首页 购物车 询价
www.GB-GBT.com

[PDF] GB/T 36624-2018 - 自动发货. 英文版

标准搜索结果: 'GB/T 36624-2018'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 36624-2018 英文版 350 GB/T 36624-2018 3分钟内自动发货[PDF] 信息技术 安全技术 可鉴别的加密机制 有效

基本信息
标准编号 GB/T 36624-2018 (GB/T36624-2018)
中文名称 信息技术 安全技术 可鉴别的加密机制
英文名称 Information technology -- Security techniques -- Authenticated encryption
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.040
字数估计 26,243
发布日期 2018-09-17
实施日期 2019-04-01
起草单位 中国科学院数据与通信保护研究教育中心、中国科学院软件研究所、北京江南天安科技有限公司
归口单位 全国信息安全标准化技术委员会(SAC/TC 260)
提出机构 全国信息安全标准化技术委员会(SAC/TC 260)
发布机构 国家市场监督管理总局、中国国家标准化管理委员会

GB/T 36624-2018 Information technology -- Security techniques -- Authenticated encryption ICS 35.040 L80 中华人民共和国国家标准 信息技术 安全技术 可鉴别的加密机制 2018-09-17发布 2019-04-01实施 国 家 市 场 监 督 管 理 总 局 中国国家标准化管理委员会 发 布 目次 前言 Ⅲ 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 符号 2 5 概述 3 6 可鉴别的加密机制1 3 6.1 简介 3 6.2 特定符号与标记 3 6.3 具体要求 4 6.4 加密程序 4 6.5 解密程序 4 7 可鉴别的加密机制2 4 7.1 简介 4 7.2 特定符号与标记 5 7.3 具体要求 5 7.4 加密程序 5 7.5 解密程序 6 8 可鉴别的加密机制3 7 8.1 简介 7 8.2 特定符号与标记 7 8.3 具体要求 7 8.4 M函数定义 7 8.5 加密程序 7 8.6 解密程序 8 9 可鉴别的加密机制4 8 9.1 简介 8 9.2 特定符号与标记 8 9.3 具体要求 9 9.4 加密程序 9 9.5 解密程序 9 10 可鉴别的加密机制5 9 10.1 简介 9 10.2 特定符号与标记 10 10.3 具体要求 10 10.4 乘法运算的定义 10 10.5 函数G的定义 10 10.6 加密程序 11 10.7 解密程序 11 附录A(规范性附录) ASN.1模块 13 A.1 形式定义 13 A.2 后续OID应用 13 附录B(资料性附录) 可鉴别的加密机制的使用指导 14 B.1 简介 14 B.2 可鉴别的加密机制的选择 14 B.3 可鉴别的加密机制1 15 B.4 可鉴别的加密机制2 15 B.5 可鉴别的加密机制3 15 B.6 可鉴别的加密机制4 15 B.7 可鉴别的加密机制5 15 附录C(资料性附录) 数据示例 16 C.1 简介 16 C.2 可鉴别的加密机制1 16 C.3 可鉴别的加密机制2 16 C.4 可鉴别的加密机制3 17 C.5 可鉴别的加密机制5 18 参考文献 19 前言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准使用重新起草法修改采用ISO/IEC 19772:2009《信息技术 安全技术 可鉴别的加密机 制》。 本标准与ISO/IEC 19772:2009的技术性差异及其原因如下: ---关于规范性引用文件,本标准做了具有技术性差异的调整,以适应我国的技术条件,调整的情 况集中反映在第2章“规范性引用文件”中,具体调整如下: ● 用等同采用国际标准的GB/T 15852.1-2008代替了ISO/IEC 9797-1(见8.4); ● 用GB/T 17964-2008代替了ISO/IEC 10116(见9.3); ● 用GB/T 32907-2016代替了ISO/IEC 18033-3(见第5章); ● 增加引用了GB/T 25069-2010(见第3章); ---第3章中,直接采用现行国家标准中已定义的术语定义,删除了部分常见的通用定义。 与ISO/IEC 19772:2009相比在结构上有较大调整,具体如下: ---对ISO/IEC 19772:2009范围一节内容进行修改,其中部分内容移至第5章概述; ---考虑到我国国情及技术的实际应用范围,本标准采用了ISO/IEC 19772:2009中第7章至第 11章规定的五种可鉴别加密机制,删除ISO/IEC 19772:2009中第6章规定的可鉴别加密 机制; ---将ISO/IEC 19772:2009中规范性附录C调整为附录A,相应的,ISO/IEC 19772:2009中资 料性附录A和附录B分别调整为附录B和附录C; ---附录C中给出的数据示例,修改为采用SM4算法作为示例。 本标准做了下列编辑性修改: ---纳入了ISO/IEC 19772:2009勘误版本的内容。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国科学院数据与通信保护研究教育中心、中国科学院软件研究所、北京江南天 安科技有限公司。 本标准主要起草人:王琼霄、蔡权伟、张颖君、赵宇航、宋利、吴鹏一、闻楠、林璟锵、荆继武、王明月、 宋天林。 信息技术 安全技术 可鉴别的加密机制 1 范围 本标准规定了五种可鉴别的加密机制,通过定义数据串的处理方法来实现以下安全目标: ---数据保密性,保护数据不会向非授权者泄露; ---数据完整性,确保数据接收者能够验证数据是否被修改; ---数据源鉴别,确保数据接收者能够验证数据始发者的身份。 本标准给出了五种可鉴别的加密机制ASN.1定义。 本标准适用于需对数据进行保密性、完整性保护及数据源鉴别的应用和系统。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 15852.1-2008 信息技术 安全技术 消息鉴别码 第1部分:采用分组密码的机制 (ISO/IEC 9797-1:1999,IDT) GB/T 17964-2008 信息安全技术 分组密码算法的工作模式 GB/T 25069-2010 信息安全技术 术语 GB/T 32907-2016 信息安全技术 SM4分组密码算法 3 术语和定义 GB/T 15852.1-2008、GB/T 17964-2008、GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 3.1 可鉴别的加密 一种可逆的数据转换,利用密码算法产生数据对应的密文,非授权实体无法在不被发现的情况下对 该密文进行修改,同时提供了数据保密性、数据完整性与数据源鉴别。 3.2 可鉴别的加密机制 用于实现数据保密性保护并提供数据完整性和数据源鉴别的密码技术,包括加密和解密两个处理过程。 3.3 数据完整性 数据没有遭受以未授权方式所作的更改或破坏的特性。 [GB/T 25069-2010,定义2.1.36] 3.4 分组密码 又称块密码算法,一种对称密码算法,将明文划分成固定长度的分组进行加密。 [GB/T 17964-2008,定义3.1.2] 5 概述 本标准规定的五种可鉴别的加密机制均基于分组密码算法,同时要求数据的始发者和接收者共享 密钥。其中,可鉴别的加密机制1和4仅能对加密的数据实现数据鉴别,可鉴别的加密机制2、3、5还可 支持对未加密的数据进行数据鉴别。在上述三个支持对未加密数据进行数据鉴别的机制中,被保护的 数据可划分为两部分: D:被加密并进行数据完整性保护的数据; A:额外的可鉴别数据,A 被进行数据完整性保护,但是未被加密;A 可能为空。 本标准中规定的可鉴别的加密机制需满足以下要求,采用可鉴别的加密机制保护数据的始发者和 接收者应: a) 协商使用本标准所规定的某个特定的可鉴别的加密机制; b) 协商使用某个特定的分组密码算法,分组密码算法应用使用GB/T 32907-2016规定的密码 算法或国家密码管理部门认可的密码算法; c) 共享一个秘密密钥K:除了可鉴别的加密机制4以外的所有机制中,此秘密密钥应作为选定的 分组密码算法的密钥;在可鉴别的加密机制4中,此密钥应作为密钥派生程序的输入。 本标准中规定的可鉴别的加密机制的ASN.1模块见附录A,其他使用指导参见附录B。 本标准凡涉及密码算法的相关内容,按国家有关法规实施;凡涉及到采用密码技术解决保密性、完 整性、真实性、抗抵赖性需求的应遵循密码相关国家标准和行业标准。 6 可鉴别的加密机制1 6.1 简介 本章定义的可鉴别的加密机制为KeyWrap。具体示例参见附录C的C.2。 6.2 特定符号与标记 本机制涉及的符号与标记如下: C0,C1,,Cm 可鉴别加密过程产生的输出数据,由(m+1)个长度为64比特的分组构成 的序列 D1,D2,,Dm 对数据D进行分块后得到的比特分组序列,由m 个长度为64比特的分组 构成 R1,R2,,Rm 在加密和解密过程中计算的比特分组序列,由m 个长度为64比特的分组 构成 Y 在加密和解密过程中使用的长度为64比特的分组 Z 在加密和解密过程中计算得到的长度为128比特的分组 6.3 具体要求 本机制使用的分组密码算法应是128位的分组密码算法,即n=128。本机制要求被保护的数据D 应至少包含128比特,且数据长度应是64比特的整数倍[即len(D)=64m,m >1]。 6.4 加密程序 始发者应执行以下步骤来保护数据D: a) 将D 进行分块,得到一个由m 个长度为64比特的分组构成的序列D1,D2,,Dm。其中,D1 包含D 的第一个64比特,D2 包含D 的第二个64比特,依此类推。 b) 将64比特块Y 的值设为0xA6A6A6A6A6A6A6A6(十六进制表示),即二进制的(10100110 c) 对于i=1,2,,m,令Ri=Di。 d) 对于i=1,2,,6m,执行以下四个步骤: 1) Z=eK(Y‖R1); 2) Y=Z|64􀱇#64(i); 3) 对于j=1,2,,m-1,令Rj=Rj+1; 4) Rm=Z|64。 e) C0=Y。 f) 对于i=1,2,,m,令Ci=Ri。 上述过程的输出,即数据D 的可鉴别的加密数据输出为C=C0‖C1‖‖Cm。 加密过程的输出 C 由 (m+1)个长为64比特的分组构成,比输入D 多了64比特。 6.5 解密程序 接收者应执行以下步骤来解密和验证可鉴别的加密数据C: a) 如果lenC() 不是64的倍数或者是小于192,计算并输出INVALID。 b) 将C进行分块,得到一个由m+1个长度为64比特的数据分组构成的序列C0,C1,Cm。其 中,C0 包含C 的第一个64比特,C1 包含C 的第二个64比特,依此类推。 c) 令Y=C0。 d) 对于i=1,2,,m,令Ri=Ci。 e) 对于i=6m,6m-1,,1执行以下四个步骤: 1) Z=dK Y 􀱇 #64i()[ ] ‖Rm(); 2) Y=Z|64; 3) 对于j=m,m-1,,2,令Rj=Rj-1; 4) R1=Z|64。 R2‖ ‖Rm,否则输出INVALID。 7 可鉴别的加密机制2 7.1 简介 本章定义的可鉴别的加密机制为CCM。具体示例参见C.3。 7.2 特定符号与标记 本机制涉及的符号与标记如下: B 用于计算标签(tag)值的比特分组 B1,B2,,Bν 用于计算标签(tag)值的比特分组序列,每个分组为n比特 C1,C2,,Cm 可鉴别加密过程产生的部分输出数据,由m 个长度为128比特的分组构成 的序列 D1,D2,,Dm 对数据D 进行分块后得到的比特分组序列,由m 个长度为128比特的分组 构成 F 8比特的标志 L D 的长度(以字节为单位),数据长度不包括填充以及长度块D0 r Dm 包含的字节数 S 开始变量,长度为 (120-8w)比特 T 明文标签值,长度为t比特 T' 在解密操作中计算得出的标签值 U 加密后的标签值,长度为t比特 ν 用于计算标签值的变量 w 消息长度域的长度(以字节为单位) X 在加密和解密过程中计算的长度为128比特的分组 Y 在加密和解密过程中计算的长度为128比特的分组 7.3 具体要求 在使用此可鉴别的加密机制前,数据的始发者和接收者首先需协商确定以下事项: a) t:标签(tag)的长度(以比特为单位),t的值应在集合 32,48,64,80,96,112,128{ } 中选取; b) w:消息长度域的长度(以字节为单位),w 的值应在集合 2,3,4,5,6,7,8{ } 中选取。w 值的选 取会影响保护数据的最大长度,最大的信息长度为28w+3 位,即28w 个字节。 本机制使用的分组密码算法应是128位的分组密码算法,即n=128。 使用本机制保护的数据D 及额外的可鉴别数据A,其长度均应是8比特的整数倍。 7.4 加密程序 始发者应执行以下步骤来保护数据D。 令L=lenD()/8,即L 是D 的长度,单位为字节。 a) 选定开始变量S,S包含 (15-w)个字节[即 (120-8w)比特]。对每个被保护的数据应用 选取各不相同的S,并确保S 可被消息接收者获知。S 的取值无需保证不可预知的或是秘 密的。 b) 对数据D 进行右填充,填充 16-r() 个 字节的0(也就是0到120个比特的0),从而使得D 填充后长度为128比特的整数倍。将D 进行分块,得到一个由m 个长度为128比特的分组构 成的序列D1,D2,,Dm。 其中,D1包含D 的第一个128比特,D2包含D 的第二个128比 特,依此类推。 c) 如果lenA()=0,令标志F=02‖ #3 t-16()/16() ‖ #3 w-1() 。 d) 如果lenA() >0,令标志F=0‖1‖ #3 t-16()/16() ‖ #3 w-1() 。 说明:F 最左端的一位是“保留位”,即在当前版本的算法中置为0,但在将来的算法中可能会用到。 之后的一位置为0的含义是所有被保护的数据都已经加密。 e) 令X=eK F‖S‖ #8w L()() 。 f) 如果lenA() >0,执行以下六个步骤: 1) 如果0< lenA() < 65280,令B=#16lenA()/8() ‖A; 2) 如果65280≤lenA() < 232,令B=115‖0‖ #32lenA()/8() ‖A; 3) 如果232 ≤lenA() < 264,令B=116‖ #64lenA()/8() ‖A; 4) 将B 进行分块,得到一个分组序列B1,B2,,Bv。 其中,B1 包含B 的第一个n比特, B2包含B的第二个n比特,依此类推,直至Bv包括B的最后k个比特,其中0< k≤n, 由此可得,lenB()= v-1()n+k; 5) 对Bv 进行右填充,填充 (n-k)比特个0,即Bv=Bv‖0n-k; 6) 对于i=1,2,,v,令X=eK X 􀱇Bi() 。 g) 对于i=1,2,,m,令X=eK X 􀱇Di() 。 h) 令T=X|t。 i) F= 05‖ #3 w-1()(),且Y= F‖S‖08w() 。 j) 令U=T 􀱇 eK Y()[ ]|t。 k) 对于i=1,2,,m-1,执行以下两个步骤: 1) Y= F‖S‖ #8w i()(); 2) Ci=Di 􀱇eK Y() 。 l) 令Y= F‖S‖ #8w m()(),且Cm = Dm 􀱇eK Y()[ ]|8r。 上述过程的输出,即数据D 的可鉴别的加密数据输出为C=C1‖C2‖‖Cm-1‖Cm‖U。 7.5 解密程序 接收者应执行以下步骤来解密和验证可鉴别的加密数据C: a) 如果C 的长度不是8比特的整数倍,停止计算并输出INVALID。 b) 如果C 的长度小于 (t+8)比特,停止计算并输出IVALID。 c) 确定整数m 和r,使得C包含(128m-1()+8r+t)比特,其中0< r≤16。将C进行分块, 得到一个数据分组的序列:C1,C2,Cm,U。 其中,C1包含C的第一个128比特,C2包含C 的第二个128比特,依此类推,直到Cm 包含8r比特。最后,令U 为C 的最后t比特。 附 录 B (资料性附录) 可鉴别的加密机制的使用指导 B.1 简介 本附录为本标准中规定的可鉴别的加密机制的使用提供指导。任一机制的使用需要选择与该机制 匹配的参数,B.3~B.7给出了相关参数选择的建议。本章以下部分对使用本标准所规定的所有机制应 满足的需求提供了建议。 所有机制中使用的分组密码算法为GB/T 32907-2016指定的密码算法或由国家密码管理机构批 准的密码算法。 分组密码算法中的分组长度n应至少为64比特,推荐使用分组长度为128比特(n=128的分组密 码算法。在可鉴别的加密机制1、2和5中,应使用n=128的分组密码算法。 所有机制要求数据始发者和接收者共享秘密密钥K。 该密钥只能由通信双方,或者是为了实现通 信双方共享密钥的可信第三方知晓。密钥产生及相关的管理方法不属于本标准范畴,可参考相关标准 执行。 所有五种可鉴别加密机制都需要选择标记(tag)的长度。该参数的选择会影响发送给接收者的受 保护数据的完整性和来源真实性。 B.2 可鉴别的加密机制的选择 本标准中所有可鉴别的加密机制都具有高级别的安全性。然而,在特定的应用中,某些机制会比其 他机制更合适。在进行可鉴别的加密机制选择时,应对表B.1中给出的因素以及表后列出的内容进行 考虑。 表B.1 各机制的特点 机制序号 1 2 3 4 5 加密长度为q比特的消息所需 的分组加密运算次数 12q/n[ ] 2q/n 2q/n 取决于选定的加密与 MAC方式 q/n 是否需要使用授权 否 否 否 取决于选定的加密与 MAC方式 否 是否针对短消息设计 是 否 否 否 否 加密前是否需知道消息的长度 否 是 否 否 否 是否需要开始变量 否 是 是 是 是 a) 可鉴别的加密机制2和3是将采用CTR模式的分组密码算法与消息鉴别码相结合; b) 可鉴别的加密机制4提供了将标准化的密码算法和 MAC算法结合的方法。如果这些功能已 经可用,那么可鉴别的加密机制4在实施上具有一定的优势; c) 可鉴别的加密机制5适于高吞吐量硬件实现,因为该机制的实现不会存在流水线停滞的问题。 B.3 可鉴别的加密机制1 可鉴别的加密机制1要求使用分组长度为128比特(n=128)的分组密码算法。 B.4 可鉴别的加密机制2 可鉴别的加密机制2要求使用分组长度为128比特(n=128)的分组密码算法。 该机制要求标签(tag)长度参数t的取值应从集合 32,48,64,80,96,112,128{ } 中选取。参数t的 取值取决于该机制的应用环境,建议使用t≥64,除非有充分的理由做出不同的选择。 该机制要求消息长度域的长度参数w 的取值应从集合 2,3,4,5,6,7,8{ } 中选取。参数w 的取值 取决于该机制的应用环境,参数w 值的大小不影响机制的安全性。参数w 取值越大,可持的消息长度 越大;相反的,会使用开始变量S的长度减小。即使w 取最大值8,开始变量S仍可以有56比特,56比 特的开始变量可以满足大部分应用对于每个消息使用不同开始变量的要求。对大多数应用而言,建议 w 取值为4,即w=4,即最大消息长度为232 ≈4×109 字节。 B.5 可鉴别的加密机制3 可鉴别的加密机制3需要确定标签(tag)长度参数t(t≤n)。参数t的取值取决于该机制的应用 环境,建议使用t≥64,除非有充分的理由做出不同的选择。 B.6 可鉴别的加密机制4 可鉴别的加密机制4需要选择分组密码算法的工作模式和 MAC算法,该机制的安全性取决于上 述两个因素的安全性。 无论使用......
英文版: GB/T 36624-2018  
相关标准:GB/T 36618-2018  GB/T 36619-2018  
英文版PDF现货: GB/T 36624-2018  GB/T 36624-2018