密码学学科发展报告v5

1、报告内容,一,CACR,密码学发展历史回顾,我国密码学最新研究进展,二,三,四,五,国内外密码学发展比较,密码学发展趋势及展望,我国密码学学科发展建议,一、密码学发展历史回顾,?,两个分支形成既对立又统一的矛盾体,CACR,密码编码学,新方法,/,新手段,新思想,/,新结构,密码分析学,研究分支,核心研究内容,高安全或新型密,码算法与协议的,设计理论、方法,与技术,内在驱动,新的应用驱动,标准化的需求,新技术的出现,分析技术的发展,密码编码学,密码分析学,破译密码算法与,协议或伪造认证,信息的理论、方,法与技术,新型计算技术,存储技术,编码技术的发展,密码学发展的四个阶段,CACR,1997-

2、,当前,应用密码学发展时期,1976-1996,现代密码学发展时期,1949-1975,对称密码学早期发展时期,古代,-1948,科学密码学前夜发展时期,二、我国密码学最新研究进展,CACR,最新理论与技术研究进展,最新成果应用进展,学术建制最新进展,密码学进展,最新理论与技术研究进展,序列密码,分组密码,HASH,函数,密码协议,PKI,技术,量子密码,序列密码,CACR,?,序列密码是一类重要的对称密码，在加密,速度和硬件实现规模两方面具有明显优势,?,我国学者早在,20,世纪,70,年代就开始了序列,密码的研究工作，在多个前沿方向上取得,了重要进展,?,近几年，在序列密码领域有两个方面的

3、成,果值得一提：,?,戴宗铎教授领导的团队在多重伪随机序列的多,维连分式理论方面的工作,?,戚文峰教授领导的团队在整数剩余类环压缩导,出序列方面的工作,多维连分式理论,CACR,?,戴宗铎教授领导的团队创立了多维连分式,理论，并用此理论解决了多重序列中的若,干重要基础问题。针对多重伪随机序列先,后提出了可实现最佳有理逼近的多维连分,式算法（称为,m-CFA,算法）和通用高维连分,式算法（称为,m-UCHA,算法）,基于此理论解决了国际上多年未能解决的,刻画了多重无限长序列线性复杂度的渐近性态；,一系列难题：解决了有关,d-perfect,多重,算,揭示了,m-CFA,算法与广义,Berleka

4、mp-Massey,序列的一个猜想；解决了有关二重序列线,法之间的关系。,性复杂度均值的一个猜想。,环上本原序列压缩函数的保熵性,CACR,?,戚文峰教授领导的团队近几年在环,Z/(,p,e,)(,p,为奇素数,),上本原序列压缩函数的,保熵性方面又取得了一些重要进展,证明了,Z/(,pe,上本原序列最高权位序列,0,元素,p,),),上形如,g,(,xe,?,1),?,(,x,0,x,1,xe,?,2),的局部保熵性质，即两条不同的本原序列，其,的,e,元多项式函数都是保熵的,最高权位序列的,0,元素分布必不同。该结论大,对,Z/(,pe,),上本原序列，证明了模压缩的保熵性，,大改进了,2

5、0,90,年代初由我国学者和俄罗斯,即环,Z/(,pe,),世纪,上两条不同的本原序列模,M,压缩后,学者分别独立证明的最高权位序列保熵性,得到的两条序列也互不相同，,M,是至少包含一,个异于,p,的素因子的整数,分组密码,CACR,?,我国学者近几年在分组密码设计、分析和,工作模式等方面取得了可喜的进展,?,值得一提的是吴文玲研究员领导的团队在,一些典型的分组密码分析方面做出了突出,贡献,SMS4,给出了一类,5,轮循环差分特征，从而构造,AES,利用时间,/,存储,/,数据折衷的思想，提出了,NUSH,对,NUSH,分组密码算法的线性密码分析结,出有效的,18,轮差分特征和,14,轮飞来去

6、器区分器，,对,AES,更有效的不可能差分攻击；利用密钥扩展算,Camellia,给出了,Camellia,的碰撞攻击和线性,/,Rijndael,针对大分组,Rijndael,对不可能差分,果，在,NESSIE,的安全报告中被认为是对,NUSH,分组,给出了对,21,轮,SMS4,的差分攻击和对,16,轮的矩阵,FOX,利用若干,3,轮区分器，结合积分攻击方法,法的特点，选取新的种子密钥差分，提高了对,差分分析，构造了,8,轮,Camellia,的若干不可能差分，,密码算法最有效的攻击方法，从而导致,分析的安全性，构造了一批新的不可能差分，并,NUSH,分组,（飞来去器）攻击；针对,SMS4

7、,的活跃,S,盒特性，给,和碰撞技术，提出了对低轮,FOX,的新攻击。,AES-192,相关密钥,-,不可能差分攻击的有效性；利,并利用这些不可能差分对,Camellia,的安全性进行,密码算法在遴选中被淘汰。,给出了,7,轮,Rijndael-160,、,8,轮,Rijndael -192,、,9,出了,19,轮的有效差分特征，将,SMS4,的差分分析推,用列混合变换的独特性质，提出了对,AES-192,的相,了分析。,轮,Rijndael-224/256,的分析算法。,进到,23,轮。,关密钥,-,差分线性攻击方法。,HASH,函数,CACR,?,我国学者在,Hash,函数方面取得了一批国

8、际领先的,科研成果，尤其是我国学者王小云教授领导的团,队在,Hash,函数的安全性分析方面做出了突出贡献,?,建立了现有,Hash,函数碰撞攻击的理论与技术，深,入分析了国际通用,Hash,函数,MD5,、,RIPEMD,、,SHA-0,和国际,Hash,函数标准算法,SHA-1,等，推动了,Hash,函,数的发展与研究。该成果获得了,2008,年国家自然,科学二等奖,MD5,和,SHA-0,首次提出,MD4,的第二原像攻击。首次,MD4,和,RIPEMD,给出了,MD4,和,RIPEMD,有效碰撞攻击，,一般理论,通过提炼,MD4,和,RIPEMD,的圈函数的特征,新方法,在,SHA-0,的

9、破解中，建立了,SHA,系列杂凑函,给出了,MD5,的有效碰撞攻击。通过对,SHA-0,建立数学分,复杂度分别为,28,和,218,次运算，这是国际上公开的第,建立了统一的数学分析模型，提出了比特追踪法和,数破解的基本理论，提出了针对明文分布规律的数学,512,的明文空间中推导出两条碰撞路线，,析模型，从,2,一次对,RIPEMD,的实际攻击。,高级明文修改技术，提炼出碰撞攻击一般理论。,分析模型以及将不可能差分转化为可能差分的新方法。,首次破解了,SHA-0,。,密码协议,CACR,?,我国学者近几年在密码协议的设计与分析方面取,得了可喜的进展，利用可证明安全性的设计理念,提出了一批重要的密

10、码协议，发表了一批高水平,的学术论文，在国际上产生了一定的影响,?,最为突出的成果是邓燚等学者在重置零知识和精,确零知识方面的研究成果,FOCS,09,和,Eurocrypt,07,提出并实现了两个实例依,赖的新工具：实例依赖的可验证随机函数和实例依赖,的证据不可区分知识论证系统，证明了,BGGL,猜想即在,Plain,模型下，,NP,语言存在可重置可靠的、可重置零,知识的论证系统，解决了,MR,问题即在,BPK,模型下，存,在常数轮的可重置可靠的、可重置零知识的论证系统。,PKI,技术,CACR,?,PKI,技术是一种能够解决网络环境中信任与,授权问题的重要技术,?,我国学者在该领域取得了长

11、足的发展，尤其,是冯登国教授领导的团队在,PKI,技术方面做,出了重要贡献,该成果获得,2005,年国家科技,进步二等奖,?,构建了具有自主知识产权的,PKI,模型框架，为解决,PKI,互操作问题和模型复杂问题提供了新的技术途径,?,提出了双层式秘密分享的入侵容忍证书认证机构，为,解决,PKI,自身安全问题提供了一套国际领先的方案,?,提出了,PKI,实体的概念，简化了对,PKI,的理解、设计、,实现和应用,量子密码,CACR,?,量子密码是以现代密码学和量子力学为基础、,利用量子物理学方法实现密码思想和操作的,一种新型密码体制,?,我国学者在诱骗态量子密码和量子避错码等,方面做出了开创性工作

12、，这些工作对整个领,域的发展来说具有举足轻重的地位,?,在不同协议的设计和分析方面提出了大量建,设性意见，推动了量子密码理论的发展,?,我国学者近几年在量子密码实验方面取得了,一些令人瞩目的成绩，尤其是郭光灿院士领,导的团队和潘建伟教授领导的团队成绩突出,量子密码,?,郭光灿院士领导的团队,CACR,?,2004,年，在北京和天津之间的商用通信光纤中完成了,120/160,公里,的,QKD,实验,?,2007,年，利用自主创新的量子路由器，率先完成四用户量子密码,通信网络的测试运行。这是国际上首次公开报道的无中转、可同,时、任意互通的量子密码通信网络，标志着量子保密通信技术从,点对点方式向网络

13、化迈出关键性的一步,?,2009,年，建成世界首个量子政务网,芜湖“量子政务网”，标,志着我国量子保密通信技术已步入应用轨道,?,潘建伟教授领导的团队,?,2004,年，成功完成五粒子纠缠态及终端开放的量子隐形传态实验,?,2005,年，利用超稳定高强度的,4-,光子纠缠态光子源完成了,QSS,实验,?,2006,年，首次实现了六粒子纠缠态的制备，完成传输距离超过,100,公里的诱骗态,QKD,实验,?,2008,年，实现远距离量子通信中亟须的“量子中继器”，在合肥,建成了世界上首个光量子电话网,二、密码学最新研究进展,CACR,最新理论与技术研究进展,最新成果应用进展,学术建制最新进展,密码

14、学进展,最新成果应用进展,CACR,?,2009,年是我国商用密码管理条例发布,实施,10,周年，,10,年来我国的商用密码取得,了长足发展,?,国家密码管理局于,2009,年,8,月下旬在北京展,览馆举办了“全国商用密码成果展”，充,分展示了我国近几年密码最新成果的应用,进展,?,值得一提的是我国在可信计算和,WAPI,两方,面的密码应用进展,可信计算领域中的密码应用,CACR,?,可信计算的主要思想是在硬件平台上引入安全芯,片架构，来提高终端系统的安全性，从而将部分,或整个计算平台变为“可信”的计算平台,?,可信计算密码支撑平台是一种由可信密码模块,(TCM),和可信密码服务模块,(TSM

15、),组成的软硬件系,统，是可信计算平台的重要组成部分，为实现可,信计算平台自身的完整性、身份可信性和数据安,全性提供密码支持，其功能内容包括密码算法、,密钥管理、证书管理、密码协议、密码服务等,?,通过在可信计算领域中的密码应用推广，推出了,我国自主的,可信计算密码支撑平台功能与接口,规范,，大大提升了我国密码算法的应用水平和,密码芯片的设计和研制水平,WAPI,中的密码应用,CACR,?,我国自主研发的宽带无线网络,WAPI,（无线局域网,认证与保密基础设施）安全技术，实现了无线,IP,网络认证和保密的基础架构,?,使终端和网络接入点进行完整的双向认证,?,通过接入控制、加密、数据完整性校验

16、和数据源认证,等措施，构成了完整的无线局域网认证与保密协议，,弥补了同类国际标准的安全缺陷,?,形成并颁布了两项国家标准，该成果,2005,年获得国家,发明二等奖,?,SMS4,是国家密码管理局公布的第一个分组密码算,法，主要作为无线局域网的推荐密码算法,?,SMS4,算法的整体设计水平和国外算法相当，具有自身,的特色和创新之处,二、密码学最新研究进展,CACR,最新理论与技术研究进展,最新成果应用进展,学术建制最新进展,密码学进展,学术建制最新进展,CACR,?,近几年，我国在密码学学术建制方面的主,要工作体现在以下几个方面：,?,中国密码学会,?,国家商用密码应用技术体系总体组,?,WG3

17、,标准工作组,中国密码学会,CACR,?,中国密码学会于,2007,年,3,月,25,日正式成立,?,已成立的学术、教育和组织工作委员会，,量子密码专业委员会开展了众多工作，即,将成立的密码数学理论、密码算法和密码,芯片专业委员会已获得主管部门批准，根,据实际需要还将成立必要的专业委员会，,全面推进中国密码学学科的发展和进步,?,中国密码学会的网址为：,国家商用密码应用技术体系总体组,CACR,?,国家密码管理局为了推动商用密码的应用，成立,了国家商用密码应用技术体系总体组，并针对不,同领域成立了多个密码应用专项工作组,?,可信计算密码专项组在,2008,年,12,月正式更名为中,国可信计算工

18、作组（,China TCM Union,，简称,TCMU,）,?,中国可信计算工作组带领学术界和产业界共同发,展中国自主创新的可信计算技术与产业，其主要,任务是研究制定可信计算密码应用技术体系及相,关密码技术标准规范，推动可信计算技术与产品,的标准化、工程化和产业化，指导可信计算应用,示范工程建设,?,中国可信计算工作组的网址为：,WG3,标准工作组,CACR,?,为了有效推动国家密码标准的制订和研究，,全国信息安全标准化技术委员会（简称信,息安全标委会，,TC260,）设立,WG3,标准工作,组,?,WG3,标准工作组专门制订和研究密码方面的,标准和规范,三、国内外密码学发展比较,CACR,

19、密码理论,C1,C4,密码技术,C2,C3,密码应用,密码标准,（一）密码理论方面的发展比较,CACR,?,密码理论,密码数学基础理论、密码算法设计理,论和密码算法分析方法,?,美国等西方一些发达国家和地区的密码理论研究水,平比较高，研究成果突出，覆盖面广，创新理论和,新观点、新方法较多,?,我国在密码理论研究方面取得了丰硕成果，如密码,布尔函数、序列密码设计理论和分析方法、分组密,码分析方法、,Hash,函数分析方法、公钥密码分析方,法、量子密码等,?,总体上讲，我国密码理论研究发展很不平衡，只是,在一些点上的研究深度达到了国际水平，覆盖面还,不够广，可持续发展不够好，研究深度与国际水平,还

20、有差距，创新理论和新观点、新方法还不够多,序列密码,杂凑函数,分组密码,密码理论,密码协议,-,形式化分析,公钥密码,密码协议,-,可证安全,量子密码,1,序列密码发展比较,2,3,CACR,1,1991,年，我国学,者肖国镇教授等,提出的序列密码,的稳定性理论是,序列密码领域的,一个原创性理论,但目前我国在,这一领域的研,究工作总体上,已落后于国外,20,世纪,80,年代，,我国学者曾肯成,教授等提出的整,数剩余类环压缩,导出序列是一个,原创性工作,目前我国学者在,剩余类环压缩导,出序列领域的研,究工作仍处于国,际领先水平,带进位反馈移位,寄存器（,FCSR,）,序列是,1993,年由,美国

21、学者提出的，,是目前序列密码,领域的一个研究,热点,目前我国学者,在这一领域的,研究供过于求,处于国际领先,水平,1,序列密码发展比较,5,6,CACR,4,序列密码的代数攻,击是近几年序列密,码研究领域取得的,最重要成果之一，,在代数攻击的理论,研究和应用上，我,国落后于国际,我国对,eSTREAM,各个算法的研究,中与国际先进水,平有很大差距,我国还没有公开,征集序列密码算,法标准,我国在由代数攻击,引发的布尔函数代,数免疫问题的研究,成果得到国际上充,分肯定,我国在非线性序,列源的理论研究,和应用落后于国,际先进水平,所以在序列密,码的设计理论,上，也落后于,国际先进水平,2,分组密码发

22、展比较,CACR,?,我国公布的推荐密码算法,SMS4,充分体现了我国分,组密码的设计水平已达到国际先进水平,?,在分组密码分析方面无论从使用已有的分析手段，,还是从对各类分组密码进行分析的效果来看，国,内外差距不大,?,在某些方面，我国学者的分析工作处于领先地位,?,如我国学者张文涛等对,AES,的分析结果、吴文玲和多磊,等对,Camellia,的分析结果、张蕾等对,SMS4,的分析结果,都是目前国际最好的工作,?,分组密码工作模式的研究在国际上已经是一个很,重要的研究方向，而我国在这方面的研究工作才,刚刚起步,3,公钥密码发展比较,CACR,?,国际上一个正在进行的研究方向是超椭圆,曲线上

23、或代数簇上的双线性映射,?,由于涉及很多数论知识、以及数论专业人,才培养的不多，国内对此研究的人很少,?,从总的方面看，由于研究难度大，国内对,公钥密码算法进行研究的人比较少，在公,钥密码相关困难问题方面从事研究的人就,更是寥寥无几,?,如大数分解，目前国际上一直有很多进展，预,期在,2010,年完成,768,比特,RSA,模数的分解,4,杂凑函数发展比较,CACR,?,我国的研究起步较晚，但取得了突破性成果，现,已处于国际领先水平,?,我国率先提炼杂凑函数不安全因素的数学特征，,建立统一的数学分析模型，提出杂凑函数碰撞攻,击的一般理论,-,比特追踪法，找到了国际通用杂,凑函数,MD5,、,S

24、HA-1,、,RIPEMD,、,SHA-0,等的碰撞,?,国际上对杂凑函数的分析发展迅速，涌现出了一,批新的研究成果。基于杂凑函数的,MAC,算法的研究,方面还处于劣势，尤其在设计方面比较薄弱，有,待提出具有国际影响力的新的安全可靠的设计理,念，但在安全性分析方面，我国取得了一系列具,有国际先进水平的研究成果,5,密码协议形式化分析发展比较,CACR,?,在密码协议的形式化分析方法方面，我国的研究,处于一个初级发展阶段，也处于一个尴尬的境地,?,我国这方面的研究，理论上没有形成有影响力的理论,体系，实用上也没有形成有影响力的安全验证系统,?,我国在这一领域的研究力量没有真正得到重视，并且,也存

25、在实际上的困难,?,具体地讲，这个方向是一个真正交叉研究领域，,形式化方法是研究工具，密码协议是研究对象，,二者缺一不可,?,从这个领域的研究现状看来，后继乏人是一个令,人担忧的事情,6,密码协议可证安全发展比较,CACR,?,在密码协议的可证明安全性理论方面，我国学者,近几年取得了可喜的进展，利用可证明安全性的,设计理念提出了一批重要的密码协议，发表了一,批高水平学术论文，在国际上产生了一定的影响,?,在基于公钥的认证密钥交换协议方面，目前国内,学者的研究水平与国际水平相当,?,在基于口令密钥交换协议方面，国内研究工作与,国际水平有一定相差,?,在零知识协议方面，国外学者对零知识协议都有,深

26、刻的刻画。国内研究零知识协议学者屈指可数，,在广度上不及国外，但也取得了可喜可贺的成绩，,尤其在重置零知识和精确零知识上，国内研究处,于国际领先地位,7,量子密码发展比较,CACR,?,在量子密码方面，我国学者取得了大量的重要研,究成果,?,在理论方面，我们在诱骗态量子密码和量子避错,码等方面做出了开创性工作，这些工作对整个领,域的发展来说具有举足轻重的地位。同时，在不,同协议的设计和分析方面提出了大量建设性意见，,切实推动了量子密码理论研究的进步,?,在实验方面，我们更是取得了一些令人瞩目的成,绩，郭光灿院士和潘建伟教授领导的小组在量子,密码实验的某些方面已经达到了国际先进水平,7,量子密码

27、发展比较（续）,CACR,?,不可否认的是，我们在一些方面与国际水平还存在,一定的差距,?,在协议设计方面，我们虽然设计了大量各具特色的量子,密码协议，但在真正具有较大创新性、能切实推动理论,或实验进展的基本协议上尚有所欠缺，在解决各类协议,设计中遇到的难点、重点问题上做的还不够,?,在协议分析方面，我们虽然对不同协议给出了多种有效,的攻击方法，但在对,BB84,等基本协议的分析或安全性证,明方面尚有所欠缺，对量子密码系统在实际环境中的安,全性研究还不够,?,在相关关键技术方面，我们提出的创新性理论工作还较,少。还需要增加投入，努力寻找某些理论方法去协助解,决当前实验条件下量子密码系统所面临的

28、一些难点问题,?,在实验方面，我们在自由空间量子密码实验和连续变量,量子密码实验等方向成果较少。还需更多研究者投入到,实验研究中来，着力解决实验中面临的一些难点问题,（二）密码技术方面的发展比较,CACR,?,密码技术,密码算法、密码芯片、密码基础设,施、密码软硬件实现优化技术等,?,美国等西方一些发达国家和地区的密码技术体系,相对比较完善，技术密集度高，技术种类丰富，,覆盖面广，时间跨度大，几乎对所有的密码技术,都有深度研究，对过去、现在和未来的密码技术,研究都有详细部署。技术创新性强，创新技术多，,技术辐射面广,?,我国密码技术体系基本形成，总体上来讲，我国,密码技术的发展很不平衡，在一些

29、点上的研究深,度达到了国际水平，如,SMS4,分组密码算法、,TCM,密,码芯片、,PKI/CA,技术，但覆盖面还不够广，研究,深度和广度都与国际水平还有差距，创新技术还,不够多,密码算法,国外发达国家和地区，已形成了较为完整的密码算法体,系，种类齐全、技术先进，面向不同的应用和环境,我国目前公开的自主密码算法只有一个，还没有真正建,立起自主的密码算法体系，与国外还有一定的距离,我国密码算法的芯片实现技术已经相当成熟；但从芯片,的系统化来看，我国的相关研究还刚刚起步，不同应用,领域的发展也不平衡；关于密码芯片的实现安全方面，,我国主要研究基本停留在实验室阶段,密码芯片,侧信道分析,国外近几年的

30、关注点集中在三个方面：高级的侧信息挖,掘与秘密信息恢复方法,；各种故障攻击的研究,；形式,化安全性分析方法及评估方法。我国相关研究与国际水,平差距比较大,密码基础,设施,我国近几年在,PKI,方面取得了突破性进展，完全自主掌控,了,PKI,技术，已具备建设能够满足信息化发展需要的,PKI/CA,系统的能力，并已自主建设了大量的实用,PKI/CA,系统，其研究水平处于国际先进水平,（三）密码标准方面的发展比较,CACR,?,国外发达国家和地区具备成套的密码标准，不但,实时跟进和更新，而且还进行超前研究,?,相比之下，我国在密码标准制定方面相距较远，,仅在,2006,年，国家密码管理局公布了适用于

31、无线,局域网产品的推荐密码算法,SMS4,?,可喜的是，我国近几年高度重视密码标准的研究,与制订，如无线局域网密码标准、可信计算密码,标准，并在实际应用中发挥了重要作用,?,但仍需加强密码标准体系建设，加强技术标准超,前研究，加强推进技术标准的国际化程度,（四）密码应用方面的发展比较,CACR,?,国外发达国家和地区的密码技术应用方案,比较周密、详实、并且可操作性强，在考,虑新技术应用的同时就考虑了密码技术的,应用问题和解决方案,?,我国在密码技术与应用的融合方面已经取,得了一些可喜的成绩，但其应用水平与国,外还有一定的差距，其应用深度和广度都,有待于进一步加强,四、密码学发展趋势及展望,密码的标准化趋势,从密码发展史来看，密码标准是密码理论与技,术发展的结晶，也是推动密码学发展的源动力,CACR,密码的公理化趋势,追求算法的可证明安全性是目前的时尚，密码,协议的形式化分析方法、可证明安全性理论等,仍将是密码协议研究的主流方向,面向社会应用的实用化趋势,密码技术本身及其应用水平都有待于提高，,适度