蔣 濤，張文政，周 宇，陳 靜

（1.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041； 2.保密通信重點(diǎn)實(shí)驗(yàn)室，四川 成都 610041）

0 引 言

隨著計(jì)算機(jī)技術(shù)的高速發(fā)展，政府、企業(yè)和個(gè)人對(duì)信息的存儲(chǔ)、處理和傳輸?shù)刃枨笤絹碓郊逼?，特別是隨著大數(shù)據(jù)、互聯(lián)網(wǎng)、人工智能、云計(jì)算等新型場(chǎng)景的出現(xiàn)，信息安全問題越顯突出，解決這類安全問題的最有效方法之一就是使用密碼技術(shù)?！吨腥A人民共和國密碼法》所稱的密碼是指采用特定變換的方法對(duì)信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)。而密碼算法是保障信息安全的密碼基本技術(shù)之一，可用來保障信息的完整性、機(jī)密性、認(rèn)證性等。

密碼技術(shù)較長一段時(shí)間內(nèi)主要用于軍事領(lǐng)域，最早稱為古典密碼，例如羅馬時(shí)期凱撒密碼和第二次世界大戰(zhàn)時(shí)德軍使用的恩尼格碼密碼機(jī)，這些可以看作古典密碼的經(jīng)典使用。直到1949 年香農(nóng)發(fā)表《保密系統(tǒng)的通信理論》[1]后，密碼學(xué)發(fā)展才進(jìn)入系統(tǒng)科學(xué)階段。隨后數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）頒布[2]、Diffie 與Hellman 發(fā)表的《密碼學(xué)新方向》[3]和RSA 公鑰密碼算法[4]的提出，帶來了現(xiàn)代密碼學(xué)設(shè)計(jì)和分析的研究熱潮。

密碼算法可以看作一種加解密的數(shù)學(xué)函數(shù)，根據(jù)使用密鑰不同可以分為對(duì)稱密碼算法和公鑰密碼算法，其中對(duì)稱密碼算法又分為分組密碼算法和序列密碼算法。

本文首先對(duì)國內(nèi)外密碼算法發(fā)展歷程中的征集活動(dòng)進(jìn)行分析和綜述，探討密碼算法框架設(shè)計(jì)特點(diǎn)，研判未來密碼算法發(fā)展趨勢(shì)和特點(diǎn)。

1 對(duì)稱密碼算法發(fā)展

對(duì)稱密碼算法一般具有運(yùn)行速度快、便于軟硬件實(shí)現(xiàn)、易于標(biāo)準(zhǔn)化等顯著特點(diǎn)，已成為實(shí)現(xiàn)數(shù)據(jù)保護(hù)的核心部件，被廣泛應(yīng)用。對(duì)稱密碼算法的發(fā)展經(jīng)歷多個(gè)重要階段，其標(biāo)志性事件為各個(gè)標(biāo)準(zhǔn)算法征集和各個(gè)行業(yè)標(biāo)準(zhǔn)制定提供了技術(shù)支持。其代表性事件主要包括：1977 年DES正式頒布；1997 年AES 算法標(biāo)準(zhǔn)征集；2000 年NESSIE計(jì)劃征集；2004年ECRYPT密碼算法征集；2013 年CAESAR 競賽征集；2018 年全國密碼算法設(shè)計(jì)競賽；2018 年NIST 輕量級(jí)密碼算法征集。

1.1 以DES 和AES 為代表的標(biāo)準(zhǔn)算法

1973 年美國國家標(biāo)準(zhǔn)局發(fā)布的密碼算法研制公告，歷經(jīng)4 年，在1977 年，數(shù)據(jù)加密標(biāo)準(zhǔn)DES 正式頒布[2]。該算法的密鑰長度為56 比特，分組長度為64 比特，經(jīng)過16 輪完全相同的運(yùn)算，得到64 比特的密文。其加解密結(jié)構(gòu)為Feistel，核心部件使用了8 個(gè)非線性S 盒。

由于DES 使用的密鑰長度較短，不能保障足夠的安全性，因此，1997 年美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)起了高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）征集[5]；1998 年NIST宣布15 個(gè)算法入圍AES 候選算法[5]；1999 年宣布5 個(gè)候選算法（MARS、RC6、Serpent、Twofish、Rijndael）進(jìn)入決賽，進(jìn)行最終的安全性分析、軟硬件評(píng)估等測(cè)試；2000 年NIST 宣布比利時(shí)密碼學(xué)家Joan Daeman 和Vincent Rijmen 設(shè)計(jì)的Rijndael 算法作為AES 最終勝選算法。所有候選算法的結(jié)構(gòu)如表1 所示。

表1 AES 候選算法[5]

隨后，ISO/IEC 也頒布了分組密碼標(biāo)準(zhǔn)征集[6]，其算法結(jié)構(gòu)如表2 所示。日本、韓國及一些行業(yè)等也出現(xiàn)了一大批密碼算法標(biāo)準(zhǔn)，如表3所示。[7-13]

表2 ISO/IEC 的分組密碼標(biāo)準(zhǔn)算法

表3 一些國家及行業(yè)密碼標(biāo)準(zhǔn)算法

1.2 NESSIE 計(jì)劃

進(jìn)入21 世紀(jì)，歐洲在2000 年至2002 年之間提出了NESSIE（New European Schemes for Signatures, Integrity and Encryption）密碼算法征集計(jì)劃[14]，主要包含分組密碼、序列密碼、MAC、哈希函數(shù)、公鑰密碼、數(shù)字簽名算法等。其征集公告中給出了3 條基本準(zhǔn)則：一是對(duì)算法的攻擊應(yīng)與強(qiáng)力攻擊一樣困難；二是算法安全性評(píng)估結(jié)果應(yīng)當(dāng)與提交時(shí)的聲稱相一致；三是算法應(yīng)當(dāng)給出在各種特定環(huán)境下的評(píng)估結(jié)果。第一輪共征集到42 個(gè)算法，第二輪有24 個(gè)算法勝出，最終有12 個(gè)算法入選。其中，第一輪共征集到17 個(gè)分組密碼算法，經(jīng)過評(píng)估，第二輪選出了7 個(gè)密碼算法。候選分組密碼算法如表4所示。候選的5 個(gè)序列密碼算法如表5 所示。

表4 NESSIE 計(jì)劃中分組密碼算法

表5 NESSIE 計(jì)劃中序列密碼算法

1.3 ECRYPT 計(jì)劃

NESSIE 計(jì)劃之后，歐洲于2004 年又發(fā)起了為期4 年的ECRYPT（European Network of Excellence for Cryptology）密碼算法征集活動(dòng)[15]。第一輪共征集到34 個(gè)序列密碼算法，有27 個(gè)進(jìn)入第二輪評(píng)估，第三輪有16 個(gè)算法入選，最終7 個(gè)算法勝出。勝出的算法分為兩個(gè)方面：一是適合于軟件的算法，例如HC-128、Rabbit、Salsa20/12、SOSEMANUK；二是適合于硬件的算法，例如Grain v1、Mickey 2.0、Trivium。對(duì)34 個(gè)算法特點(diǎn)進(jìn)行分析，總體可分為4 類：一是基于線性反饋移位寄存器（Linear Feedback Shift Register，LFSR）；二是基于非線性反饋移位寄存器（Nonlinear Feedback Shift Register，NLFSR）；三是基于表驅(qū)動(dòng)；四是基于分組密碼部件構(gòu)造序列密碼。這些算法的結(jié)構(gòu)如表6 所示。

表6 ECRYPT 計(jì)劃中序列密碼算法

1.4 CAESAR 競賽

隨著密碼算法應(yīng)用場(chǎng)景的拓展，亟需設(shè)計(jì)具有認(rèn)證和加密功能的密碼算法，因此NIST 于2013 年首次提出CAESAR（The Competition for Authenticated Encryption: Security, Applicability,and Robustness）競賽[16]，目的是篩選出能同時(shí)滿足完整性、機(jī)密性和穩(wěn)健性的認(rèn)證加密算法。第一輪共征集到57 個(gè)算法，經(jīng)過評(píng)估，第三輪有15 個(gè)算法入圍，最終有6 個(gè)算法勝出，可以分為3 類：一是適合于資源受限環(huán)境的ASCON算法和ACORN 算法；二是適合于高性能的AEGIS-128 算法和OCB 算法；三是適合于深度防護(hù)的Deixys-II 算法和COLM 算法。

下面重點(diǎn)介紹第三輪入選的15 個(gè)算法，按照其設(shè)計(jì)結(jié)構(gòu)可分為4 類：一是基于分組密碼工作模式；二是基于序列密碼方式；三是基于海綿結(jié)構(gòu)方式；四是基于專用結(jié)構(gòu)。其算法結(jié)構(gòu)和目標(biāo)如表7 所示。

表7 CAESAR 競賽第三輪密碼算法

1.5 全國密碼算法設(shè)計(jì)競賽

為推動(dòng)我國密碼算法技術(shù)進(jìn)步，提高算法設(shè)計(jì)水平及分析能力，促進(jìn)密碼人才成長，中國密碼學(xué)會(huì)在2018 年6 月首次舉辦了“全國密碼算法設(shè)計(jì)競賽”[17]，第一輪共征集到22 個(gè)分組密碼算法、38 個(gè)公鑰密碼算法，截至2019 年9 月，共有10 個(gè)分組密碼算法、14 個(gè)公鑰密碼算法進(jìn)入第二輪競賽，最終2個(gè)分組密碼算法、3 個(gè)公鑰密碼算法獲得一等獎(jiǎng)。

第二輪的10 個(gè)分組密碼算法為uBlock、Ballet、FESH、TANGRAM、ANT、NBC、FBC、SMBA、Raindrop、SPRING，分別由中國科學(xué)院軟件研究所、杭州電子科技大學(xué)、清華大學(xué)、山東大學(xué)、中國科學(xué)院信息工程研究所、中國科學(xué)院數(shù)學(xué)與系統(tǒng)科學(xué)研究所等單位提交。具體如表8 所示。

表8 全國密碼算法設(shè)計(jì)競賽第二輪密碼算法

1.6 NIST 輕量級(jí)密碼算法征集

2018 年8 月，NIST 發(fā)起輕量級(jí)密碼算法征集活動(dòng)[18]，第一輪共征集到56 個(gè)候選算法，經(jīng)過公開評(píng)審32 個(gè)算法入圍第二輪，最終在2021 年3 月NIST 宣布共有10 個(gè)算法入圍第三輪，包括ASCON、Elephant、GIFT-COFB、Grain128-AEAD、ISAP、PHOTON-Beetle、Romulus、Sparkle，目前NIST 正在進(jìn)行最終論的評(píng)審。下面介紹第二輪入圍的32 個(gè)算法，如表9 所示。

表9 NIST 輕量級(jí)密碼算法征集第二輪算法

續(xù)表

2 公鑰密碼算法發(fā)展

公鑰密碼是實(shí)現(xiàn)密鑰生成、身份認(rèn)證、數(shù)字簽名等密碼功能的基礎(chǔ)體制，是各類密碼基礎(chǔ)設(shè)施的重要構(gòu)成部分，因此廣泛應(yīng)用于通信網(wǎng)絡(luò)和系統(tǒng)安全中。

隨著公鑰密碼設(shè)計(jì)發(fā)展和抗量子研究的深入，20 世紀(jì)90 年代，Peter Shor 提出了量子算法[19]（Shor 算法）對(duì)RSA 等公鑰密碼發(fā)展帶來了威脅，即如果未來構(gòu)造出一定規(guī)模的量子計(jì)算機(jī)，那么這些公鑰密碼算法將不再安全，亟需加快后量子公鑰密碼算法設(shè)計(jì)和發(fā)展。促進(jìn)發(fā)展的典型事件包括：1976 年《密碼學(xué)新方向》發(fā)表；1977 年RSA 算法被提出；2016 年NIST 發(fā)起“抗量子密碼算法標(biāo)準(zhǔn)化”征集活動(dòng)；2018 年中國密碼學(xué)會(huì)首次舉辦“全國密碼算法設(shè)計(jì)競賽”。

2.1 NIST 抗量子密碼算法標(biāo)準(zhǔn)化征集

2016 年，美國國家標(biāo)準(zhǔn)局開啟了“抗量子密碼算法標(biāo)準(zhǔn)化”工作[20]。第一輪共征集到69套算法（共104 個(gè)算法方案），主要可分為基于格的密碼、基于編碼的密碼、基于多變量的密碼、基于Hash 的密碼，以及其他類密碼。第二輪有26 套算法入選，其分布如表10 所示，第三輪推薦算法如表11 所示。近日，NIST 宣布首批進(jìn)入標(biāo)準(zhǔn)化的算法有4 個(gè)（CRYSTALS-Kyber、CRYSTALS-Dilithium、Falcon、SPHINCS+），進(jìn)入第四輪候選的有4 個(gè)算法（BIKE、Classic McEliece、HQC、SIKE）。

表10 入圍第二輪的抗量子密碼算法

表11 進(jìn)入第三輪推薦算法名單

2.2 全國密碼算法設(shè)計(jì)競賽

在中國密碼學(xué)會(huì)舉辦的“全國密碼算法設(shè)計(jì)競賽”中，最終有14 個(gè)公鑰密碼算法獲獎(jiǎng)[17]，這些算法提升了我國公鑰密碼算法設(shè)計(jì)能力。其算法名稱為Aigis-sig、LAC.PKE、Aigis-Enc、LAC.KEX、SIAKE、SCloud、AKCN、OKCN、FatSeal、木蘭、AKCN-E8、PKP-DSS、Piglet-1，分別由中國科學(xué)院信息工程研究所、清華大學(xué)、復(fù)旦大學(xué)等單位提出。

3 啟 示

從AES 算法征集、ISO/IEC 分組密碼標(biāo)準(zhǔn)算法征集、各個(gè)國家和行業(yè)標(biāo)準(zhǔn)算法出臺(tái)、NESSIE 計(jì)劃實(shí)施、ECRYPT 計(jì)劃實(shí)施、CAESAR競賽開展、全國密碼算法設(shè)計(jì)競賽實(shí)施和抗量子密碼算法標(biāo)準(zhǔn)化開展等行動(dòng)中可以看出，目前密碼算法設(shè)計(jì)正向功能化、多元化等方向發(fā)展，其設(shè)計(jì)趨勢(shì)如下文所述。

（1）多功能。對(duì)稱密碼算法不僅具有加密功能，在某些應(yīng)用場(chǎng)景中，還具有認(rèn)證功能，并已經(jīng)成為當(dāng)下的研究熱點(diǎn)。而公鑰密碼算法不僅能實(shí)現(xiàn)加密、簽名，還能實(shí)現(xiàn)認(rèn)證等功能。

（2）輕量化。資源受限環(huán)境對(duì)算法提出苛刻的要求，如低延遲、低功耗、邏輯簡單等，這就需要密碼算法既要滿足資源消耗少，又要滿足一定的安全性需求。對(duì)輕量級(jí)密碼算法設(shè)計(jì)的研究已經(jīng)成為密碼學(xué)家新的研究方向。

（3）新結(jié)構(gòu)。對(duì)稱密碼算法除傳統(tǒng)的基于LFSR、NLFSR、SP網(wǎng)絡(luò)、Feistel網(wǎng)絡(luò)、MISTY結(jié)構(gòu)、IEDA 結(jié)構(gòu)等結(jié)構(gòu)外，還需根據(jù)當(dāng)前大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新型應(yīng)用和所抵抗的各類攻擊設(shè)計(jì)新型的密碼結(jié)構(gòu)。而公鑰密碼除基于數(shù)學(xué)困難問題外，是否還有其他的設(shè)計(jì)方式，這是密碼學(xué)專家一直以來的研究重點(diǎn)。

（4）抗量子。針對(duì)量子計(jì)算攻擊的威脅，亟需進(jìn)一步研究抗量子的對(duì)稱密碼算法，這是當(dāng)前密碼學(xué)家關(guān)注的重點(diǎn)。而在公鑰密碼算法抗量子攻擊設(shè)計(jì)方面，重點(diǎn)是圍繞基于格、編碼、多變量、同源、哈希等展開密碼算法設(shè)計(jì)和分析，但目前國內(nèi)外專家研究較多的只是基于格的密碼算法設(shè)計(jì)。

4 結(jié) 語

從各國政府、機(jī)構(gòu)及行業(yè)來看，密碼算法的研究對(duì)信息安全有著至關(guān)重要的意義。本文分析了國內(nèi)外密碼算法征集中密碼算法結(jié)構(gòu)、主要部件，結(jié)合新型應(yīng)用場(chǎng)景提出未來密碼算法的發(fā)展趨勢(shì)，希望對(duì)新型密碼算法設(shè)計(jì)和分析提供基礎(chǔ)支撐。