商用密码应用与安全性评估要点笔记（SM3密码杂凑算法）

1、杂凑密码算法

        可以对任意长度的消息M进行压缩，输出定长的消息摘要/杂凑值h，表示为h = H(M)。

        一般来说，H具备三个性质：

        （1）单向性。已知h，试图找打M满足h=H(M)是困难的。

        （2）抗第二/二次原像攻击（弱抗碰撞性）。给定M1，试图找到M2满足h1=h2是困难的。

        （3）强抗碰撞性。试图找到H(M1)=H(M2)是困难的。

        密码杂凑算法主要有2种结构：M-D结构（MD5、SHA1、SHA2、SM3）和海绵结构（SHA3）。对于MD结构，也就是对填充后的消息进行分组后依次输入F函数进行压缩，上一个分组的结果结果下一个分组的输入之一，最后一个F的结果即是最终的杂凑值。所以可以说，杂凑算法的安全性取决于F，如果F具备抗碰撞能力，则杂凑函数也具备抗碰撞能力。

算法名称	分组长度bit	输出长度bit	结构
MD5	512	128	MD
SHA1	512	160	MD
SHA-224	512	224	MD
SHA-256	512	256	MD
SHA-384	1024	384	MD
SHA-512	1024	512	MD
SHA-512/224	1024	224	MD
SHA-512/256	1024	256	MD
SM3	512	256	MD
SHA3-224	-	224	海绵
SHA3-256	-	256	海绵
SHA3-384	-	384	海绵
SHA3-512	-	512	海绵
SHAKE128	-	变长	海绵
SHAKE256	-	变长	海绵

2、带密钥的杂凑算法

        使用M||h的方式保护M的完整性是存在安全问题的，例如攻击者可以将其整体替换为M'||h'，完整性验证也可通过。故认为只使用密码杂凑算法是无法保证数据完整性的。HMAC（带密钥的杂凑算法）提出能够解决这个问题。HMAC具体如hmac = HMAC(K,M)，其中密钥K的长度取对应的杂凑算法分组长度和输出长度之间，如MD5，K的长度区间是[128,512] bit。在HMAC过程中包括2次H计算，取第二次H计算的最左边m比特，作为HMAC的输出。

 3、SM3算法

        关于SM3算法，具体标准见GMT 0004-2012 SM3 密码杂凑算法，MD结构，输入消息长度小于2^64bit，分组长度为512，输出长度为256。

        3.1 填充规则

        在消息M的末尾填充1，然后填充k个0，最后填充64bit的二进制串（表示消息M的长度，这里对应输入消息M长度不能大于2^64bit)，从而得到n个512bit的分组。

        3.2 迭代过程

        对于n个分组B0-Bn-1，做迭代Vi+1 = CF(Vi,Bi）V0取256bit的IV，这里CF是压缩函数，压缩结果为V。在压缩函数之前，对Bi要进行扩展，扩展为132个消息字（32bit）。在压缩函数CF中，产生64轮迭代，也就是说对于n个分组Bi，共要计算64n轮。

4、SM3安全性和效率

        SM3和SHA256消息分组、迭代轮数、输出长度均相同，同时新引入16步全异或操作、消息双字介入、加速雪崩效应的P置换。能有效抵抗强碰撞性的差分攻击、弱碰撞性的线性分析和比特追踪等密码分析方法。