信文｜趙一凡 孔 瑩 周正達(dá)

密碼測(cè)評(píng)技術(shù)研究和應(yīng)用將有力促進(jìn)密碼技術(shù)發(fā)展，加強(qiáng)對(duì)密碼技術(shù)產(chǎn)品和密碼系統(tǒng)安全保障。深入挖掘密碼測(cè)評(píng)技術(shù)內(nèi)涵和外延，加強(qiáng)技術(shù)研發(fā)，推動(dòng)密碼測(cè)評(píng)技術(shù)不斷創(chuàng)新和提高，適應(yīng)我國(guó)信息安全發(fā)展需求

密碼測(cè)評(píng)技術(shù)是有效推動(dòng)商用密碼技術(shù)及行業(yè)健康發(fā)展的重要領(lǐng)域?！吨腥A人民共和國(guó)密碼法》頒布，密碼技術(shù)規(guī)范有效管理已有法律依據(jù)，技術(shù)層面急需發(fā)展先進(jìn)的密碼測(cè)評(píng)技術(shù)和完善的檢測(cè)認(rèn)證體系。密碼測(cè)評(píng)技術(shù)是信息安全測(cè)評(píng)的重要內(nèi)容，構(gòu)建完整信息安全測(cè)評(píng)認(rèn)證體系基礎(chǔ)，指導(dǎo)密碼技術(shù)產(chǎn)品和密碼系統(tǒng)安全有效測(cè)評(píng)。提高我國(guó)對(duì)密碼算法和密碼產(chǎn)品安全隱患發(fā)現(xiàn)能力，保障我國(guó)密碼算法和密碼產(chǎn)品安全先進(jìn)性具有重要現(xiàn)實(shí)意義。密碼測(cè)評(píng)技術(shù)研究和應(yīng)用將有力促進(jìn)密碼技術(shù)發(fā)展，加強(qiáng)對(duì)密碼技術(shù)產(chǎn)品和密碼系統(tǒng)安全保障。深入挖掘密碼測(cè)評(píng)技術(shù)內(nèi)涵和外延，加強(qiáng)技術(shù)研發(fā)，推動(dòng)密碼測(cè)評(píng)技術(shù)不斷創(chuàng)新和提高，適應(yīng)我國(guó)信息安全發(fā)展需求。

密碼算法檢測(cè)技術(shù)

密碼算法是密碼安全性的核心，密碼算法檢測(cè)技術(shù)是密碼測(cè)評(píng)技術(shù)的傳統(tǒng)研究方向，其主要目的是評(píng)估密碼算法實(shí)現(xiàn)的安全性，確定算法實(shí)現(xiàn)中可能存在的弱點(diǎn)和漏洞，以及評(píng)估算法在實(shí)際應(yīng)用過(guò)程中的可行性和有效性。針對(duì)密評(píng)的業(yè)務(wù)應(yīng)用場(chǎng)景，重點(diǎn)評(píng)價(jià)的指標(biāo)密碼算法實(shí)現(xiàn)的安全性、效率以及可靠性。密碼算法實(shí)現(xiàn)的安全性是指算法實(shí)現(xiàn)的安全強(qiáng)度，即密碼算法實(shí)現(xiàn)能夠抵御各種攻擊的能力。密碼算法實(shí)現(xiàn)的效率是指算法的運(yùn)行速度，以及所需的計(jì)算資源。密碼算法實(shí)現(xiàn)的可靠性，指算法實(shí)現(xiàn)的正確性，即算法是否能夠正確地實(shí)現(xiàn)標(biāo)準(zhǔn)所需的功能。驗(yàn)證測(cè)試的檢測(cè)方式主要包括經(jīng)驗(yàn)數(shù)據(jù)驗(yàn)證法、攻擊分析法、統(tǒng)計(jì)分析法、結(jié)果分析等多種方式。

通過(guò)密碼算法檢測(cè)技術(shù)，可以評(píng)估密碼算法的安全性能，確定算法中可能存在的弱點(diǎn)和漏洞，從而提高密碼算法的安全性能。

密碼模塊驗(yàn)證技術(shù)

密碼模塊的檢測(cè)驗(yàn)證技術(shù)是密碼安全性評(píng)估的基礎(chǔ)支撐技術(shù)。繼美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）和國(guó)際標(biāo)準(zhǔn)化組織（ISO）相繼制定密碼模塊檢測(cè)標(biāo)準(zhǔn)之后，我國(guó)密碼模塊安全檢測(cè)標(biāo)準(zhǔn)于2020年由密碼行業(yè)標(biāo)準(zhǔn)提升為國(guó)密標(biāo)準(zhǔn)GB/T 38625-2020《信息安全技術(shù) 密碼模塊安全檢測(cè)要求》。該標(biāo)準(zhǔn)主要針對(duì)密碼模塊的物理安全、邏輯安全、功能安全和性能安全進(jìn)行要求，并明確了密碼模塊檢測(cè)的流程、方法和技術(shù)要求。密碼模塊安全檢測(cè)的關(guān)鍵技術(shù)主要包括物理安全檢測(cè)技術(shù)、邏輯安全檢測(cè)技術(shù)、功能安全檢測(cè)技術(shù)以及相關(guān)性能檢測(cè)方法。

密碼模塊安全檢測(cè)需要綜合應(yīng)用多種檢測(cè)技術(shù)和方法，對(duì)密碼模塊的物理安全、邏輯安全、功能安全和性能安全進(jìn)行全面、細(xì)致的檢測(cè)和評(píng)估。通過(guò)科學(xué)規(guī)范的密碼模塊安全檢測(cè)，可以提高密碼模塊的安全性和可靠性，保障信息安全的基本需求。

密碼應(yīng)用檢測(cè)技術(shù)

密碼應(yīng)用檢測(cè)主要是針對(duì)目標(biāo)應(yīng)用系統(tǒng)對(duì)密碼技術(shù)如何科學(xué)有效地加強(qiáng)應(yīng)用安全防護(hù)能力進(jìn)行綜合性檢測(cè)取樣評(píng)估。相關(guān)的評(píng)估方式有安全需求分析、安全設(shè)計(jì)評(píng)估、安全實(shí)現(xiàn)評(píng)估以及管理制度審查等。

安全需求分析主要是對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估，確定密碼應(yīng)用系統(tǒng)的安全級(jí)別以及安全要求。安全設(shè)計(jì)評(píng)估主要是對(duì)應(yīng)用系統(tǒng)密碼應(yīng)用方案的安全設(shè)計(jì)進(jìn)行評(píng)估，包括涉及密碼應(yīng)用的架構(gòu)設(shè)計(jì)、模塊設(shè)計(jì)、接口設(shè)計(jì)等方面的安全性評(píng)估。安全實(shí)現(xiàn)評(píng)估主要是對(duì)密碼應(yīng)用系統(tǒng)的實(shí)現(xiàn)過(guò)程進(jìn)行評(píng)估，包括密碼應(yīng)用系統(tǒng)的代碼實(shí)現(xiàn)、數(shù)據(jù)存儲(chǔ)和傳輸實(shí)現(xiàn)、安全策略實(shí)現(xiàn)等方面的安全性評(píng)估。

輕量級(jí)密碼檢測(cè)技術(shù)

隨著信息化建設(shè)的發(fā)展，應(yīng)用于嵌入式系統(tǒng)和物聯(lián)網(wǎng)等資源受限環(huán)境下輕量級(jí)密碼成為密碼發(fā)展的新領(lǐng)域之一，針對(duì)輕量級(jí)密碼檢測(cè)技術(shù)需求也隨之而生。輕量級(jí)密碼具有較小的計(jì)算復(fù)雜度、較小的內(nèi)存占用、低功耗等特點(diǎn)。

差分分析是一種用于密碼算法檢測(cè)的攻擊方法。通過(guò)構(gòu)造特定的差分路徑，對(duì)加密算法的運(yùn)行結(jié)果進(jìn)行觀測(cè)，并通過(guò)統(tǒng)計(jì)分析差分路徑的正確率來(lái)評(píng)估算法的安全性。差分分析在輕量級(jí)密碼算法檢測(cè)中被廣泛應(yīng)用。例如，對(duì)于PRESENT算法，研究人員通過(guò)差分分析成功地攻擊了其一些版本。邊界值測(cè)試也是一種常用的輕量級(jí)密碼的測(cè)試方法，通過(guò)在輸入數(shù)據(jù)的邊界范圍內(nèi)進(jìn)行測(cè)試，評(píng)估軟件的性能和安全性。輕量級(jí)密碼檢測(cè)技術(shù)還包括其他技術(shù)，例如模糊測(cè)試、模型檢測(cè)、符號(hào)執(zhí)行等。這些技術(shù)可以從不同的角度評(píng)估密碼算法的安全性和性能，提高輕量級(jí)密碼算法的設(shè)計(jì)和分析水平。

增強(qiáng)隱私密碼檢測(cè)技術(shù)

增強(qiáng)隱私密碼技術(shù)用于保護(hù)個(gè)人隱私的密碼學(xué)技術(shù)，通過(guò)對(duì)隱私信息進(jìn)行加密、保護(hù)和管理，實(shí)現(xiàn)了對(duì)用戶隱私的保護(hù)和控制，其中包括多方計(jì)算、同態(tài)加密等技術(shù)。針對(duì)該類(lèi)技術(shù)的評(píng)估包括算法正確性檢測(cè)、隱私保護(hù)度評(píng)估、安全性評(píng)估、實(shí)用性評(píng)估等方面。

后量子密碼檢測(cè)技術(shù)

隨著量子計(jì)算機(jī)的發(fā)展，傳統(tǒng)密碼學(xué)算法的安全性可能會(huì)受到威脅。為了應(yīng)對(duì)這一挑戰(zhàn)，后量子密碼學(xué)應(yīng)運(yùn)而生，它是一種在量子計(jì)算機(jī)出現(xiàn)后才被提出來(lái)的密碼學(xué)理論體系。后量子密碼學(xué)中的密碼算法具有更高的抗量子計(jì)算能力，可以保護(hù)現(xiàn)有的信息系統(tǒng)不受到量子計(jì)算的攻擊。

作為新型的研究領(lǐng)域，后量子密碼檢測(cè)成為助力該領(lǐng)域技術(shù)發(fā)展的基礎(chǔ)支撐技術(shù)。后量子密碼檢測(cè)技術(shù)對(duì)密碼算法進(jìn)行安全性分析，以確定它是否具有抵御量子計(jì)算機(jī)攻擊的能力。后量子密碼的安全性依賴(lài)于一些特定的數(shù)學(xué)難題，因此需要對(duì)這些假設(shè)進(jìn)行評(píng)估。需要對(duì)后量子密碼的設(shè)計(jì)和實(shí)現(xiàn)進(jìn)行安全證明，以驗(yàn)證密碼算法的安全性。這需要考慮攻擊者可能采用的不同攻擊模型和攻擊方法，以確定密碼算法的安全強(qiáng)度。隨著量子計(jì)算機(jī)從概念走向工程落地，該領(lǐng)域技術(shù)正在持續(xù)發(fā)展過(guò)程中。

隨著標(biāo)準(zhǔn)化以及合規(guī)性工作的推進(jìn)，支持密評(píng)工作的相關(guān)測(cè)評(píng)技術(shù)目前已經(jīng)成為研究與產(chǎn)業(yè)關(guān)注的熱門(mén)領(lǐng)域。相關(guān)技術(shù)與產(chǎn)品的探索有助于提高測(cè)評(píng)能力的技術(shù)性、客觀性、高效性，在密評(píng)制度的引導(dǎo)下持續(xù)為測(cè)評(píng)系統(tǒng)安全賦能，加速技術(shù)與產(chǎn)業(yè)化升級(jí)步伐。