SM3 —криптографическая хэш-функция, являющаяся частью национального криптографического стандартаКитая. Она была опубликована Государственным управлением криптографии 17 декабря 2010 под названием «GM/T 0004-2012: криптографический хэш алгоритм SM3»^[1][2]. SM3 в основном используется вэлектронных подписях,имитовставках игенераторах псевдослучайных чисел^[3].

Функция SM3 определена в стандарте «GM/T 0004-2012: криптографический хэш алгоритм SM3».

Приказом от 2016 года Национальное управление криптографии утвердило SM3 как один из отраслевых стандартов^[1].

SM3 — 256-битный хэш алгоритм. Он является модификацией SHA-2. Создательница алгоритма —Ван Сяоюнь^[англ.], которая известна открытием новых способов атак для разных криптографических хэш-функций (MD5 иSHA-1). SM3 был опубликован в 2010 году. SM3 используетструктуру Меркла — Дамгора^[4].

Алгоритм принимает на вход сообщение${\displaystyle m}$ длины${\displaystyle l}$. После процедуры пэддинга и нескольких итераций компрессии на выходе получится 256-битное значение хэш-функции.

Значения для инициализации следующие:

• ${\displaystyle V_0^{(0)}=7380166f}$
• ${\displaystyle V_1^{(0)}=4914b2b9}$
• ${\displaystyle V_2^{(0)}=172442d7}$
• ${\displaystyle V_3^{(0)}=da8a0600}$
• ${\displaystyle V_4^{(0)}=a96f30bc}$
• ${\displaystyle V_5^{(0)}=163138aa}$
• ${\displaystyle V_6^{(0)}=e38dee4d}$
• ${\displaystyle V_7^{(0)}=b0fb0e4e}$

Сообщение${\displaystyle m}$ сосостоит из${\displaystyle l}$ бит. Добавим бит 1 к концу сообщения, а также${\displaystyle k}$ нулевых бит, где${\displaystyle k}$ — наименьшее неотрицательное число, удовлетворяющее соотношению${\displaystyle l+k+1\equiv 488\text{ mod }512}$. Затем к полученному сообщению необходимо добавить 64-битную строку, являющуюся двоичным представлением числа${\displaystyle l}$, изначальной длины сообщения. В результате будет получена строка${\displaystyle m^{\prime }}$, длина которой кратна 512.

Сообщение${\displaystyle m^{\prime }}$, уже прошедшее пэддинг, разделяется на 512-битные блоки (в обозначениях${\displaystyle m^{\prime }=B^{(0)}{B}^{(1)}\dots B^{(n-1)}}$, где${\displaystyle n=\frac{l+k+65}{512}}$).

Далее алгоритм следующий:

${\displaystyle \text{FOR }i=0\text{ to }n-1:}$

${\displaystyle V(i+1)=CF(V(i),B(i))}$

${\displaystyle ENDFOR}$

Здесь${\displaystyle CF}$ — функция компрессии,${\displaystyle V^{(0)}}$ — 256-битный вектор инициализации. Результат после итерации есть${\displaystyle V^{(n)}}$.

Блок сообщения${\displaystyle B^{(i)}}$ расширяется до 132 слов${\displaystyle W_0,W_1\dots W_{67},W_1^{\prime }\dots W_{63}^{\prime }}$, которые добавлены к компрессионной функции${\displaystyle CF}$:

Делим блок${\displaystyle B^{(i)}}$ на 16 слов.

${\displaystyle \text{FOR }j=16\text{ to }j=67:}$

${\displaystyle ENDFOR}$

${\displaystyle \text{FOR }j=0\text{ to }j=63:}$

${\displaystyle W_j=W_j\oplus W_{j+4}}$

${\displaystyle ENDFOR}$

Пусть${\displaystyle A\text{, }B\text{, }C\text{, }D\text{, }E\text{, }F\text{, }G\text{, }H}$ — 8 слов регистров,${\displaystyle SS1\text{, }SS2\text{, }TT1\text{, }TT2}$ — 4 промежуточные переменные. Вычислительная процедура следующая:

${\displaystyle ABCDEFGH\leftarrow V(i)}$
${\displaystyle \text{FOR }j=0\text{ to }63}$

${\displaystyle TT1\leftarrow F{F}_j(A,B,C)+D+SS2+W_j^{\prime }}$
${\displaystyle TT2\leftarrow G{G}_j(E,F,G)+H+SS1+W_j^{\prime }}$
${\displaystyle D\leftarrow C}$

${\displaystyle B\leftarrow A}$
${\displaystyle A\leftarrow TT1}$
${\displaystyle H\leftarrow G}$

${\displaystyle F\leftarrow E}$
${\displaystyle E\leftarrow P_0(TT2)}$
${\displaystyle ENDFOR}$
${\displaystyle V(i+1)\leftarrow ABCDEFGH\oplus V(i)}$

Итого,${\displaystyle ABCDEFGH\leftarrow V^{(n)}}$. Отсюда окончательное значение хэш-функции${\displaystyle y:=ABCDEFGH}$^[3].

Для входного сообщения «abc» (и егоASCII версии 616263 соответственно) значение хэш-функции равно:

66c7f0f4 62eeedd9 d1f2d46b dc10e4e2 4167c487 5cf2f7a2 297da02b 8f4ba8e0

Для входного сообщения с кодом длиной 512 бит:

61626364 61626364 61626364 61626364 61626364 61626364 61626364 6162636461626364 61626364 61626364 61626364 61626364 61626364 61626364 61626364

Хэш-функция будет равна:

debe9ff9 2275b8a1 38604889 c18e5a4d 6fdb70e5 387e5765 293dcba3 9c0c5732

Результаты сравнения эффективности алгоритма SM3, оригинального и 2 его оптимизаций, а такжеSHA-256 представлены в таблице ниже^[5]. Эффективность оценивается для параметров, которые указаны в заглавии колонок.

Не существует никаких формальных доказательств относительно качества этого алгоритма, тем не менее, не зарегистрировано успешных атак на SM3^[3].

Криптоаналитические результаты для различных атак на алгоритм SM3 агрегированы в следующей таблице.

Алгоритм является открытым и, по утверждениямКитайского информационного интернет-центра, является аналогомSHA-256 в вопросах безопасности и эффективности^[4].

Так как SM3 является единственной функцией, разрешенной для использования в Китае Национальным управлением криптографии, ее реализация в аппаратуре необходима для применения в китайском оборудовании^[3].

Примеры прикладного применения SM3 указаны в таблице:

• SHA-2

На эту статьюне ссылаются другие статьи Википедии.

Это делает её менее доступной для читателей. Пожалуйста, установите ссылки, используяинструмент с подсказками для облегчения поиска.(28 октября 2020)

• Криптографические хеш-функции

• Википедия:Cite web (не указан язык)
• Википедия:Изолированные статьи с октября 2020 года
• Википедия:Изолированные статьи по алфавиту
• Википедия:Статьи с шаблонами недостатков по алфавиту
• Википедия:Изолированные статьи (не распределённые по типам)