密碼學開展報告20211.報告內容密碼學發展歷史回顧一我國密碼學最新研究進展二國內外密碼學發展比較三密碼學發展趨勢及展望四我國密碼學學科發展建議五2.一、密碼學開展歷史回憶兩個分支形成既對立又統一的矛盾體密碼編碼學密碼分析學新方法/新手段新思想/新結構3.密碼編碼學密碼分析學高安全或新型密碼算法與協議的設計理論、方法與技術破譯密碼算法與協議或偽造認證信息的理論、方法與技術新的應用驅動標準化的需求新技術的出現分析技術的發展新型計算技術存儲技術編碼技術的發展研究分支

核心研究內容

內在驅動

4.應用密碼學發展時期現代密碼學發展時期對稱密碼學早期發展時期科學密碼學前夜發展時期1997-當前1976-19961949-1975古代-1948密碼學開展的四個階段DH和DES理論與科學直覺和信念NIST，NESSIE，ECRYPT，SHA35.二、我國密碼學最新研究進展最新理論與技術研究進展

最新成果應用進展

學術建制最新進展

密碼學進展6.密碼協議PKI技術量子密碼序列密碼

分組密碼HASH函數最新理論與技術研究進展7.序列密碼序列密碼是一類重要的對稱密碼，在加密速度和硬件實現規模兩方面具有明顯優勢我國學者早在20世紀70年代就開始了序列密碼的研究工作，在多個前沿方向上取得了重要進展近幾年，在序列密碼領域有兩個方面的成果值得一提：戴宗鐸教授領導的團隊在多重偽隨機序列的多維連分式理論方面的工作戚文峰教授領導的團隊在整數剩余類環壓縮導出序列方面的工作8.基于此理論解決了國際上多年未能解決的一系列難題：解決了有關d-perfect多重序列的一個猜想；解決了有關二重序列線性復雜度均值的一個猜想。刻畫了多重無限長序列線性復雜度的漸近性態；揭示了m-CFA算法與廣義Berlekamp-Massey算法之間的關系。多維連分式理論戴宗鐸教授領導的團隊創立了多維連分式理論，并用此理論解決了多重序列中的假設干重要根底問題。針對多重偽隨機序列先后提出了可實現最正確有理逼近的多維連分式算法〔稱為m-CFA算法〕和通用高維連分式算法〔稱為m-UCHA算法〕9.環上本原序列壓縮函數的保熵性戚文峰教授領導的團隊近幾年在環Z/(pe)(p為奇素數)上本原序列壓縮函數的保熵性方面又取得了一些重要進展證明了Z/(pe)上本原序列最高權位序列0元素的局部保熵性質，即兩條不同的本原序列，其最高權位序列的0元素分布必不同。該結論大大改進了20世紀90年代初由我國學者和俄羅斯學者分別獨立證明的最高權位序列保熵性證明了Z/(p)上形如g(xe

1)

(x0,x1,…,xe

2)的e元多項式函數都是保熵的對Z/(pe)上本原序列，證明了模壓縮的保熵性，即環Z/(pe)上兩條不同的本原序列模M壓縮后得到的兩條序列也互不相同，M是至少包含一個異于p的素因子的整數10.分組密碼我國學者近幾年在分組密碼設計、分析和工作模式等方面取得了可喜的進展值得一提的是吳文玲研究員領導的團隊在一些典型的分組密碼分析方面做出了突出奉獻NUSH——對NUSH分組密碼算法的線性密碼分析結果，在NESSIE的安全報告中被認為是對NUSH分組密碼算法最有效的攻擊方法，從而導致NUSH分組密碼算法在遴選中被淘汰。AES——利用時間/存儲/數據折衷的思想，提出了對AES更有效的不可能差分攻擊；利用密鑰擴展算法的特點，選取新的種子密鑰差分，提高了對AES-192相關密鑰-不可能差分攻擊的有效性；利用列混合變換的獨特性質，提出了對AES-192的相關密鑰-差分線性攻擊方法。Rijndael——針對大分組Rijndael對不可能差分分析的安全性，構造了一批新的不可能差分，并給出了7輪Rijndael-160、8輪Rijndael-192、9輪Rijndael-224/256的分析算法。Camellia——給出了Camellia的碰撞攻擊和線性/差分分析，構造了8輪Camellia的若干不可能差分，并利用這些不可能差分對Camellia的安全性進行了分析。FOX——利用若干3輪區分器，結合積分攻擊方法和碰撞技術，提出了對低輪FOX的新攻擊。SMS4——給出了一類5輪循環差分特征，從而構造出有效的18輪差分特征和14輪飛來去器區分器，給出了對21輪SMS4的差分攻擊和對16輪的矩陣（飛來去器）攻擊；針對SMS4的活躍S盒特性，給出了19輪的有效差分特征，將SMS4的差分分析推進到23輪。11.HASH函數我國學者在Hash函數方面取得了一批國際領先的科研成果，尤其是我國學者王小云教授領導的團隊在Hash函數的平安性分析方面做出了突出奉獻建立了現有Hash函數碰撞攻擊的理論與技術，深入分析了國際通用Hash函數MD5、RIPEMD、SHA-0和國際Hash函數標準算法SHA-1等，推動了Hash函數的開展與研究。該成果獲得了2021年國家自然科學二等獎MD4和RIPEMD——給出了MD4和RIPEMD有效碰撞攻擊，復雜度分別為28和218次運算，這是國際上公開的第一次對RIPEMD的實際攻擊。一般理論——通過提煉MD4和RIPEMD的圈函數的特征建立了統一的數學分析模型，提出了比特追蹤法和高級明文修改技術，提煉出碰撞攻擊一般理論。MD5和SHA-0——首次提出MD4的第二原像攻擊。首次給出了MD5的有效碰撞攻擊。通過對SHA-0建立數學分析模型，從2512的明文空間中推導出兩條碰撞路線，首次破解了SHA-0。新方法——在SHA-0的破解中，建立了SHA系列雜湊函數破解的基本理論，提出了針對明文分布規律的數學分析模型以及將不可能差分轉化為可能差分的新方法。12.密碼協議我國學者近幾年在密碼協議的設計與分析方面取得了可喜的進展，利用可證明平安性的設計理念提出了一批重要的密碼協議，發表了一批高水平的學術論文，在國際上產生了一定的影響最為突出的成果是鄧燚等學者在重置零知識和精確零知識方面的研究成果FOCS’09和Eurocrypt’07——提出并實現了兩個實例依賴的新工具：實例依賴的可驗證隨機函數和實例依賴的證據不可區分知識論證系統，證明了BGGL猜想即在Plain模型下，NP語言存在可重置可靠的、可重置零知識的論證系統，解決了MR問題即在BPK模型下，存在常數輪的可重置可靠的、可重置零知識的論證系統。13.PKI技術PKI技術是一種能夠解決網絡環境中信任與授權問題的重要技術我國學者在該領域取得了長足的開展，尤其是馮登國教授領導的團隊在PKI技術方面做出了重要奉獻,該成果獲得2005年國家科技進步二等獎構建了具有自主知識產權的PKI模型框架，為解決PKI互操作問題和模型復雜問題提供了新的技術途徑提出了雙層式秘密分享的入侵容忍證書認證機構，為解決PKI自身安全問題提供了一套國際領先的方案提出了PKI實體的概念，簡化了對PKI的理解、設計、實現和應用14.量子密碼量子密碼是以現代密碼學和量子力學為根底、利用量子物理學方法實現密碼思想和操作的一種新型密碼體制我國學者在誘騙態量子密碼和量子避錯碼等方面做出了開創性工作，這些工作對整個領域的開展來說具有舉足輕重的地位在不同協議的設計和分析方面提出了大量建設性意見，推動了量子密碼理論的開展我國學者近幾年在量子密碼實驗方面取得了一些令人矚目的成績，尤其是郭光燦院士領導的團隊和潘建偉教授領導的團隊成績突出15.量子密碼郭光燦院士領導的團隊2004年，在北京和天津之間的商用通信光纖中完成了120/160公里的QKD實驗2007年，利用自主創新的量子路由器，率先完成四用戶量子密碼通信網絡的測試運行。這是國際上首次公開報道的無中轉、可同時、任意互通的量子密碼通信網絡，標志著量子保密通信技術從點對點方式向網絡化邁出關鍵性的一步2021年，建成世界首個量子政務網——蕪湖“量子政務網〞，標志著我國量子保密通信技術已步入應用軌道潘建偉教授領導的團隊2004年，成功完成五粒子糾纏態及終端開放的量子隱形傳態實驗2005年，利用超穩定高強度的4-光子糾纏態光子源完成了QSS實驗2006年，首次實現了六粒子糾纏態的制備，完成傳輸距離超過100公里的誘騙態QKD實驗2021年，實現遠距離量子通信中亟須的“量子中繼器〞，在合肥建成了世界上首個光量子網16.二、密碼學最新研究進展最新理論與技術研究進展

最新成果應用進展

學術建制最新進展

密碼學進展17.最新成果應用進展2021年是我國?商用密碼管理條例?發布實施10周年，10年來我國的商用密碼取得了長足開展國家密碼管理局于2021年8月下旬在北京展覽館舉辦了“全國商用密碼成果展〞，充分展示了我國近幾年密碼最新成果的應用進展值得一提的是我國在可信計算和WAPI兩方面的密碼應用進展18.可信計算領域中的密碼應用可信計算的主要思想是在硬件平臺上引入平安芯片架構，來提高終端系統的平安性，從而將局部或整個計算平臺變為“可信〞的計算平臺可信計算密碼支撐平臺是一種由可信密碼模塊(TCM)和可信密碼效勞模塊(TSM)組成的軟硬件系統，是可信計算平臺的重要組成局部，為實現可信計算平臺自身的完整性、身份可信性和數據平安性提供密碼支持，其功能內容包括密碼算法、密鑰管理、證書管理、密碼協議、密碼效勞等通過在可信計算領域中的密碼應用推廣，推出了我國自主的?可信計算密碼支撐平臺功能與接口標準?，大大提升了我國密碼算法的應用水平和密碼芯片的設計和研制水平19.WAPI中的密碼應用我國自主研發的寬帶無線網絡WAPI〔無線局域網認證與保密根底設施〕平安技術，實現了無線IP網絡認證和保密的根底架構使終端和網絡接入點進行完整的雙向認證通過接入控制、加密、數據完整性校驗和數據源認證等措施，構成了完整的無線局域網認證與保密協議，彌補了同類國際標準的平安缺陷形成并公布了兩項國家標準，該成果2005年獲得國家創造二等獎SMS4是國家密碼管理局公布的第一個分組密碼算法，主要作為無線局域網的推薦密碼算法SMS4算法的整體設計水平和國外算法相當，具有自身的特色和創新之處20.二、密碼學最新研究進展最新理論與技術研究進展

最新成果應用進展

學術建制最新進展

密碼學進展21.學術建制最新進展近幾年，我國在密碼學學術建制方面的主要工作表達在以下幾個方面：中國密碼學會國家商用密碼應用技術體系總體組WG3標準工作組22.中國密碼學會中國密碼學會于2007年3月25日正式成立已成立的學術、教育和組織工作委員會，量子密碼專業委員會開展了眾多工作，即將成立的密碼數學理論、密碼算法和密碼芯片專業委員會已獲得主管部門批準，根據實際需要還將成立必要的專業委員會，全面推進中國密碼學學科的開展和進步中國密碼學會的網址為：23.24.國家商用密碼應用技術體系總體組國家密碼管理局為了推動商用密碼的應用，成立了國家商用密碼應用技術體系總體組，并針對不同領域成立了多個密碼應用專項工作組可信計算密碼專項組在2021年12月正式更名為中國可信計算工作組〔ChinaTCMUnion，簡稱TCMU〕中國可信計算工作組帶著學術界和產業界共同開展中國自主創新的可信計算技術與產業，其主要任務是研究制定可信計算密碼應用技術體系及相關密碼技術標準標準，推動可信計算技術與產品的標準化、工程化和產業化，指導可信計算應用示范工程建設中國可信計算工作組的網址為：25.WG3標準工作組為了有效推動國家密碼標準的制訂和研究，全國信息平安標準化技術委員會〔簡稱信息平安標委會，TC260〕設立WG3標準工作組WG3標準工作組專門制訂和研究密碼方面的標準和標準26.三、國內外密碼學開展比較密碼理論密碼技術密碼應用密碼標準C1C2C4C327.〔一〕密碼理論方面的開展比較密碼理論——密碼數學根底理論、密碼算法設計理論和密碼算法分析方法美國等西方一些興旺國家和地區的密碼理論研究水平比較高，研究成果突出，覆蓋面廣，創新理論和新觀點、新方法較多我國在密碼理論研究方面取得了豐碩成果，如密碼布爾函數、序列密碼設計理論和分析方法、分組密碼分析方法、Hash函數分析方法、公鑰密碼分析方法、量子密碼等總體上講，我國密碼理論研究開展很不平衡，只是在一些點上的研究深度到達了國際水平，覆蓋面還不夠廣，可持續開展不夠好，研究深度與國際水平還有差距，創新理論和新觀點、新方法還不夠多28.雜湊函數密碼協議-可證平安密碼協議-形式化分析序列密碼公鑰密碼密碼理論分組密碼量子密碼29.序列密碼開展比較11991年，我國學者肖國鎮教授等提出的序列密碼的穩定性理論是序列密碼領域的一個原創性理論220世紀80年代，我國學者曾肯成教授等提出的整數剩余類環壓縮導出序列是一個原創性工作3帶進位反饋移位寄存器（FCSR）序列是1993年由美國學者提出的，是目前序列密碼領域的一個研究熱點但目前我國在這一領域的研究工作總體上已落后于國外目前我國學者在剩余類環壓縮導出序列領域的研究工作仍處于國際領先水平目前我國學者在這一領域的研究供過于求處于國際領先水平130.序列密碼開展比較4序列密碼的代數攻擊是近幾年序列密碼研究領域取得的最重要成果之一，在代數攻擊的理論研究和應用上，我國落后于國際5我國對eSTREAM各個算法的研究中與國際先進水平有很大差距6我國還沒有公開征集序列密碼算法標準我國在由代數攻擊引發的布爾函數代數免疫問題的研究成果得到國際上充分肯定我國在非線性序列源的理論研究和應用落后于國際先進水平所以在序列密碼的設計理論上，也落后于國際先進水平131.分組密碼開展比較我國公布的推薦密碼算法SMS4充分表達了我國分組密碼的設計水平已到達國際先進水平在分組密碼分析方面無論從使用已有的分析手段，還是從對各類分組密碼進行分析的效果來看，國內外差距不大在某些方面，我國學者的分析工作處于領先地位如我國學者張文濤等對AES的分析結果、吳文玲和多磊等對Camellia的分析結果、張蕾等對SMS4的分析結果都是目前國際最好的工作分組密碼工作模式的研究在國際上已經是一個很重要的研究方向，而我國在這方面的研究工作才剛剛起步232.公鑰密碼開展比較國際上一個正在進行的研究方向是超橢圓曲線上或代數簇上的雙線性映射由于涉及很多數論知識、以及數論專業人才培養的不多，國內對此研究的人很少從總的方面看，由于研究難度大，國內對公鑰密碼算法進行研究的人比較少，在公鑰密碼相關困難問題方面從事研究的人就更是寥寥無幾如大數分解，目前國際上一直有很多進展，預期在2021年完成768比特RSA模數的分解333.雜湊函數開展比較我國的研究起步較晚，但取得了突破性成果，現已處于國際領先水平我國率先提煉雜湊函數不平安因素的數學特征，建立統一的數學分析模型，提出雜湊函數碰撞攻擊的一般理論--比特追蹤法，找到了國際通用雜湊函數MD5、SHA-1、RIPEMD、SHA-0等的碰撞國際上對雜湊函數的分析開展迅速，涌現出了一批新的研究成果。基于雜湊函數的MAC算法的研究方面還處于劣勢，尤其在設計方面比較薄弱，有待提出具有國際影響力的新的平安可靠的設計理念，但在平安性分析方面，我國取得了一系列具有國際先進水平的研究成果434.密碼協議形式化分析開展比較在密碼協議的形式化分析方法方面，我國的研究處于一個初級開展階段，也處于一個為難的境地我國這方面的研究，理論上沒有形成有影響力的理論體系，實用上也沒有形成有影響力的平安驗證系統我國在這一領域的研究力量沒有真正得到重視，并且也存在實際上的困難具體地講，這個方向是一個真正交叉研究領域，形式化方法是研究工具，密碼協議是研究對象，二者缺一不可從這個領域的研究現狀看來，后繼乏人是一個令人擔憂的事情535.密碼協議可證平安開展比較在密碼協議的可證明平安性理論方面，我國學者近幾年取得了可喜的進展，利用可證明平安性的設計理念提出了一批重要的密碼協議，發表了一批高水平學術論文，在國際上產生了一定的影響在基于公鑰的認證密鑰交換協議方面，目前國內學者的研究水平與國際水平相當在基于口令密鑰交換協議方面，國內研究工作與國際水平有一定相差在零知識協議方面，國外學者對零知識協議都有深刻的刻畫。國內研究零知識協議學者屈指可數，在廣度上不及國外，但也取得了可喜可賀的成績，尤其在重置零知識和精確零知識上，國內研究處于國際領先地位636.量子密碼開展比較在量子密碼方面，我國學者取得了大量的重要研究成果在理論方面，我們在誘騙態量子密碼和量子避錯碼等方面做出了開創性工作，這些工作對整個領域的開展來說具有舉足輕重的地位。同時，在不同協議的設計和分析方面提出了大量建設性意見，切實推動了量子密碼理論研究的進步在實驗方面，我們更是取得了一些令人矚目的成績，郭光燦院士和潘建偉教授領導的小組在量子密碼實驗的某些方面已經到達了國際先進水平737.量子密碼開展比較〔續〕不可否認的是，我們在一些方面與國際水平還存在一定的差距在協議設計方面，我們雖然設計了大量各具特色的量子密碼協議，但在真正具有較大創新性、能切實推動理論或實驗進展的根本協議上尚有所欠缺，在解決各類協議設計中遇到的難點、重點問題上做的還不夠在協議分析方面，我們雖然對不同協議給出了多種有效的攻擊方法，但在對BB84等根本協議的分析或平安性證明方面尚有所欠缺，對量子密碼系統在實際環境中的平安性研究還不夠在相關關鍵技術方面，我們提出的創新性理論工作還較少。還需要增加投入，努力尋找某些理論方法去協助解決當前實驗條件下量子密碼系統所面臨的一些難點問題在實驗方面，我們在自由空間量子密碼實驗和連續變量量子密碼實驗等方向成果較少。還需更多研究者投入到實驗研究中來，著力解決實驗中面臨的一些難點問題738.〔二〕密碼技術方面的開展比較密碼技術——密碼算法、密碼芯片、密碼根底設施、密碼軟硬件實現優化技術等美國等西方一些興旺國家和地區的密碼技術體系相比照較完善，技術密集度高，技術種類豐富，覆蓋面廣，時間跨度大，幾乎對所有的密碼技術都有深度研究，對過去、現在和未來的密碼技術研究都有詳細部署。技術創新性強，創新技術多，技術輻射面廣我國密碼技術體系根本形成，總體上來講，我國密碼技術的開展很不平衡，在一些點上的研究深度到達了國際水平，如SMS4分組密碼算法、TCM密碼芯片、PKI/CA技術，但覆蓋面還不夠廣，研究深度和廣度都與國際水平還有差距，創新技術還不夠多39.國外發達國家和地區，已形成了較為完整的密碼算法體系，種類齊全、技術先進，面向不同的應用和環境我國目前公開的自主密碼算法只有一個，還沒有真正建立起自主的密碼算法體系，與國外還有一定的距離

我國密碼算法的芯片實現技術已經相當成熟；但從芯片的系統化來看，我國的相關研究還剛剛起步，不同應用領域的發展也不平衡；關于密碼芯片的實現安全方面，我國主要研究基本停留在實驗室階段國外近幾年的關注點集中在三個方面：高級的側信息挖掘與秘密信息恢復方法；各種故障攻擊的研究；形式化安全性分析方法及評估方法。我國相關研究與國際水平差距比較大我國近幾年在PKI方面取得了突破性進展，完全自主掌控了PKI技術，已具備建設能夠滿足信息化發展需要的PKI/CA系統的能力，并已自主建設了大量的實用PKI/CA系統，其研究水平處于國際先進水平

密碼算法密碼芯片側信道分析密碼基礎設施40.〔三〕密碼標準方面的開展比較國外興旺國家和地區具備成套的密碼標準，不但實時跟進和更新，而且還進行超前研究相比之下，我國在密碼標準制定方面相距較遠，僅在2006年，國家密碼管理局公布了適用于無線局域網產品的推薦密碼算法SMS4可喜的是，我國近幾年高度重視密碼標準的研究與制訂，如無線局域網密碼標準、可信計算密碼標準，并在實際應用中發揮了重要作用但仍需加強密碼標準體系建設，加強技術標準超前研究，加強推進技術標準的國際化程度41.〔四〕密碼應用方面的開展比較國外興旺國家和地區的密碼技術應用方案比較周密、詳實、并且可操作性強，在考慮新技術應用的同時就考慮了密碼技術的應用問題和解決方案我國在密碼技術與應用的融合方面已經取得了一些可喜的成績，但其應用水平與國外還有一定的差距，其應用深度和廣度都有待于進一步加強42.四、密碼學開展趨勢及展望密碼的標準化趨勢密碼的公理化趨勢面向社會應用的實用化趨勢面向新技術開展的適應性趨勢從密碼開展史來看，密碼標準是密碼理論與技術開展的結晶，也是推動密碼學開展的源動力追求算法的可證明平安性是目前的時尚，密碼協議的形式化分析方法、可證明平安性理論等仍將是密碼協議研究的主流方向密碼技術本身及其應用水平都有待于提高，適度平安的密碼技術的研究已成為當前很受關注的方向日益增強的計算能力和快速變化的計算模式對現有密碼技術帶來了巨大挑戰，具有可變計算平安性和適用新型計算模式的密碼技術是未來的重要開展方向43.歐洲序列密碼〔eSTREAM〕方案有效地推動了序列密碼的開展隨著量子計算等新型計算技術的開展，現有的基于因子分解和離散對數的公鑰密碼將不再平安輕量級、模型化、多功能化、可證明平安和已