《信息安全技术 分组密码算法的工作模式-编制说明》

一、工作简况

1、任务来源

本标准由国家标准化管理委员会下达的国家标准编制计划，项目名称为《信

息安全技术分组密码算法的工作模式》（国标计划号：），项目类型为标准

修订，项目所属工作组为WG3工作组，项目牵头单位为成都卫士通信息产业股

份有限公司。

2、主要起草单位和工作组成员

该标准由成都卫士通信息产业股份有限公司主要负责起草，中国科学院软件

研究所、中国科学院数据与通信保护研究教育中心、国家密码管理局商用密码检

测中心、格尔软件股份有限公司、西安西电捷通无线网络通信股份有限公司、上

海信息安全工程技术研究中心、……共同参与了该标准的起草工作。主要起草人

有：张立廷，眭晗，涂彬彬，王鹏，毛颖颖，郑强，张国强，徐明翼，罗俊。

3、主要工作过程

2019年4月之前，编制团队分析GB/T17964-2008标准文本及理论研究、

行业应用情况，认为有必要修订该标准，原因如下：

1）学术界持续分析研究工作模式，产生了新的成果；产业界广泛应用工作

模式，积攒了新的应用经验；有必要收集归纳。

2）现有标准文本未列举国家标准分组密码算法对应的测试向量，数据加密

厂商、相关管理部门缺乏具体的参考数据。

3）产业界对现有标准之外的部分工作模式存在着强烈的应用需求，如磁盘

加密模式XTS等，有必要评估引进的可行性。

4）国家标准化推进过程中，产生了与本标准相关的一些标准，如GB/T

36624-2018《信息技术安全技术可鉴别的加密机制》，有必要在修订版本中做

出协调性说明。

2019年4月，全国信息安全标准化技术委员会（以下简称“信安标委”）2019

年第一次工作组会议周，在WG3工作组会议上，编制团队向专家和工作组成员

单位汇报了《信息安全技术分组密码算法的工作模式》（投票草案稿）修订情况，

并听取专家及工作组其他成员单位的意见，WG3专家及成员工作组成员单位同

意该标准立项修订。

2019年4月—9月，编制团队在对本标准进行深入的需求分析的基础上，对

所修订的国家标准GB/T17964-2008进行了全面理解，并对国际类似标准

ISO/IEC10116-2017进行了学习参考，对修订工作后期安排进行了规划。

2019年9月12日，编制团队参加信安标委秘书处组织的立项评审会，向专

家汇报工作情况，根据专家意见对草案进行了修改。

2019年10月11日，编制团队参加WG3工作组组织的标准审查会，向专家

汇报标准修订情况，根据专家意见进一步修订，明确tweak的说明，校对文字符

号，并完善编制说明，补充修订思路和依据等。

2019年10月27日至29日，编制团队赴重庆参加全国信息安全标准化技术

委员会2019年第二次工作组“会议周”，在WG3组汇报标准研究进展，介绍草案

文本，解释修改依据，并根据现场意见进一步修订，删除了常见术语“分组密码

算法”，补充了“XEX结构”术语，统一了“初始向量”、“异或”等表述方式，

并优化了文字语言。工作组专家评审后，一致推荐标准文本进入征求意见稿阶段。

2019年11月25日，编制团队在北京召开修订项目启动会，邀请密码标准

专家指导项目的组织和技术工作。会上，专家们认为，标准在现阶段相关工作符

合信息安全国家标准项目的相关流程，执行情况良好；并针对标准草案给出了具

体的修订意见。意见主要包括：增加附录C，列举常见的明文填充方法；全文优

化统一描述语言、图示、符号标记等。

二、标准编制原则和确定主要内容的论据及解决的主要问题

1、标准编制原则

本次标准修订以GB/T17964-2008为基础，同时参考了ISO/IEC10116-2017

和IEEE1619-2007等相关国际标准。结合行业应用情况和理论研究分析进展，

研究团队评估原标准中的工作模式安全性，增加已经在国内外广泛应用的磁盘加

密模式XTS、性能良好的我国自主研制的工作模式HCTR；将底层的分组密码算法

由AES、DEA中的密码算法替换为符合国家管理要求的密码算法SM4；相应地修

改文本说明，更新测试向量与工作模式性质说明。

2、确定主要内容的论据及解决的主要问题

1）明确本标准中工作模式的定义和范围

随着密码研究的推进，分组密码算法的工作模式已经从最初仅提供加密功能

逐步发展到提供鉴别（GB/T15852.1-2008信息技术安全技术消息鉴别码第

1部分：采用分组密码的机制（modISO/IEC9797-1:1999））、可鉴别的加密（GB/T

36624-2018信息技术安全技术可鉴别的加密机制（modISO/IEC19772:2009））

以及杂凑等多种功能类型。

研究团队根据本标准的内容特点，听取评审专家指导意见，在标准文本的范

围、术语等多处地方注明，本标准规范的工作模式仅提供加密功能，不提供鉴别、

可鉴别加密等功能，并在规范性引用文件中引用了鉴别、可鉴别加密工作模式的

国家标准，指导读者理解和采用。

2）保留原标准中的七个工作模式

考虑到原有七个工作模式ECB、CBC、CFB、OFB、CTR、BC、OFBNLF已经在工

业界广泛应用，且近些年未被发现存在安全问题，编制团队决定保留原有全部工

作模式，仅做编辑性修改，优化叙述语言。关于CBC、CFB、OFB、CTR的安全性

分析，可参考MayureshVivekanandAnand,EhsanEbrahimiTarghi,GeloNoel

Tabia,DominiqueUnruh:Post-QuantumSecurityoftheCBC,CFB,OFB,CTR,

andXTSModesofOperation.PQCrypto2016:44-63。关于OFBNLF的安全性

分析，可参考ZheleiS.,PengW.AnalysisoftheOFBNLFencryptionmode

ofoperation,SCIENTIASINICAInformationis,Volume46,Issue6:

729-742(2016)。

3）引进XTS工作模式

带密文挪用的XEX可调分组密码（XTS）工作模式于2007年成为IEEE标准，

是磁盘加密领域应用的主要工作模式。研究团队调研发现，该工作模式在国内工

业界已经广泛应用，且不存在专利限制，决定在修订过程中引进到标准文本中，

以丰富标准文本工作模式的类型，指导现实应用。关于XTS的安全性分析，可参

考PhillipR.:EfficientInstantiationsofTweakableBlockciphersand

RefinementstoModesOCBandPMAC.ASIACRYPT2004:16-31

4）引进HCTR工作模式

带泛杂凑函数的计数器（HCTR）工作模式由我国学者在2005年提出，其设

计理念和具体方案受到了国际密码专家的广泛推崇，安全性能也经受住了十多年

的密码分析考验，不存在专利限制。研究团队决定将HCTR引进到标准文本，丰

富标准文本中工作模式的类型。关于HCTR的安全性分析，可参考PengW.,

DengguoF.,WenlingW.:HCTRAVariable-Input-LengthEncipheringMode.

CISC2005:175-188。

5）采用SM4算法生成测试向量

原标准中工作模式的测试向量是由AES或DEA算法生成，研究团队在修订过

程中，调研了SM4算法以及九个工作模式的安全分析结论，在分析验证了融合

SM4算法不会降低工作模式安全性的基础上，根据SM4算法和工作模式的参数特

点和要求，确定具体的运算机制，生成相关测试向量，为规范我国密码算法的使

用提供具体参照依据。

6）协调使用多个标准中关于比特串高低位的定义

原标准中CTR工作模式对计数器的值采用左高右低的定义，而IEEE中XTS

工作模式的有限域乘法运算采用左低右高的定义。左低右高的有限域乘法同时被

国家标准GB/T36624-2018和GB/T15852.3-2019信息技术安全技术消息鉴

别码第3部分：采用泛杂凑函数的机制（modISO/IEC9797-3:2011）采纳。

研究团队经过研讨，决定采取兼顾的方案，在修订标准中保留CTR的左高右

低，在引进的XTS、HCTR中采用左低右高。主要依据是，保证不影响现有标准中

七个工作模式的应用，同时遵循IEEE及相关国家标准的通用做法，以保障XTS

和HCTR的有限域乘法运算与国际和相关国家标准同步。

3、本部分在确定主要内容时主要基于如下几个方面：

作为修订标准，在整体内容上与GB/T17964-2008保持一致，明确标准的范

围为仅提供加密功能的工作模式，评估并保留现有全部模式，根据应用需求增加

安全性能可靠的XTS和HCTR工作模式，深入调研明确无专利障碍，兼顾使用相

关国际、国家标准中关于比特串高低位定义，同时确保技术可行。推荐使用符合

国家管理要求的密码算法，使用国家商用密码算法SM4生成测试向量。

三、主要试验[或验证]情况分析

在生成测试向量的过程中，严格按照标准文本中的工作模式描述，多家参与

单位独立完成，汇总输出数据作比对，确保了最终测试向量的正确性。

四、知识产权情况说明

本标准不涉及专利。

五、产业化情况、推广应用论证和预期达到的经济效果

无。

六、采用国际标准和国外先进标准情况

本标准参考了同类型国际标准ISO/IEC10116-2017的部分内容，增加了第

五章要求。在第十三章引进了IEEE1619-2007关于磁盘加密的工作模式XTS。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准在编制过程中，已经查阅了《中华人民共和国电子签名法》等相关法

规，确保本标准的内容遵守相关法律规定。同时查阅了GB/T36624-2018《信

息技术安全技术可鉴别的加密机制》等相关国家标准，确保相关内容和术语与

这些标准的内容保持一致。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

根据本标准的性质，建议本标准为推荐性标准。

十、贯彻标准的要求和措施建议

GB/T17964:2008已经实施了十多年，缺少使用国密算法SM4生成的测试向