【商密特辑】创新检测技术方法 保障前沿密码应用安全

8月9日-11日，2023商用密码大会在郑州火热进行中。量子密码作为现有商用密码体系的有益补充，积极参与到此次商用密码创新驱动、前沿交流、产业对接、协同合作的盛会中。

国盾量子特精选多篇商用密码相关文章，与您共享~

作者：中国信息安全测评中心 魏伟 刘宏伟 陈佳哲 石竑松

进入新时代，新一轮科技产业革命与国际复杂局势交织叠加，量子科技、人工智能、大数据、物联网等前沿技术的发展和应用催生了网络空间安全的新形势和新需求。作为维护网络安全的核心技术，密码技术面临着诸多发展机遇与挑战。新修订的《商用密码管理条例》(以下简称《条例》)明确支持并规范商用密码在信息领域新技术、新业态、新模式中的应用，从法规角度有力地推动了密码技术创新发展和检测认证体系建设。

本文将重点讨论前沿密码技术的发展状况，特别是与芯片安全、通信和数据安全保护有关的密码侧信道安全分析、量子安全、隐私计算等技术，探讨在新形势下面临的问题及相关的检测技术方法，并提出意见和建议。

创新侧信道安全分析技术

保障密码模块应用安全

密码侧信道分析利用密码模块运行过程中产生的时间、功耗、电磁等侧信道信息，以获取密码算法运行时的中间状态相关信息，进而猜解密钥等敏感信息，对芯片等密码模块的应用安全性构成了极大威胁。因此，在国际上的 CC (Common Criteria)、EMVCo、FIPS 140 和国内的商用密码产品检测标准如 GB/T 37092、GB/T 22186、GM/T 0008 等中，侧信道安全检测都是密码产品检测的必要内容。同时，由于分析方法多样且复杂，侧信道安全检测也是密码产品安全检测中的难点之一。

国际上密码产品的安全测评标准体系主要有两个。在 CC 体系（即 ISO/IEC15408 体系，我国等同采用为 GB/T 18336）下，进行侧信道安全检测的主要方法为“攻击驱动”，需要系统地尝试各种侧信道分析方法，以判断其能否对密码产品的安全性构成威胁。在 CC 应用最为成熟的智能卡领域，欧洲智能卡组织的硬件联合工作组 （JHAS）负责定义和维护潜在的侧信道攻击方法。JHAS 的成员主要包括欧洲认证机构、评估实验室、硬件供应商、软件供应商和服务提供商等，这些参与方会就这些攻击方法达成一致，但并不会将其对外部机构公开，这可以说是欧洲安全检测实验室垄断全球芯片高安全检测的主要原因。

另一个主要的密码模块安全测评体系是美国推行的 FIPS 140 体系。其中，ISO/IEC 17825:2016《密码模块非入侵式攻击缓解技术测试方法》是规范侧信道攻击的关键标准。该标准用于测试密码模块是否能满足三级和四级安全等级所规定的针对非入侵式攻击（目前最广泛和深入研究的侧信道攻击类型）的要求，其检测方法的定位是检测侧信道信息泄露量，而不是对具体攻击方法进行尝试。近年来，ISO/IEC 17825:2016 中所使用的一些方法被学术界诟病，该标准已处于修订过程，中国信息安全测评中心专家在此次修订中担任联合编辑，预计新版标准将于 2024 年发布。

但是，ISO/IEC 17825 只在黑盒情况下检测信息泄露的特点决定了在关键基础设施等需要高安全性保障的场合中，仅使用该标准进行密码产品的侧信道安全检测是不够的。同时，我国依据 GB/ T 18336 进行密码产品检测的实验室并不能获得 JHAS 定义的攻击方法，而检测实验室之间所使用的侧信道攻击方法不互通也容易导致检测内容和强度要求不一，不利于检测结果比对与产业发展。鉴于密码产品侧信道安全检测的重要性及目前国内外标准发展现况，我国还需加强以下工作：

一是大力发展密码侧信道安全分析方法的研究和应用评估技术。密码产品检测实验室应及时跟进最新研究成果，包括新型侧信道信息（如声音、电势、温度、CPU 频率等）的利用、新型分析方法的提出、与人工智能等新技术的结合等，并适时将比较成熟的技术纳入密码产品侧信道安全检测技术中，以不断提高我国发现和应对密码产品侧信道安全风险的能力。

二是建立适合于我国的侧信道安全检测标准。目前 ISO/IEC 17825 的方法有所局限， 而 JHAS所定义的攻击方法并不对我国公开。我国可探索适合国情的侧信道安全检测标准。定义 ISO/IEC 17825 使用范围及高安全性要求的密码产品所需使用的侧信道安全检测方法，并适时推出国家标准。此外，增进密码产品检测实验室的互联互通，在密码检测实验室中维护共同的侧信道攻击方法及流程，以保障检测结果的正确性、公平性和可靠性，促进产业发展。

创新量子安全检测技术

助推抗量子攻击技术应用

近年来，量子计算机研制进展迅速，其巨大的计算潜力在促进社会发展的同时，也对网络安全防护技术提出了重大挑战。

1995年，Peter Shor 提出了适用于 RSA、ECC 等密码技术的量子破解算法，对现用公钥密码体制的安全性产生了颠覆性影响，也直接推动了抗量子攻击密码技术的研究。在这方面，计算机科学和物理学从自身研究角度出发，独立发展出两条抗量子攻击的密码技术研究路线：后量子密码技术和量子密钥分发技术。

( 一 ) 后量子密码技术的发展及其应用安全

后量子密码主要指可在现有计算机上运行的能抵抗未来量子计算攻击的公钥密码技术。理论上，后量子密码的安全性建立在（目前认为）量子计算机难以解决的数学难题之上，可覆盖公钥加密、数字签名和密钥交换这三种基础密码学原语，能满足现有的公钥密码应用需求，还可实现全同态加密、多线性映射、不可区分性混淆等新型密码功能，无需使用专门的量子硬件，这些特点使得从经典密码向后量子密码的迁移过程会比较方便。

当前最具代表性的后量子密码实践活动是美国家标准与技术研究院（NIST）面向全球发起的标准算法征集活动及美后量子密码迁移计划。2022 年，NIST 公布了首批胜选算法，预计 2024年完成标准制定工作。在产业界，美欧企业如谷歌、微软、IBM、Intel、Infineon、AWS 等已开展后量子密码技术研发、试点应用及迁移框架研制等工作。我国在后量子密码技术发展方面也进行了许多创新性探索。我国研究人员设计的算法在 NIST算法征集中取得了良好成绩，在 ISO/IEC 层面后量子密码算法国际标准的制定工作中发挥了积极作用。2018年，我国举办了全国密码算法设计竞赛，出现了一批自主设计的后量子密码算法，为后续推行标准化工作奠定了基础。近期，我国后量子签名算法标准研制工作也已启动。

尽管 NIST 正加大后量子密码在世界范围内的密码迁移替代活动，但这些算法的理论和应用安全性仍不太乐观。自 2022 年以来，有五个主要的NIST 候选算法在决赛环节遭遇破解或强度降低攻击，后量子密码在安全分析及检测方面仍存在较大研究空间。在理论安全层面，进一步明确算法所依赖的困难问题的安全性，探索加速求解困难问题的量子算法，评估后量子密码应用模式和解决方案的安全性；在应用安全层面，研究后量子密码算法的密码误用分析方法，研究针对算法主要模块的侧信道分析等现实攻击方法及防御措施，并逐步建立完善的安全检测标准、方法和技术手段。

虽然 NIST 后量子标准将于 2024 年推出，但算法主体结构已经明确，后量子密码产品和相关试点应用也已在世界范围内推出。为此，我国应同步预做准备，在后量子密码自主设计、应用模式、敏捷部署、优化实现等方面积累经验，构建后量子密码算法、应用、检测等标准体系，支撑国家量子安全防护体系建设。

( 二 ) 量子密钥分发技术的发展及其应用安全

量子密钥分发（QKD）是一种基于量子物理发展起来的抗量子攻击密码技术。通信双方以微观粒子的量子特性为信息载体，以量子力学的基本定律保障共享密钥的安全性。理论上，区别于后量子密码理论安全性基于数学困难问题，QKD的理论安全性不受量子计算技术发展的影响，能够实现所谓的长期安全目标，有效解决“先保存，后破译”这样针对传统密码甚至后量子密码的安全威胁。

近年来，欧盟、英国、俄罗斯、以色列等国家和地区相继发布了量子通信基础设施建设规划，并推进 QKD 实验系统的应用。美国 Quantum Xchange、瑞士 ID Quantique、欧洲东芝、我国的国盾量子、问天量子等公司均推出了 QKD 相关产品。在技术发展方面，QKD 的点对点无中继通信距离已突破千公里，密钥率也突破百兆比特/秒。同时，QKD 设备集成化工艺日趋成熟。东芝剑桥研究实验室2020年推出了世界首个基于芯片开发的 QKD 原型系统，产品封装体积大幅缩减。此外，QKD 应用场景不断拓展。除了在政务、军事、金融、电力等传统行业开展应用示范，QKD 技术也在 5G、物联网等新技术领域进行了应用探索。美国能源部下属的实验室以及德国电网运营商分别于 2020 年和 2022年实验研究了利用 QKD 技术保障电网信息传输；英国电信集团于2021年主导研发了保障 5G 基站与移动终端及网联汽车之间安全链接的 QKD 核心组件；日本东芝则在 2020年研究利用 QKD 保障人类基因组测序的数据传输。这些进展表明 QKD 技术在不断发展成熟，实用化程度正逐步提升。

同传统密码模块一样，实际 QKD 设备往往会因存在的各种实现和环境缺陷而偏离理论安全模型，其实际安全性仍需严格论证。如何建立检测技术标准以量化分析设备缺陷对 QKD 设备实际安全性的影响，是进一步推广应用 QKD 技术前需要解决的关键问题。在此方面，欧洲电信标准协会（ETSI）ISG-QKD 工作组于2008年开始研制检测技术规范；2017至2023年，中国信息安全测评中心联合国盾量子及东芝剑桥研究实验室等团队，在 ISO/IEC 层面研制国际首个基于 CC 框架的 QKD 安全技术标准 ISO/IEC 23837，规范 QKD模块安全要求及安全测评方法。基于此标准，可以细化出适用于不同类型 QKD 产品的保护轮廓标准，系统解决 QKD 的安全测评问题。ETSI 进而于2021 年开始制定适用于测量制备类协议的 QKD 设备安全保护轮廓标准；国际电信联盟（ITU-T）于2018 年启动了 QKD 网络相关的标准化工作，其核心 QKD 模块的安全性测评依赖于 ISO/IEC 23837。

同时，针对诱骗态 BB84 协议的 QKD 产品，国家密码管理局也于 2021 年推出了产品检测规范 GM/T 0108-2021 和 GM/T 0114-2021。这些工作表明QKD 的安全测评标准正逐步成熟。

为了更好地促进 QKD 产品的商用化，仍需进一步完善 QKD 相关的安全标准体系，特别是针对不同 QKD 产品类型的保护轮廓标准文件的开发。同时，按《条例》要求，尽快促进国内外相关标准的相互转化运用，形成与国际标准一致，甚至更高要求的国家标准；其次，积极引导企业和安全检测机构开展标准化的 QKD 产品安全检测工作，完善检测技术方法，促进标准应用落地，为全球市场应用起到积极的示范效应。

创新隐私计算技术安全检测方法

护航数据安全应用

近年来，随着国家《数据安全法》《个人信息保护法》的颁布实施，隐私计算技术在数据安全流通和协同使用中发挥了积极作用，对数据要素市场建设发挥了一定的价值。

除以传统的秘密共享、不经意传输、混淆电路等为基础的多方安全计算技术外， 随着差分隐私、全同态加密、 可信 执行环境、 联邦学习等新技术不断出现，隐私计算的功能和性能逐步优化。

近年来，隐私计算产品形态和应用场景不断扩展，同时 IEEE、ISO/IEC、ITU-T 和 TC260、TC180、TC601 等国内外标准组织都在建立相关标准。在金融、政务、医疗等一些兼具数据密集和高价值特点的行业，隐私计算技术已展现出十分可观的应用前景，但其中的安全隐患也不容忽视。

从安全检测角度，隐私计算与传统信息技术产品测评存在一定差异，这既受限于技术发展本身，也与其在应用上的特点有很大关系：一是技术路线选取有待规范化。基于隐私计算技术的解决方案场景适配性较强。除了考虑到通信开销或计算效率外，符合实际场景的安全假设是选取技术路线的重要因素，包括协议参与方遵循的安全模型、信任共识假设的可行性、敌手的攻击能力等，不当的选取可能导致严重的隐私泄露。

二是通用的安全度量方法有待形成。不同技术路线之间的交叉融合已成为一种解决安全性、效率、准确性和功能等实际需求的必然途径。这在一定程度上增加了算法协议的差异化，使安全基础较难统一。

三是安全性和性能有待提高。对隐私保护强度的评估是隐私计算产品合规性的重要保障，也是数据持有方使用隐私计算产品的信任基础。同时，数据规模、参与方数量、安全要求等因素对隐私计算性能也提出了更高要求。

四是安全测评体系有待建立。目前，隐私计算技术所使用的底层密码算法和协议自由度较大且仍处于不断优化发展的 阶 段， 这 更 增 加了现阶段建立完善的技术标准体系的难 度。同时，算法实现、 参数选取、网络通信等方面的实际安全分析还需要检测机构投入更多的研究实践。为此， 应加紧完善隐私计算技术标准体系，建立隐私计算中常用的多方安全计算协议和算法（秘密共享、混淆电路、不经意传输等）、零知识证明协议及同态加密算法等技术标准。在此基础上再围绕隐私计算技术的安全测评、互联互通、行业应用等方面开展标准制定工作，加速构建更加完善的隐私计算技术标准体系和测评技术手段，确立产业发展的安全基线。

结语

商用密码技术是保障国家网络空间安全的核心技术，也是推动前沿技术发展应用的关键支撑。《条例》的颁布和实施，有利于推动商用密码检测认证体系的建设。为保障前沿密码应用安全，检测认证工作应紧跟密码应用发展趋势，不断增强检测认证能力，持续创新技术方法，为推进新时代商用密码高质量发展提供更加有力的支持和保障。