ISO/IEC 10118-1:2018 信息安全技术哈希函数第1部分：概述

1. 标准概况与适用范围

ISO/IEC 10118-1:2018（对应加拿大采用标准 CAN CSA ISO IEC 10118-1-18）是信息安全领域的核心密码学基础标准，专门针对哈希函数（Hash Function）的定义、模型和安全属性进行了系统规范。该标准由ISO/IEC JTC 1/SC 27（信息安全、网络安全与隐私保护分技术委员会）制定，第一版发布于1994年，2018年发布最新修订版，内容全面覆盖哈希函数在密码应用中的共性要求。

本标准适用于以下场景：

确定哈希函数的一般模型和术语，为具体哈希算法（如SHA-1、SHA-2、SHA-3等）提供统一框架；
定义哈希函数必须满足的核心安全属性：原像抗性（Preimage Resistance）、第二原像抗性（Second Preimage Resistance）和碰撞抗性（Collision Resistance）；
作为信息安全产品评估、密码模块认证、数字签名及消息认证码设计的参考依据；
指导开发人员、测试人员和合规人员进行哈希函数的选取、实现与验证。

标准适用于任意长度的输入消息，并规范了哈希函数输出长度的选择要求（如不低于160比特等）。所有符合该标准框架的哈希算法，均可参照其定义的安全模型进行一致性测试。

提示：ISO/IEC 10118-1:2018 是整个10118系列的基础文献，定义了哈希函数的通用概念和符号表示，其他部分（如第2部分：Dedicated Hash-Function、第3部分：Dedicated Hash-Function Based on Block Ciphers）均建立在本部分之上。理解本部分是正确运用所有哈希函数的前提。

2. 主要技术内容与要求

2.1 基本概念与术语体系

标准首先统一了哈希函数的核心术语：

哈希函数（Hash-Function）： 将任意长度的输入（消息）映射为固定长度输出（哈希值、摘要）的确定性函数；
压缩函数（Compression Function）： 迭代结构中的核心模块，接收固定长度的输入块并输出更短的值；
初始化向量（Initialization Value, IV）： 哈希计算开始时的状态初值；
填充（Padding）： 将消息长度填充至符合块长度的要求，通常包含长度编码（MD强化）。

2.2 哈希函数的通用模型

ISO/IEC 10118-1:2018 推荐使用迭代哈希函数（Iterated Hash Function）模型，主要包括：

预处理： 消息填充（Padding）与分块（Block Partitioning）；
迭代处理： 使用压缩函数逐块处理，维护内部状态（Chaining Variables）；
输出转换： 根据需要通过最终变换（如可选的后处理）生成固定长度哈希值。

标准明确要求压缩函数应满足与随机预言机（Random Oracle）不可区分的行为，并规定了迭代过程必须包含长度增强（Length Strengthening）机制以防止长度扩展攻击。

2.3 核心安全属性要求

标准将哈希函数的安全目标分为三个层次，下表详细说明了每种属性的定义与所需强度：

安全属性	中文术语	定义	典型安全性需求
Preimage Resistance	原像抗性	给定哈希值 h，找到任意消息 m 使得 H(m) = h 在计算上不可行	～2ⁿ（n为输出比特长度）
Second Preimage Resistance	第二原像抗性	给定消息 m1，找到另一消息 m2 且 H(m1) = H(m2) 在计算上不可行	～2ⁿ
Collision Resistance	碰撞抗性	找到任意两个不同消息 m1 和 m2 使得 H(m1) = H(m2) 在计算上不可行	～2^n/2（因生日攻击）

此外，标准还强调了伪随机耐性（Pseudorandomness）和长度扩展抵抗等附加需求，并指出所有安全属性的具体强度阈值应根据应用场景的风险可接受水平进行调整（例如数字签名要求碰撞抗性强度至少为112比特）。

重要注意事项： 标准明确指出，仅满足原像抗性不足以抵抗实际攻击。选择哈希函数时必须同时考虑碰撞抗性和第二原像抗性。使用过时的算法（如未经安全增强的MD5或SHA-1）无法满足ISO/IEC 10118-1:2018对现代哈希函数的最低安全要求，特别是在数字签名应用中，碰撞抗性不足可能导致整个信任体系崩溃。

3. 实施与应用要点

3.1 算法选型与参数配置

实际应用时，建议首选通过ISO/IEC 10118其他部分标准化的算法（如ISO/IEC 10118-2中规定的SHA-256、SHA-384、SHA-512等）。选择时需关注：

输出长度： 应根据应用需求选择至少160位（推荐256位或以上），以抵抗暴力攻击和生日攻击；
平台兼容性： 优先选择硬件加速或广泛支持的算法（如SHA-2、SHA-3），确保部署与维护成本可控；
合规性： 涉及政府或金融场景时，应确认所选哈希函数已被本国采纳（如CAN CSA版本在加拿大的直接适用性）。

3.2 实现验证与测试

标准要求哈希函数的实现必须经过一致性测试，主要包括：

测试向量验证： 使用附录中提供（或ISO/IEC 10118-2/3/4中）的标准测试向量检测输出正确性；
边界条件检查： 空消息、全零消息、最大长度消息等；
性能与稳定性： 在目标环境中评估处理速率，确保无内存泄漏或异常行为。

安全关键要求： 任何哈希函数的实现必须对填充步骤进行严格检查。错误实现填充（如忽略长度编码）将直接破坏碰撞抗性安全证据。例如，若填充未正确包含消息长度，则可能产生多个能输出相同哈希值的不同消息，从而导致严重的安全漏洞。

实施益处： 依照ISO/IEC 10118-1:2018实施哈希函数，可以确保：
• 与全球密码标准体系兼容，便于产品出口与互认；
• 降低因实现错误导致的安全风险，满足CC（EAL）等认证要求；
• 在系统升级时可平滑迁移至更强的哈希算法（如从SHA-1迁移到SHA-2）。

3.3 应用系统集成建议

在生产系统中，哈希函数往往与其他密码原语组合（如HMAC、数字签名、随机数生成）。建议：

将哈希函数视为独立模块设计，便于后续算法替换；
避免自定义哈希构造，优先使用标准化迭代结构；
关注密钥相关的哈希（如HMAC）中对哈希函数输出长度的依赖关系。

4. 与其他标准的关系

4.1 ISO/IEC 10118 系列标准内部关系

ISO/IEC 10118-1:2018是系列标准的总纲，其他各子部分均在本部分所定义的模型与术语基础上展开：

ISO/IEC 10118-2:2018 — 专用哈希函数（如SHA-256、SHA-512等）；
ISO/IEC 10118-3:2018 — 基于分组密码的哈希函数；
ISO/IEC 10118-4:2018 — 基于模运算的哈希函数。

4.2 与其他国际标准的关系

ISO/IEC 10118-1与其他标准协同工作：

NIST FIPS 180-4 / FIPS 202： 虽然来自美国，但其中的SHA-2、SHA-3已被ISO采纳为10118-2的内容，二者在安全要求上高度一致；
ISO/IEC 29192（轻量级密码）： 轻量级哈希函数的设计通常也遵循ISO/IEC 10118-1的安全模型，但可能放宽部分性能指标；
ISO/IEC 9797（消息认证码） 和 ISO/IEC 14888（数字签名） 直接引用本标准的哈希函数作为基础构建块。

提示： 截至2026年，ISO/IEC 10118-1的下一轮修订可能纳入对量子攻击的初步考虑（如更大输出长度要求），但当前版本仍以经典安全模型为核心。建议关注SC 27工作动态。

常见问题（FAQ）

问：ISO/IEC 10118-1:2018 与 FIPS 180-4 的安全要求是否一致？
答：两者在核心安全属性（原像抗性、第二原像抗性、碰撞抗性）的定义上基本一致，但ISO标准更侧重于通用模型与安全性分类，而FIPS 180-4仅规范具体算法。实际应用中，符合FIPS 180-4的SHA-2实现也必然满足ISO/IEC 10118-1的要求。选择哪个体系取决于目标市场的监管环境（如加拿大CSA版本强制采用ISO框架）。

问：我能否在商业系统中使用本标准定义的哈希函数框架？
答：完全可以。ISO/IEC 10118-1:2018 不涉及专利限制，且其定义的术语和安全模型属于行业公共知识。但在具体算法实现时，应确保使用标准化算法（如10118-2中列出的算法）以避免法律风险。如果使用非标准算法，需提交第三方安全性评估。

问：哈希函数输出长度是否必须为256位？
答：不一定，取决于应用的安全目标。ISO/IEC 10118-1:2018要求输出长度至少为160位（以抵抗碰撞攻击），但对于2026年及以后的系统，普遍建议使用至少224位（如SHA-224）或256位。涉及长期安全（如数字证书有效期超10年）时，推荐使用256位或更高。

📥 标准文件下载

🔒

请等待 10 秒，广告加载完成后将自动显示下载链接