ICS35.030 CCSL80 中华人民共和国密码行业标准 GM/T0001.4—2024 祖冲之序列密码算法 第4部分:鉴别式加密机制 ZUCstreamcipheralgorithm— Part4:Authenticatedencryptionmechanisms 2024-12-27发布 2025-07-01实施 国家密码管理局发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 符号 2 ……………………………………………………………………………………………………… 5 基本运算及辅助函数 2 …………………………………………………………………………………… 5.1 概述 2 ………………………………………………………………………………………………… 5.2 有限域运算 3 ………………………………………………………………………………………… 5.3 编码函数Encode 3 …………………………………………………………………………………… 5.4 泛杂凑函数GHASH 3 ……………………………………………………………………………… 5.5 转换函数Conv 3 ……………………………………………………………………………………… 6 ZUC-GXM 3 ……………………………………………………………………………………………… 6.1 通用要求 3 …………………………………………………………………………………………… 6.2 鉴别式加密算法 4 …………………………………………………………………………………… 6.3 鉴别式加密算法流程 4 ……………………………………………………………………………… 6.4 鉴别式解密算法 4 …………………………………………………………………………………… 6.5 鉴别式解密算法流程 4 ……………………………………………………………………………… 7 ZUC-MUR 5 ……………………………………………………………………………………………… 7.1 通用要求 5 …………………………………………………………………………………………… 7.2 鉴别式加密算法 5 …………………………………………………………………………………… 7.3 鉴别式加密算法流程 5 ……………………………………………………………………………… 7.4 鉴别式解密算法 6 …………………………………………………………………………………… 7.5 鉴别式解密流算法流程 6 …………………………………………………………………………… 附录A(资料性) 密钥派生算法 7 ………………………………………………………………………… A.1 概述 7 ………………………………………………………………………………………………… A.2 密钥派生算法1 7 …………………………………………………………………………………… A.3 密钥派生算法2 7 …………………………………………………………………………………… 附录B(资料性) 性质和使用指导 8 ……………………………………………………………………… B.1 概述 8 ………………………………………………………………………………………………… B.2 ZUC-GXM 8 ………………………………………………………………………………………… B.3 ZUC-MUR 8 ………………………………………………………………………………………… 附录C(资料性) 数据示例 9 ……………………………………………………………………………… ⅠGM/T0001.4—2024 C.1 概述 9 ………………………………………………………………………………………………… C.2 ZUC-GXM 9 ………………………………………………………………………………………… C.3 ZUC-MUR 11 ………………………………………………………………………………………… ⅡGM/T0001.4—2024前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件是GM/T0001《祖冲之序列密码算法》的第四部分。GM/T0001已经发布了以下部分: ———第1部分:算法描述; ———第2部分:基于祖冲之算法的机密性算法; ———第3部分:基于祖冲之算法的完整性算法; ———第4部分:鉴别式加密机制。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位:兴唐通信科技有限公司、中国科学院软件研究所、大唐移动通信设备有限公司、 中国信息通信研究院、北京海泰方圆科技股份有限公司。 本文件主要起草人:李鸿利、王勇慧、贾文义、马永彪、张斌、冯程、薛跳跳、白亮、徐晖、王海梅、罗影。 ⅢGM/T0001.4—2024引 言 GM/T0001《祖冲之序列密码算法》旨在确立祖冲之算法的使用规范,拟由四个部分组成。 ———第1部分:算法描述。目的在于指导祖冲之算法相关产品的研制、检测和使用。 ———第2部分:基于祖冲之算法的机密性算法。目的在于指导基于祖冲之算法的机密性算法的相 关产品的研制、检测和使用。 ———第3部分:基于祖冲之算法的完整性算法。目的在于指导基于祖冲之算法的完整性算法的相 关产品的研制、检测和使用。 ———第4部分:鉴别式加密机制。目的在于指导使用祖冲之算法对数据进行机密性、完整性保护及 数据源鉴别。 本部分规定了祖冲之密码算法的鉴别式加密机制,包括ZUC-GXM和ZUC-MUR两种机制。 ZUC-GXM为依赖初始向量不重复使用的鉴别式加密机制,应确保初始向量不重复使用。ZUC- MUR为可支持初始向量重复使用的鉴别式加密机制,初始向量可重复使用,可用于无法保证初始向量 不重复应用场景下的信息机密性和完整性保护,如群组通信、并发加密、确定性加密等。 ⅣGM/T0001.4—2024祖冲之序列密码算法 第4部分:鉴别式加密机制 1 范围 本文件规定了祖冲之密码算法的两种鉴别式加密机制:ZUC-GXM和ZUC-MUR。 本文件适用于指导使用祖冲之密码算法对数据进行机密性、完整性保护及数据源鉴别。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069 信息安全技术 术语 GB/T33133.1 信息安全技术 祖冲之序列密码算法 第1部分:算法描述 3 术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 认证性 authenticity 一个实体是其所声称实体的性质。 注:又称真实性。 [GB/T25069—2022,3.769,有修改] 3.2 机密性 confidentiality 采用密码技术保证信息不泄露的性质。 注:又称保密性。 [GB/T25069—2022,3.259,有修改] 3.3 鉴别式加密 authenticatedencryption 一种可逆的数据转换,这种数据转换利用加密算法产生数据的对应密文,未经授权实体无法在不被 发现的情况下对其修改,即提供了数据机密性、数据完整性与数据源鉴别。 [GB/T25069—2022,3.298] 3.4 泛杂凑函数 universalhashfunction 由密钥确立的映射,将一定范围内任意长比特串映射到定长比特串,满足:对于所有不同的输入,其 输出在密钥均匀随机的前提下发生碰撞的概率极小。 3.5 密钥派生算法 keyderivationfunction;KDF 通过作用于某一秘密值和其他参数,产生一个或多个密钥的算法。 1GM/T0001.4—20244 符号 下列符号和缩略语适用于本文件。 A 附属数据,只进行完整性保护而不进行机密性保护的数据 C 密文 Conv 转换函数 Encode 编码函数 GHASH 基于有限域多项式运算的泛杂凑函数 H 泛杂凑函数的密钥,长度为128比特 IV 初始向量,长度与所用ZUC算法初始向量相同 K ZUC-GXM的工作密钥,长度与所用ZUC算法工作密钥相同 K1 ZUC-MUR的第一个工作密钥,长度与所用ZUC算法工作密钥相同 K2 ZUC-MUR的第二个工作密钥,长度与所用ZUC算法工作密钥相同 Klen 工作密钥的比特长度 LX |X|的2进制表示,长度为64比特,如|X|=22时,LX=059||10110 LSBn(X) 比特串X的最右边n比特 MSBn(X) 比特串X的最左边n比特 P 明文 Partition(X)X的128比特分组表示,若最后一个分组小于128比特,使用比特0填充右边至 128比特,若X的长度为128比特的整数倍时(X可为空串),则无需填充。即 Partitio