）学术界持续分析研究工作模式，产生了新的成果；产业界广泛应用工作模式，积攒了新的应用经验；有必要收集归纳。

2）现有标准文本未列举国家标准分组密码算法对应的测试向量，数据加密厂商、相关管理部门缺乏具体的参考数据。

3）产业界对现有标准之外的部分工作模式存在着强烈的应用需求，如磁盘加密模式XTS等，有必要评估引进的可行性。

4）国家标准化推进过程中，产生了与本标准相关的一些标准，如GB/T

36624-2018 《信息技术 安全技术 可鉴别的加密机制》，有必要在修订版本中做出协调性说明。

2019年4月，全国信息安全标准化技术委员会（以下简称“信安标委”）2019年第一次工作组会议周，在WG3工作组会议上，编制团队向专家和工作组成员修订情况，（投票草案稿）分组密码算法的工作模式》 《信息安全技术单位汇报了．

并听取专家及工作组其他成员单位的意见，WG3专家及成员工作组成员单位同意该标准立项修订。

2019年4月—9月，编制团队在对本标准进行深入的需求分析的基础上，对所修订的国家标准GB/T 17964-2008进行了全面理解，并对国际类似标准ISO/IEC

10116-2017进行了学习参考，对修订工作后期安排进行了规划。

2019年9月12日，编制团队参加信安标委秘书处组织的立项评审会，向专家汇报工作情况，根据专家意见对草案进行了修改。

2019年10月11日，编制团队参加WG3工作组组织的标准审查会，向专家汇报标准修订情况，根据专家意见进一步修订，明确tweak的说明，校对文字符号，并完善编制说明，补充修订思路和依据等。

2019年10月27日至29日，编制团队赴重庆参加全国信息安全标准化技术委员会2019年第二次工作组“会议周”，在WG3组汇报标准研究进展，介绍草案文本，解释修改依据，并根据现场意见进一步修订，删除了常见术语“分组密码算法”，补充了“XEX结构”术语，统一了“初始向量”、“异或”等表述方式，并优化了文字语言。工作组专家评审后，一致推荐标准文本进入征求意见稿阶段。

2019年11月25日，编制团队在北京召开修订项目启动会，邀请密码标准专家指导项目的组织和技术工作。会上，专家们认为，标准在现阶段相关工作符合信息安全国家标准项目的相关流程，执行情况良好；并针对标准草案给出了具体的修订意见。意见主要包括：增加附录C，列举常见的明文填充方法；全文优化统一描述语言、图示、符号标记等。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、标准编制原则

本次标准修订以GB/T 17964-2008为基础，同时参考了ISO/IEC 10116-2017和IEEE 1619-2007等相关国际标准。结合行业应用情况和理论研究分析进展，研究团队评估原标准中的工作模式安全性，增加已经在国内外广泛应用的磁盘加密模式XTS、性能良好的我国自主研制的工作模式HCTR；将底层的分组密码算法由AES、DEA中的密码算法替换为符合国家管理要求的密码算法SM4；相应地修改文本说明，更新测试向量与工作模式性质说明。

2、确定主要内容的论据及解决的主要问题

）明确本标准中工作模式的定义和范围1．

随着密码研究的推进，分组密码算法的工作模式已经从最初仅提供加密功能逐步发展到提供鉴别（GB/T 15852.1-2008 信息技术 安全技术 消息鉴别码 第1部分：采用分组密码的机制（mod ISO/IEC 9797-1:1999））、可鉴别的加密（GB/T

36624-2018 信息技术 安全技术 可鉴别的加密机制（mod ISO/IEC 19772:2009））以及杂凑等多种功能类型。

研究团队根据本标准的内容特点，听取评审专家指导意见，在标准文本的范围、术语等多处地方注明，本标准规范的工作模式仅提供加密功能，不提供鉴别、可鉴别加密等功能，并在规范性引用文件中引用了鉴别、可鉴别加密工作模式的国家标准，指导读者理解和采用。

2）保留原标准中的七个工作模式

考虑到原有七个工作模式ECB、CBC、CFB、OFB、CTR、BC、OFBNLF已经在工业界广泛应用，且近些年未被发现存在安全问题，编制团队决定保留原有全部工作模式，仅做编辑性修改，优化叙述语言。关于CBC、CFB、OFB、CTR的安全性分析，可参考Mayuresh Vivekanand Anand, Ehsan Ebrahimi Targhi, Gelo Noel

Tabia, Dominique Unruh: Post-Quantum Security of the CBC, CFB, OFB, CTR,

and XTS Modes of Operation. PQCrypto 2016: 44-63。关于OFBNLF的安全性分析，可参考Zhelei S., Peng W. Analysis of the OFBNLF encryption mode

of operation, SCIENTIA SINICA Informationis, Volume 46, Issue 6:

729-742(2016)。

3）引进XTS工作模式

带密文挪用的XEX可调分组密码（XTS）工作模式于2007年成为IEEE标准，是磁盘加密领域应用的主要工作模式。研究团队调研发现，该工作模式在国内工业界已经广泛应用，且不存在专利限制，决定在修订过程中引进到标准文本中，以丰富标准文本工作模式的类型，指导现实应用。关于XTS的安全性分析，可参考

Phillip R.: Efficient Instantiations of Tweakable Blockciphers and

Refinements to Modes OCB and PMAC. ASIACRYPT 2004: 16-31

4）引进HCTR工作模式

带泛杂凑函数的计数器（HCTR）工作模式由我国学者在2005年提出，其设计理念和具体方案受到了国际密码专家的广泛推崇，安全性能也经受住了十多年引进到标准文本，丰HCTR的密码分析考验，不存在专利限制。研究团队决定将．

富标准文本中工作模式的类型。关于HCTR的安全性分析，可参考Peng W.,

Dengguo F., Wenling W.: HCTR A Variable-Input-Length Enciphering Mode.

CISC 2005: 175-188。

5）采用SM4算法生成测试向量

原标准中工作模式的测试向量是由AES或DEA算法生成，研究团队在修订过程中，调研了SM4算法以及九个工作模式的安全分析结论，在分析验证了融合SM4算法不会降低工作模式安全性的基础上，根据SM4算法和工作模式的参数特点和要求，确定具体的运算机制，生成相关测试向量，为规范我国密码算法的使用提供具体参照依据。

6）协调使用多个标准中关于比特串高低位的定义

原标准中CTR工作模式对计数器的值采用左高右低的定义，而IEEE中XTS工作模式的有限域乘法运算采用左低右高的定义。左低右高的有限域乘法同时被国家标准GB/T 36624-2018和GB/T 15852.3-2019 信息技术 安全技术 消息鉴别码

第3部分：采用泛杂凑函数的机制（mod ISO/IEC 9797-3:2011）采纳。

研究团队经过研讨，决定采取兼顾的方案，在修订标准中保留CTR的左高右低，在引进的XTS、HCTR中采用左低右高。主要依据是，保证不影响现有标准中七个工作模式的应用，同时遵循IEEE及相关国家标准的通用做法，以保障XTS和HCTR的有限域乘法运算与国际和相关国家标准同步。

3、本部分在确定主要内容时主要基于如下几个方面：

作为修订标准，在整体内容上与GB/T 17964-2008保持一致，明确标准的范围为仅提供加密功能的工作模式，评估并保留现有全部模式，根据应用需求增加安全性能可靠的XTS和HCTR工作模式，深入调研明确无专利障碍，兼顾使用相关国际、国家标准中关于比特串高低位定义，同时确保技术可行。推荐使用符合国家管理要求的密码算法，使用国家商用密码算法SM4生成测试向量。

三、主要试验[或验证]情况分析

在生成测试向量的过程中，严格按照标准文本中的工作模式描述，多家参与单位独立完成，汇总输出数据作比对，确保了最终测试向量的正确性。

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

无。

六、采用国际标准和国外先进标准情况

本标准参考了同类型国际标准ISO/IEC 10116-2017的部分内容，增加了第五章要求。在第十三章引进了IEEE 1619-2007关于磁盘加密的工作模式XTS。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准在编制过程中，已经查阅了《中华人民共和国电子签名法》等相关法规，确保本标准的内容遵守相关法律规定。同时查阅了GB/T 36624-2018 《信息技

术 安全技术 可鉴别的加密机制》等相关国家标准，确保相关内容和术语与这些标准的内容保持一致。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

根据本标准的性质，建议本标准为推荐性标准。

十、贯彻标准的要求和措施建议

GB/T 17964:2008已经实施了十多年，缺少使用国密算法SM4生成的测试向量，缺少目前工业界大量应用的XTS等工作模式。建议尽早颁布本次修订标准，为各行业应用此类标准提供指导建议。

十一、替代或废止现行相关标准的建议

本标准代替GB/T 17964:2008 《信息安全技术 分组密码算法的工作模式》。

十二、其它应予说明的事项

无。

《信息安全技术 分组密码算法的工作模式》编制工作组

2019-11-26