Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 10118-2-12:2016 专用哈希函数SM3标准解读
掌握SM3哈希算法的核心技术要求与国际标准实施要点
随着信息安全的全球化发展,中国商用密码算法SM3已于2016年正式通过国际标准化组织认证,成为IEC 10118-2-12:2016(即ISO/IEC 10118-2-12:2016)标准。该标准由中国主导推动,标志着中国密码技术在国际舞台上取得了重要突破。截至2026年,该标准仍然有效,并在众多领域得到广泛应用。
1. 标准概况与适用范围
IEC 10118-2-12:2016是ISO/IEC 10118“信息技术—安全技术—哈希函数”系列标准的第2-12部分,专门定义了SM3哈希函数。SM3是中国国家密码管理局发布的密码哈希算法标准,其国际标准化版本在技术内容上与国内标准(GB/T 32905-2016)保持一致。该标准适用于需要产生256比特哈希值的各类信息安全场景,包括:
- 数字签名与验签
- 消息认证码(MAC)生成
- 数据完整性校验
- 随机数生成与密钥派生
- 密码协议(如SSL/TLS、IPsec)中的哈希运算
提示:SM3作为IEC 10118-2-12:2016定义的算法,其设计安全性已达业界高度认可,且与SHA-256安全性相当,是中国等国家合规系统中的首选哈希函数。截至2026年,SM3尚未发现有效的攻击方法。
2. 主要技术内容与要求
2.1 算法参数
SM3哈希函数的输入为任意长度不超过264比特的消息,输出固定长度为256比特的哈希值。算法基于Merkle-Damgård结构,对消息进行分组处理(每组512比特),每轮压缩函数进行64轮迭代。下表列出了SM3的关键参数:
| 参数 | SM3值 |
|---|---|
| 消息最大长度(比特) | 264 |
| 输出哈希值长度(比特) | 256 |
| 字长(比特) | 32 |
| 分组长度(比特) | 512 |
| 压缩函数轮数 | 64 |
| 安全强度(比特) | 128(抗碰撞) |
| 初始值IV | 7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aa e38dee4d b0fb0e4e |
2.2 算法步骤
SM3的处理流程包括消息填充、消息扩展、迭代压缩和输出。填充规则:先添加比特‘1’,然后添加k个‘0’,使填充后长度模512等于448,最后附加64位消息长度(大端序)。填充后的消息被划分为512比特的消息分组。
消息扩展:将每个512比特分组B(i)扩展为132个字:W0~W67和W0’~W63’。其中前16个字直接取自B(i),后面的字通过递推公式生成。
迭代压缩:对每个消息分组执行64轮压缩,使用状态变量V(i)。每轮使用布尔函数FF、GG和置换函数P0、P1。64轮结束后,将V(i)与前一状态异或生成新的状态。最终所有分组处理完毕后的状态即为哈希值。
注意:SM3算法在实现时必须严格遵循标准规定的字节序(大端序)和填充规则。常见的实现误区包括长度编码错误、字与字节转换错误等,这些会导致与测试向量不一致。
2.3 安全性分析
SM3设计充分考虑了现代密码分析攻击。其布尔函数和置换函数的选取具有较好的雪崩效应和扩散性。当前公开文献未发现对完整SM3的有效攻击优于穷举。SM3的预期安全强度为128比特(抗碰撞)和256比特(抗原像)。这使得SM3在2026年依然保持足够的安全性,能够有效抵抗差分攻击、线性攻击等经典方法。
3. 实施与应用要点
标准提供了两个测试向量(消息、中间值及哈希结果)供实现验证。开发者应首先利用这些向量检验实现的正确性。
在软件实现中,可利用SIMD指令(如SSE、NEON)或查表优化加速消息扩展和压缩函数。硬件实现可基于FPGA或ASIC,吞吐量可达10Gbps以上。
合规性方面,在中国及部分采用中国密码标准的系统中,SM3是强制性要求。例如,GM/T 0024-2014规定了SSL VPN中使用SM3,GM/T 0045-2016规定了金融数据密码机中的SM3应用。在国际环境中,通过IEC 10118-2-12:2016认证的SM3也可作为互操作基础。
益处:采用标准化的SM3哈希函数可以增强系统的安全性,保障与国际主流密码体系的互操作性,同时满足中国商密合规要求,为产品进入相关市场提供便利。
安全关键要求:任何使用SM3的应用都需确保算法实现和密钥管理符合相关密码管理规定。在涉及国家秘密或重要信息系统时,应使用经国家密码管理局审查合格的密码产品。
4. 与其他标准的关系
IEC 10118-2-12:2016与其他标准存在密切的联系:
- 与GB/T 32905-2016:中国国家标准GB/T 32905-2016《信息安全技术 SM3密码杂凑算法》与国际标准内容技术等同,仅行政管辖不同。
- 与GM/T 0004-2012:工业行业标准GM/T 0004-2012是SM3的原始行业规范,ISO/IEC版在其基础上增加国际协调。
- 与ISO/IEC 10118-2其他部分:该系列包括SHA-1、SHA-256等算法,SM3作为专门的第2-12部分,与其他部分并列。
- 与ISO/IEC 14888-3:数字签名标准中可使用SM3作为哈希函数。
- 与SSL/TLS国际协议:RFC 8998定义了TLS 1.3中使用国密算法,包括SM3用于哈希和伪随机函数。
通过ISO/IEC的标准化,SM3获得了广泛国际认可,部署场景从中国扩展到全球。
常见问题解答
问:SM3与SHA-256的主要区别是什么?
答:两者输出长度相同,安全性相当,但SM3的压缩函数结构更复杂,使用了更多的布尔函数和置换运算;SHA-256基于64轮,而SM3同样为64轮但字宽度为32比特。在软件实现上速度接近。在合规性上,SM3是中国商密标准,而SHA-256是国际通用算法。
答:两者输出长度相同,安全性相当,但SM3的压缩函数结构更复杂,使用了更多的布尔函数和置换运算;SHA-256基于64轮,而SM3同样为64轮但字宽度为32比特。在软件实现上速度接近。在合规性上,SM3是中国商密标准,而SHA-256是国际通用算法。
问:在什么场景下必须使用SM3?
答:在中华人民共和国境内销售或使用的密码产品,如涉及商用密码,通常要求使用由国家密码管理局批准的算法,SM3是其中之一。具体场景包括电子政务、金融IC卡、社保系统、VPN网关等。国际用户如果与中国系统交互,也应考虑支持SM3以确保互操作。
答:在中华人民共和国境内销售或使用的密码产品,如涉及商用密码,通常要求使用由国家密码管理局批准的算法,SM3是其中之一。具体场景包括电子政务、金融IC卡、社保系统、VPN网关等。国际用户如果与中国系统交互,也应考虑支持SM3以确保互操作。
问:如何验证SM3实现的正确性?
答:IEC 10118-2-12:2016附录A提供了两个测试示例(Abbreviated和Full example),包含输入、中间值和最终哈希值。建议实现后先运行这些测试向量比对。此外,可使用已知测试库(如GM/T测试集)进行验证。
答:IEC 10118-2-12:2016附录A提供了两个测试示例(Abbreviated和Full example),包含输入、中间值和最终哈希值。建议实现后先运行这些测试向量比对。此外,可使用已知测试库(如GM/T测试集)进行验证。
问:IEC 10118-2-12:2016与GB/T 32905-2016有何不同?
答:两种标准在技术内容上完全一致,均描述同一SM3算法。GB/T 32905-2016是中国国家标准,作为国内使用;IEC 10118-2-12:2016是国际标准,用于全球认可。版式、引用规范不同,但算法细节、测试向量相同。
答:两种标准在技术内容上完全一致,均描述同一SM3算法。GB/T 32905-2016是中国国家标准,作为国内使用;IEC 10118-2-12:2016是国际标准,用于全球认可。版式、引用规范不同,但算法细节、测试向量相同。
