8月9日-11日，2023商用密碼大會在鄭州火熱進行中。量子密碼作為現(xiàn)有商用密碼體系的有益補充，積極參與到此次商用密碼創(chuàng)新驅(qū)動、前沿交流、產(chǎn)業(yè)對接、協(xié)同合作的盛會中。

國盾量子特精選多篇商用密碼相關(guān)文章，與您共享~

作者：中國信息安全測評中心 魏偉 劉宏偉 陳佳哲 石竑松

進入新時代，新一輪科技產(chǎn)業(yè)革命與國際復(fù)雜局勢交織疊加，量子科技、人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等前沿技術(shù)的發(fā)展和應(yīng)用催生了網(wǎng)絡(luò)空間安全的新形勢和新需求。作為維護網(wǎng)絡(luò)安全的核心技術(shù)，密碼技術(shù)面臨著諸多發(fā)展機遇與挑戰(zhàn)。新修訂的《商用密碼管理條例》(以下簡稱《條例》)明確支持并規(guī)范商用密碼在信息領(lǐng)域新技術(shù)、新業(yè)態(tài)、新模式中的應(yīng)用，從法規(guī)角度有力地推動了密碼技術(shù)創(chuàng)新發(fā)展和檢測認證體系建設(shè)。

本文將重點討論前沿密碼技術(shù)的發(fā)展狀況，特別是與芯片安全、通信和數(shù)據(jù)安全保護有關(guān)的密碼側(cè)信道安全分析、量子安全、隱私計算等技術(shù)，探討在新形勢下面臨的問題及相關(guān)的檢測技術(shù)方法，并提出意見和建議。

創(chuàng)新側(cè)信道安全分析技術(shù)

保障密碼模塊應(yīng)用安全

密碼側(cè)信道分析利用密碼模塊運行過程中產(chǎn)生的時間、功耗、電磁等側(cè)信道信息，以獲取密碼算法運行時的中間狀態(tài)相關(guān)信息，進而猜解密鑰等敏感信息，對芯片等密碼模塊的應(yīng)用安全性構(gòu)成了極大威脅。因此，在國際上的 CC (Common Criteria)、EMVCo、FIPS 140 和國內(nèi)的商用密碼產(chǎn)品檢測標準如 GB/T 37092、GB/T 22186、GM/T 0008 等中，側(cè)信道安全檢測都是密碼產(chǎn)品檢測的必要內(nèi)容。同時，由于分析方法多樣且復(fù)雜，側(cè)信道安全檢測也是密碼產(chǎn)品安全檢測中的難點之一。

國際上密碼產(chǎn)品的安全測評標準體系主要有兩個。在 CC 體系（即 ISO/IEC15408 體系，我國等同采用為 GB/T 18336）下，進行側(cè)信道安全檢測的主要方法為“攻擊驅(qū)動”，需要系統(tǒng)地嘗試各種側(cè)信道分析方法，以判斷其能否對密碼產(chǎn)品的安全性構(gòu)成威脅。在 CC 應(yīng)用最為成熟的智能卡領(lǐng)域，歐洲智能卡組織的硬件聯(lián)合工作組 （JHAS）負責定義和維護潛在的側(cè)信道攻擊方法。JHAS 的成員主要包括歐洲認證機構(gòu)、評估實驗室、硬件供應(yīng)商、軟件供應(yīng)商和服務(wù)提供商等，這些參與方會就這些攻擊方法達成一致，但并不會將其對外部機構(gòu)公開，這可以說是歐洲安全檢測實驗室壟斷全球芯片高安全檢測的主要原因。

另一個主要的密碼模塊安全測評體系是美國推行的 FIPS 140 體系。其中，ISO/IEC 17825:2016《密碼模塊非入侵式攻擊緩解技術(shù)測試方法》是規(guī)范側(cè)信道攻擊的關(guān)鍵標準。該標準用于測試密碼模塊是否能滿足三級和四級安全等級所規(guī)定的針對非入侵式攻擊（目前最廣泛和深入研究的側(cè)信道攻擊類型）的要求，其檢測方法的定位是檢測側(cè)信道信息泄露量，而不是對具體攻擊方法進行嘗試。近年來，ISO/IEC 17825:2016 中所使用的一些方法被學(xué)術(shù)界詬病，該標準已處于修訂過程，中國信息安全測評中心專家在此次修訂中擔任聯(lián)合編輯，預(yù)計新版標準將于 2024 年發(fā)布。

但是，ISO/IEC 17825 只在黑盒情況下檢測信息泄露的特點決定了在關(guān)鍵基礎(chǔ)設(shè)施等需要高安全性保障的場合中，僅使用該標準進行密碼產(chǎn)品的側(cè)信道安全檢測是不夠的。同時，我國依據(jù) GB/ T 18336 進行密碼產(chǎn)品檢測的實驗室并不能獲得 JHAS 定義的攻擊方法，而檢測實驗室之間所使用的側(cè)信道攻擊方法不互通也容易導(dǎo)致檢測內(nèi)容和強度要求不一，不利于檢測結(jié)果比對與產(chǎn)業(yè)發(fā)展。鑒于密碼產(chǎn)品側(cè)信道安全檢測的重要性及目前國內(nèi)外標準發(fā)展現(xiàn)況，我國還需加強以下工作：

一是大力發(fā)展密碼側(cè)信道安全分析方法的研究和應(yīng)用評估技術(shù)。密碼產(chǎn)品檢測實驗室應(yīng)及時跟進最新研究成果，包括新型側(cè)信道信息（如聲音、電勢、溫度、CPU 頻率等）的利用、新型分析方法的提出、與人工智能等新技術(shù)的結(jié)合等，并適時將比較成熟的技術(shù)納入密碼產(chǎn)品側(cè)信道安全檢測技術(shù)中，以不斷提高我國發(fā)現(xiàn)和應(yīng)對密碼產(chǎn)品側(cè)信道安全風(fēng)險的能力。

二是建立適合于我國的側(cè)信道安全檢測標準。目前 ISO/IEC 17825 的方法有所局限， 而 JHAS所定義的攻擊方法并不對我國公開。我國可探索適合國情的側(cè)信道安全檢測標準。定義 ISO/IEC 17825 使用范圍及高安全性要求的密碼產(chǎn)品所需使用的側(cè)信道安全檢測方法，并適時推出國家標準。此外，增進密碼產(chǎn)品檢測實驗室的互聯(lián)互通，在密碼檢測實驗室中維護共同的側(cè)信道攻擊方法及流程，以保障檢測結(jié)果的正確性、公平性和可靠性，促進產(chǎn)業(yè)發(fā)展。

創(chuàng)新量子安全檢測技術(shù)

助推抗量子攻擊技術(shù)應(yīng)用

近年來，量子計算機研制進展迅速，其巨大的計算潛力在促進社會發(fā)展的同時，也對網(wǎng)絡(luò)安全防護技術(shù)提出了重大挑戰(zhàn)。

1995年，Peter Shor 提出了適用于 RSA、ECC 等密碼技術(shù)的量子破解算法，對現(xiàn)用公鑰密碼體制的安全性產(chǎn)生了顛覆性影響，也直接推動了抗量子攻擊密碼技術(shù)的研究。在這方面，計算機科學(xué)和物理學(xué)從自身研究角度出發(fā)，獨立發(fā)展出兩條抗量子攻擊的密碼技術(shù)研究路線：后量子密碼技術(shù)和量子密鑰分發(fā)技術(shù)。

( 一 ) 后量子密碼技術(shù)的發(fā)展及其應(yīng)用安全

后量子密碼主要指可在現(xiàn)有計算機上運行的能抵抗未來量子計算攻擊的公鑰密碼技術(shù)。理論上，后量子密碼的安全性建立在（目前認為）量子計算機難以解決的數(shù)學(xué)難題之上，可覆蓋公鑰加密、數(shù)字簽名和密鑰交換這三種基礎(chǔ)密碼學(xué)原語，能滿足現(xiàn)有的公鑰密碼應(yīng)用需求，還可實現(xiàn)全同態(tài)加密、多線性映射、不可區(qū)分性混淆等新型密碼功能，無需使用專門的量子硬件，這些特點使得從經(jīng)典密碼向后量子密碼的遷移過程會比較方便。

當前最具代表性的后量子密碼實踐活動是美國家標準與技術(shù)研究院（NIST）面向全球發(fā)起的標準算法征集活動及美后量子密碼遷移計劃。2022 年，NIST 公布了首批勝選算法，預(yù)計 2024年完成標準制定工作。在產(chǎn)業(yè)界，美歐企業(yè)如谷歌、微軟、IBM、Intel、Infineon、AWS 等已開展后量子密碼技術(shù)研發(fā)、試點應(yīng)用及遷移框架研制等工作。我國在后量子密碼技術(shù)發(fā)展方面也進行了許多創(chuàng)新性探索。我國研究人員設(shè)計的算法在 NIST算法征集中取得了良好成績，在 ISO/IEC 層面后量子密碼算法國際標準的制定工作中發(fā)揮了積極作用。2018年，我國舉辦了全國密碼算法設(shè)計競賽，出現(xiàn)了一批自主設(shè)計的后量子密碼算法，為后續(xù)推行標準化工作奠定了基礎(chǔ)。近期，我國后量子簽名算法標準研制工作也已啟動。

盡管 NIST 正加大后量子密碼在世界范圍內(nèi)的密碼遷移替代活動，但這些算法的理論和應(yīng)用安全性仍不太樂觀。自 2022 年以來，有五個主要的NIST 候選算法在決賽環(huán)節(jié)遭遇破解或強度降低攻擊，后量子密碼在安全分析及檢測方面仍存在較大研究空間。在理論安全層面，進一步明確算法所依賴的困難問題的安全性，探索加速求解困難問題的量子算法，評估后量子密碼應(yīng)用模式和解決方案的安全性；在應(yīng)用安全層面，研究后量子密碼算法的密碼誤用分析方法，研究針對算法主要模塊的側(cè)信道分析等現(xiàn)實攻擊方法及防御措施，并逐步建立完善的安全檢測標準、方法和技術(shù)手段。

雖然 NIST 后量子標準將于 2024 年推出，但算法主體結(jié)構(gòu)已經(jīng)明確，后量子密碼產(chǎn)品和相關(guān)試點應(yīng)用也已在世界范圍內(nèi)推出。為此，我國應(yīng)同步預(yù)做準備，在后量子密碼自主設(shè)計、應(yīng)用模式、敏捷部署、優(yōu)化實現(xiàn)等方面積累經(jīng)驗，構(gòu)建后量子密碼算法、應(yīng)用、檢測等標準體系，支撐國家量子安全防護體系建設(shè)。

( 二 ) 量子密鑰分發(fā)技術(shù)的發(fā)展及其應(yīng)用安全

量子密鑰分發(fā)（QKD）是一種基于量子物理發(fā)展起來的抗量子攻擊密碼技術(shù)。通信雙方以微觀粒子的量子特性為信息載體，以量子力學(xué)的基本定律保障共享密鑰的安全性。理論上，區(qū)別于后量子密碼理論安全性基于數(shù)學(xué)困難問題，QKD的理論安全性不受量子計算技術(shù)發(fā)展的影響，能夠?qū)崿F(xiàn)所謂的長期安全目標，有效解決“先保存，后破譯”這樣針對傳統(tǒng)密碼甚至后量子密碼的安全威脅。

近年來，歐盟、英國、俄羅斯、以色列等國家和地區(qū)相繼發(fā)布了量子通信基礎(chǔ)設(shè)施建設(shè)規(guī)劃，并推進 QKD 實驗系統(tǒng)的應(yīng)用。美國 Quantum Xchange、瑞士 ID Quantique、歐洲東芝、我國的國盾量子、問天量子等公司均推出了 QKD 相關(guān)產(chǎn)品。在技術(shù)發(fā)展方面，QKD 的點對點無中繼通信距離已突破千公里，密鑰率也突破百兆比特/秒。同時，QKD 設(shè)備集成化工藝日趨成熟。東芝劍橋研究實驗室2020年推出了世界首個基于芯片開發(fā)的 QKD 原型系統(tǒng)，產(chǎn)品封裝體積大幅縮減。此外，QKD 應(yīng)用場景不斷拓展。除了在政務(wù)、軍事、金融、電力等傳統(tǒng)行業(yè)開展應(yīng)用示范，QKD 技術(shù)也在 5G、物聯(lián)網(wǎng)等新技術(shù)領(lǐng)域進行了應(yīng)用探索。美國能源部下屬的實驗室以及德國電網(wǎng)運營商分別于 2020 年和 2022年實驗研究了利用 QKD 技術(shù)保障電網(wǎng)信息傳輸；英國電信集團于2021年主導(dǎo)研發(fā)了保障 5G 基站與移動終端及網(wǎng)聯(lián)汽車之間安全鏈接的 QKD 核心組件；日本東芝則在 2020年研究利用 QKD 保障人類基因組測序的數(shù)據(jù)傳輸。這些進展表明 QKD 技術(shù)在不斷發(fā)展成熟，實用化程度正逐步提升。

同傳統(tǒng)密碼模塊一樣，實際 QKD 設(shè)備往往會因存在的各種實現(xiàn)和環(huán)境缺陷而偏離理論安全模型，其實際安全性仍需嚴格論證。如何建立檢測技術(shù)標準以量化分析設(shè)備缺陷對 QKD 設(shè)備實際安全性的影響，是進一步推廣應(yīng)用 QKD 技術(shù)前需要解決的關(guān)鍵問題。在此方面，歐洲電信標準協(xié)會（ETSI）ISG-QKD 工作組于2008年開始研制檢測技術(shù)規(guī)范；2017至2023年，中國信息安全測評中心聯(lián)合國盾量子及東芝劍橋研究實驗室等團隊，在 ISO/IEC 層面研制國際首個基于 CC 框架的 QKD 安全技術(shù)標準 ISO/IEC 23837，規(guī)范 QKD模塊安全要求及安全測評方法?；诖藰藴?，可以細化出適用于不同類型 QKD 產(chǎn)品的保護輪廓標準，系統(tǒng)解決 QKD 的安全測評問題。ETSI 進而于2021 年開始制定適用于測量制備類協(xié)議的 QKD 設(shè)備安全保護輪廓標準；國際電信聯(lián)盟（ITU-T）于2018 年啟動了 QKD 網(wǎng)絡(luò)相關(guān)的標準化工作，其核心 QKD 模塊的安全性測評依賴于 ISO/IEC 23837。

同時，針對誘騙態(tài) BB84 協(xié)議的 QKD 產(chǎn)品，國家密碼管理局也于 2021 年推出了產(chǎn)品檢測規(guī)范 GM/T 0108-2021 和 GM/T 0114-2021。這些工作表明QKD 的安全測評標準正逐步成熟。

為了更好地促進 QKD 產(chǎn)品的商用化，仍需進一步完善 QKD 相關(guān)的安全標準體系，特別是針對不同 QKD 產(chǎn)品類型的保護輪廓標準文件的開發(fā)。同時，按《條例》要求，盡快促進國內(nèi)外相關(guān)標準的相互轉(zhuǎn)化運用，形成與國際標準一致，甚至更高要求的國家標準；其次，積極引導(dǎo)企業(yè)和安全檢測機構(gòu)開展標準化的 QKD 產(chǎn)品安全檢測工作，完善檢測技術(shù)方法，促進標準應(yīng)用落地，為全球市場應(yīng)用起到積極的示范效應(yīng)。

創(chuàng)新隱私計算技術(shù)安全檢測方法

護航數(shù)據(jù)安全應(yīng)用

近年來，隨著國家《數(shù)據(jù)安全法》《個人信息保護法》的頒布實施，隱私計算技術(shù)在數(shù)據(jù)安全流通和協(xié)同使用中發(fā)揮了積極作用，對數(shù)據(jù)要素市場建設(shè)發(fā)揮了一定的價值。

除以傳統(tǒng)的秘密共享、不經(jīng)意傳輸、混淆電路等為基礎(chǔ)的多方安全計算技術(shù)外， 隨著差分隱私、全同態(tài)加密、 可信 執(zhí)行環(huán)境、 聯(lián)邦學(xué)習(xí)等新技術(shù)不斷出現(xiàn)，隱私計算的功能和性能逐步優(yōu)化。

近年來，隱私計算產(chǎn)品形態(tài)和應(yīng)用場景不斷擴展，同時 IEEE、ISO/IEC、ITU-T 和 TC260、TC180、TC601 等國內(nèi)外標準組織都在建立相關(guān)標準。在金融、政務(wù)、醫(yī)療等一些兼具數(shù)據(jù)密集和高價值特點的行業(yè)，隱私計算技術(shù)已展現(xiàn)出十分可觀的應(yīng)用前景，但其中的安全隱患也不容忽視。

從安全檢測角度，隱私計算與傳統(tǒng)信息技術(shù)產(chǎn)品測評存在一定差異，這既受限于技術(shù)發(fā)展本身，也與其在應(yīng)用上的特點有很大關(guān)系：一是技術(shù)路線選取有待規(guī)范化。基于隱私計算技術(shù)的解決方案場景適配性較強。除了考慮到通信開銷或計算效率外，符合實際場景的安全假設(shè)是選取技術(shù)路線的重要因素，包括協(xié)議參與方遵循的安全模型、信任共識假設(shè)的可行性、敵手的攻擊能力等，不當?shù)倪x取可能導(dǎo)致嚴重的隱私泄露。

二是通用的安全度量方法有待形成。不同技術(shù)路線之間的交叉融合已成為一種解決安全性、效率、準確性和功能等實際需求的必然途徑。這在一定程度上增加了算法協(xié)議的差異化，使安全基礎(chǔ)較難統(tǒng)一。

三是安全性和性能有待提高。對隱私保護強度的評估是隱私計算產(chǎn)品合規(guī)性的重要保障，也是數(shù)據(jù)持有方使用隱私計算產(chǎn)品的信任基礎(chǔ)。同時，數(shù)據(jù)規(guī)模、參與方數(shù)量、安全要求等因素對隱私計算性能也提出了更高要求。

四是安全測評體系有待建立。目前，隱私計算技術(shù)所使用的底層密碼算法和協(xié)議自由度較大且仍處于不斷優(yōu)化發(fā)展的 階 段， 這 更 增 加了現(xiàn)階段建立完善的技術(shù)標準體系的難 度。同時，算法實現(xiàn)、 參數(shù)選取、網(wǎng)絡(luò)通信等方面的實際安全分析還需要檢測機構(gòu)投入更多的研究實踐。為此， 應(yīng)加緊完善隱私計算技術(shù)標準體系，建立隱私計算中常用的多方安全計算協(xié)議和算法（秘密共享、混淆電路、不經(jīng)意傳輸?shù)龋⒘阒R證明協(xié)議及同態(tài)加密算法等技術(shù)標準。在此基礎(chǔ)上再圍繞隱私計算技術(shù)的安全測評、互聯(lián)互通、行業(yè)應(yīng)用等方面開展標準制定工作，加速構(gòu)建更加完善的隱私計算技術(shù)標準體系和測評技術(shù)手段，確立產(chǎn)業(yè)發(fā)展的安全基線。

結(jié)語

商用密碼技術(shù)是保障國家網(wǎng)絡(luò)空間安全的核心技術(shù)，也是推動前沿技術(shù)發(fā)展應(yīng)用的關(guān)鍵支撐。《條例》的頒布和實施，有利于推動商用密碼檢測認證體系的建設(shè)。為保障前沿密碼應(yīng)用安全，檢測認證工作應(yīng)緊跟密碼應(yīng)用發(fā)展趨勢，不斷增強檢測認證能力，持續(xù)創(chuàng)新技術(shù)方法，為推進新時代商用密碼高質(zhì)量發(fā)展提供更加有力的支持和保障。