主讲人:曹珍富 电子信息与电气工程学院教授 博士生导师
谢海光
各位同学、各位老师,大家好,今天请到的是电子信息与电气工程学院教授、博士生导师曹珍富教授,他今天讲的主题是关于密码学与信息安全。
首先我向大家介绍一下曹珍富教授,曹珍富教授,男,1962年8月出生于江苏,理学博士,现在是上海交通大学计算系教授、博士生导师,国家杰出青年基金,和中国高校自然科学奖一等奖获得者,他是2000年7月被评为博士生导师,2002年1月调入上海交通大学计算机系教授、博士生导师。美国《数学评论》、德国《数学文摘》的长期评论员;1980年系统学习数论,并于1981年公开发表论文;“数论与公开钥密码体制”的课题,获得中国科学院青年奖励研究基金;1987年完成了第一本专著,并且获得了航天部科技进步奖三等奖;1989年完成第二部专著《公钥密码学》;1992年,独立完成的课题“公钥密码体制及其计算机实现”或的航空航天部科技进步奖三等奖; 1996年当选哈尔滨市十大杰出青年;1999年应邀担任国家信息安全专家组成员,独立完成课题“二次背包密码与二次密钥方案”获得黑龙江省科技进步三等奖;2000年应邀担任国家信息化专家组成员,并且承担了相关的项目,同年“二次域密码、密钥托管及其应用”课题,再次获得国家自然科学基金的资助。
关于密码学曹教授获得的成果非常多,二十多年已经完成了二十余项国家级和省部级的课题,而且均是项目的负责人。在密码学、网络信息安全等方面,解决了国际上著名数学家及密码学专家提出的问题,包括国际上的一些公认的著名学术刊物都有著述,以及国内《中国科学》,《科学通报》,《计算机学报》等等。这些论文被国内外众多的学者在一些重要的学术刊物引用有400多次。相关的研究成果还有很多,他还主编三部学术论文集和教材,获得霍英东高等院校青年教师奖等等,也被很多新闻媒体进行专题的报道。所以今天有这样一个机会,能够请到曹老师给我们就密码学和信息安全这样的问题做一个主题报告,一定会给我们密码学和信息安全理论和实践带来很多的启示。根据最近一个时期的统一安排,今天的安排将继续通过网络、宣传部焦点网、网络信息中心视频网、上海交通大学饮水思源 BBS站、教育技术中心有线电视台进行实况转变,通过文字、视频、音频几个方面进行转播,欢迎大家收听收看。时间还是这样,从现在开始到3点多一点时间由曹老师主讲,下面有一个小时的时间提问跟曹老师沟通,欢迎大家在其他的时间点播这个节目,下面请曹老师做主题的报告,大家欢迎。
曹珍富
谢谢,很高兴能够给大家介绍一下密码学与信息安全的基本情况。首先我想介绍一下密码学与信息安全的关系。密码学是用来保证信息安全的一种必要的手段,可以这样说,没有密码就没有信息安全,所以密码学是信息安全的一个核心。那么信息安全必须是密码学的应用,就是只要提到安全问题,其中必须是以密码理论为基础,不可以不用密码而谈安全,但是仅仅依靠密码学来保证信息安全也是不够的,还是需要关于安全方面的一些立法和管理政策手段等等,所以从技术上来说,密码学是信息安全的一个核心技术。
首先介绍国内外的现状和发展趋势,这里简单介绍一下美国和中国有关的情况。那么美国在关键基础设施保护,和他们技术保护方面,出台了一系列相应的政策,这些政策可以说主要是用来保护他们国家的利益。比如说规定出口密码学的产品,安全强度控制在他们有关部门能破译的产品才能出口给别的国家。就是说,如果我们使用这样的安全产品,那么安全是控制在人家的手里。总体来说还有像密钥托管标准,这个标准是用来监听每一个用户的秘密通信。都是为了他们国家的利益。我们国家也相应出现了一系列管理条例和安全的政策,比如我们国家最重要的就是商用密码管理条例,相应成立了商用密码管理办公室,由他们审批有关商用密码产品的研制和开发。这个条例当中规定,我们商用密码产品必须依靠自主研究,使用具有自主知识产权的我们自己的安全产品。这就给我们密码产品开发和密码研究非常明确地提出了任务。同时为了研究和政策制定,在很早的时间,1990年就成立了国家级的学术研究机构,虽然这个机构现在还没有去掉筹字,但已经很有影响,叫做中国密码学学会。在1999年由信息产业部牵头成立了国家信息安全技术专家组,2000年又成立了国家信息化专家咨询组为国家决策提供咨询。
密码学主要解决哪些问题呢?我们说密码学要解决的问题也是信息安全的主要任务,就是解决网上信息的机密性、完整性、不可否认性和可用性。机密性非常好理解,就是我们要传送一个信息,这个信息只有接收者才能读到,其他的人,其他的用户是无法获取这个信息,无法打开信息内容,虽然可以得到加密以后的形式。这个机密性就是要对传送的信息加密,保证信息不泄漏给未经授权的人。完整性就是防止信息被未经授权的人篡改,保证信息不被篡改,而且信息的完整性跟不可否认性是紧密相连的东西。不可否认性和完整性这两条实际上都是一种对信息的一些认证,就是我们对每一条消息,它是可以通过密码算法加密,用像数字签名一类的认证算法进行识别和认证。可用性当然意思比较明确,就是保证信息及信息系统确实为授权使用者所用。那么到底什么是密码学?密码学从大的内容上说是两个内容,密码系统和密码分析。
密码系统就是要建立各种类型的密码系统,我们要设计一个密码算法,建立一个密码方案等等,这些都属于密码系统;密码分析就是对这些系统进行攻击,进行破译,截获到一个密文,怎么获得明文,或者是由用户公开密钥的信息怎么找到保密的秘密密钥的信息,这都属于密码分析的内容,这两个内容合起来就称为密码学。密码学的研究内容,已经非常的广泛,加密、解密是它最基本的部分,包括对称密码和非对称的密码。数字签名、密钥管理,我们说一个密码算法再好,如果密钥管理算法不好,这个密码算法使用起来肯定是不安全的,就相当于你的“门”虽然非常坚固,但是你的钥匙管理不好,被人偷去,这样人家像你一样拿你的钥匙开你的门。还有秘密分享,秘密分享就是让很多人来分享同一个秘密。门限密码学,就是门限方案与一个密码方案的有机集成,可以包括各种类型的密码方案,比如说用来做加密用的一个密码体制,或者用来做签名用的数字签名方案等等,都可以跟一个门限方案有机集成在一起变成门限密码方案,这是一个难度很大的课题。不是说简单的把门限方案和密码方案叠加在一起;我们说密码学还应包括一些直接的数学理论,很多数学理论对密码学都有直接的应用,这些数学理论问题解决以后,他可以自己用来设计密码,或者是破译密码。还有有限群中的离散对数,离散对数像椭圆曲线密码,就是基于椭圆曲线群中的离散对数问题建立的;大整数分解,整数分解,现在有许多著名的密码体制,都基于整数分解问题;丢番图算法,一种是理论上的,比如说我们要建立一个算法去计算有理数或任意代数数的有理逼近,可以使用基于连分数的丢番图算法,利用这样的算法,在一定条件下就可以找到像RSA这样的公钥密码的秘密密钥;另一方面就是应用研究,比如说利用丢番图算法,建立丢番图密码,应该是一个直接的应用内容;零知识证明,就是我证明了一条定理,让你相信我确实证明了这条定理,但是又不能让你知道我是怎样证明的,对我怎么样证明你所知道的是零,但是你还能证明我确实证明了这条定理,所以这叫零知识证明;那么这些东西,如果应用到一些电子商务当中去,比如说重要的就会产生电子现金这样的概念,这属于密码学的内容。电子现金又叫数字现金,它是通常现金在网上的一种数字形式,它就有几者之间的关系,比如说用户、银行、还有商家,你到商家要购买一样东西,你要从银行提电子现金出来,然后商家要能够验证这是多少钱,并且确是你的钱,到银行能够存到他的帐户上,他才能支付你的货物,所以电子现金里面具有很多密码方案组成一个复杂的系统,电子支付是这当中一个过程。安全协议,像最基本的迪非-赫尔曼协议,用协议商量就涉及到安全协议;用数字信息防伪,现在做的很多,就是说我只需要在一个商标,或者是一个证书上面打上一些数字信息,通过把数字信息输入电脑,或者是用电话就可以查真伪,其中必须要用密码技术,否则很难做到安全的防伪技术;量子密码,就是用量子做密码,现在是一个方向;混沌密码也一样,基于混沌来做密码。量子密码和混沌密码,它们可以做传统的对称密码,也可以做非对称密码,可以做加密解密用,也可以做签名,前面提到一系列密码的东西,它们都可以用这些量子和混沌去实现;细胞自动机密码,看起来像生物密码,实际上它也是一个基于一种细胞自动机的可逆性来做的密码形式,这种密码现在研究得还比较少;VPN必须要使用密码技术,建立两个端之间的安全通道;上面所有提到的密码算法安全性的研究都属于密码的分析,它们都属于整个密码学的研究内容。
我们说区分古典密码和现代密码的标志,应该从76年开始,迪非,赫尔曼发表了一篇叫做《密码学的新方向》的文章,这篇文章是划时代的;同时1977 年美国的数据加密标准(DES)公布,这两件事情导致密码学空前研究。以前都认为密码是政府、军事、外交、安全等部门专用,从这时候起,人们看到密码已由公用到民用研究,这种转变也导致了密码学的空前发展。
关于现代密码的几项标志性工作是这样的。首先是1978年RSA方案的提出,这是R、S、A作为姓氏打头字母的三个人提出的,大家知道他们三人今年刚刚获得了计算机领域的最高奖,图灵奖。他们因为这样一项重要的成就而获奖,这个成就我们把它列在下面,很简单。就是选择两个大素数p,q,然后乘起来叫做N = pq,计算一下N的欧拉函数,比如说用t来表示,再计算e,d满足ed = 1(mod t),e是加密指数,d是解密指数,加密是计算信息m的e次方,即计算y = m^e(mod N),其中信息m不妨设为m < N;解密就是计算y的d次方,即计算y^d = m(mod N)。这个工作看起来很简单,它仅仅用到非常基本的知识,但是这项工作的意义很大,二十多年来一直广泛的被使用,虽然它的安全性最近也受到了考验,很多情形已经不安全。1979年Shamir提出秘密共享算法,就是门限方案,他把秘密D分成n个秘密碎片D_1, …, D_n,其中知道任意k个碎片都可以很容易的恢复D,用熵(度量不确定性)函数H来表示,值为零,即任意知道k个碎片时D的不确定性为零,也就是说D被完全确定。任意知道少于k个秘密碎片,就如同一个秘密碎片不知道时是一样的,也就是说秘密D是完全不确定的,这就是秘密共享方案,或者叫门限方案。 Shamir给出了这个方案用有限域上线性方程组来实现的一种方法。1982年也是一个重要的概念,是Goldwasser、Micali提出了概率加密算法,每一位安全性都得到了证明,同时又证明基于二次剩余假设,所以安全性还等价于大整数分解;二次剩余假设是:已知A和N,由X^2 = A (mod N)求出所有的X,即求模N的所有平方根问题,是一个很难的问题。基于这样的假设,可以做出一系列的密码方案,他们的概率加密方案在下面。就是除了选择两个大素数p,q,计算N = pq以外,还选择一个s,选择这个s使得s对N的Jacobi符号是1,但s是mod N的二次非剩余。于是s, N是Goldwasser-Micali概率加密系统的公开密钥,p,q是系统的秘密密钥。明文是二进制形式,设为m = m_1…m_n,每个m_i = 0或1,则密文为E_1…E_n,这里E_i等于B_i的平方mod N,如果m_i是0的话;如果m_i是1的话,就等于s乘以B_i的平方mod N,这里B_i是任选的n个随机数。从密文产生的过程中可以看出,解密是很简单的,只需要计算E_i 是mod N的二次剩余还是二次非剩余。这个密码系统也有一个致命的弱点,就是密文扩展太大。为了实现这种方案,就需要对它进行研究,比如说递归实现等等。我们这里仅仅提出概念。1982年Shamir利用LLL—算法攻破了Merkle-Hellman一次背包密码算法,后来一般的低密度一次背包密码都可攻破,即凡是密度小于0.645的一次背包都可以攻破,这是背包密码后来很少有人再去做的原因。但近年来还是有人继续研究背包密码。1986年 Goldwasser,Micali等提出了零知识证明协议,并基于二次剩余假设提出了一个具体的零知识证明协议,零知识证明协议包含证明者P和验证者V 两方,假设P得到了一个定理,刚才我已经在前面解释过,P宣布了比如说他有大整数的有效分解方法,他要让验证者V相信他确实有大整数的有效分解方法,但P 又不想泄漏有关分解方法的任何信息给验证者V,验证的方法如下:V随便选择一个大整数,比如说N等于pq,是两个4k+3型的大素数的乘积(这个选择可以是任何用户的RSA公钥中的大整数N),为了能够证明P具有分解N的能力,V首先选择X计算它模N的四次方,余数叫做Y,即计算Y满足Y = X^4 (mod N)。V将Y交给P,并要求P计算出X模N的平方,就是算出Y模N的平方根。已经证明算出Y模N的平方根,而且还要从所有平方根中选出唯一的模N的二次剩余的那个,是等价于大整数N的分解的。所以只要P具有分解N的能力,就必然能有效的算出Y模N的平方根。验证者这个过程是可以多次重复的。因为如果就一次的话,可能P的机遇很好,有可能碰出,但经过这样多次的实验,P的运气好的概率是很小的,几乎就是零。在这个过程中,P没有告诉V他的大整数具体分解的方法,也没有告诉V大整数被分解的结果。
这里列出了以后新的发展和新的概念,比如说1990年门限密码学提出,另外1990年又提出差分攻击,1993年提出了线性攻击,这两种攻击都是针对对称密码算法;1993年美国政府宣布了托管加密标准,这个标准在1994年2月份政府采用,这个标准在国际上引起了很多的争议,比如说两个用户之间通信他们是合法的通信,你如果也去监听的话,你怀疑他做了非法交易去监听,就侵犯了人家的隐私权,在美国非常讲究人权的国家,他这样做引起了很多的议论和争议。1996年有一个新的概念提出,就是代理签名,一个公司的总经理,他因为有事出差,不能完成公司的签名,或者是公司很忙,不能出差去外地完成某个签名,这些情况下他都要找一个人做他的代理,这个代理人来帮他完成他的签字。传统来说把他的印章带去就可以,但是在网上完成这个过程就需要提出具体的代理签名方案。在2000年10月份,美国国家标准和技术协会通过在全球广泛征集公布了新的加密标准,就是AES,这么做的原因主要是由于它以前的数据加密标准 DES不安全了,现在使用这样一个新的加密标准,就是AES;详细内容不再介绍了。
我们通过介绍这些东西有一些体会,有一些感想,比如说现在信息安全领域对密码算法的需求远远大于研究。什么叫做需求远远大于研究?就是信息安全需求是很大的,但是我们没有相应的安全手段去保证,没有安全的工具供我们使用;第二我们感到要想做一个好的信息安全的产品,就是说开发信息安全产品,必须有密码学与信息安全专家参与,比如说有些密码算法的隐患你不知道,很难保证你使用的是安全的情形,可能正好是不安全的情形;第三关于这个方向应该是一个长远的发展课题,因为安全的问题是永恒的;第四突破性的发展必须依赖于突破性的理论工作,IT行业不景气,很大程度上不景气的原因,决定于密码学研究的相对滞后,很多需要的密码理论成果没有,比如说现在移动通信网络的安全问题,它需要算法数据量小,还要安全性好,需要加密认证,因为手机和一台电脑是不可比的,不论是存储数量和速度,所以需要我们大家去研究适合于各种场合使用的密码算法,需要大家共同去努力。我们非常想强调的就是不是你能做什么,而是你能安全的做到什么。就是说一件事情,不是说我能把框架搭起来,能在表面上看似你能做到什么我也能做到,这是不够的。我们需要能安全的做到那样,这应该成为今后我们要考虑的问题,我们大家要重视的问题。
这就是我要介绍的一些基本的事实,我不想介绍我们这里详细情况,可以简单的介绍几句我们上海交大在密码学与信息安全方面所做的工作,这方面我们主要的长处是在公钥密码、数字签名、密钥托管、门限密码学等,上述这些方向的研究应该处于国际先进或者是领先的水平,我们欢迎大家对这些方向感兴趣的一起来交流、共同探讨一些问题,当然其他的问题我们也可以来交流,我就先讲这些,谢谢大家。
谢海光
各位老师,各位同学,刚才曹老师就密码学与信息安全基本的问题做了很好的阐述,使得我们在短短的一段时间当中,对整个密码学研究的节奏,整个现在的特点有了很多的认识,网上有很多的问题,我们先把这些问题求教于曹老师。首先大家都说有这样的问题,众所周知曹老师在密码学的建树很多,但是不知道曹老师最引以自豪的工作,特别是对密码学的贡献,最引以自豪的工作是哪些?
曹珍富
我刚才说到公钥密码,这是现代安全最核心的,因为你不管进行什么样的安全活动,都要约定密钥,认证消息和身份。当前使用的RSA有很多的漏洞,主要的漏洞就是不能等价于大整数分解,它的强度不能够证明。如果对RSA进行改造,使其安全性等价于大整数的分解,这个体制就是优于它的,这样的方案我们已经得到了;第二就是基于大整数的RSA密码在很多时候,由诸如像小加密指数攻击,或者是小私钥指数攻击,主要的出发点是利用它的一维性,我们变成多维性能有效的对抗这些攻击,所以多维RSA也是安全的,这方面我们也做了。这些算法都可以相应的拿来做签名,拿来做门限签名,拿来做门限密钥托管。密钥托管方案就是这样,就是我们两个人通信有一个密钥,那个密钥是要交给托管机构托管,如果第三方想得到我们的通信,他可能会买通托管机构,从而获得我们的通信的内容,虽然是法律授权可以这样做,但是他这样做没有人能发现,而且我们做商业秘密谈判,第三方企业花钱买通托管机构,把我们谈话的内容都截给他,不仅侵犯了隐私权,也窃取了商业机密,这样的做法很不合适,就是说我们的密钥不能直接交给一个托管机构,而应该是交给很多的机构,不是说密钥本身交给很多机构,是把这个密钥变成一些密钥碎片,交给很多机构,这些机构没有一个机构拥有全部的密钥,要求K个才能监听我们两个人的通信,而不是说其中一个或者是两个,哪怕少一个也完全不能监听我们的消息。
谢海光
强度是多少?
曹珍富
你可以选择K = 5。如果你选择五个,觉得可能他们联合作案的可能性较大,你也可以选择十个,按照你安全的需要选择具体的K值,可以变得大一些,也可以变得小一些,还得要求每次都是K个人来监听,不能说一次监听以后,监听机构可以获得两个用户间的密钥,因为这样就成了“一次监听永久监听”了。这样的话,监听机构找K个人就把密钥信息获得,下面不用K个人就可以监听到了。我们的方案是:实现了每次都必须K个人来,K个人来不能把自己的秘密给监听机构,监听机构只能得到K个人中每个人自己“监听”的消息。所以这些人来不是直接把密钥碎片给监听机构。
谢海光
大家听了以后觉得有点明白,在业内的人,在有些非信息安全、密码学的人可能对公钥、密钥基本的内容不太清楚,而这又是非常关键的,是否曹老师简单介绍一下公钥、密钥之间的关系。
曹珍富
公钥密码是迪非-赫尔曼提出来的概念,它的意思就是加密密钥与解密密钥分开,加密密钥公开,所以也叫公钥;解密密钥保密,也叫私钥。传统的密码不是这样的,传统密码的加密与解密用同一个密钥,密钥需要严格保密,密码算法被称为私钥密码算法。
谢海光
传统密码的密钥只有我们两个人知道,第三者得不到,如果得到就能解开。
曹珍富
是的,这是对称的。但对称密码本身使用是很不方便的,例如事先要约定密钥和管理很多密钥。公钥密码就是针对这个,将加密密钥公开,大家都可像电话号码一样公开在电话号码本里面,任何人翻开查到你的名字都可以找到密钥,因而可以给你发送加密消息,只有你能解得开,因为对应的解密密钥在你手里。当然,通常要求加密、解密是非常快的;从公开的加密密钥找到保密的解密密钥是不能够找到的。什么叫做不能够找到?这是计算的问题,就是从加密密钥找到解密密钥的问题是一个比较复杂的架构,最好是NP问题或NPC问题。如果满足了这些条件,这样一个公钥密码算法就已经被找到。
谢海光
这样公钥和密钥等于吻合在一起。
曹珍富
等于两个,公钥公开用于加密,密钥保密用于解密。
谢海光
还有一个问题,请问专家对于最近上市的指纹认证有什么看法,是否会取代传统的密码身份的认证?
曹珍富
指纹认证肯定是一个方向,因为它结合了一些生物信息在里面,只有这样好多东西解决起来会容易一些,但是仅用指纹识别是不够的,应该跟密码算法同时使用,这是我个人的看法,只有同时使用,它的安全性才会得到保障。这最主要是用来做防伪,防止信息伪造,由于个人的指纹是不变的,指纹信息放进去肯定是一个方向,这是我过去曾经坚持希望做的,但是我在这一块至今研究的很少,我想应该是这样的。
谢海光
那么曹老师根据你的见解,你发现或者是你认为指纹是否会取代传统的密码身份的认证?
曹珍富
不会。指纹仅仅是用来做防伪的一个中间环节,它不能够做加密和防复制,像前面提到的密码学是不能被取代的。
谢海光
为什么不能加密?
曹珍富
指纹怎么能加密,只能做识别用,就是识别这个东西是真的还是假的,是不是你的,它不能够做其他的用处。就是它本身识别还要跟密码算法结合。
谢海光
指纹信息就更多了,包括生物信息等等,这些信息肯定更加复杂,这些信息再转换为算法,就更加难以破译?
曹珍富
指纹图象采集也可以变成数字,可以变成数字信息。
谢海光
从这个意义上讲是一样的。
曹珍富
仅靠这个东西不能用来完成密码所能做的,就是仅仅靠它来识别还可能被别人伪造、复制、改变,所以还要进行不可否认性等等的动作,这些动作需要密码算法保障的。
谢海光
下面还有一个问题,请问专家对于最近上市指纹认证是刚才说的,关于上市指纹,他说还有眼睛虹膜的识别,我们再推而广之,除了眼睛虹膜,还有什么方法?
曹珍富
这个我了解很少,但是从人体提取一些不变的信息,提取个人独有的特征做识别,作为一个人的身份信息是一个方向。
谢海光
我们交大有没有这方面的研究?
曹珍富
我不是很了解。可能很少。
谢海光
有同学对AES听得非常认真,但是曹老师一下就过去了,是否关于AES再做一个解释?
曹珍富
AES是分组算法,我自己做得很少,那样的算法在网上都有现成的,包括源码都有,大家得到非常容易。
谢海光
是否给大家讲一点最基本的思想?
曹珍富
因为我对这个东西研究得很少,所以对它的思想我可能会说一些不是很准确的话,大家可以做一个参考。比如说它加了一些二元多项式进去来加密,我不知道他这样做的用意,或者是他这样做的好处在什么地方。这也是我没有将AES整个拿过来介绍的原因。但是这个东西大家很容易得到,很容易搜索到。
谢海光
我们以后还有机会专门讲AES。大家对交大的密码学与信息安全研究挺关注的,是否请曹老师把交大研究的情况,还有网上提的问题,关于中国密码学研究的情况?
曹珍富
可能会挂一漏万,因为这需要专门统计,专门认真做准备,我感觉到交大的情况很强。首先有几块,像计算机系有一块,这一块以理论研究和应用开发为长处,这块专家很多,像陈克飞教授,他领导一个课题组,有很多人来做理论和开发。
谢海光
他们这一块主要的产品是什么?
曹珍富
像数字签名、数字印章,做无线PKI,就是用于无线通讯网上的公钥基础设施,他们都做了很多很多;还有一块就是谷大武教授,他在密码算法主要是分组密码和网络安全方面有一个梯队;还有一位教授叫卢宏涛,他在混沌密码和刚才大家感兴趣的那些信息隐藏、信息安全方面做了很多工作,所以如果找他介绍这块东西会更好;还有一块就是我这块,现在博士后有3位,博士生有9位,硕士生有16、17位,梯队大概有30个人,主要是来做密码学与信息安全,所有各个领域的理论,都几乎有同学在跟着我一起做。我们这方面的成果也是很多的,像公钥密码算法,我们把它叫做现代密码算法;还有用来签名、识别,密钥管理、密钥托管这些成果是非常多的。
谢海光
一般产品的形态大概是什么样的?
曹珍富
我们也在考察想开发它们具体的应用,因为先进的算法只有好用才是好东西,现在我们的这些算法应该说速度是非常快的,而且安全,得到很多方面的肯定。
谢海光
在应用方面怎么样?
曹珍富
在应用方面我们还没有多少精力往外走,还在把理论做进一步完善,进一步做得好一点,我们会选择更好的机会打出去。
谢海光
今天通过网上学术报告,让校内外的朋友都知道这块的情况,我们是否还有专利?
曹珍富
我们专利还没有申报,我们有很多好的研究的东西还没有发表。
谢海光
也是安全的问题?
曹珍富
都是安全的算法等等,我刚才说的交大计算机系。据我所知还有很多,像电子系曾贵华教授做量子密码,做得很好。交大做密码学很多,也很全面,混沌密码是卢宏涛教授,具体工程开发还有李建华教授,都做得非常好,所以交大在整个密码学与信息安全在国内高校应该是走在前列,现在拥有的人数、力量、学生和资源,都应该是全国高校的前列。
全国这方面的情况,我可能说得不是很完整,因为这方面据我所知,现在在做这些研究,做得非常好的从高校来说,像西安电子科技大学,是非常老的做密码的一个学校,他们有几位老先生,从很早以前就开始做,所以他们的学生很多,桃李满天下,像肖国镇教授,他的学生里面,在国内外闻名的学者很多,像陈克飞老师也是他的学生;还有做得比较不错的像北京邮电大学,做的也是比较早的;郑州解放军信息工程大学;山东大学有一个李大兴,他做公司做得比较好,产品开发比较早,大概就是这些。
谢海光
我们交大跟这些单位都有一些联系?
曹珍富
我们关系都很好,互相都很熟悉互相研究的成果。
谢海光
非常感谢曹老师。下面一个问题是这样的,他说AES和DES相比,在哪些地方要加强?
曹珍富
这个很好来说,因为DES密钥长度很短,只有56位,现在DES主要是用差分攻击和线性攻击被破掉,因为它的密钥长度不容易扩展。AES的密钥长度是128位,长度加强了,只要加长了,又知它能抵抗当前已有的主要攻击方法,所以AES是安全的。
谢海光
也就是从这个角度。另外一个同学问能否跟三重DES比较一下?
曹珍富
这个不太好比较,因为三重DES也可以用,AES比较新,很多漏洞也许没有被发现,当前它是非常安全的。
谢海光
目前来讲,你还是认为AES是一个最好的方案?
曹珍富
在具体使用分组算法时,还有一个很好的算法,就是来学嘉与他在国外的老师联合发明的IDEA,就是国际数据加密算法,这个算法现在也在广泛的使用。所以分组算法很多,分组密码算法在我的观念里面认为不是十分重要的,认为最重要的,也是最核心的在现代网络上是公钥算法,因为公钥算法负担的责任非常大,就是再好的分组算法,我们在进行秘密通信的时候,也需要首先把密钥协商好,这个密钥不管是用公钥的协议,还是用公钥的算法,都是要用公钥算法传递,因为在网上任何两个人不可事先商量好密钥,都要用公钥算法商量。如果公钥算法不安全,人家就可得到你的密钥了,所以再安全的分组算法也就不安全了,因为人家已经有了密钥。所以最核心是公钥算法,消息有没有被人改动,是不是我发给你的,如果别人冒充我发给你你怎么发现,或者是我发给你的,但是被人改变了,你怎么发现,这些都需要公钥来完成,这些不安全,整个安全就很难保证,所以我个人的兴趣都在公钥上面。
谢海光
这方面的成果不少?
曹珍富
这方面的成果是国内先进,有些甚至是国际领先的,大家还是承认的。
谢海光
那么这当中就引申出另外一个问题,就是说涉及到安全密码问题等等,国际上同行交流跟其他学科相比是不是不一样,或者是受到很多的限制?
曹珍富
有一些差别,像其他的学科可以敞开交流一些东西,在密码方面,好象我前两年得到的概念,就是不能跟外国人交流,这是明确的,好多东西你可以写文章,在理论上是不管的,只要是理论文章都可以写。但是事实上真正好的东西也是不拿出发的,有些想留待开发产品使用。所以它跟其他学科证明一个非常漂亮的定理就想拿出去发表是有差别的。
谢海光
下面有这样一个问题,他说请问曹老师,对非对称密钥的方法,例如PGP之类的非对称密钥,是否会在将来的安全技术中,占有一席之地,尤其是电子邮件类的私人信息的传输方面?
曹珍富
这是显然的,像PGP这样的模式,用RSA协商密钥,后面的消息是用分组算法完成加密,只能依赖公钥算法。所以这是必然的。
谢海光
他说非对称密钥在将来的安全技术上占有一席之地?
曹珍富
将会越来越发挥重要的作用,我刚才说这是最核心的部分,所以我个人兴趣最关注的也是这一块。
谢海光
这里面有一个问题是关于零知识证明,可以介绍一些书吗,这方面的零知识证明的英文是什么,零知识证明的著作人有哪些?
曹珍富
我没有太做这些,我看在BBS站上开辟了一个板块就是密码学,这些人都听过我的课,我们比较熟悉,里面我看到有很多介绍零知识证明的文章和网址,所以大家有兴趣可以到那里去看,我个人不是很熟,但是零知识证明概念非常简单,说到底就是我证明了一条定理,我不想让你知道我是怎么证明的,然后你还能相信我确实证明了,你不知道我怎么证明的,但是你还能证明我证明了这条定理。通俗的比喻也很简单,就像一个警察抓小偷一样,小偷跑到一个山洞里,最后警察追到山洞的底部小偷没有了,警察能证明小偷知道其他的岔路,但警察不知道他是怎么找到这个岔路的,警察知道的是零。零知识证明在密码学中很有用,这种思想很有用。像有一些东西,就是我让你知道我有这个能力,我能够做这件事情,但是我还不让你知道我做这个事情所具有的知识,所具有的能力是什么。所以零知识证明的发现,它的影响甚至超出了科学界,1986年当时发明零知识证明以后,美国当年的十大科技新闻第一条就是:计算机科学家发明了一条不能被剽窃的定理证明方法。所以这是一个很有趣的领域,很多人都在研究它在密码中的应用,从我个人来讲没有具体研究这个领域,但是研究这个领域非常有用。
谢海光
同学对这个领域非常感兴趣,也对曹老师非常敬重。有一位说曹老师在公钥密码方面研究非常强,非常厉害,而且做了很多的研究,而且有很多的贡献,是不是曹老师就公钥密码这个方面的一些最新的,或者是最关键的一些,包括国际上一些最重要的研究的一些新的思路和我们现在国内的一些比较重要的方向,在这个方面能不能再给大家谈一谈?
曹珍富
这个方向太大,很难把它很简单地说得清楚,如果说能够展开说,会花费很多的时间。公钥密码一个是对现有的算法进行攻击,叫攻击好像有点敌意,实际上就是分析,分析的结果就是知道它在什么时候安全,什么时候不安全,我们使用的时候用安全的部分,不安全的参数就不要选取了。因此对它攻击是有积极意义的,不是怀有敌意。RSA在使用时就不能取人家破译的部分,要取另外的安全参数。像椭圆曲线是公钥密码方面一个使用比较多的,为什么使用得多?因为已经证明一条定理,就是椭圆曲线群,比如说F_p上的椭圆曲线群中的离散对数问题,要想解开这个离散对数的问题,相当于要解开F_p的三次方这样的离散对数问题。就是说椭圆曲线密码可以选取p较小,只要使得F_{p^3}中的离散对数问题难解就可以了。相当于说,椭圆曲线密码的参数选择较小,也能保证安全强度,所以很适合现代的通讯,尤其是移动通讯。所以它作为一个方向,大家都在研究它,它到底是否真的安全。当然不是随便取一条曲线,随便找一条常常是不安全的。已有一些算法是去寻找椭圆曲线密码的使用参数,这也是一个方向,例如如何选择那样的点,使得它的周期含有大素数因子等等。为什么要含有大素数因子,因为离散对数里面有一个攻击方法求解离散对数,就是当G的阶仅含小素数因子时离散对数很容易求解,这样的G的离散对数很容易求解,这样的参数的密码算法就很容易被攻破。所以在使用的时候,就需要密切关注这方面的研究动向、研究结果。所以一个是已经提出来的方案的安全性的讨论和如何去实现,要使用它如何选择这些参数。但是跟门限密码联系,门限密码也是很重要的方法,也是至今没有很好解决的问题,这个方面做得很好的话,它的意义是非常大的,因为以后如果我们说这个东西如果做得很好,就是我们以后做签名或者是解密,我们每次都需要找N个人中的K个人来做这个事情,就是门限密码方案,做这个事情每次都要找K,然后这K个人或者是N个人联合起来,也不能获得系统的秘密,这就是所谓的强壮性。这个问题如果被解决了,使用就非常省心了。我交给这些人管理,这些人都可以不是我信任的人,因为他们全部联合起来也得不到这个系统的秘密,所以解决很多的东西都会有作用,尤其是类似的问题做到门限签名,门限盲签名中去。盲签名就可以用到电子现金里面去,因为电子现金具有盲的特点,电子现金要像我们普通使用的现金一样,就是我的钱花出去以后,对方并不知道是谁花的,钱上没有记号,他收到了钱,如果知道是谁花就侵犯人家的隐私权了,我怎么花钱,在哪个地方花钱都有记录,这不符合现在普通现金的特点。但是电子现金里面有一些问题解决不了,比如说广义敲诈问题,在生活中我要敲诈你,你可能到指定地点去送钱,送回人质或者是做什么,我们可以知道他在什么地方,设一些警察去埋伏,但是电子现金就不好办了,都是打在他的帐号上,在什么地方都不知道,它要既像普通现金一样,又要解决与普通现金不同的地方,像敲诈的问题在网上如何解决?如果解决不好就不敢用电子现金,敲诈肯定会频频发生。
谢海光
现在解决了吗?
曹珍富
现在没有很好解决。但是用刚才说的那种思想,就是门限方案的思想,在特别需要的时候能够可以跟踪,不需要的时候任何人都不知道你怎么花钱。比如说门限盲签名就可以做成一个门限电子现金,现在还没有人提,这是一个新的概念。
谢海光
在国外有没有解决?
曹珍富
也没有人解决,没有人解决好敲诈问题。有些工作在解决敲诈方面有独到的见解,但又有其他的缺点。
谢海光
这围绕公钥有很多很多的问题,而且这个方面我们交大在曹老师等等在这方面的努力下,做了非常重要的工作,受到我们全国同行和国际同行比较高的肯定。我最近也注意到我们密码学一个新的版,大概曹老师也经常去,这个版块大家做得还是很用功。
曹珍富
很用功,而且很用心,做得很好。
谢海光
确实做了很多的努力,曹老师也会支持吗?
曹珍富
当然,因为我的学生都在里面做事情,有不少是我的学生。
谢海光
其实这也是一个很好的交流平台,我们都来非常关注这个问题。我们回到问题当中,问题是这样的,目前共有多少种公钥密码体制,他说自从RSA提出以后,公钥密码体制的提出一直没有停止过,请问现在共有多少种公钥密码体制?
曹珍富
公钥密码体制现在有多少,谁都没有数过。类型也特别复杂,因为几乎是每一个人在数学的长处方面不同,他提的方案就不同,你在这方面有长处就提这方面的密码,他在那方面有长处就提那方面的密码,几乎是任何一个具有单向函数的特性,如果发现它有简单情形,可以返回去,变换一下变成复杂问题,就是在单向函数上加上陷门。大家知道以后,都可以利用从各自的特点去做,如果说非常笼统的来分有这样几类:一类是具有大整数分解的公钥密码,像RSA算法,等价于大整数分解的大整数分解算法,二次剩余密码算法,能够证明它的安全性,这些是基于大整数分解问题的;还有一类就是基于离散对数问题的公钥密码,像 ElGamal加密和签名就是使用离散对数性质,还有迪非-赫尔曼协议等等,这些普通的有限域乘群中的离散对数问题,把它发展一下,就得到像椭圆曲线群的离散对数问题,那就是椭圆曲线密码;研究二次域的人就会发现有理想类群,其中也有离散对数问题,这个离散对数比其他的离散对数问题更难解,所以用这个来做离散对数密码更难解开,也就是二次域密码,因为数学界长期以来难以解决的问题就是理想类群的阶的刻画,其中有很多问题至今没有思路解决它。在不知道类数的前提下,怎样实现,怎么用来实现加密,怎样用它实现认证都是值得进一步研究的课题,这些统统都可以划归到离散对数的密码;还有一类就是背包密码,就是基于背包问题的密码,最早跟RSA同时提出的,由迪非-赫尔曼提出。当然后来我介绍过,在82年就被Shamir攻破了,所以后面提出的背包密码也不断被破译,但是现在也有新的背包密码出现,背包密码还是值得进一步去研究的,并不像人们所说的它是一个不安全的,没有研究价值的,我认为还是值得进一步去研究的,比如说非线性背包,和一些新的高密度形式的背包,这是背包类型;当然还有一些基于其他的问题,比如说有限自动机密码,这在密码方面独树一帜,发明人是陶仁骥教授,他提了多种方案,当然有一些是较弱的,主要用作解释,有一些是安全的。《应用密码学》里讲有限自动机密码将毫无疑问地成为公开讨论的对象。
谢海光
你觉得印象最深的有哪些?
曹珍富
用大整数做密码,用离散对数做密码,用背包问题做密码,用自动机做密码,等等。除了有限自动机没有做,其他我都做过;这种密码的特点是不断地建立方案,然后不断地被攻破,有很多的方案,提出来一两年就被攻破掉,有一些方案提出来很长时间没有攻破,慢慢人们就接受它,或者是根据它的特点在不同场合在慢慢地使用它,这是公钥密码的情况。当然现在也有人在研究基于好几个难题于一身的,比如说只基于大整数分解,如果运气好的话有可能偶然被分解掉了,如果大整数偶然被分解了,就被破解掉了,所有的秘密就破解掉了。是否有同时基于大整数分解和离散对数的密码?大整数分解以后还要求解离散对数,这是基于两个难题;还有基于三个难题,比如说背包、离散对数、大整数分解都结合在一起,这都有可能。
谢海光
我们交大在这方面也在做探索。
曹珍富
都在做。我们不仅做普通的大整数密码、离散对数密码,也做代数整数密码、理想类群中离散对数密码,等等。
谢海光
下面一个问题,请问公钥密码体制是否还有分支,请曹老师介绍一下关于细分的情况?
曹珍富
十几年前,我写了一本公钥密码学,跟国外同名专著同期写的,国外出了一本,我也出了一本,我这个要偏向理论,有很多新的理论性的东西。那么公钥密码要是分的话,刚才说过可以有很多方法分类,可以基于什么样的难题的公钥密码去分类,像公钥密码里面还有丢番图密码,还有有限自动机密码,还有像矩阵环上的密码,大整数、离散对数这些都是基本的,还有一种密码就是编码密码,就是利用编码做密码,用编码做密码曾经非常红火,大家非常关注它,因为我们任何一个消息经过编码以后,就是说我要把一个消息加密以后发给你,都要对它进行编码发送,因为信道会有一定的干扰,会有一系列的问题,有干扰就会出现一些错误,这些错误怎么能把它纠正,在编码中有纠错码,能够纠正错误,就是加密以后这个数字还要进行纠错编码以后再发给你,要保证你那头解码器的消息能够解我的消息,才能恢复消息,实际使用很多的,这样就等于编码和加密是分开的。能不能用编码的方法直接构造密码?所以创造了这个课题,这个课题也引起很多人的重视,很多人去研究,后来有人说它不安全,有很多的问题存在,所以慢慢又不像开始那么红火,但是我个人认为这个方向还是值得研究的,这方面研究得比较好的就是西电的王新梅教授和他领导的学生,得到很好的结果。
谢海光
下面有这样一个问题,他说是不是量子计算机出来,公钥算法就不灵了,好象有人说量子计算机,或者是生物的计算机可以解决输入问题,那么RSA就完了,你怎么看这个问题?
曹珍富
有可能,量子计算机我了解很少,听说它的计算模型与通常是不一样的。在它上面,整个计算复杂理论的东西都有可能改变。当然二十年内不会出现有效的量子计算机,因为从现在研究来看,和我们接触过的、有关量子计算机研究的人都这样说,我个人不清楚,我不是研究这个方向。当然真的这个东西出来以后,从计算速度和计算模型有一些改变,我相信会有从相应的速度和模型上重新架构的一套计算的复杂性理论,基于那样的复杂性理论,会重新诞生把现有的密码算法能够完全映射过去,建立在那个环境下模拟的东西,所以我觉得现在的研究不会因为二十年后出现量子计算机而白费,这是我个人的看法。
谢海光
好的。还有这样一个问题,曹老师能否展望一下电子商务的前景?
曹珍富
这个前景是非常好的,它依赖于我们的公钥算法如何搞得更好一些,因为它完全依赖于公钥算法,没有公钥算法安全就等于零,所以未来的电子商务需要我们在公钥算法上再做很多的研究,很多的改进,尤其是移动通讯,像用手机做的移动电子商务,需要数据规模小,安全,速度高,现在还没有这样特点的公钥算法,当前使用的公钥算法也很难用到里面,当然这也是很有难度的,什么东西都是矛盾,又要安全,又要数据量小,人们普通认为要想安全数据规模就要大。对分组密码来讲,密钥越大就越难穷举破译,但是要看本身。
谢海光
就像一个桥要看桥墩,其他的都没有用。刚才我们讲的技术路线一直是公钥这一块,那么另外一个技术方向是什么,就是同样做安全?
曹珍富
做广泛的电子商务没有其他的路线了。
谢海光
就是对公钥密码挑战性的另一面?
曹珍富
公钥密码现在有一种新的形式,叫基于身份的公钥密码。研究这种密码的人认为最终这种算法会取代目前我们用的公钥密码。当前使用公钥密码,都要有一个认证中心,像上海有一个CA,这个认证中心就是分发公钥、私钥这些东西,用户得到认证中心的公钥就比较可信,CA本来就是这样的机构。有了身份的公钥密码,今后可能就不需要CA这样的机构,因为把身份信息放在密码算法当中,这样的身份信息可能是你的身份证和E—mail地址,也可以是个人的生物信息特征,等等。比如说Shamir提出的方案是用E—mail地址作为身份信息,并作为用户的公钥。我有E—mail地址,你也有一个E—mail地址,你只要知道我的E—mail地址就有我的加密密钥。因为这个E—mail用一定的方法可以转化成一个数字串,以后我的私钥可能改变,但是公钥是不变的,用这种形式提出身份密码,这也是一种形式。但所有这些密码都是公钥密码,只要在网上开展安全活动,只要保证网上很方便开展电子商务的话,就必然要有公钥,没有公钥什么也谈不上。
谢海光
换句话说就是还没有有挑战性的另外一种方法。
曹珍富
好象没有。
谢海光
现在数字签名方面的研究热点是什么?
曹珍富
数字签名做得很好了,像基于大整数分解,离散对数等等,大家有一些签名的标准,已经普遍接受了一些东西,这一块研究的热点就是如何建立群签名,盲签名、门限签名和一些标准签名算法在不同范围的新模拟,还有就是跟其他的密码算法联系在一起研究,它的使用,不同场合,不同需求上的使用。像代理签名比较新,这几年才提出来,从表面上来看,好象有人认为不值得是一个研究课题,主要的问题是:代理签名是不是用普通签名就可以解决?实际上不是。他请你做代理,要有一个授权过程,别人都能验证的过程,他授权以后,别人能够验证这个授权就是他的授权,所以这些东西结合起来就变得更为复杂一些的密码系统,研究的难度也就更大一些。如果再在这些签名前加上门限二字,就变成门限签名、门限盲签名、门限签名的强壮性等等。所谓强壮性就是我刚才所说的它分成N个碎片以后,其中门限值达到也不能得到系统的秘密,对这种方案的研究是一个难度比较大的问题;然后就是代理签名,代理多重签名,就是多个代一个,一个代多个,多个代多个,这些东西再考虑将它们门限化。还有像一个人签名有多个人验证,或者是多个人签名一个人验证,这些都属于不同的签名类型。那么如何把一个简单的已知的这些签名方案,再变成一些有效的这些类型的签名方案,也是一个研究的课题。
谢海光
因为我们曹老师回答的非常精采,所以大家的问题问得也非常的热烈,下面的问题是这样的,他说曹老师刚才说我知道这个定理,他引了你的话,我知道你这个定理,但是我不告诉你怎么证明,如何追踪国际的先进,在竞争中有合作,还是在合作中有竞争,国内和国际的研究上差距有很大,好象我们计算机领域都在跟在美国后面跑,这种状况下,曹老师您认为如何突破?还有信息学认为是密码学的理论,为什么这么说?
曹珍富
刚才已经讲过,有一个证明者和验证者的协议,通过这个协议不是证明别人知道你对不对,而是别人一定证明你是对的东西,如果不能证明你对不对的话,你不公开,但是你实际上这里面需要有一些数学的了解以后,这个东西就比较好说了。
谢海光
我们用简单语言来表述一下。
曹珍富
我刚才做报告的过程中已经介绍了,比如说你会大整数分解,我给两个素数乘起来你可以分解开,我比如说上海公开的N,就是它是两个整数乘积,你也能分解开,你是完全不想让我知道你是怎么分解的,而且你分解的结果也不想让我知道。你要是告诉我结果,我可以用这个分解的结果告诉CA,还是透露了信息,你需要我知道的是零,就是完全得不到这些东西,但是我还能相信你能分解。为什么?我刚才说过求解二次剩余,如果能够求解的话,它是等价于大整数分解。只有当N 分解以后才能得到平方根,不能分解N是得不到平方根的,这样我就给你一个数的平方,让你把平方根算出来,用大整数N作为模算一下这个数的平方是多少,你如果能够告诉我平方根,那我就知道你是能够分解这个大整数,否则你是得不到的。这个过程可以重复。在这过程中,我对你怎么分解的,你分解出来的两个素数是什么我完全不知道,但是我还能够知道你确实能把整数分解开,你分解不开就算不出平方根。
谢海光
我相信这位提问的同学理解了。提问的第二个问题我理解是这样的,因为密码问题带有很多的安全性,甚至有很多带有国家利益,所以在国家合作中如何既合作又竞争,如何维护国家的权益,又在技术上面公开开展国际交流,他问的是这个问题,这方面我们有一些什么样好的做法,可能业内总是有交流的?
曹珍富
刚才我听到这个问题好象说不能发表文章,我没有这样说过,因为学术文章都可以发表,都可以投稿,理论上研究都是可以的,都是完全不受限制的。
谢海光
研究没有禁区。
曹珍富
这就是理论研究,学术研究是没有禁区的。但是用于开发产品的那些研发机构,他们所研究的东西可能会有一些要求,跟我们做学问是没有关系的。
谢海光
其实所有的产品都有专利,哪怕一个杯子里面一些基本的要求可能也有专利保护。
曹珍富
我只是说过这样一句话,就是跟外国人之间,讨论密码的时候,可能要小心,所谓好多东西不能讨论是指你密码用没用,用到什么程度这种东西不要去说,但是你可以讨论学术问题总是没有问题的,就是纯理论的东西,包括你提出一种新的构想,一种理论架构,这种东西互相发表,互相讨论都可以。
谢海光
我理解这位同学的问题是因为这个领域比较特殊,我们可能不会说那么透彻,因此我们在国际交流当中会不会更加的亦步亦趋。
曹珍富
因为理论工作可以发表,我们跟国外在理论工作方面是同步的,在同一个起跑线上,我们的理论成果也不像这位同学说的很多东西在人家后面,在工程里面可能很多东西是这样,但是对于理论研究来说,大家也承认有些是走在他们前面的,所以不是完全跟在他们后面在做,应该说要纠正一下这个观念,不是说什么都是我们跟在人家后面在做。其中确实有一些思想,一些新东西是我们率先提出来,像美国的密钥托管思想,我们觉得密钥托管有一个争议的问题,包括Shamir本人提出这个思想,但是没有提出真正的门限密钥托管的思想,我们提出这个思想,并且解决了争议问题,所以很多东西也是完全是自己提,不一定是人家有的东西,我们跟在人家后面。但是另外一方面,我们也看到在技术应用上,我们自己的东西能拿到产品中去使用,还要有一个过程。这里也有一个问题,就是往往在这方面做得很好的人,有时候国家开发一些信息安全项目,由于现在做不到像搞两弹一星一样,把最优秀的人和成果集中在一起开发,所以导致了他做这个,你做那个,当然有些产品就做不好,这也是一个事实。
谢海光
其实理论研究我们还是跟国际研究走在同一个水准上。
曹珍富
我认为产品开发也应该把这些人用上去,如果你开发产品不是由密码专家参与做的话,你做的产品肯定很难站住脚。
谢海光
第三个问题是密码学是信息安全的领域,他想问一下依据?
曹珍富
我认为任何安全问题都必须使用密码技术,你要达到这些信息的安全性、机密性、不可否认性和可用性,那么实现这些要求,没有密码算法保证,我想象不出还有什么东西可以保证,这是一个很浅显的道理,我只能这样解释。
谢海光
大家知道曹老师在研究方面,在国内、国际上都有很高的研究水准,有很高的评价,特别是有几本非常重要的代表著作,大家也很想了解一下曹老师几个阶段的几本非常重要的著作,最早的一本是叫《丢番图方程引论》。
曹珍富
这本来是属于数论方面的书,但是这个方向,因为后来很多的技术,就是丢番图方程可以做密码,可以做RSA破解,要用它,我们很自然就把这套东西转过来做密码,本来我最早做密码像公钥密码和秘密分享,密钥的分散管理等等这都是我早期文章做的东西。
谢海光
第二本书叫做公钥密码学。
曹珍富
那是89年完成的。
谢海光
那时候国内同行还没有,所以被称为在国内、国际上非常重要的一本书;第三本书是数论的书,是数论中的问题结果,是这样的书,关于后面这两本书给我们讲一讲好吗?
曹珍富
都是理论方面的书,最后一本是交大出版社出版,就是不定方程及其应用,那本书作为数学系的离散数学丛书,所以关于不定方程密码就没有写进去。那本书中的应用还是数学中的应用,前面是不定方程的理论,后面是不定方程在组合设计,代数学单群的刻划,还有在图论,在等等其他方面的各种应用,本来最后有一章是在密码学中的应用,但是后来做为数学系的丛书,所以后面的应用就去掉了。事实上我们最近正在整理它在密码学里面的应用,而且我在交大开了这几门课也在讲,像讲不定方程密码,不定方程密码像派尔方程密码,大家学得非常来劲,硕士生、博士生都写了很多的论文作业,也做了很多有关的问题,比如说不定方程密码如何做签名,如何做门限密码方案或者是门限签名方案等等,现在BBS上密码学的版主是我这个班的学生,所以我也比较引以为自豪,我的学生现在做了这个事情,当时问我的时候,我说我非常支持你们,这件事对促进密码交流与发展肯定是非常有利的。
谢海光
今天多次讲了这个板,我们也在支持这个板,鼓励这个板,希望这个板做得更好一点,下次关于密码学的专题也能够经常在我们网上学术交流当中进行讨论。下面一个问题是这样的,他说几个国内国外研究的区别,他说第一对比国际和国内密码学的研究可以发现一个有趣的现象,密码学在国际上比较重视,国内比较不重视,是因为密码学不重要还是国内不被重视,如果被破解该程序多少就被破解;国内有不少国际前沿研究,但是奇怪的是国内几乎没有我们自己的对称密码算法,即使有也极少关注,曹老师是否可以分析一下造成这种情况的原因?
曹珍富
我知道商密委批准的分组算法就很多,所以国内在分组密码算法方面研究的比较多;第二关于分组密码算法的分析,国内工作做得也非常好,像科学院软件所吴文玲博士,她现在也是研究员,他在这方面做了很多的工作,这是关于密码分析,就是关于分组密码分析,其他密码分析大家也都在做,只是做的确实相对少。那么做密码分析做得少的原因,我想也有一个,就是大家在做分析的时候需要的数学基础要求非常高,因为很多东西需要你知道现代很高深的一些数学理论和数学知识,如果不具有这样的知识做分析很难做到,当然也有一些是用很简单的方法分析,有些密码提出不久就可以破解掉,像RSA提出很长时间要能够破掉,这样的工作要是谁能够做出来,当然是一个突破性的工作,是非常重要的,由于它提出的年头非常长,大家都在做,他证明这一点是可以破的,你证明那一点是可以破的,好象容易破的地方这么多年都研究过了,包括我们也在这方面做过一些工作。剩下的当然是越来越难做,已有的方法越来越不够用,所以这样的工作国内相对来说比较少,还是由于具备的理论基础是不一样的,尤其是国内好象数学和计算机安全这样的学科,好象是隔离的,在国外现在好多做分析的都是数学大家,数学方面做得很好的人在做这方面的工作。国内的数学家在做这个东西的时候,有时我觉得有一些看法可能会影响他们在这方面的发展,他觉得研究这个东西没有什么好处,因为这个东西像RSA方案条件给得很少,很简单,可以下手的渠道太少,要么你做出一点东西,他看起来很简单,所以他就没有去做,实际上这个工作做起来是非常难的,做完了以后你能看懂,不表示做出来是很容易的,往往很多人都是高不成低不就,就是自己总想做一些好东西,这个应该是值得鼓励的,但是实际上他自己又做不出来,别人做一个东西他又看不重,所以这样也影响很多人的选择和去向。其实这个问题很难说清楚,到底是怎么样我也不能说清楚,总之我认为应该有一批很好的具有深厚数学理论功底的人来做分析,没有好的数学基础,分析是绝对做不动的。
谢海光
由于时间关系,我们最后再问两个问题,大家问题很多,很多问题我相信有密码学这样一个版,我们可以进一步讨论,以后大家还可以进一步请教。第一个问题是关于最近他说ACM是否都是图灵奖获得者?这方面有什么预示?
曹珍富
是RSA获得者。这个预示很难说,在这之前也有做安全的人获奖项,去年到我们学校访问的姚期智教授,他是唯一一位华人获得图灵奖,出生在台湾,他主要是做安全协议和通信协议,所以他做的工作主要是安全方面,还有以前的也有,当然安全会越来越受重视,这是肯定的,越来越会往这个方向偏重,会往这方面发展。
谢海光
是不是说明有这样高智慧的专家进一步到信息安全密码学这个领域来研究。
曹珍富
对。我上课时强调说到美国很多数学家来研究密码,同时也有密码学家做的东西被数学家认可,比如说去年召开的数学家大会,有一位是美国的零知识证明的发明者,出乎我意料她是一位女士,她在国际数学家大会上做了一小时的报告。从数学上她的研究在国内可能会被认为很浅。我不知道,今天的问题很多,好多东西我平时没有系统想过,所以可能会说一些错误的、不准确的话,大家要多包涵。
谢海光
大家对你回答问题评价非常高。最后一个问题,大家觉得曹老师非常努力,而且成就非常高,同学们也很喜欢听你的课,到交大以后又做了很多的工作,大家很想了解你下一步在研究方面、工作方面、带研究生方面有哪些新的工作,包括跟国际接轨,进一步展现交大科研实力有什么想法,包括最后跟同学、老师们说几句话。
曹珍富
谢谢,我到交大来已经有一年半了,去年9月份跟计算机系有关领导协商,我们在系里创立了一个我的实验室,我把它叫做密码学与可信任数字技术实验室,在教三楼415房间,实验室的人也有20、30人,当然还有几位学生下学期才会来,我希望将我的实验室慢慢做大。为什么不叫信息安全,而叫做可信任数字技术,我觉得可信任数字技术要比信息安全更大一些,包含的内容更多一些,因为一种数字技术变得可信任的话,不仅要有密码学,还要有很多像我刚才说的要立法,要管理,整个东西一体化。
谢海光
其实还有人文的东西,法律的东西。
曹珍富
所以叫成这样一个实验室,我也想把这个实验室慢慢变成学校的实验室,资源大家共享,比如说有一些资料,也有一些设备,有一些我们做的安全软件,安全软件的平台等等,大家可以来共享,学到和欣赏到这方面的东西,外面的人可能感觉做密码很神秘,很多东西了解得很少,所以有些人可能觉得说起来就那么点东西,他觉得没有什么东西好学,这两个极端都是不对的。我希望把这方面做好做大,甚至我在实验室里面就讲过,凡是在我们实验室学习和工作过的人,以后会引以为自豪,曾经在交大的实验室学习和工作过,我想做成不仅是国内做得好,当然这需要有三、五年的奋斗,三、五年的目标就是要把它做得非常好的实验室。
谢海光
现在已经有一个很好的开端。
曹珍富
现在确实有一个很好的开端,按照正常的方式在往下进行。我希望密码学各个方向都有人做,都有人研究,就是我的学生不仅仅局限于我所做的,但是我今后也有一些主攻方向,我也可以告诉大家,我认为像门限密码学是值得进一步研究的,像代理签名我也会去研究,新的公钥密钥算法提出和已有的公钥密码算法分析也会做,要是做密码分析的话,像RSA,我们如果用数域筛法也可以分解512比特的大整数,现在我们没有具体去做,要做当然也是需要一些时间的。这些工作我们以后还要继续来做,我们也要做一些安全的产品,这也是我今后的方向,就是要开发一些这方面的产品,把自主研究的算法产品开发出来;在招学生方面,一个是动手能力强的,有实际经验的,另外就是有很好的数学基础的。所以我的博士生有几门招生的考试课程是数学系的,就是考数学系的课程可以到我这里来读博士,大部分是计算机这方面,我希望这两方面能够保持下去,一直这样做。应该说给我这个机会来与大家交流,我非常感谢,因为我没有很好的做准备,也很匆忙,我相信在我说的过程中会有一些挂一漏万的问题,也有很多是我不熟悉的,说得不一定准确,仅仅供大家参考,我希望能够跟大家多交流这些东西,大家以后对我教的课,希望我做什么也可以给我提建议,我是希望自己继续努力,在这方面做得更好一些。谢谢大家!
谢海光
谢谢。很多同学也想了解曹老师的E—mail地址。
曹珍富
网上就可以看到,计算机系主页有一个导师简介,前不久才知道电信学院主页上面也有介绍,那里面也有E—mail地址和电话,大家去看一眼就都知道了。
谢海光
各位老师、各位同学,今天非常高兴在这里请教曹老师,曹老师给我们就密码学与信息安全这样一个问题做了非常重要的报告,特别是也讲了很多新的发展的情况,特别是进一步了解国际发展的前沿,最近尽管时值考试阶段,还是有很多同学坚持收听报告,下面还有很多同学上课,我们用的网上直播,而且也可以点播,有很多同学都用晚上业余时间,甚至更晚的时间,或者是其他的时间,第二天、第三天等等时间,而且还有很多同学反复看,我觉得这也恰恰是我们非常好的一种交大的学风的一种体现,我们网上学术报告因为选题面比较大,也比较广,也受到校内外很多朋友的关心,和很多朋友的支持,包括也有很多国外的朋友,国外的同行关心我们这个话题,关心我们相关的学术问题的研究和学术问题的思考,我们今天这个报告当中,曹老师结合自己的研究的成果,给我们做的报告非常精采,也受到了网上很多同学非常高的赞誉,我们相信会有更多的人通过各种渠道进一步学习密码学,加强信息安全这样一种意识,今天的报告我们到这里就要结束了。下面我们预告一下明天的安排,明天的安排是第51场,明天的题目是破产法的改革与发展,是关于法学这样的问题,我们请到的是法学院的教授,韩长印老师,给我们讲破产法的改革法发展,最后我们特别感谢今天主要的报告人曹老师,也非常感谢今天在线和将在点播我们这个节目的老师、同学和校内外的朋友们,也欢迎大家经常给我们提出批评,最后我们很想用一句话跟大家做一个商量,就是我们抗击SARS已经有一段的时间,SARS的抗击工作还没有彻底的结束,任务还非常艰巨,当然整体上病情已经有所缓解,很多同学上提出是否在BBS转播的工作,包括提问的工作,要不要换一个版,因为现在50期都是放在SARS版上,有很多同学已经提出这个问题,我们想这个问题主要是不是请我们BBS站的站务人员和我们全体同学大家一起商量,因为有些同学提出我们是不是在BBS上的转播,是否转成学术版,或者是还有其他相关的考虑,我想我们其他几个单位都非常愿意支持这样相关的考虑,我们BBS站务会进一步接受大家的意见,我们还是在BBS站,党委宣传焦点网、交大有线电视台、网络信息中心视频网通过文字、视频、音频直播,希望大家有意见告诉BBS站务,或者是在网上讨论,我们希望把网上学术讨论活动能够坚持下去,今天报告我们就到这里结束了,最后再一次感谢大家收听收看,再一次感谢大家参与网上的学术报告活动,再一次谢谢曹老师,大家再见。
上海交通大学
560
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
