三大密码体制：对称密码、公钥密码和量子密码的理论与技术.pdf

国 讥 技 2 0 0 3 年 第3 期 专 题 述 评 S I A R I Z A T I O N 文章 编号 1 0 0 1 8 9 3 X 2 0 0 3 0 3 0 0 0 6 0 7 三大 密 码体 制 对 称密码 公 钥 密码 和 量 子 密 码 的 理 论 与 技 术 林德敬 林 柏钢 福州大学 计算机科学与技术系 福建 福州 3 5 0 0 0 2 摘要 随着信 息技 术 的飞速发展 信 息安全 与通信 保密 日益重要 与突 出 密码技 术是信息安 全技 术 的核 心 文 中概 括介 绍 了国 内外三大 密码体制 对称 密码 公钥 密码 和量子 密码 的理论与技 术及其 现 状 分析 了它们 的发展 趋势 重点探 讨 了分 组密码 的主要设计技 术和量子 密钥 的产 生与分发 最后 对 三 大 体 制 进 行 了 比较 关键词 密码 学 分 组密码 序列 密码 公钥 密码 量子 密码 D E S A E s N E S S 中图分类号 T N 9 l 8 1 文献标识码 A Sur v e y on t he Cr y p t o g r a p hy o f S y m m e t r y P u b l i c k e y a n d Qu a n t u m L I N D e j L I N 1 1 o g a n g D e p a r t me n t o f C o m p u t e r S c i e n c e a n d T e c h n o l o g y F u z h o u U n i v e r s i t y F u z h o u 3 5 0 0 0 2 C h i n a Ab s t r a c t W i t h the r a p i d d e v e l o p me n t o f I T i n f o r ma t i o n an d c o mmu n i c a t i o n s e c u r i ty b e c o me mo r e an d mo r e i m p o r t a nt Cr y pt o g r a p hi c t e c h n i qu e i s the c o r e o f i n f o r ma t i o n s e c u rit y t e c h n o l o g y Thi s p a pe r fir s t i n t r o d u c e s s u m m a r i l y the thr e e c r y p t o s y s t e m S y m m e t r y P u b l i c k e y and Q u ant u m c i p h e r s the o r y t e c h n o l o g y and the i r s ta tu s q u o s and a n a ly z e s th e ir d e v e l o p m e n t M t r e n d s S e c o n d th e th e s i s a p p r o a c h es e m p h a t i c a ll y p r i m a r y d e s i gn ph i l o s o p h y o f bl o c k c i p h e r an d g e n e mfi o n d i s t r i b u t i o n o f qu an t u m k e y F i n a l l y the c o mp a r i s o n b e t we e n th e t hr e e c r y p t o s y s t e ms i s o u t l i n e d Ke y w o r d s C r y p t o g r a p h y B l ock c i p h e r S t r e a m c i p h e r P u b l i c k e y c i p h e r Q u ant u m c i p h e r R S MD E S AE S NE S S 一 引 言 随着信 息 与通 信技 术 的飞 速发展 信息 安全 与 通 信保密在个 人隐私尤其 在军事情 报和 国家机密 等 方面显得尤 为突出和重 要 而现实 中又存在着各 种 各样 的信息 安全 威胁 如伪 造 欺 骗 窃 听 篡 改 抵 赖 拒绝服 务等 它 们直 接 针 对 信息 系统 的保 密性 完整性 可用性 可控 性和不 可否认性 密码技 术是 信息安全技术 的核 心 它 主要 由密 码编 码技 术 和密 码分 析技术 2个分支组成 密码 编码技术 的主要任 务是 寻求产生安全 性 高 的有效 密码算 法 和协 议 以 满足对数据 和信息进 行加密或认证 的要求 密码分 析技术的主要任务是破译密码或伪造认证信息 实 现窃取机密 信息或进 行诈骗破坏 活动 这两个分支 既相互 对立又相互 依 存 正 是 由于这种 对 立统 一关 系 才推动 了密码 学 自身 的发展 密码 学 理论 与技术 目前 主要 有 三大 体制 即基 于数学 的对 称 密 码与公钥 密码和基于量子 力学 的量子密码 收稿 日期 2 o o 3 0 1 2 3 基金项 目 国家 自然科 学基金 资助项 目 6 0 1 7 2 0 7 福 建省 自然科学基金资助项 目 A O 0 1 0 0 1 1 6 维普资讯 囝 讥 技 2 0 0 3 年 第3 期 专 题 述 评 S I A R I Z A T I o N 二 国内外公钥密码及其研 究现状 三 国内外对称密钥密码及其研究现状 1 公 钥密码 的抽 象描 述 用 抽象 的观点 来看 公 钥密码 体制 就是 一种 陷 门单 向 函数 我 们说 一个 函数 f 是 单 向 函数 若 对 它 的定义域 中 的任意 X都 易于计 算 f x 而对 f 的 值域 中的几 乎 所 有 的 Y 即使 当 f 为 已知 时 要计 算 f y 在计算 上也是 不可行 的 若 当给定 某 些辅 助 信息 陷 门信息 时易于计算 f 1 Y 就称单 向函数 f 是一个 陷门单 向函数 公钥 密码 体制就是基于这 一 原理而设计 的 将辅 助信 息 陷门信 息 作 为秘 密 密 钥 这类 密码 的安全强度取决 于它所依 据 的问题 的 计 算复度 2 公 钥密码及其现 状 自从 1 9 7 6年公钥密码 的思想 提 出以来 国际上 已经提 出了许 多种 公钥 密码 体制 如 基 于大整 数 因 子分解 问题 的 R S A体 制 和 R a b i n体 制 基 于有 限域 上离散 对 数 问题 的 D i f fi e H e U m a n公 钥 体制 和 E l G a ma l 体制 基 于椭 圆曲线上 的离 散对 数问题 的 D i f fi e H e l l m a n公钥 体制 和 E I G a ma l 体 制 基 于背 包 问 题的 Me r k l e He l l ma n体制 和 C h o r R i v e s t 体 制 基 于代数 编码 理论 的 M e E l i e c e体 制 基于 有 限 自动 机 理论 的公钥 体制等 目前 比较 流行 的公 钥 密码 体 制 主要 有 2类 一 类是基于 大整数 因子分 解 问题 的 其 中最 典 型 的代 表是 R S A体制 另一 类 是基 于 离散 对 数 问题 的 如 E I G a ma l 公钥 密码体 制 和影 响 比较 大 的椭 圆曲线 公 钥密码 体制 由于 分解 大 整数 的能力 日益增 强 因 此为保证 R S A体制 的安全 性 总 是要 增 加模 长 目 前 7 6 8 b i t 模 长 的 R S A体制 已不安全 一 般 建议 使 用 1 0 2 4 b i t 模长 预计要保证 2 O年的安全性就 要选 择 2 0 4 8 b i t 的模 长 增 大模 长带来 了实现 上的难 度 而基 于离散对数 问题 的公钥密码 在 目前技 术下 5 1 2 b i t 模长就 能 够 保证 其安 全 性 特 别是 椭 圆曲线 上 的离散对数 的计算 要 比有限域上 的离散对 数的计算 更 困难 目前技术 下只需 要 1 6 0 b i t 模长 即可保 证其 安 全性 适 合于智 能卡 的实现 因而受 到国际上 的广 泛关 注 j 国际上 制定 了椭 圆曲线公钥密码标准 1 分组密码及 其现状 1 分组 密码 的抽 象描述 L l 用抽象 的观点来看 分组密码就是一种满足下 列条件 的映射 E F 2 S I 一 F 2 对于 每个 k s K E k 是从 F 2 到 F 2 的一 个置 换 可 见 设计 分 组密码 的问题 在于 找到 一种 算法 能在 密钥控制 下 从一个足够大且足够 好 的置换 子集合 中 简单 而 迅速地选 出一个置换 一 个好 的分组密码应该是既 难破译又容易实现 即加 密函数 E k 和解 密 函数 D k 都必 须容易计算 但 是至少 要从方 程 Y E X k 或 X D Y k 中求 出密钥 k应 该是一个 困难 问题 2 国内外主要 的分 组密码 及其分析 随着 D E S的出现 人们 对分组 密码 展开 了深 入 的研究和讨 论 现 已有 大 量 的分组 密码 2 如 D E S 的各种变形 I D E A算法 S A F E R系列 算 法 R C系列 算法 S k i p j a c k算法 L系列算 法 R E D O C系列 算 法 L O K I系列 算 法 C A S T系列 算 法 K h u f u K h a f r e MMB 3 一 W AY TEA Ma c Gu fi q n S HARK BE AR L I O N C A 1 1 C R AB B l o w fi s h G O S T S Q U A R E MI S T YI R i j n d a e l 算法 A E S及 N F S S I E候 选 算法 等 在 分 组 密码设计技术发展 的同时 分组 密码 分 析技术 也得 到 了空前 的发展 已有 很多 分组 密码 分析 技术 如 强力攻击 穷尽密钥 搜索攻击 字典攻击 查 表攻击 时间 一存储权衡攻 击 差分 密码 分 析及其 推广 线 性密码分析及其推广 差分 一线性 密码 分析 插值攻 击 密钥 相关 攻 击 能 量 分析 错 误攻 击 定 时 攻击 等 穷尽密钥搜索 攻击 是一种与计算技术 密不可分 的朴 素密码分析技 术 D E S一经公布人们 就认为它 的密钥 太短 仅为 5 6 b i t 抵抗不住穷尽 密钥 搜索攻 击 事实 已证 明了这一点 用该方法终于在 1 9 9 7年 6 月 1 7日成 功 地 找 到 了 D E S的 密钥 可 见 寻 找 D E S的替代者 已刻不容缓 3 A E S A d v a n c e d E n c r y p t i o n S t a n d a r d N I S T在 1 9 9 7年 1月 2日正 式宣 布 了公 开征集 A E S 它的基本要求 是 必 须 至少 支持 1 2 8 b i t 分 组 加密 支持 1 2 8 1 9 2 2 5 6 b i t 密钥 密钥 空 间分别有 3 4 1 0 l8 6 2 1 0 5 1 1 1 个 密钥 比三重 D E S 快 至少 与三重 D E S一样安 全 N I S T的评判 规则 大 一 7 维普资讯 国 讥 技 2 o 0 3 年 第 3 期 专 题 述 评 S I A R 姗 o N 体可 分 为三 大 部 分 安全 性 代价 算 法实 现 特性 根据上述评 判规则 NI S T对所 有 的候 选算 法进行 了 综合 评判 1 1 9 9 8年 8月第 一次 A E S候选 会议 公布 了 l 5 个官方 A K S 候 选算 法 表 1简要概 括 了这 l 5个 分 组密码的背景 整体结构 设计特点及其有效性 根 据研 究和分析 的结 果 前 9种算 法都 有很 好 的安全 性 而后 6种 相对 于前 9种 而言存 在有一 些设 计上 的缺陷 2 1 9 9 9年 8月 N I S T从 中筛选 出 了 5个 候选算 法 R i j n d a e l MA R S R C 6 S e r p e n t T w o fi s h 3 2 o o o年 l O月 2日 N I S T宣 布获 胜者 为 R i i n d a e l 算法 其原形是 s q u a r e 密码算法 它的设计策 略是宽轨 迹策略 Wi d e T mi l S t r a t e g y 这 种策略是 针 对 差分 线 性分析提 出的 它 的最 大优 点是可 以给 出 算法的最佳差分特征的概率以及最佳线性逼近的偏 差的界 由此 可 以分 析算 法抗 击差 分及 线性 分析 的 能力 R ij n d a e l 是一个迭代分组密码 其数据分组与 密钥长度 都是 可变 的 但 为满 足 A E S的要求 分组 长度为 1 2 8 b it 密钥长度为 1 2 8 1 9 2 2 5 6 b i t 相应 的 轮数为 1 0 1 2 1 4 4 2 0 0 1 年 1 1 月 2 6日 N I S T正式 公布 了新标 准 A E S 其 编号为 F I P S P U B S 1 9 7 表 1 A E S第一轮的 l 5个候选算 法 算法 国家 K e y L 整体结构 主要设计特点 有效性 安全性 r l d MARS Rc6 S e r p e n t T s h ER C r一2 5 6 CRY 1 DN L o l 9 7 DEAL Ma g e nt a 玎 t 0G DF HPc 网络 宽轨迹策略 S Box G F 2 8 中的 M P 对当前的密码分析是安全的 非平衡的 F e i s t e l S Box 随机产生并测试 对当前的密码分析是免疫的 广义 F e i s t e l 基于数据控制的循环移位 对当前的密码分析是安全的 网络 类似于 D E S的 S B o x 对当前的密码分析是安全的 1 6一F e i s t e l 可变的 S Box 与密钥相关 良好的安全性 网络 基于指数和对数的字节运算 对当前的密码分析是安全的 广义 F e i s t e l 来 自不同群的混合运算 S B o x 对当前的密码分析是安全的 网络 字节矩阵变换 S BOx 对当前的密码分析是安全的 F e i s t e l 代替 一置换 网络 S BOx 对当前的密码分析是免疫的 F e i s t e l S BOx 脆弱 的 安全 性 6一F e i s t e l 重 用 D ES S BOx 脆弱 的 安全 性 6 8 一F e i s t e l 基 于快 速 Hf I 哈 达马 变换 脆弱 的 安全 性 非 F e i s t e l 结构 通过内部密钥隐藏大部分的计算过程 差的安全性 8一F e i s t e l 基于 V a u e n a y的抗相 关攻击技术 差的安全性 S P I C E 5 1 2 b i t 可选的二级密钥 差的安全性 4 匝 N e w E u r o p e a n S c h e me s f o r S i g n a t u r e s I n t e g r i t y a n d E n c r y p t i o n 继美 国征集 A E S结束 之际 欧洲也开始进行 称为 N E S S I E的密码大计划 其主要 目的是为了推出一系列 安全的密码模块 另一个 目的是保持欧洲在密码研究 领域的领 先地 位 并 增强 密码在 欧洲工业 中的作用 与 A E S相 比 N E S S I E涉及 的范 围更广 不 仅征集 了分 组密码 而且还 征集 序 列密码 公钥密 码 数 字签名 MA C以及 H a s h函数 N E S S I E共 收到 了 l 7个 分组密 码 按照分组长度分 为 4部 分 表 2简要 概括 了这 l 7 个分 组密 码 的背 景 整 体 结 构 设 计 特 点 及其 有 效 性L 3 J 与 A E S的 1 5个候选算法相 比 N E S S I E的 l 7 个 候选算法的设计 比较单一 没有 多少新思想 受 A E S的 影响 比较大 整体结 构 主要采用 F e i s t e l 变换 与 s P网 络 非线性主要靠 S一 盒来实现 8 2 国 内外序 列密码及 其现状 序 列密码 虽 然主要 用于政 府 军 方等 国家要 害 部 门 而且用于这些 部 门的理论 和技 术都 是保密 的 但由于一些数学工具 代数 数论 概率等 可用于研 究序列密码 其理论 和技术相对而言 比较成熟 目前序列密码 的现 状为 1 设 计方 法方 面 可归 纳 为 4种 即系统论 方 法 复杂 性理论 方法 信息论 方 法和随机化方法 将同步流密码 的密钥流生成器分 解成驱动部分和非线性组合部分 这样做不仅结构 简单 而且便于从理论上分析这类生成器 提出了非 线性组合生成 器 非线 性滤 波 生成 器和 钟控 生成器 等多种具 体设计方法 2 安全性度量指标方 面 提 出了线性复杂度轮廓 跃复杂度 K一错误 复杂 度 球 复杂度 球周期 非线性 复杂 度等多种度量序列 随机性和稳定性 的指标 并对 指标 进行 了深入研究 交的候选算法的密钥长度均支持 为了满足A E s的基本设计要求 这 一 提 一 一 吼 一 姒 吼 一 萋 一 一 吼 I U R C 维普资讯 国 钆 技 2 o 0 3 年 第3 期 专 题 述 评 S I A R T I o N 3 分析方 法方 面 提 出 了分别 征服攻 击方 法 线 性 攻击方法 线性伴 随式攻击方 法 线性一致性攻击 方 法 快速 相关攻击 方 法 线性 时 序逻辑 逼近 方 法 熵 漏分析方 法等多种 有 效 的分析 方法 4 在 密码 布 尔 函数 的构作 与分 析方 面 提出 了构造 布尔 函数 的 多种设计 准则 如相 关免 疫 性 线 性 结构 严 格雪 崩 特性 扩散 特性 平 衡 性 非线 性性 差分 均匀 性等 构造 了一 大批 满足上 述若 干准则 的布尔 函数 同时 对这些 准则 之间 的关 系 也进行 了深入研 究 5 在 非线性 资源的生成 和 分析方 面 对 环上 序 列 的生成 和结构进行 了深 入研 究和刻 画 诱 导 出 的二元 序列 具有 良好的密码学 特性 6 研究方 法方面 将 谱技 术 概率统计 纠错 编码 技术 有 限域理 论 等有 效地 用 于序列密码 的研 究 7 另外 虽然没有制定 序列 密码标 准 但 在一些 系统 中广 泛使 用 了序 列密 码如 R C A 用于存储加 密 事实上 欧洲 的 N E S S I E计 划 中 已经包 括 了序列 密码标 准 的制 定 这一 举 措将 导致 序列 密码研究热 表 2 N E S S I E的 1 7个分 组密码候选算 法 算法 国家 B I N L 整体结构 主要设计特点 有效性 加密速度 C S C i p h e r F r a n c e 6 4 b i t S P网络 H i e r o e r y p t L 1 J a p a n 6 4 b i t 蜂窝状 s P网络 I 队 S w i t z e r l a n d 6 4 b i t S P网络 K h a z a d B r a z i l B e l g i u m 6 4 b i t S P网络 MI S T Y 1 J a p a n 6 4 b i t 递归式结构 N i m b u s B r a z i l 6 4 b i t S P网络 A n u b i s B r a z i l B e l g i u m 1 2 8 b i t S P网络 Ca me l l i a J a p a n 1 2 8 b i t F t s t e l G r a n d C r u B e u l n 1 2 8 b i t S P网络 t l i e r o e r y p t 一3 J a p a n 1 2 8 b i t S P网络 N 0 e k 0 n B e u l n 1 2 8 b i t S P网络 Q U S A 1 2 8 b i t S P网络 S C 2 0 0 0 J a p a n 1 2 8 b i t S P网络 SHCAL Ge mp l u s Co mpa n y 1 6 0b i t N U S H R u s s i a v a r i a b l e S P网络 Rc 6 US A v a ri a b l e 广 义 F e i s t e l s n S w i t z e d a n d v a ri a b l e S P网络 快速 F o u ri e r 变换 MP S B o x S Bo x 来 自不同群的混合运算 S B o x 宽轨迹策略 S B o x S Bo x 乘法和异或运算 宽轨迹策略 S B o x 4个 不 同 的 S B o x 多层安全策略 S B o x S Bo x Bi t S l i c e S Box Bi t S l i c e S Box S Bo x 以杂凑 函数 为基础 各种运算混合 乘法数据相依循环 S Bo x 8 Mb i t s P e n fi u m1 3 3 1 3 9 Mb i t s P e n fi u m 5 5 0 3 1 Mb i t s P e n fi u m3 6 6 6 5 7 M b i t s P e n fi u m 5 5 0 2 0 Mb i ff s P e n fi u ml 0 0 2 0 Mb i t s P e n fi u m1 6 6 1 N o e l s E n c r y p t S 4 9 Mb i t s P e n fi u m2 0 0 2 Anu bi s s En c r y p t S b a s e d o n P le n u m5 5 0 M K e y L S p e e d Mb i t s 1 2 8 l1 9 1 6 o l1 2 1 9 2 1 o5 22 4 1 00 2 5 6 9 5 28 8 9 0 3 2 o 8 6 备注 密钥 长度 与算 法对 照 1 2 8 1 9 2 2 5 6 C a me ll i a S C 2 0 0 0 N US H 1 2 8 I D E A K l u l z a d MI S r Y 1 N i m b u s N 0 e k 0 n S H C A L 1 2 8 5 1 2 3 2 N 4 N 1 0 A n u b i s D i s c r e ti o n a l Q R C 6 S A F E R 1 2 8 1 2 8 2 5 6 四 量 子 密 码 及 其研 究现 状 对称 与公钥 密码都 是在合理计算 时间 内基 于某 种 数学 的假设下 如单 向函数 的存在 提供 了计 算上 不可破 的密码体 制 即实用安全性 然而 单 向函数 的存在性并没 有得 到证 明 因此 基 于数学 的密码 体 制只能追 求实 用 上 的安 全性 量子 密 码 是 以 He i s e n b e r g测不准原理 光子 的偏 振现象 和 E P R效应 为 物理基础 利用 光 纤 异地 产 生物理 噪 声 它 可 以真 正地实现一 次一 密密 码 构 成理 论上 不 可破 译 的密 码体制 光子不能被克隆的性质使量子密码编码操 作过程不 能被完全 窃听 一 旦存 在窃听也 可 以察 觉 并可 以设 法消除 1 量 子密钥 产生与分发 的物 理基础 1 光子 的偏振现象 每个光 子都有一 个偏振方 向即 电场 的振 荡方 向 在量子 密码学 中用到 2种光 子偏振 即线偏振和 圆偏振 其 中线偏振 可取 2个方 向 水平方 向和垂直 方 向 圆偏 振包 括左 旋和 右旋 2 种情 况 在量 子力 学 中 光 子 的线 偏 振和 圆偏 振 是 一 对 共轭可观测量 也就 是说 光 子 的线偏 振态 与圆 偏振 态是不 可 同时测 量 的 值 得说 明的是 在 同一 种偏 振态下 的 2个 不 同 的方 向是 可完 全 区分 的 例 如在线偏振 态中的水平方 向和垂 直方 向是可完全 区 分的 因而可 同时准确 测量 2 H e i s e n b e r g测 不 准原 理 光 子 的一对 共 轭偏 振态是互补 的 正 是这 一本 质特征为 B B 8 4协议提 供 了实现 的基础 实 际上 在 量 子力 学 中任何 2组 不 9 维普资讯 囝 讥 技 2 o 0 3 年 第3 期 专 题 述 评 S 1U T A R I Z A o N 可 同时测 量的物理量都 是共轭 的 都 满足互 补性 在 进行测量时 对其 中一组量的精确测量必然导致另 一 组量 的完全 不确定 即遵循量 子力 学 的基本 原 理 H e i s e n b e r g 测不 准原理 3 E P R E i n s t e i n P o d o l s k y R o s e n 纠缠 效应 一 个 球对 称 原 子 系统 中 同 时 向 2个 相反 的方 向 发射 2 个相干光 子 初 始时这 2个光子 都是 未被极 化 的 测 量其极化态 偏振态 时 对 2 个光子 中的任一个进 行测量可 得到 测量 光子 的极 化 态 同时 另一 个 光子 的极化态也 被 同时确 定 但 2个光 子 的极 化 态 的方 向相反 4 单量子不 可克隆定理 所谓 克隆 是 指原来 的量子 态不被 改变 而在 另一 个 系统 中产生 一 个完 全相 同的量子 态 对 于一个未 知 的单量 子 态不能 被 完全拷 贝 对 2个 非 正 交 的 量 子 态 不 能 被 完全 拷 贝 要从编码 在非 正 交量 子 态 中获 得信 息 不 扰 动 这些态是不 可能 的 2 量 子密钥产生与 分发的实现过程 量子密码 学还 不 能像 对 称 公 钥加 密 体制 那样 能对数据直 接进 行加 密处 理 目前 只 能进行 安 全 密 钥 分发 J 量子密钥产 生与分发 的实 现过程 大致 可 分为 5个过程 1 量 子传输 不 同的协 议有不 同 的量 子传输 方 式 但 有一个共 同点 它们 都利用量 子力学 原理 或量 子现象来实 现 在实 际 的通 信 中 光 子态 序 列 中光 子 的极化态将 受 到 噪声 和 E v e 窃 听者 的影 响 但 按照 H e i s e n b e r g 测不 准原 理 E v e的干扰 必将 导致 光 子极化态 的改变 这必 然会影 响 B o b的测量 结果 由 此可对 E v e的行 为进行 判定和检测 2 数据筛选 在量子 传输 中由于噪声 和 E v e的 作 用 将 使 光 子 态 序 列 中光 子 的极 化态 发 生 改 变 另外 实际 系统 中 Bob的接 收仪器 不可 能有 百 分之 百 的正确 的测 量结 果 所有 那些 在传 送 过程 中没有 收到或测量失误 或由于各种因素 的影响而不合要 求 的测量结 果 由 A l i c e和 Bob经过 比较测 量 基矢后 全部放弃 并 计算 错 误 率 若 错 误率 超 过一 定 的阈 值 A l i c e和 Bob 放 弃所有 的数据 并重新开始 如果 是 一 个可以接受的结果 则 A l i c e和 Bob 将筛选后的数 据 保存下来 所获得 数据称为筛选数 据 S i f t e d D a t a 3 数 据纠错 所得 到 的 1 3比特筛选 数据并 不能 保 证 A l i c e和 B o b各 自保存 的安全 一致性 这可 以 由 各种 因素 造成 解 决这 一 问题 的办 法是 对 原 数据 进 行 纠错 如采 用奇 偶 校验 等 这样 做 的 目的是 为 了 1 O 减少 E v e 所获得 的密钥 信息 4 保密加强 保密加强是为了进一步提高所得 密钥的安全性而采取 的措施 非量子的方法 其具 体实现为 假设 Mi c e 发给 Bob 一个 13 比特串 E v e 获 得的 比特为 t 13 为 了使 E v e所 获得 的信 息无 用 A l i c e 和 Bob采用秘密 加强 技术 公 开 选取 一个 压 缩 函数 G 0 1 一 0 1 其中 r 是被压缩后密钥的长 度 这样使得 E v e从 w 中获取 的信 息和她 的关 于 函 数 G的信息给出她对新密钥 K G w 尽可能少的 信息 对任意 的 s 1 3 一t A l i c e和 Bob可得到长度 为 r 13 一t s比特的密钥 K G w 而 E v e 所获 得的 信息随 s 按指数减少 v f e 一 5 身份 确认 以上 是 假 定 A l i c e和 Bob都 是 合 法 的 然而在实 际通 信 中 存 在 A l i c e和 Bob假 冒 的 情况 为此应在量 子 密钥 的获 取过 程 中加 上 身份 确 认这一非量子过程 可采用 以往 的身份认证 方案 亦 可从获得 的量子 密钥 中获取认证 密钥 而实现 后一 种方案是从所获得的量子密钥 称为原密钥 中截取 一 部分作为认证密钥 然后 Mic e 和 B o b 用认证密钥 进行 身份认 证 3 安全性分析 由于采 用 的 4个偏振 态光子 中线偏振 和圆偏振 是不对易 的 因此 它们不 可 以同时 准 确测 量 由于 E v e事先不知道这些光 子态 E v e不 可能 正确地 选取 每一个 光子态 的测量基 因此 E v e 测量 时 由 H e i s e n b e r g 测 不 准原 理 知 会 对 A l i c e发 送 的光 子 态 有 扰 动 这 给 Mi ce 和 Bob的测 量 结果 中 留下 痕迹 这样 使 得 E v e的 目的不可 能实 现 4 量子密码的研究现状 l J 美 国科学家威斯纳 Wi e s n e r 首 先将量 子物理 用 于密码学 的研究 之 中 他提 出可 利 用 单量 子态 制 造 不可伪造 的 电子钞票 但这个设 想 的实 现需要 长 时间保存单量 子态 不太现 实 贝 内特 C H B e n n e t t 和布拉萨德 G B r a s s a r d 在研究 中发现 单量 子 态虽然不好保 存但可 用 于传 输信 息 于是 提 出 了第 一 个量子密码 B B 8 4方案 之后 又提 出 B 9 2方案 到 目前为止 主要有 三大类量子密 码实 现方 案 一是 基 于单光子量 子信道 中测 不准 原 理 的 二 是基 于量 子 相关信道 中 B e l l 原 理 的 三是 基 于 2个 非正 交量 子 态性质 的 目前 在量子 密码 实验 研究 上 进 展最 快 的 国家 为英 国 瑞士和美 国 英 国首先 在 光纤 中实现 了基 维普资讯 也 钆 技 2 o 0 3 年 第3 期 专 题 述 评 s I 7I M A R I Z A n N 于 B B 8 4方案的相位编码量子密钥分发 光纤传输长 度为 1 0 k m 后经 多方改进 在 3 0 k m长 的光纤 传输 中成功实现了量子密钥分发 与偏振编码相比 相 位编码的好处是对光的偏振态要求不那么苛刻 在 长距离的光纤传输中 光的偏振性会退化 造成误码 率的增 加 然 而 瑞士 日内瓦 大学 1 9 9 3年基 于 B B 8 4方案 的偏振 编码 方 案 在 1 1 k m长 的光纤 中 传输 1 3 t in 1 波长的光子 误码率仅为 0 5 4 并于 1 9 9 5 年在 日内瓦湖底铺设的 2 3 k r n 长民用光通信光 缆 中进行 了实地 表演 误码 率为 3 4 1 9 9 7年 他 们 利用 法拉 第镜 消除 了光纤 中 的双 折 射 等 影 响 因 素 大大提高 了系统 的稳定性 和使用 的方便性 被 称 为 即插 即用 的量子密码方案 美 国洛斯 阿拉莫 斯 国家实验室创 造 了 目前光纤 中量 子密码 通信距 离 的 新纪录 他们采用 类似 英 国 的实验 装 置 通 过 先进 的 电子手 段 以 B 9 2方 案成 功地 在长 达 4 8 k m 的地 下光缆 中传送 量子 密钥 同时他 们在 自由空 间里也 获得 了成功 目前 瑞 士创 造 了光 纤 中量 子密 码 通 信距 离为 6 7 k m的新纪录 五 分 组 密 码 的主 要设 计 技 术 1 F e i s t e l 网络结构及其解密算 法 F e i s t e l 网络是 基 于 S h a n n o n 1 9 4 5年 的设 想 提 出 图 1 F e i s t e l 网络结构 的 而现在正在使用的几乎所有重要的分组密码都 使用 这种结 构 图 1给出 了它的结构 F e i s t e l 的解 密 与其加密过程实质是相同的 即解密以密文作为算 法的输入但以相反的次序使用子密钥 为了证实使 用同一算法 相反的子密钥次序 就能输 出正确的结 果 仔细观察图 2 为简化图形每一轮尾的对换没有 显示出来 请注意加密的第 i 步结尾所得是 L E i Il R E 解密的第 i 步结尾所得的是 L D i lI R D 图中 显示 出第 i 次加 密 循环 的输 出为 L E I l R E 则 对应 的第 1 6一i 次解密循环的输入就是 R E ll L E i 可以 逐步观察图 2来验证上述论 断的正确性 事实上 对于加密算法的第 i 次迭代 r L E REI I 腿 一 1 0 F R E i l K i f E E l I R EI 一 E E l 一 R E 1 0 F R E I K R E I 0 F L E I K 这样就把第 i 次迭代的输入表示成 了输 出的函数 这些方程证 实 了图 2右边 部分 的安 排 最后 我 们 看到解密过程的最后一轮的输 出是 R E o ll 它 经过 一个 3 2 b i t 的 对换 就恢 复 了原 来 的 明文 这验 证 了 F e i s t e l 解密 过程的正确性 注意 以上推 导并不 要求 F是一个可逆 函数 为证 实这一点对 F取一个 极端情况 即无论 2 个参数取什么值 它都产生常数 输 出 即全 1 这时可 以看到方程仍然成立 图 2 F e i s t e l 加密和解密 维普资讯 国 讥 技 2 0 0 3 年 第3 期 专 题 述 评 S I 丌 A R I Z A r I o N 2 轮 函数 F S一盒与密钥编 排算法的设计 函数 F是 F e i s t e l 密码 的核 心 它 主要 依 赖 于 S 一 盒子的使用 对 于大部分其它 的分组密码也是这 样 而 S 一盒 的设计 是分组密码 设 计过 程 中一个 最 受关 注 的研 究 问题 因 为在分 组 密码 算法 中 S一盒 通常是仅 有的一个 非线 性 步骤 它们 给 出了分 组密 码的安全性 因此如何设计一个非线性度高的 s 一 盒是分组 密码 的设 计 关键 另外 它 们 的设 计 还应 遵循 雪崩准则与 比特独 立准则 以便使 它具有很好 的 混乱效果 同时 s 一盒各列的线性组合应该是 曲折 的 一般 认为应按如下 方式 设计 S一盒 1 随机 选择 使用某 种伪随机数产生 S一盒 的各项 若 S一 盒是 随机 的且与密钥 相关则 S一盒将更强 如 I D E A 与 B l o w fi s h的 S一盒 2 带测 试 的 随机 产 生 随机 选择 S一盒 的各项 然后根 据需 要 的特性来 测试 它 丢弃 那些 没 有通 过 测试 的项 如 MA R S的 S一盒 3 人工构造 如 D E S 4 数学方法 构造 根据 数学 原理来 产生 S 一盒 S一盒可 以被设 计得 具有 可 以证 明的抗 差分攻击和 线性 攻击 的能力 同时具有 良好 的扩散特性 如 C A S T的 S一盒 在任何 一个 F e i s t e 1 分组 密码 中 密钥 都 被用来 产 生 每个 循环使 用 的子 密钥 我们希望选择子 密钥时要使 得推测各个子密 钥和 由此推 出主密钥 的难度尽可 能的大 对于这方 面的研究 目前 还没 有公 开发表 的一 般原理 但是 至 少密钥编排应保证密钥 密文的雪崩准则 六 分 组 序 列 公 钥 和 量 子 密码 的 重点 研 究方 向 目前 分组 序列 公钥 和量子密码的重点研 究方 向分别 为 1 分组密码 的重点研究方 向 新 型分组密码 的 研究 分组密码 的实现研 究 包 括