蔣 濤，張文政，周 宇，陳 靜

（1.中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041； 2.保密通信重點實驗室，四川 成都 610041）

0 引 言

隨著計算機技術(shù)的高速發(fā)展，政府、企業(yè)和個人對信息的存儲、處理和傳輸?shù)刃枨笤絹碓郊逼龋貏e是隨著大數(shù)據(jù)、互聯(lián)網(wǎng)、人工智能、云計算等新型場景的出現(xiàn)，信息安全問題越顯突出，解決這類安全問題的最有效方法之一就是使用密碼技術(shù)?！吨腥A人民共和國密碼法》所稱的密碼是指采用特定變換的方法對信息等進行加密保護、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)。而密碼算法是保障信息安全的密碼基本技術(shù)之一，可用來保障信息的完整性、機密性、認(rèn)證性等。

密碼技術(shù)較長一段時間內(nèi)主要用于軍事領(lǐng)域，最早稱為古典密碼，例如羅馬時期凱撒密碼和第二次世界大戰(zhàn)時德軍使用的恩尼格碼密碼機，這些可以看作古典密碼的經(jīng)典使用。直到1949 年香農(nóng)發(fā)表《保密系統(tǒng)的通信理論》[1]后，密碼學(xué)發(fā)展才進入系統(tǒng)科學(xué)階段。隨后數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）頒布[2]、Diffie 與Hellman 發(fā)表的《密碼學(xué)新方向》[3]和RSA 公鑰密碼算法[4]的提出，帶來了現(xiàn)代密碼學(xué)設(shè)計和分析的研究熱潮。

密碼算法可以看作一種加解密的數(shù)學(xué)函數(shù)，根據(jù)使用密鑰不同可以分為對稱密碼算法和公鑰密碼算法，其中對稱密碼算法又分為分組密碼算法和序列密碼算法。

本文首先對國內(nèi)外密碼算法發(fā)展歷程中的征集活動進行分析和綜述，探討密碼算法框架設(shè)計特點，研判未來密碼算法發(fā)展趨勢和特點。

1 對稱密碼算法發(fā)展

對稱密碼算法一般具有運行速度快、便于軟硬件實現(xiàn)、易于標(biāo)準(zhǔn)化等顯著特點，已成為實現(xiàn)數(shù)據(jù)保護的核心部件，被廣泛應(yīng)用。對稱密碼算法的發(fā)展經(jīng)歷多個重要階段，其標(biāo)志性事件為各個標(biāo)準(zhǔn)算法征集和各個行業(yè)標(biāo)準(zhǔn)制定提供了技術(shù)支持。其代表性事件主要包括：1977 年DES正式頒布；1997 年AES 算法標(biāo)準(zhǔn)征集；2000 年NESSIE計劃征集；2004年ECRYPT密碼算法征集；2013 年CAESAR 競賽征集；2018 年全國密碼算法設(shè)計競賽；2018 年NIST 輕量級密碼算法征集。

1.1 以DES 和AES 為代表的標(biāo)準(zhǔn)算法

1973 年美國國家標(biāo)準(zhǔn)局發(fā)布的密碼算法研制公告，歷經(jīng)4 年，在1977 年，數(shù)據(jù)加密標(biāo)準(zhǔn)DES 正式頒布[2]。該算法的密鑰長度為56 比特，分組長度為64 比特，經(jīng)過16 輪完全相同的運算，得到64 比特的密文。其加解密結(jié)構(gòu)為Feistel，核心部件使用了8 個非線性S 盒。

由于DES 使用的密鑰長度較短，不能保障足夠的安全性，因此，1997 年美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）發(fā)起了高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）征集[5]；1998 年NIST宣布15 個算法入圍AES 候選算法[5]；1999 年宣布5 個候選算法（MARS、RC6、Serpent、Twofish、Rijndael）進入決賽，進行最終的安全性分析、軟硬件評估等測試；2000 年NIST 宣布比利時密碼學(xué)家Joan Daeman 和Vincent Rijmen 設(shè)計的Rijndael 算法作為AES 最終勝選算法。所有候選算法的結(jié)構(gòu)如表1 所示。

表1 AES 候選算法[5]

隨后，ISO/IEC 也頒布了分組密碼標(biāo)準(zhǔn)征集[6]，其算法結(jié)構(gòu)如表2 所示。日本、韓國及一些行業(yè)等也出現(xiàn)了一大批密碼算法標(biāo)準(zhǔn)，如表3所示。[7-13]

表2 ISO/IEC 的分組密碼標(biāo)準(zhǔn)算法

表3 一些國家及行業(yè)密碼標(biāo)準(zhǔn)算法

1.2 NESSIE 計劃

進入21 世紀(jì)，歐洲在2000 年至2002 年之間提出了NESSIE（New European Schemes for Signatures, Integrity and Encryption）密碼算法征集計劃[14]，主要包含分組密碼、序列密碼、MAC、哈希函數(shù)、公鑰密碼、數(shù)字簽名算法等。其征集公告中給出了3 條基本準(zhǔn)則：一是對算法的攻擊應(yīng)與強力攻擊一樣困難；二是算法安全性評估結(jié)果應(yīng)當(dāng)與提交時的聲稱相一致；三是算法應(yīng)當(dāng)給出在各種特定環(huán)境下的評估結(jié)果。第一輪共征集到42 個算法，第二輪有24 個算法勝出，最終有12 個算法入選。其中，第一輪共征集到17 個分組密碼算法，經(jīng)過評估，第二輪選出了7 個密碼算法。候選分組密碼算法如表4所示。候選的5 個序列密碼算法如表5 所示。

表4 NESSIE 計劃中分組密碼算法

表5 NESSIE 計劃中序列密碼算法

1.3 ECRYPT 計劃

NESSIE 計劃之后，歐洲于2004 年又發(fā)起了為期4 年的ECRYPT（European Network of Excellence for Cryptology）密碼算法征集活動[15]。第一輪共征集到34 個序列密碼算法，有27 個進入第二輪評估，第三輪有16 個算法入選，最終7 個算法勝出。勝出的算法分為兩個方面：一是適合于軟件的算法，例如HC-128、Rabbit、Salsa20/12、SOSEMANUK；二是適合于硬件的算法，例如Grain v1、Mickey 2.0、Trivium。對34 個算法特點進行分析，總體可分為4 類：一是基于線性反饋移位寄存器（Linear Feedback Shift Register，LFSR）；二是基于非線性反饋移位寄存器（Nonlinear Feedback Shift Register，NLFSR）；三是基于表驅(qū)動；四是基于分組密碼部件構(gòu)造序列密碼。這些算法的結(jié)構(gòu)如表6 所示。

表6 ECRYPT 計劃中序列密碼算法

1.4 CAESAR 競賽

隨著密碼算法應(yīng)用場景的拓展，亟需設(shè)計具有認(rèn)證和加密功能的密碼算法，因此NIST 于2013 年首次提出CAESAR（The Competition for Authenticated Encryption: Security, Applicability,and Robustness）競賽[16]，目的是篩選出能同時滿足完整性、機密性和穩(wěn)健性的認(rèn)證加密算法。第一輪共征集到57 個算法，經(jīng)過評估，第三輪有15 個算法入圍，最終有6 個算法勝出，可以分為3 類：一是適合于資源受限環(huán)境的ASCON算法和ACORN 算法；二是適合于高性能的AEGIS-128 算法和OCB 算法；三是適合于深度防護的Deixys-II 算法和COLM 算法。

下面重點介紹第三輪入選的15 個算法，按照其設(shè)計結(jié)構(gòu)可分為4 類：一是基于分組密碼工作模式；二是基于序列密碼方式；三是基于海綿結(jié)構(gòu)方式；四是基于專用結(jié)構(gòu)。其算法結(jié)構(gòu)和目標(biāo)如表7 所示。

表7 CAESAR 競賽第三輪密碼算法

1.5 全國密碼算法設(shè)計競賽

為推動我國密碼算法技術(shù)進步，提高算法設(shè)計水平及分析能力，促進密碼人才成長，中國密碼學(xué)會在2018 年6 月首次舉辦了“全國密碼算法設(shè)計競賽”[17]，第一輪共征集到22 個分組密碼算法、38 個公鑰密碼算法，截至2019 年9 月，共有10 個分組密碼算法、14 個公鑰密碼算法進入第二輪競賽，最終2個分組密碼算法、3 個公鑰密碼算法獲得一等獎。

第二輪的10 個分組密碼算法為uBlock、Ballet、FESH、TANGRAM、ANT、NBC、FBC、SMBA、Raindrop、SPRING，分別由中國科學(xué)院軟件研究所、杭州電子科技大學(xué)、清華大學(xué)、山東大學(xué)、中國科學(xué)院信息工程研究所、中國科學(xué)院數(shù)學(xué)與系統(tǒng)科學(xué)研究所等單位提交。具體如表8 所示。

表8 全國密碼算法設(shè)計競賽第二輪密碼算法

1.6 NIST 輕量級密碼算法征集

2018 年8 月，NIST 發(fā)起輕量級密碼算法征集活動[18]，第一輪共征集到56 個候選算法，經(jīng)過公開評審32 個算法入圍第二輪，最終在2021 年3 月NIST 宣布共有10 個算法入圍第三輪，包括ASCON、Elephant、GIFT-COFB、Grain128-AEAD、ISAP、PHOTON-Beetle、Romulus、Sparkle，目前NIST 正在進行最終論的評審。下面介紹第二輪入圍的32 個算法，如表9 所示。

表9 NIST 輕量級密碼算法征集第二輪算法

續(xù)表

2 公鑰密碼算法發(fā)展

公鑰密碼是實現(xiàn)密鑰生成、身份認(rèn)證、數(shù)字簽名等密碼功能的基礎(chǔ)體制，是各類密碼基礎(chǔ)設(shè)施的重要構(gòu)成部分，因此廣泛應(yīng)用于通信網(wǎng)絡(luò)和系統(tǒng)安全中。

隨著公鑰密碼設(shè)計發(fā)展和抗量子研究的深入，20 世紀(jì)90 年代，Peter Shor 提出了量子算法[19]（Shor 算法）對RSA 等公鑰密碼發(fā)展帶來了威脅，即如果未來構(gòu)造出一定規(guī)模的量子計算機，那么這些公鑰密碼算法將不再安全，亟需加快后量子公鑰密碼算法設(shè)計和發(fā)展。促進發(fā)展的典型事件包括：1976 年《密碼學(xué)新方向》發(fā)表；1977 年RSA 算法被提出；2016 年NIST 發(fā)起“抗量子密碼算法標(biāo)準(zhǔn)化”征集活動；2018 年中國密碼學(xué)會首次舉辦“全國密碼算法設(shè)計競賽”。

2.1 NIST 抗量子密碼算法標(biāo)準(zhǔn)化征集

2016 年，美國國家標(biāo)準(zhǔn)局開啟了“抗量子密碼算法標(biāo)準(zhǔn)化”工作[20]。第一輪共征集到69套算法（共104 個算法方案），主要可分為基于格的密碼、基于編碼的密碼、基于多變量的密碼、基于Hash 的密碼，以及其他類密碼。第二輪有26 套算法入選，其分布如表10 所示，第三輪推薦算法如表11 所示。近日，NIST 宣布首批進入標(biāo)準(zhǔn)化的算法有4 個（CRYSTALS-Kyber、CRYSTALS-Dilithium、Falcon、SPHINCS+），進入第四輪候選的有4 個算法（BIKE、Classic McEliece、HQC、SIKE）。

表10 入圍第二輪的抗量子密碼算法

表11 進入第三輪推薦算法名單

2.2 全國密碼算法設(shè)計競賽

在中國密碼學(xué)會舉辦的“全國密碼算法設(shè)計競賽”中，最終有14 個公鑰密碼算法獲獎[17]，這些算法提升了我國公鑰密碼算法設(shè)計能力。其算法名稱為Aigis-sig、LAC.PKE、Aigis-Enc、LAC.KEX、SIAKE、SCloud、AKCN、OKCN、FatSeal、木蘭、AKCN-E8、PKP-DSS、Piglet-1，分別由中國科學(xué)院信息工程研究所、清華大學(xué)、復(fù)旦大學(xué)等單位提出。

3 啟 示

從AES 算法征集、ISO/IEC 分組密碼標(biāo)準(zhǔn)算法征集、各個國家和行業(yè)標(biāo)準(zhǔn)算法出臺、NESSIE 計劃實施、ECRYPT 計劃實施、CAESAR競賽開展、全國密碼算法設(shè)計競賽實施和抗量子密碼算法標(biāo)準(zhǔn)化開展等行動中可以看出，目前密碼算法設(shè)計正向功能化、多元化等方向發(fā)展，其設(shè)計趨勢如下文所述。

（1）多功能。對稱密碼算法不僅具有加密功能，在某些應(yīng)用場景中，還具有認(rèn)證功能，并已經(jīng)成為當(dāng)下的研究熱點。而公鑰密碼算法不僅能實現(xiàn)加密、簽名，還能實現(xiàn)認(rèn)證等功能。

（2）輕量化。資源受限環(huán)境對算法提出苛刻的要求，如低延遲、低功耗、邏輯簡單等，這就需要密碼算法既要滿足資源消耗少，又要滿足一定的安全性需求。對輕量級密碼算法設(shè)計的研究已經(jīng)成為密碼學(xué)家新的研究方向。

（3）新結(jié)構(gòu)。對稱密碼算法除傳統(tǒng)的基于LFSR、NLFSR、SP網(wǎng)絡(luò)、Feistel網(wǎng)絡(luò)、MISTY結(jié)構(gòu)、IEDA 結(jié)構(gòu)等結(jié)構(gòu)外，還需根據(jù)當(dāng)前大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新型應(yīng)用和所抵抗的各類攻擊設(shè)計新型的密碼結(jié)構(gòu)。而公鑰密碼除基于數(shù)學(xué)困難問題外，是否還有其他的設(shè)計方式，這是密碼學(xué)專家一直以來的研究重點。

（4）抗量子。針對量子計算攻擊的威脅，亟需進一步研究抗量子的對稱密碼算法，這是當(dāng)前密碼學(xué)家關(guān)注的重點。而在公鑰密碼算法抗量子攻擊設(shè)計方面，重點是圍繞基于格、編碼、多變量、同源、哈希等展開密碼算法設(shè)計和分析，但目前國內(nèi)外專家研究較多的只是基于格的密碼算法設(shè)計。

4 結(jié) 語

從各國政府、機構(gòu)及行業(yè)來看，密碼算法的研究對信息安全有著至關(guān)重要的意義。本文分析了國內(nèi)外密碼算法征集中密碼算法結(jié)構(gòu)、主要部件，結(jié)合新型應(yīng)用場景提出未來密碼算法的發(fā)展趨勢，希望對新型密碼算法設(shè)計和分析提供基礎(chǔ)支撐。