GB 15852-1995 信息技术 安全技术 用块密码算法 作密码校验函数的数据完整性机制

GB15852-1995

前言

本标准等同采用国际标准ISO/IEC9797:1994(信息技术安全技术用块密码算法作密码校验

函敬的致据完整性机制》.

该国际标准规定的用块密码算法作密码校验函数的数据完整性机制，适合于我国使用。

本标准的附录A是标准的附录。

本标准的附录B和附录C是提示的附录。

本标准由中华人民共和国电子工业部提出.

本标准由电子工业部标准化研究所归口。

本标准起草单位:电子工业部第三十研究所。

本标准主要起草人:龚奇敏、黄月江、吴世忠、杜明任。

G.15852-1995

ISO/IEC前言

ISO(国际标准化组织)和IEC(国际电工委员会)形成了一个世界范围内的标准化专门系统.ISO或

IEC的成员国，通过由处理特殊技术活动领域的各个组织所建立的技术委员会来参与国际标准的开发。

IS(〕和IEC的技术委员会在共同感兴趣的领城内合作，其他与】SO和IEC有联络的官方和非官方国际

性组织，也参与这项工作。

在信息技术领域内，ISO和IEC已建立了一个联合技术委员会ISO/IECJTC1.被联合技术委员会

接受的国际标准草案分迭给各成员国表决。一个国际标准的发布，濡要至少75%的成员国投赞成票.

国际标准ISO/IEC9797是由信息技术联合技术委员会ISO/IECJTCI的IT安全技术SC27分委

员会制定的。

第二版取代其第一版(ISO/IEC9797:1989):第一版已经过修改和扩充，增加了一种填充方法和一

种可选进程，同时还增加了一个包含若干例子的新附录。

附录A是本国际标准的组成部分，附录B,C仅仅是一种信息。

Gs15852-1995

引言

本标准中规定的机制除了用，比特数据块的算法、二比特的校验值和规定了一种附加的填充方法

外，与ISO8731-1,ISO9807和ANSIX9.9标准中所用的相同。

ISO8731-1,ANSIX9.9和ANSIX9.19中叙述的密码校验值的计算方法是本标准的一种特殊情

况，即当二=64,m=32,采用5.1中规定的填充方法1以及使用DEA(见ANSIX3.92;1981)数据加密

算法。

中华人民共和国国家标、准

信息技术安全技术用块密码算法

作密码校验函数的数据完整性机制GB15852一1995

idtISO/IEC9797:1994

Informationtechnology-Securitytechni咖es

-Dataintegri灯mechanism山Ingacry脚ographic

checkfunctionemployingablockdpheralgorithm

，范围

本标准规定了一种使用密钥和。比特块密码算法计算，比特密码校验值的方法。这种方法可用作

戮据完整性机制，以检测数据是否已被非授权地改变。这种数据完整性机制的强度依赖于密钥的长度及

其保密性，依赖于密码算法的特性以及校验值的长度。。

本标准适用于任何安全体系结构、进程或应用的安全服务。

2引用标准

下列标准所包含的条文，通过在本标准中引用而构成本标准的条文。本标准出版时，所示版本均为

有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

GB/T9387.2-1995信息处理系统开放系统互连基本参考模型第2部分:安全体系结构(idt

ISO7498-2:1989)

ISO/IEC10116;1991信息技术，位块密码算法的工作方式

3定义和记法

3.1定义

本标准使用了GB/T9387.2和ISO/IEC10116中定义的术语.

3.1.1密码校验值cryptographiccheckvalue

对数据单元进行加密变换所得到的信息。

3.1.2数据完整性dataintegrity

指数据没有被非授权地改变或破坏的性质。

3.1.3。比特块密码算法，-bitblockcipheralgorithm

明文块和密文块长度均是。比特的块密码算法。

32记法

本标准将密码校验值称作消息鉴别码(MAC).

在本标准上下文中，当术语最“高有效位/字节”和最“低有效位/字节”具有某种含义时，例如，把比

特串看成是数值，则一个块的最左边若干比特便是最高有效位。

4要求

MAC的长度(二)应小于或等于块的长度(司，计算的结果和任何可选进程的结果都是长度为。的

一个信息块，而最后n比特块的最左边二比特便形成了MAC,

国家技术监餐局1995-12一13批准1996一08一01实施

GB15852一1995

5MAC计算

5，1填充和分块

MAC的产生需要从下列两种填充方法中选出一种。作出这种选择的途径超出了本标准的范围。

方法1

需计算MAC的数据应添补必要的几个(可能一个也没有)`o'比特，以便得到一个长度(按比特计)

为二的整数倍的数据串。

方法2

需计算MAC的数据应先添补一个1‘'比特，然后再添补必要的几个(可能一个也没有)“0"比特，以

便得到一个长度(按比特计)为二的整数倍的数据串。

注:如果验证者不知道欣据的长度.则应选用琪充方法2.因为此方法允许脸证者查明所添补的那些'o,比特。

所得数据分成二比特的块①D=，二，D,),按f'1所选的填充方法，添补到原始数据上的那些比特，

仅仅用于计算和验证MAC的，因此，这些填充比特(若有的话)不一定要随原始数据一起存储或传物。

验证者应当知道这些坡充比特是否已被存储或传输以及使用的是肺一种填充方法。

5.2加密密钥

密钥应当随机或准随机产生，如果消息加密也使用该算法，则计算MAC所用的密钥应当和数据加

密用的密钥不同。

5.3起始步

MAC按图1所示进行计算。

艳入寄存器由第一个块(D,)初始化，箱入数据((I,)通过算法(A)，使用密钥(K)产生二比特存入翰

出寄存器(O,),

5.4随后各步

下一个，比特数据(D})与愉出寄存器(O,)中的”比特按位异或运算且结果装入下一步的翰入寄存

器(11),输人寄存器(1z)中的数据再通过算法(A)，使用密钥(K)产生，比特存人输出寄存器(仇)。

这一操作继续到所有数据块都被处理后为止。所得结果便是最后的输出块(0,).

5.5可选进程

最后的输出块(O,)或许要作选择性的处理以增加MAC的强度。可选进程(如果采用的话)应从附

录A(标准的附录)中规定的几个中选取。

5.6MAC

最后一个，比特块的最左边，比特构成MAC.

注:若选用附录A(标准的附录)的A1条规定的可选进程，可减轻穷搜攻击的威胁.特别，当二=，时，建议采用这种

可选进程。

GB15852一1995

第1步筑2步第一I步第口步

1.=D,

o,

A

MAC

t

如翰入块(i=1.”二，4)

A，比特块密码算法

O;枪出块(i=1Q)

K密钥

n数据块(i=1q)

①异或

图1MAC的计算

572

GB15852一1995

附录A

(标准的附录)

可选进程

A，可选进程1

下述过程规定了一种可选进程(见5-5)，它可按照发方和收方之间的预先商定使用。这种可选进程

增加了MAC抗穷搜密钥和选择明文攻击的强度.

在这种可选进程中，要用两个加密密钥，分别记作(K)和(K,),

首先按照5.3和5.4中规定的过程，用密钥