密码学发展报告

密码学开展报告20211.报告内容密码学发展历史回顾一我国密码学最新研究进展二国内外密码学发展比较三密码学发展趋势及展望四我国密码学学科发展建议五2.一、密码学开展历史回忆两个分支形成既对立又统一的矛盾体密码编码学密码分析学新方法/新手段新思想/新结构3.密码编码学密码分析学高安全或新型密码算法与协议的设计理论、方法与技术破译密码算法与协议或伪造认证信息的理论、方法与技术新的应用驱动标准化的需求新技术的出现分析技术的发展新型计算技术存储技术编码技术的发展研究分支

核心研究内容

内在驱动

4.应用密码学发展时期现代密码学发展时期对称密码学早期发展时期科学密码学前夜发展时期1997-当前1976-19961949-1975古代-1948密码学开展的四个阶段DH和DES理论与科学直觉和信念NIST，NESSIE，ECRYPT，SHA35.二、我国密码学最新研究进展最新理论与技术研究进展

最新成果应用进展

学术建制最新进展

密码学进展6.密码协议PKI技术量子密码序列密码

分组密码HASH函数最新理论与技术研究进展7.序列密码序列密码是一类重要的对称密码，在加密速度和硬件实现规模两方面具有明显优势我国学者早在20世纪70年代就开始了序列密码的研究工作，在多个前沿方向上取得了重要进展近几年，在序列密码领域有两个方面的成果值得一提：戴宗铎教授领导的团队在多重伪随机序列的多维连分式理论方面的工作戚文峰教授领导的团队在整数剩余类环压缩导出序列方面的工作8.基于此理论解决了国际上多年未能解决的一系列难题：解决了有关d-perfect多重序列的一个猜想；解决了有关二重序列线性复杂度均值的一个猜想。刻画了多重无限长序列线性复杂度的渐近性态；揭示了m-CFA算法与广义Berlekamp-Massey算法之间的关系。多维连分式理论戴宗铎教授领导的团队创立了多维连分式理论，并用此理论解决了多重序列中的假设干重要根底问题。针对多重伪随机序列先后提出了可实现最正确有理逼近的多维连分式算法〔称为m-CFA算法〕和通用高维连分式算法〔称为m-UCHA算法〕9.环上本原序列压缩函数的保熵性戚文峰教授领导的团队近几年在环Z/(pe)(p为奇素数)上本原序列压缩函数的保熵性方面又取得了一些重要进展证明了Z/(pe)上本原序列最高权位序列0元素的局部保熵性质，即两条不同的本原序列，其最高权位序列的0元素分布必不同。该结论大大改进了20世纪90年代初由我国学者和俄罗斯学者分别独立证明的最高权位序列保熵性证明了Z/(p)上形如g(xe

1)

(x0,x1,…,xe

2)的e元多项式函数都是保熵的对Z/(pe)上本原序列，证明了模压缩的保熵性，即环Z/(pe)上两条不同的本原序列模M压缩后得到的两条序列也互不相同，M是至少包含一个异于p的素因子的整数10.分组密码我国学者近几年在分组密码设计、分析和工作模式等方面取得了可喜的进展值得一提的是吴文玲研究员领导的团队在一些典型的分组密码分析方面做出了突出奉献NUSH——对NUSH分组密码算法的线性密码分析结果，在NESSIE的安全报告中被认为是对NUSH分组密码算法最有效的攻击方法，从而导致NUSH分组密码算法在遴选中被淘汰。AES——利用时间/存储/数据折衷的思想，提出了对AES更有效的不可能差分攻击；利用密钥扩展算法的特点，选取新的种子密钥差分，提高了对AES-192相关密钥-不可能差分攻击的有效性；利用列混合变换的独特性质，提出了对AES-192的相关密钥-差分线性攻击方法。Rijndael——针对大分组Rijndael对不可能差分分析的安全性，构造了一批新的不可能差分，并给出了7轮Rijndael-160、8轮Rijndael-192、9轮Rijndael-224/256的分析算法。Camellia——给出了Camellia的碰撞攻击和线性/差分分析，构造了8轮Camellia的若干不可能差分，并利用这些不可能差分对Camellia的安全性进行了分析。FOX——利用若干3轮区分器，结合积分攻击方法和碰撞技术，提出了对低轮FOX的新攻击。SMS4——给出了一类5轮循环差分特征，从而构造出有效的18轮差分特征和14轮飞来去器区分器，给出了对21轮SMS4的差分攻击和对16轮的矩阵（飞来去器）攻击；针对SMS4的活跃S盒特性，给出了19轮的有效差分特征，将SMS4的差分分析推进到23轮。11.HASH函数我国学者在Hash函数方面取得了一批国际领先的科研成果，尤其是我国学者王小云教授领导的团队在Hash函数的平安性分析方面做出了突出奉献建立了现有Hash函数碰撞攻击的理论与技术，深入分析了国际通用Hash函数MD5、RIPEMD、SHA-0和国际Hash函数标准算法SHA-1等，推动了Hash函数的开展与研究。该成果获得了2021年国家自然科学二等奖MD4和RIPEMD——给出了MD4和RIPEMD有效碰撞攻击，复杂度分别为28和218次运算，这是国际上公开的第一次对RIPEMD的实际攻击。一般理论——通过提炼MD4和RIPEMD的圈函数的特征建立了统一的数学分析模型，提出了比特追踪法和高级明文修改技术，提炼出碰撞攻击一般理论。MD5和SHA-0——首次提出MD4的第二原像攻击。首次给出了MD5的有效碰撞攻击。通过对SHA-0建立数学分析模型，从2512的明文空间中推导出两条碰撞路线，首次破解了SHA-0。新方法——在SHA-0的破解中，建立了SHA系列杂凑函数破解的基本理论，提出了针对明文分布规律的数学分析模型以及将不可能差分转化为可能差分的新方法。12.密码协议我国学者近几年在密码协议的设计与分析方面取得了可喜的进展，利用可证明平安性的设计理念提出了一批重要的密码协议，发表了一批高水平的学术论文，在国际上产生了一定的影响最为突出的成果是邓燚等学者在重置零知识和精确零知识方面的研究成果FOCS’09和Eurocrypt’07——提出并实现了两个实例依赖的新工具：实例依赖的可验证随机函数和实例依赖的证据不可区分知识论证系统，证明了BGGL猜想即在Plain模型下，NP语言存在可重置可靠的、可重置零知识的论证系统，解决了MR问题即在BPK模型下，存在常数轮的可重置可靠的、可重置零知识的论证系统。13.PKI技术PKI技术是一种能够解决网络环境中信任与授权问题的重要技术我国学者在该领域取得了长足的开展，尤其是冯登国教授领导的团队在PKI技术方面做出了重要奉献,该成果获得2005年国家科技进步二等奖构建了具有自主知识产权的PKI模型框架，为解决PKI互操作问题和模型复杂问题提供了新的技术途径提出了双层式秘密分享的入侵容忍证书认证机构，为解决PKI自身安全问题提供了一套国际领先的方案提出了PKI实体的概念，简化了对PKI的理解、设计、实现和应用14.量子密码量子密码是以现代密码学和量子力学为根底、利用量子物理学方法实现密码思想和操作的一种新型密码体制我国学者在诱骗态量子密码和量子避错码等方面做出了开创性工作，这些工作对整个领域的开展来说具有举足轻重的地位在不同协议的设计和分析方面提出了大量建设性意见，推动了量子密码理论的开展我国学者近几年在量子密码实验方面取得了一些令人瞩目的成绩，尤其是郭光灿院士领导的团队和潘建伟教授领导的团队成绩突出15.量子密码郭光灿院士领导的团队2004年，在北京和天津之间的商用通信光纤中完成了120/160公里的QKD实验2007年，利用自主创新的量子路由器，率先完成四用户量子密码通信网络的测试运行。这是国际上首次公开报道的无中转、可同时、任意互通的量子密码通信网络，标志着量子保密通信技术从点对点方式向网络化迈出关键性的一步2021年，建成世界首个量子政务网——芜湖“量子政务网〞，标志着我国量子保密通信技术已步入应用轨道潘建伟教授领导的团队2004年，成功完成五粒子纠缠态及终端开放的量子隐形传态实验2005年，利用超稳定高强度的4-光子纠缠态光子源完成了QSS实验2006年，首次实现了六粒子纠缠态的制备，完成传输距离超过100公里的诱骗态QKD实验2021年，实现远距离量子通信中亟须的“量子中继器〞，在合肥建成了世界上首个光量子网16.二、密码学最新研究进展最新理论与技术研究进展

最新成果应用进展

学术建制最新进展

密码学进展17.最新成果应用进展2021年是我国?商用密码管理条例?发布实施10周年，10年来我国的商用密码取得了长足开展国家密码管理局于2021年8月下旬在北京展览馆举办了“全国商用密码成果展〞，充分展示了我国近几年密码最新成果的应用进展值得一提的是我国在可信计算和WAPI两方面的密码应用进展18.可信计算领域中的密码应用可信计算的主要思想是在硬件平台上引入平安芯片架构，来提高终端系统的平安性，从而将局部或整个计算平台变为“可信〞的计算平台可信计算密码支撑平台是一种由可信密码模块(TCM)和可信密码效劳模块(TSM)组成的软硬件系统，是可信计算平台的重要组成局部，为实现可信计算平台自身的完整性、身份可信性和数据平安性提供密码支持，其功能内容包括密码算法、密钥管理、证书管理、密码协议、密码效劳等通过在可信计算领域中的密码应用推广，推出了我国自主的?可信计算密码支撑平台功能与接口标准?，大大提升了我国密码算法的应用水平和密码芯片的设计和研制水平19.WAPI中的密码应用我国自主研发的宽带无线网络WAPI〔无线局域网认证与保密根底设施〕平安技术，实现了无线IP网络认证和保密的根底架构使终端和网络接入点进行完整的双向认证通过接入控制、加密、数据完整性校验和数据源认证等措施，构成了完整的无线局域网认证与保密协议，弥补了同类国际标准的平安缺陷形成并公布了两项国家标准，该成果2005年获得国家创造二等奖SMS4是国家密码管理局公布的第一个分组密码算法，主要作为无线局域网的推荐密码算法SMS4算法的整体设计水平和国外算法相当，具有自身的特色和创新之处20.二、密码学最新研究进展最新理论与技术研究进展

最新成果应用进展

学术建制最新进展

密码学进展21.学术建制最新进展近几年，我国在密码学学术建制方面的主要工作表达在以下几个方面：中国密码学会国家商用密码应用技术体系总体组WG3标准工作组22.中国密码学会中国密码学会于2007年3月25日正式成立已成立的学术、教育和组织工作委员会，量子密码专业委员会开展了众多工作，即将成立的密码数学理论、密码算法和密码芯片专业委员会已获得主管部门批准，根据实际需要还将成立必要的专业委员会，全面推进中国密码学学科的开展和进步中国密码学会的网址为：23.24.国家商用密码应用技术体系总体组国家密码管理局为了推动商用密码的应用，成立了国家商用密码应用技术体系总体组，并针对不同领域成立了多个密码应用专项工作组可信计算密码专项组在2021年12月正式更名为中国可信计算工作组〔ChinaTCMUnion，简称TCMU〕中国可信计算工作组带着学术界和产业界共同开展中国自主创新的可信计算技术与产业，其主要任务是研究制定可信计算密码应用技术体系及相关密码技术标准标准，推动可信计算技术与产品的标准化、工程化和产业化，指导可信计算应用示范工程建设中国可信计算工作组的网址为：25.WG3标准工作组为了有效推动国家密码标准的制订和研究，全国信息平安标准化技术委员会〔简称信息平安标委会，TC260〕设立WG3标准工作组WG3标准工作组专门制订和研究密码方面的标准和标准26.三、国内外密码学开展比较密码理论密码技术密码应用密码标准C1C2C4C327.〔一〕密码理论方面的开展比较密码理论——密码数学根底理论、密码算法设计理论和密码算法分析方法美国等西方一些兴旺国家和地区的密码理论研究水平比较高，研究成果突出，覆盖面广，创新理论和新观点、新方法较多我国在密码理论研究方面取得了丰硕成果，如密码布尔函数、序列密码设计理论和分析方法、分组密码分析方法、Hash函数分析方法、公钥密码分析方法、量子密码等总体上讲，我国密码理论研究开展很不平衡，只是在一些点上的研究深度到达了国际水平，覆盖面还不够广，可持续开展不够好，研究深度与国际水平还有差距，创新理论和新观点、新方法还不够多28.杂凑函数密码协议-可证平安密码协议-形式化分析序列密码公钥密码密码理论分组密码量子密码29.序列密码开展比较11991年，我国学者肖国镇教授等提出的序列密码的稳定性理论是序列密码领域的一个原创性理论220世纪80年代，我国学者曾肯成教授等提出的整数剩余类环压缩导出序列是一个原创性工作3带进位反馈移位寄存器（FCSR）序列是1993年由美国学者提出的，是目前序列密码领域的一个研究热点但目前我国在这一领域的研究工作总体上已落后于国外目前我国学者在剩余类环压缩导出序列领域的研究工作仍处于国际领先水平目前我国学者在这一领域的研究供过于求处于国际领先水平130.序列密码开展比较4序列密码的代数攻击是近几年序列密码研究领域取得的最重要成果之一，在代数攻击的理论研究和应用上，我国落后于国际5我国对eSTREAM各个算法的研究中与国际先进水平有很大差距6我国还没有公开征集序列密码算法标准我国在由代数攻击引发的布尔函数代数免疫问题的研究成果得到国际上充分肯定我国在非线性序列源的理论研究和应用落后于国际先进水平所以在序列密码的设计理论上，也落后于国际先进水平131.分组密码开展比较我国公布的推荐密码算法SMS4充分表达了我国分组密码的设计水平已到达国际先进水平在分组密码分析方面无论从使用已有的分析手段，还是从对各类分组密码进行分析的效果来看，国内外差距不大在某些方面，我国学者的分析工作处于领先地位如我国学者张文涛等对AES的分析结果、吴文玲和多磊等对Camellia的分析结果、张蕾等对SMS4的分析结果都是目前国际最好的工作分组密码工作模式的研究在国际上已经是一个很重要的研究方向，而我国在这方面的研究工作才刚刚起步232.公钥密码开展比较国际上一个正在进行的研究方向是超椭圆曲线上或代数簇上的双线性映射由于涉及很多数论知识、以及数论专业人才培养的不多，国内对此研究的人很少从总的方面看，由于研究难度大，国内对公钥密码算法进行研究的人比较少，在公钥密码相关困难问题方面从事研究的人就更是寥寥无几如大数分解，目前国际上一直有很多进展，预期在2021年完成768比特RSA模数的分解333.杂凑函数开展比较我国的研究起步较晚，但取得了突破性成果，现已处于国际领先水平我国率先提炼杂凑函数不平安因素的数学特征，建立统一的数学分析模型，提出杂凑函数碰撞攻击的一般理论--比特追踪法，找到了国际通用杂凑函数MD5、SHA-1、RIPEMD、SHA-0等的碰撞国际上对杂凑函数的分析开展迅速，涌现出了一批新的研究成果。基于杂凑函数的MAC算法的研究方面还处于劣势，尤其在设计方面比较薄弱，有待提出具有国际影响力的新的平安可靠的设计理念，但在平安性分析方面，我国取得了一系列具有国际先进水平的研究成果434.密码协议形式化分析开展比较在密码协议的形式化分析方法方面，我国的研究处于一个初级开展阶段，也处于一个为难的境地我国这方面的研究，理论上没有形成有影响力的理论体系，实用上也没有形成有影响力的平安验证系统我国在这一领域的研究力量没有真正得到重视，并且也存在实际上的困难具体地讲，这个方向是一个真正交叉研究领域，形式化方法是研究工具，密码协议是研究对象，二者缺一不可从这个领域的研究现状看来，后继乏人是一个令人担忧的事情535.密码协议可证平安开展比较在密码协议的可证明平安性理论方面，我国学者近几年取得了可喜的进展，利用可证明平安性的设计理念提出了一批重要的密码协议，发表了一批高水平学术论文，在国际上产生了一定的影响在基于公钥的认证密钥交换协议方面，目前国内学者的研究水平与国际水平相当在基于口令密钥交换协议方面，国内研究工作与国际水平有一定相差在零知识协议方面，国外学者对零知识协议都有深刻的刻画。国内研究零知识协议学者屈指可数，在广度上不及国外，但也取得了可喜可贺的成绩，尤其在重置零知识和精确零知识上，国内研究处于国际领先地位636.量子密码开展比较在量子密码方面，我国学者取得了大量的重要研究成果在理论方面，我们在诱骗态量子密码和量子避错码等方面做出了开创性工作，这些工作对整个领域的开展来说具有举足轻重的地位。同时，在不同协议的设计和分析方面提出了大量建设性意见，切实推动了量子密码理论研究的进步在实验方面，我们更是取得了一些令人瞩目的成绩，郭光灿院士和潘建伟教授领导的小组在量子密码实验的某些方面已经到达了国际先进水平737.量子密码开展比较〔续〕不可否认的是，我们在一些方面与国际水平还存在一定的差距在协议设计方面，我们虽然设计了大量各具特色的量子密码协议，但在真正具有较大创新性、能切实推动理论或实验进展的根本协议上尚有所欠缺，在解决各类协议设计中遇到的难点、重点问题上做的还不够在协议分析方面，我们虽然对不同协议给出了多种有效的攻击方法，但在对BB84等根本协议的分析或平安性证明方面尚有所欠缺，对量子密码系统在实际环境中的平安性研究还不够在相关关键技术方面，我们提出的创新性理论工作还较少。还需要增加投入，努力寻找某些理论方法去协助解决当前实验条件下量子密码系统所面临的一些难点问题在实验方面，我们在自由空间量子密码实验和连续变量量子密码实验等方向成果较少。还需更多研究者投入到实验研究中来，着力解决实验中面临的一些难点问题738.〔二〕密码技术方面的开展比较密码技术——密码算法、密码芯片、密码根底设施、密码软硬件实现优化技术等美国等西方一些兴旺国家和地区的密码技术体系相比照较完善，技术密集度高，技术种类丰富，覆盖面广，时间跨度大，几乎对所有的密码技术都有深度研究，对过去、现在和未来的密码技术研究都有详细部署。技术创新性强，创新技术多，技术辐射面广我国密码技术体系根本形成，总体上来讲，我国密码技术的开展很不平衡，在一些点上的研究深度到达了国际水平，如SMS4分组密码算法、TCM密码芯片、PKI/CA技术，但覆盖面还不够广，研究深度和广度都与国际水平还有差距，创新技术还不够多39.国外发达国家和地区，已形成了较为完整的密码算法体系，种类齐全、技术先进，面向不同的应用和环境我国目前公开的自主密码算法只有一个，还没有真正建立起自主的密码算法体系，与国外还有一定的距离

我国密码算法的芯片实现技术已经相当成熟；但从芯片的系统化来看，我国的相关研究还刚刚起步，不同应用领域的发展也不平衡；关于密码芯片的实现安全方面，我国主要研究基本停留在实验室阶段国外近几年的关注点集中在三个方面：高级的侧信息挖掘与秘密信息恢复方法；各种故障攻击的研究；形式化安全性分析方法及评估方法。我国相关研究与国际水平差距比较大我国近几年在PKI方面取得了突破性进展，完全自主掌控了PKI技术，已具备建设能够满足信息化发展需要的PKI/CA系统的能力，并已自主建设了大量的实用PKI/CA系统，其研究水平处于国际先进水平

密码算法密码芯片侧信道分析密码基础设施40.〔三〕密码标准方面的开展比较国外兴旺国家和地区具备成套的密码标准，不但实时跟进和更新，而且还进行超前研究相比之下，我国在密码标准制定方面相距较远，仅在2006年，国家密码管理局公布了适用于无线局域网产品的推荐密码算法SMS4可喜的是，我国近几年高度重视密码标准的研究与制订，如无线局域网密码标准、可信计算密码标准，并在实际应用中发挥了重要作用但仍需加强密码标准体系建设，加强技术标准超前研究，加强推进技术标准的国际化程度41.〔四〕密码应用方面的开展比较国外兴旺国家和地区的密码技术应用方案比较周密、详实、并且可操作性强，在考虑新技术应用的同时就考虑了密码技术的应用问题和解决方案我国在密码技术与应用的融合方面已经取得了一些可喜的成绩，但其应用水平与国外还有一定的差距，其应用深度和广度都有待于进一步加强42.四、密码学开展趋势及展望密码的标准化趋势密码的公理化趋势面向社会应用的实用化趋势面向新技术开展的适应性趋势从密码开展史来看，密码标准是密码理论与技术开展的结晶，也是推动密码学开展的源动力追求算法的可证明平安性是目前的时尚，密码协议的形式化分析方法、可证明平安性理论等仍将是密码协议研究的主流方向密码技术本身及其应用水平都有待于提高，适度平安的密码技术的研究已成为当前很受关注的方向日益增强的计算能力和快速变化的计算模式对现有密码技术带来了巨大挑战，具有可变计算平安性和适用新型计算模式的密码技术是未来的重要开展方向43.欧洲序列密码〔eSTREAM〕方案有效地推动了序列密码的开展随着量子计算等新型计算技术的开展，现有的基于因子分解和离散对数的公钥密码将不再平安轻量级、模型化、多功能化、可证明平安和已