密码学及其研究现状(2014年)

{摘要}：

密码系统的两个基本要素是加密算法和密钥管理。加密算法是一些公式和法则，它规定了明文和密文之间的变换方法。由于密码系统的反复使用，仅靠加密算法已难以保证信息的安全了。事实上，加密信息的安全可靠依赖于密钥系统，密钥是控制加密算法和解密算法的关键信息，它的产生、传输、存储等工作是十分重要的。{关键词}：密码技术安全网络密匙管理密码技术是信息安全的核心技术。如今，计算机网络环境下信息的保密性、完整性、可用性和抗抵赖性，都需要采用密码技术来解决。密码体制大体分为对称密码(又称为私钥密码)和非对称密码(又称为公钥密码)两种。公钥密码在信息安全中担负起密钥协商、数字签名、消息认证等重要角色，已成为最核心的密码。

密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则，变明文为密文，称为加密变换；变密文为明文，称为脱密变换。密码在早期仅对文字或数码进行加、脱密变换，随着通信技术的发展，对语音、图像、数据等都可实施加、脱密变换。

密码学是在编码与破译的斗争实践中逐步发展起来的，并随着先进科学技术的应用，已成为一门综合性的尖端技术科学。它与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。它的现实研究成果，特别是各国政府现用的密码编制及破译手段都具有高度的机密性。

进行明密变换的法则，称为密码的体制。指示这种变换的参数，称为密钥。它们是密码编制的重要组成部分。密码体制的基本类型可以分为四种：错乱－－按照规定的图形和线路，改变明文字母或数码等的位置成为密文；代替－－用一个或多个代替表将明文字母或数码等代替为密文；密本－－用预先编定的字母或数字密码组，代替一定的词组单词等变明文为密文；加乱－－用有限元素组成的一串序列作为乱数，按规定的算法，同明文序列相结合变成密文。以上四种密码体制，既可单独使用，也可混合使用，以编制出各种复杂度很高的实用密码。

当前，公钥密码的安全性概念已经被大大扩展了。像著名的RSA公钥密码算法、Rabin公钥密码算法和ElGamal公钥密码算法都已经得到了广泛应用。但是，有些公

钥密码算法在理论上是安全的，可是在具体的实际应用中并非安全。因为在实际应用中不仅需要算法本身在数学证明上是安全的，同时也需要算法在实际应用中也是安全的。比如，公钥加密算法根据不同的应用，需要考虑选择明文安全、非适应性选择密文安全和适应性选择密码安全三类。数字签名根据需要也要求考虑抵抗非消息攻击和选择消息攻击等。因此，近年来，公钥密码学研究中的一个重要内容——可证安全密码学正是致力于这方面的研究。

公钥密码在信息安全中担负起密钥协商、数字签名、消息认证等重要角色，已成为最核心的密码。目前密码的核心课题主要是在结合具体的网络环境、提高运算效率的基础上，针对各种主动攻击行为，研究各种可证安全体制。其中引人注目的是基于身份(ID)密码体制和密码体制的可证安全模型研究，目前已经取得了重要成果。这些成果对网络安全、信息安全的影响非常巨大，例如公钥基础设施(PKI)将会更趋于合理，使其变为ID-PKI。在密码分析和攻击手段不断进步，计算机运算速度不断提高以及密码应用需求不断增长的情况下，迫切需要发展密码理论和创新密码算法。

在2004年信息安全国际会议上，本文第一作者(即曹珍富教授)做了“密码理论中的若干问题”的主题报告，其中也介绍了密码学的最新进展。这在不同程度上代表了当前密码学的发展方向。

1.在线/离线密码学公钥密码学能够使通信双方在不安全的信道上安全地交换信息。在过去的几年里，公钥密码学已经极大地加速了网络的应用。然而，和对称密码系统不同，非对称密码的执行效率不能很好地满足速度的需要。因此，如何改进效率成为公钥密码学中一个关键的问题之一。

针对效率问题，在线/离线的概念被提出。其主要观点是将一个密码体制分成两个阶段：在线执行阶段和离线执行阶段。在离线执行阶段，一些耗时较多的计算可以预先被执行。在在线阶段，一些低计算量的工作被执行。

2.圆锥曲线密码学圆锥曲线密码学是1998年由本文第一作者首次提出，C.Schnorr认为，除椭圆曲

线密码以外这是人们最感兴趣的密码算法。在圆锥曲线群上的各项计算比椭圆曲线群上的更简单，一个令人激动的特征是在其上的编码和解码都很容易被执行。同时，还可以建立模n的圆锥曲线群，构造等价于大整数分解的密码。现在已经知道，圆锥曲线群上的离散对数问题在圆锥曲线的阶和椭圆曲线的阶相同的情况下，是一个不比椭圆曲线容易的问题。所以，圆锥曲线密码已成为密码学中的一个重要的研究内容。

3.代理密码学代理密码学包括代理签名和代理密码系统。两者都提供代理功能，另外分别提供代理签名和代理解密功能。

目前，代理密码学的两个重要问题亟需解决。一个是构造不用转换的代理密码系统，这个工作已经被本文第一作者和日本Tsukuba大学的学者进行了一些研究。另外一个是如何来构造代理密码系统的较为合理的可证安全模型，以及给出系统安全性的证明。已经有一些研究者开始在这方面展开工作。

4.密钥托管问题在现代保密通信中，存在两个矛盾的要求：一个是用户间要进行保密通信，另一个是政府为了抵制网络犯罪和保护国家安全，要对用户的通信进行监督。密钥托管系统就是为了满足这种需要而被提出的。在原始的密钥托管系统中，用户通信的密钥将由一个主要的密钥托管代理来管理，当得到合法的授权时，托管代理可以将其交给政府的监听机构。但这种做法显然产生了新的问题：政府的监听机构得到密钥以后，可以随意地监听用户的通信，即产生所谓的“一次监控，永远监控”问题。另外，这种托管系统中“用户的密钥完全地依赖于可信任的托管机构”的做法也不可取，因为托管机构今天是可信任的，不表示明天也是可信任的。

在密钥托管系统中，法律强制访问域LEAF(LawEnforcementAccessField)是被通信加密和存储的额外信息块，用来保证合法的政府实体或被授权的第三方获得通信的明文消息。对于一个典型的密钥托管系统来说，LEAF可以通过获得通信的解密密钥来构造。为了更趋合理，可以将密钥分成一些密钥碎片，用不同的密钥托管代理的公钥加密密钥碎片，然后再将加密的密钥碎片通过门限化的方法合成。以

此来达到解决“一次监控，永远监控”和“用户的密钥完全地依赖于可信任的托管机构”的问题。现在对这一问题的研究产生了构造网上信息安全形式问题，通过建立可证安全信息形式模型来界定一般的网上信息形式。

5.基于身份的密码学基于身份的密码学是由Shamir于1984年提出的。其主要观点是，系统中不需要证书，可以使用用户的标识如姓名、IP地址、电子邮件地址等作为公钥。用户的私钥通过一个被称作私钥生成器PKG(PrivateKeyGenerator)的可信任第三方进行计算得到。基于身份的数字签名方案在1984年Shamir就已得到。然而，直到2001年，Boneh等人利用椭圆曲线的双线性对才得到Shamir意义上的基于身份的加密体制(IBE)。在此之前，一个基于身份的更加传统的加密方案曾被Cocks提出，但效率极低。目前，基于身份的方案包括基于身份的加密体制、可鉴别身份的加密和签密体制、签名体制、密钥协商体制、鉴别体制、门限密码体制、层次密码体制等。

6.多方密钥协商问题密钥协商问题是密码学中又一基本问题。

Diffie-Hellman协议是一个众所周知的在不安全的信道上通过交换消息来建立会话密钥的协议。它的安全性基于Diffie-Hellman离散对数问题。然而，Diffie-Hellman协议的主要问题是它不能抵抗中间人攻击，因为它不能提供用户身份验证。

当前已有的密钥协商协议包括双方密钥协商协议、双方非交互式的静态密钥协商协议、双方一轮密钥协商协议、双方可验证身份的密钥协商协议以及三方相对应类型的协议。

如何设计多方密钥协商协议？存在多元线性函数(双线性对的推广)吗？如果存在，我们能够构造基于多元线性函数的一轮多方密钥协商协议。而且，这种函数如果存在的话，一定会有更多的密码学应用。然而，直到现在，在密码学中，这个问题还远远没有得到解决。目前已经有人开始作相关的研究，并且给出了一些相关的应用以及建立这种函数的方向，给出了这种函数肯定存在的原因。

7.可证安全性密码学当前，在现有公钥密码学中，有两种被广泛接受的安全性的定义，即语义安全性和非延展安全性。语义安全性，也称作不可区分安全性IND(Indistinguishability),首先由Goldwasser和Micali在1984年提出，是指从给定的密文中，攻击者没有能力得到关于明文的任何信息。非延展安全性NM(Non-malleability)是由Dolev、Dwork和Naor在1991年提出的，指攻击者不能从给定的密文中，建立和密文所对应的与明文意义相关的明文的密文。在大多数令人感兴趣的研究问题上，不可区分安全性和非延展安全性是等价的。

对于公钥加密和数字签名等方案，我们可以建立相应的安全模型。在相应的安全模型下，定义各种所需的安全特性。对于模型的安全性，目前可用的最好的证明方法是随机预言模型ROM(RandomOracleModel)。在最近几年里，可证明安全性作为一个热点被广泛地研究，就像其名字所言，它可以证明密码算法设计的有效性。现在，所有出现的标准算法，如果它们能被一些可证明安全性的参数形式所支持，就被人们广泛地接受。就如我们所知道的，一个安全的密码算法最终要依赖于NP问题，真正的安全性证明还远远不能达到。然而，各种安全模型和假设能够让我们来解释所提出的新方案的安全性，按照相关的数学结果，确认基本的设计是没有错误的。

随机预言模型是由Bellare和Rogaway于1993年从Fiat和Shamir的建议中提出的，它是一种非标准化的计算模型。在这个模型中，任何具体的对象例如哈希函数，都被当作随机对象。它允许人们规约参数到相应的计算，哈希函数被作为一个预言返回值，对每一个新的查询，将得到一个随机的应答。规约使用一个对手作为一个程序的子例程，但是，这个子例程又和数学假设相矛盾，例如RSA是单向算法的假设。概率理论和技术在随机预言模型中被广泛使用。

然而，随机预言模型证明的有效性是有争议的。因为哈希函数是确定的，不能总是返回随机的应答。1998年，Canetti等人给出了一个在ROM模型下证明是安全的数字签名体制，但在一个随机预言模型的实例下，它是不安全的。

尽管如此，随机预言模型对于分析许多加密和数字签名方案还是很有用的。在一定程度上，它能够保证一个方案是没有缺陷的。

但是，没有ROM，可证明安全性的问题就存在质疑，而它是一个不可忽视的问题。

直到现在，这方面仅有很少的研究。

信息理论密码学从Shannon创建到现在已走过了半个世纪的路程.从前面的综述可见它已有了很大的发展和变化，其研究领域伸展到现代密码学的各个分支，成为现代密码的一个重要理论基础.当然它过去和今后的发展与现代密码的迅猛发展是分不开的.由于解决秘密钥密码系统中密钥管理和分配出现的复杂问题,公钥密码系统大大发展起来.在信息理论密码学中，也提出了一些在公开信道上进行保密通信的模型.研究不用密钥或用很短的密钥在公开信道上建立密钥协议和保密通信的模型和方法是应用的需要.可望有更多的这类模型和方法问世.采用随机化方法来换取密钥达到保密的加强也是一个途径.它的代价是增加传送数据.这方面的研究也将取得更多成果，认证理论和认证码，密钥共享是当前研究的热点.可望在信息理论上有更多进展，另一个动向是信息论方法与复杂性理论的结合.除了第十节提到的结合方式外，研究新的基于复杂性理论的不定性度量作为安全性度量也是一种结合方式.例如Yao的有效熵就是这种度量.另一方面信息理论密码学的发展与信息论编码理论的发展也是分不开的.近年来在信息论和编码理论方面有许多新成果，如任意变化多用户信道，信道辨识码，磁记录信道及其编码，Turbo码，Galois环上的码等.这些新成果可望应用于密码研究.当然对本文前面各节提出的研究问题也将会不断取得新的进展.综上所述，信息理论密码学是一个富有生命力和有很大发展前途的学科.