ICS35.040 L80 中华人民共和国国家标准 GB/T33133.1—2016 信息安全技术 祖冲之序列密码算法 第1部分:算法描述 Informationsecuritytechnology—ZUCstreamcipheralgorithm— Part1:Algorithmdescription 2016-10-13发布 2017-05-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 符号和缩略语 2 …………………………………………………………………………………………… 4.1 运算符 2 ……………………………………………………………………………………………… 4.2 符号 2 ………………………………………………………………………………………………… 4.3 缩略语 2 ……………………………………………………………………………………………… 5 算法流程 2 ………………………………………………………………………………………………… 5.1 算法结构 2 …………………………………………………………………………………………… 5.2 线性反馈移位寄存器LFSR 3 ……………………………………………………………………… 5.3 比特重组BR 4 ……………………………………………………………………………………… 5.4 非线性函数F 4 ……………………………………………………………………………………… 5.5 密钥装入 4 …………………………………………………………………………………………… 5.6 算法运行 5 …………………………………………………………………………………………… 附录A(规范性附录) S盒 6 ……………………………………………………………………………… 附录B(资料性附录) 模231-1乘法和模231-1加法的实现 8 ………………………………………… 附录C(资料性附录) 算法计算实例 9 …………………………………………………………………… 参考文献 13 …………………………………………………………………………………………………… ⅠGB/T33133.1—2016 前 言 GB/T33133《信息安全技术 祖冲之序列密码算法》分为以下3部分: ———第1部分:算法描述; ———第2部分:保密性算法; ———第3部分:完整性算法。 本部分为GB/T33133的第1部分。 本部分按照GB/T1.1—2009给出的规则起草。 本部分由国家密码管理局提出。 本部分由全国信息安全标准化技术委员会(SAC/TC260)归口。 本部分起草单位:北京信息科学技术研究院、中国科学院软件研究所、中国科学院数据与通信保护 研究教育中心、北京创原天地科技有限公司。 本部分主要起草人:冯登国、林东岱、冯秀涛、周春芳、刘辛越。 ⅢGB/T33133.1—2016 引 言 本部分的目标是保证祖冲之序列密码算法使用的正确性,为国内企业正确研发使用祖冲之算法的 相关设备提供指导。 本部分修改采用如下国际标准: ETSI/SAGETS35.221.Specificationofthe3GPPConfidentialityandIntegrityAlgorithms128- EEA3&128-EIA3.Document1:128-EEA3and128-EIA3Specification. ETSI/SAGETS35.222.Specificationofthe3GPPConfidentialityandIntegrityAlgorithms128- EEA3&128-EIA3.Document2:ZUCSpecification. ETSI/SAGETS35.223.Specificationofthe3GPPConfidentialityandIntegrityAlgorithms128- EEA3&128-EIA3.Document3:Implementor’sTestData. ETSI/SAGETR35.924.Specificationofthe3GPPConfidentialityandIntegrityAlgorithms128- EEA3&128-EIA3.Document4:DesignandEvaluationReport. 本文件的发布机构请注意,声明符合本文件时,可能涉及《一种序列密码实现方法和装置》(专利号: ZL200910086409.9)和《一种完整性认证方法》(专利号:ZL200910243440.9)相关专利的使用。 本文件的发布机构对于该专利的真实性、有效性和范围无任何立场。 该专利的持有人已向本文件的发布机构保证,他愿意同任何申请人在合理且无歧视的条款和条件 下,就该专利授权许可进行谈判。该专利的持有人已在本文件的发布机构备案。相关信息可以通过以 下联系方式获得: 专利持有人姓名:中国科学院数据与通信保护研究教育中心、中国科学院软件研究所 地址:北京市海淀区闵庄路甲89号邮编:100093、北京市中关村南四街4号邮编:100190 请注意除上述专利外,本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别这些专 利的责任。 ⅣGB/T33133.1—2016 信息安全技术 祖冲之序列密码算法 第1部分:算法描述 1 范围 GB/T33133的本部分给出了祖冲之序列密码算法的一般结构,基于该结构可实现本标准其他各 部分所规定的密码机制。 本部分适用于祖冲之序列密码算法相关产品的研制、检测和使用,可应用于涉及非国家秘密范畴的 商业应用领域。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069—2010 信息安全技术术语 3 术语和定义 GB/T25069—2010界定的以及下列术语和定义适用于本文件。 3.1 祖冲之序列密码算法 ZUCStreamCipher 祖冲之序列密码算法是中国自主研制的流密码算法,是运用于下一代移动通信4G网络中的国际 标准密码算法,该算法包括祖冲之算法、保密性算法和完整性算法三个部分。 3.2 位 bit 二进制数字 binarydigit 二进制计数制中使用的数字0或1。 3.3 字节 byte 一种由若干位组成的串,视作一个单位,通常代表一个字符或字符的一部分。 注1:对一个给定的数据处理系统,一个字节中的位数是固定的。 注2:一个字节通常是8位。 3.4 字 word 由2个以上(包含2个)比特组成的比特串。 本部分主要使用31比特字和32比特字。 3.5 字表示 wordrepresentation 本部分字默认采用十进制表示。当字采用其他进制表示时,总是在字的表示之前或之后添加指示 符。例如,前缀0x指示该字采用十六进制表示,后缀下角标2指示该字采用二进制表示。 1GB/T33133.1—2016 3.6 高低位顺序 bitordering 本部分规定字的最高位总是位于字表示中的最左边,最低位总是位于字表示中的最右边。 4 符号和缩略语 4.1 运算符 下列运算符适用于本文件: + 算术加法运算 ab 整数a和b的乘积 = 赋值操作符 mod 整数模运算 􀱇 按比特位逐位异或运算 模232加法运算 ‖ 字符串或字节串连接符 ·H 取字的最高16比特 ·L 取字的最低16比特 <<<k 32比特字循环左移k位 >>k 32比特字右移k位 a→b 向量a赋值给向量b,即按分量逐分量赋值 4.2 符号 下列符号适用于本文件: s0,s1,s2,…,s15 线性反馈移位寄存器的16个31比特寄存器单元变量 X0,X1,X2,X3比特重组输出的4个32比特字 R1,R2 非线性函数F的2个32比特记忆单元变量 W 非线性函数F输出的32比特字 W1 R1与X1进行模232加法运算输出的32比特字 W2 R2与X2按比特位逐位异或运算输出的32比特字 Z 算法每拍输出的32比特密钥字 k 初始种子密钥 iv 初始向量 di 15比特的字符串常量,i=0,1,2,…,15 F 非线性函数 L 输出密钥字长度 4.3 缩略语 下列缩略语适用于本文件: LFSR 线性反馈移位寄存器(LinearFeedbackShiftRegister) BR 比特重组(BitReorganization) 5 算法流程 5.1 算法结构 祖冲之算法由线性反馈移位寄存器(LFSR)、比特重组(BR)和非线性函数F组成,见图1。 2GB/T33133.1—2016 图1 祖冲之算法结构图 5.2 线性反馈移位寄存器LFSR 5.2.1 概述 LFSR包括16个31比特寄存器单元变量s0,s1,…,s15。 LFSR的运行模式有2种:初始化模式和工作模式。 5.2.2 初始化模式