转载自:http://blog.sina.com.cn/s/blog_185c43eee0102yrxq.html
苏盛辉 2018-07-21
1 在软芯片上 落后国家相对容易赶上或超过先进国家
什么是软芯片,我们在5月29日的博文中谈到了,它是一种关键核心算法。
作为网络安全的关键核心技术之一,非对称密码体制(包括三个算法)就是一种软芯片。自1976年其架构被首次提出以来,它历来是各国学者重点研究的对象。不像硬芯片CPU要依赖于蚀刻机等高精度物理设备,软芯片主要依赖于人的大脑。因此,只要肯努力、肯坚持、肯尝试,在软芯片上,落后国家是相对容易赶上甚至超过先进国家的。
在7月19日的博文中,我们谈到非对称密码体制的设计有三个层次,即概念层次、难题层次和算法层次,并且要能保证从公钥推导不出私钥,从公钥与密文的联合推导不出私钥,从密文推导不出明文,从密文与公钥的联合推导不出明文,从密文与已知明文的联合推导不出另一个明文。由此可知,设计一个安全的非对称密码体制是非常困难的。这里的安全也分为两个层次,一是在电子计算机上是安全的,二是在量子计算机上是安全的。当然,后者包含了前者。
2 原创非对称密码体制的标准
在7月19日的博文中,我们谈到了关于原创的标准。
一个非对称密码体制是否原创,主要要看三个方面:(1) 是否引入了新的关键概念和其性质,或是否首次使用已有关键概念;(2) 是否引入了新的难题,或是否首次使用已有难题;(3) 是否设计了三个新算法。
3 目前中国有两个原创的非对称密码体制
根据上述标准和公开资料来衡量,中国原创的非对称密码体制目前有两个,或两个系列。
3.1 学者陶仁骥和陈世华的基于有限自动机的非对称密码体制
该项工作始于上个世纪80年代初,1997年推出成熟版本FAPKC 3体制[1][2],它是基于计算机科学中有限自动机理论的,利用了有限自动机的弱可逆性(图1)。不过,该体制以密文作为反馈来构造状态转移函数,存在一定安全风险[3]。
图1: 有限自动机密码体制论著
在同样的安全性下,其速度应该比RSA体制快,但与ECC体制相比如何,尚未见有关文献做讨论。另外,它是否抗量子计算攻击亦未见有关文献做分析。
3.2 学者苏盛辉和吕述望的基于杠杆函数的非对称密码体制
该项工作始于上个世纪90年代末,2001年推出REESSE1非对称密码体制,并申请第一个发明专利(专利号ZL011101636,2001年4月2日),2003年在《计算机工程与科学》杂志上发表相应论文,2004年提出REESSE2,2005年提出REESSE1-E,并受邀在Crypto 2005会议上报告和讨论它(图2)(后因签证问题而未成行),2006年提出REESSE1+,并在国际密码学会电子文库公布了它[4]。其后,REESSE1+被不断改进和完善。
图2: Crypto 2005大会主席邀请函
2011年REESSE1+被国际著名期刊《Theoretical Computer Science》接收(图3),2012年4月被出版发行[5]。《Theoretical Computer Science》之所以出名,是因为它曾刊登的文章是作者后来被授予图灵奖的成果依据。
图3: REESSE1+非对称密码体制
REESSE1+是一个原型体制,包括加密和数字签名两部分,基于三个新难题,即多变量排列难题(Multivariate Permutation Problem,MPP(内含杠杆函数))、非范子集积难题Anomalous Subset Product problem,ASPP)和超越对数难题(Transcendental Logarithm Problem,TLP)。自2009年8月起,这三个难题在国际上被公开悬赏破解,每个10万美金(图4),至今无人能破,仍是指数时间安全的[6]。
杠杆函数简单地讲,它会导致破译非常非常困难(面临排列问题),而解密很容易(只是面临累加和问题)。
图4: 三个新难题的公开悬赏破解
2016年12月,源自REESSE1+加密部分的JUOAN非对称密码体制被《Theoretical Computer Science》发表,它是一个有实用价值的加密体制[7]。JUOAN是可证安全的,在同等安全性下,其运行速度比RSA快,但比ECC慢。另外,目前的分析表明它是抗量子计算攻击的。
为了获得更快的运行速度,目前,我们正研制JUOAN2,已有初步方案。它可能成为世界上最快的量子安全的非对称密码体制之一。
REESSE1+/JUOAN体制获得了著名密码学家Ronald L. Rivest 、蔡吉人、周仲义、魏正耀、郑建华等院士的书面好评。
4 SM2非对称密码体制为何不是原创的
SM2在国内鼎鼎有名[8],并被说成是国产密码,为何它不是原创的呢?
打开文献[8]一看题目,就知SM2其实是椭圆曲线公钥密码算法(图5)。
图5: SM2椭圆曲线仿制密码(来自网络)
椭圆曲线公钥密码算法常简称为椭圆曲线密码,根据其英文叫法Elliptic Curve Cryptography或Elliptic Curve Cryptosystem,它又进一步简称为ECC。
ECC是ElGamal体制在椭圆曲线加法群上的类似,而ElGamal又受示于Diffie-Hallman体制,因此,ElGamal体制没有被申请专利,同样,ECC也不能被申请专利。这样,诞生于美国的ECC就可以超脱专利限制而被其它国家使用。因此,严格来讲SM2是一种国产仿制密码,就像国家药品监督管理局的仿制药配方一样。
我们国家使用ECC作为公钥体制标准不是不可以,但它也有不利的一面:
首先,它抑制了绝大部分网络(信息)安全企业的创新,尤其,不像硬芯片需要花钱购买,SM2作为一种软芯片,无需花钱就可以得到,这样,企业自然不愿意来搞耗钱、耗时的关键技术创新了。
其次,绝大部分网络安全企业做应用开发时,底层都是使用SM2,这样,大家面对市场或项目竞标时,彼此之间是一种同质竞争,为了拿下某个客户或项目,是否会导致正常竞争手段之外的其它手段?
再次,由于SM2是仿制ECC的,因此,SM2的应用范围就不可能超越ECC,即ECC不能做的事情,SM2也不能做,这样,我们的企业只能亦步亦趋,在国际上无竞争力。即使名义上把SM2弄成国际标准也没有实际意义,不会带来国际竞争力和经济效益,因为别的国家完全可以选择ECC做替代,完全可以不用SM2。
再再次,由于ECC不能抗量子计算攻击,因此,SM2也不能抗量子计算攻击,这样,目前我国的网络安全局势整体面临很大的风险,为此,国家理应赶紧制订新的抗量子计算的密码标准,但有技术储备吗?我们这样一个大国,倡导“一带一路”,不能再拿美国的东西作为自己的标准了吧?
最后,由于有SM2的存在,因此,导致有关领导不重视、甚至打压国产原创非对称密码体制的研发,减缓了国产原创密码体制的实用步伐,加重了量子计算机对我国网络安全产业的威胁。
5 结束语
中国人并不笨,关键要有一个好的体制机制、一个好的法律体系、一个好的创新生态,以便让全体国人的聪明才智和创新创造热情得到最大的释放。
在当前形势下,我们要有一种紧迫感,凡是不利于创新创造的体制机制、不利于成果转化的条条框框都得改,要彻底地改。创新创造不是高级别单位的专利、不是高级别学官的专利、不是“高帽子”学者的专利,谁的成果经得起实践检验,谁的成果就是过硬,就要尽快用上。
谁为了个人或小团体利益阻碍创新,谁就是跟中央唱反调,谁就是人民的敌人。
参考文献
[1] 陶仁骥, 陈世华. 一种有限自动机公开钥密码体制和数字签名. 计算机学报, v8(6), 1985, pp: 401-409.
[2] R. Tao, S. Chen, and X. Chen. FAPKC3: A New Finite Automaton Public Key Cryptosystem. Computer Science and Technology, v4(12), 1997, pp: 289-305.
[3] 尤春光. 基于自动机理论的公钥密码学研究. 南京理工大学硕士论文(导师: 叶有培), 2005年06月.
[4] S. Su and S. Lü. The REESSE1+ Public Key Cryptosystem. http://eprint.iacr.org/2006/420.pdf, 15 Nov 2006.
[5] S. Su and S. Lü . A Public Key Cryptosystem Based on Three New Provable Problems. Theoretical Computer Science, v426-427, Apr 2012, pp: 91-117.
[6] S. Su and S. Lü. REESSE1+ • Reward • Proof by Experiment • A New Approach to Proof of P ≠ NP. http://arxiv.org/pdf/0908.0482, Aug 2009.
[7] S. Su, S. Lü, M. Xu, and T. Xie. A Semantically Secure Public Key Cryptoscheme Using Bit-pair Shadows. Theoretical Computer Science, v654, May 2016, pp: 113–127.
[8] 国家商密办. SM2椭圆曲线公钥密码算法. 国家密码管理局公告(第21号), 2010年12月17日.
扫一扫
2545
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
