抗量子计算对称密码研究主要关注对称密码方案在量子计算攻击下的安全性. 它是对称密码学与量子计算的交叉研究方向, 近年来成为国际上密码学研究热点之一. 目前该领域的研究成果已经相当丰富:一些量子算法被改造后更好地应用于对称密码分析; 对称密码量子安全模型体系也逐渐完善; 一些重要的传统分析技术被推广到量子增强版; 密码算法的量子攻击资源评估技术不断被改进; 许多经典可证明安全的结构和工作模式易受量子计算攻击; 量子可证明安全理论取得重要进展并成功应用于一些结构和模式的安全证明; 量子安全的密码方案设计研究也即将进入新的发展阶段. 本文概述了抗量子计算对称密码研究的总体情况, 分类介绍了各方面的研究进展状态, 归纳总结了各项成果之间的关联及其机理, 分析了当前研究中存在的问题, 总结了未来有待加强的发展方向.

NTRU作为近期NIST征集的后量子密码算法之一, 分析其量子安全性具有重要意义. 2015年, Fluhrer基于Grover搜索算法给出对NTRU公钥密码的量子攻击. 在乘积多项式模式下, 该攻击对小系数多项式私钥$f_1 f_2$的搜索具有平方加速效果. 然而, 该攻击不仅需要一个强量子Oracle假设, 且需要在Grover叠加查询过程中多次维护一个指数大的列表. 针对此问题, 本文发现Claw-Finding量子算法对NTRU密码具有同样的攻击效果. 然而, 原Claw-Finding算法中针对的函数输出值为单比特, 不适用于分析NTRU. 本文对原Claw-Finding算法进行修改, 即当访问的两个函数输出为比特串时, 算法依然可以找到Claw. 基于此, 本文给出在私钥搜索方面具有平方加速的量子攻击算法, 避免了强量子Oracle的假设, 且不需要维护指数大的列表. 最后, 本文给出所提量子攻击与Fluhrer攻击方法的比较.

分组密码结构对密码算法的安全性有着非常重要的作用. 随着量子计算的发展, 以Simon算法、Grover算法等为代表的量子搜索算法, 广泛应用于分组密码安全性研究领域, 并产生了一定的威胁. 本文首次研究了对5种广义非平衡Feistel结构的量子攻击, 对n-cell结构构造了n+1轮量子区分器; 对New Structure I/III/IV结构分别构造了6轮/9轮/5轮量子区分器; 对FBC-like结构构造了3轮量子区分器, 并利用Simon算法对这5种分组密码结构进行了量子区分攻击. 进一步, 将Simon算法和Grover算法相结合对n-cell结构、New Structure I/III/IV结构和FBC-like结构进行了量子密钥恢复攻击, 并分析了攻击的时间复杂度. 攻击r>n+1轮n-cell结构的时间复杂度为 O(2^{(r-n-1)k/2}); 攻击r>6/14/9轮New Structure I/III/IV结构的时间复杂度分别为O(2^{(r-6)k/2})/O(2^{[2k+(r-14)k]/2})/O(2^{[2k+(r-9)k]/2}); 攻击 r>5 轮FBC-like结构的时间复杂度为O(2^{[3k+(r-5)\cdot 2k]/2}). 结果表明这些攻击的效果均优于使用Grover算法进行穷举攻击.

量子算法在密码的差分分析中运用的重要性日益显现. 在2020年亚密会上, 董晓阳等给出了在敌手具有少量甚至不具备量子随机存取寄存器(quantum random access memory, qRAM)条件下如何实施AES类哈希函数的量子碰撞攻击, 其中包括对入围SHA-3哈希函数设计竞赛决赛圈的5个算法之一的Grøstl-512哈希函数的5轮量子碰撞攻击. 通过进一步研究该5轮量子碰撞攻击, 发现了一种针对5轮Grøstl-512的新型量子碰撞攻击. 利用振幅放大算法优化反弹攻击的搜索流程, 使该攻击的量子复杂度较董晓阳等的攻击降低为原来的1/{2^{24}}.

随着量子计算的发展, 一些分组密码可能不再安全. 在ISIT 2010会议上, 学者基于Simon算法提出了Feistel结构密码的3轮量子区分器, 并证明能在多项式时间内求解, 但该量子区分器的构建并没有考虑到密码算法的轮函数. 本文研究构建与轮函数有关的量子区分器. 轻量级分组密码算法MIBS的设计目标是普遍适用于资源受限的环境, 如RFID标签和传感器网络. 我们充分考虑了MIBS的轮函数及其线性变换 的性质, 由此提出了5轮量子区分器. 然后我们遵循Leander和May的密钥恢复攻击框架, 即Grover-meet-Simon算法, 在Q2模型下对MIBS进行了7轮量子密钥恢复攻击, 时间复杂度为2^{12}.

我国商密标准SM4算法已成为ISO/IEC国际标准, 本文主要研究该算法的的量子实现. 基于对表面码的特性以及量子纠错的综合考虑, 本文将量子比特数、通用量子逻辑门数、量子电路深度以及量子电路的depth-times-width值等作为统计参数. 首先, 探讨并提出了SM4算法S盒的量子优化实现方案. 同时, 结合算法自身结构的性质以及本文提出的S盒量子实现的特点, 设计了SM4算法量子实现的整体结构, 该结构能有效减少量子比特开销. 其次, 针对量子比特数和depth-times-width值两种指标, 系统地研究了并行实现的S盒数量对SM4算法具体量子实现电路性能的影响. 最后, 设计了结合Grover算法对SM4进行穷举攻击的量子电路, 并评估了该攻击所需的量子资源.

格基密码体制以其强大的安全性、高效性、灵活性、实用性等特点从众多后量子密码体制方案中脱颖而出. 在实际应用中, 可将格基密码体制的自身优势与硬件构架的并行性、灵活性等特点充分结合, 使整个系统能够高效运行. 本文简要介绍了格的基本概念以及格上的困难问题; 探讨了格基密码体制的主要优势以及其在公钥加密、数字签名、密钥交换等方面的应用价值; 在硬件实现格基密码的模块设计架构中, 针对离散高斯采样器、多项式乘法器这两大主要模块的主流优化技术和实现方法进行了调研、总结和比较; 在硬件实现格基密码的整体架构中, 围绕格基密码在不同场景下的应用、不同的硬件优化目的(面向性能/面向资源)等方面, 详细分析对比了当前先进的设计理念和优化技术; 最后, 从安全性、灵活性、资源消耗、吞吐量等角度, 将格基密码体制在硬件上的实现情况与其它实现方法进行对比分析, 充分展现其在实际应用中的高效性和实用性.

流密码算法的设计与实现一直是密码学领域的研究热点之一. 随着应用环境的多样化以及安全需求的提高, 流密码算法的设计结构和高效实现也面临着新的挑战. 本文首先回顾流密码的发展历史, 介绍最新的研究成果, 整理流密码发展过程中部分主要国家和地区发起的流密码相关项目以及相关标准; 随后, 归纳流密码设计中常见的构建块, 并对流密码的设计作分类, 跟踪不同分类中典型算法的发展脉络, 同时对主流的设计分类进行分析、举例; 然后, 从可重构计算的角度对典型流密码的算法结构进行分解, 提取计算算子, 总结运算种类并分析基本运算单元的使用情况, 基于这些研究设计一个面向流密码算法的通用的可重构计算密码处理架构. 最后, 在分析当前流密码算法需要解决的一些关键问题后, 从不同角度展望流密码的发展趋势.

针对密码认证协议的类型缺陷问题, 细粒度地刻画了该类协议的消息类型结构特征, 提出并证明了类型缺陷攻击存在性定理, 基于原子消息加密数据结构及串空间模型提出了检测类型缺陷的形式化构造攻击方法, 应用于密码认证协议的形式化分析, 找到了一系列关于该类协议的类型缺陷攻击, 指出了产生类型缺陷的根本原因以及修正措施, 为了使密码协议设计渐趋精细化、标准化、科学化, 给出了无消息-类型同态性、相似性、等价性等密码协议设计准则, 突破了消息类型复杂多样、类型缺陷难以检测的密码协议设计关键技术. 以Yahalom-Paulson协议为例, 分析说明该方法的具体应用, 检测出了该协议存在的两类类型缺陷攻击. 理论推导和实例分析表明, 经过该方法分析修正过的密码认证协议在Dolev-Yao模型规范的攻击者能力下能达到可证明安全, 与其它的密码协议形式化工具方法相比较, 该方法有明显的代数结构特征, 而且形式化格式特征突出, 极易判别, 在全面检测密码协议的类型缺陷方面有优势, 发现了一个在公开文献中未曾出现的Wide-Mouth Frog协议的新攻击.

 针对密码芯片开展故障攻击的关键在于针对存储资源故障模型的精准注入. 利用高精度脉冲激光单粒子效应扫描测绘装置, 对两款不同工艺尺寸的SRAM器件开展单粒子翻转故障模型试验研究, 分析激光能量和存储数据类型对SRAM器件故障触发概率和故障模型分布概率的影响. 试验结果表明, 在3倍激光能量阈值下, 可实现近90%的高故障触发概率, 故障类型以多比特翻转为主; 在激光能量阈值下, 可实现近10%-30%的低故障触发概率, 故障类型包含1-bit和2-bit翻转, 且1-bit翻转类型所占比例高达80%; 在覆盖多个存储单元的的局部区域, 存储数据类型对诱发SRAM器件故障模型分布概率的影响较小.

对数据进行加密是保证合法用户对数据访问控制的一种有效方式, 基于对称密码的访问控制模型具有较高的效率和安全性. 2016年的CCS 会议上学者提出了一种基于对称密码的Mix&Slice算法, 用于解决云端加密数据高效的权限撤销问题.算法的主要思路是在密文的每一比特充分混淆的基础上, 对密文的一小部分比特重新加密. 由于密文充分混淆, 一小部分的缺失将导致整个密文不能解密, 以此实现对数据的权限控制. 本文聚焦于Mix&Slice算法的安全性及部署场景, 发现其初始向量的使用不当可导致数据泄露. 通过分析不同的基础加密模式对Mix&Slice算法安全性的影响, 给出算法初始向量装载的两种改进方法, 使其更适合实际使用场景. 实验验证在提高算法安全强度的同时, 本文的两种改进没有带来效率损失.

神经网络模型逆向攻击的目的是恢复部署在推理终端的网络结构与权重, 它不仅是重要的知识产权, 模型中的参数信息还会带来如对抗样本攻击的安全威胁. 在保密模型结构设置中, 标准的保护措施, 如阻止二进制回读、阻止JTAG访问、代码混淆等手段能够防止模型信息泄露, 导致不能有效逆向神经网络模型. 通过研究发现, 在迁移学习的背景下, 应用开发中部署的网络多是由已存在的知名网络再训练而生成, 因此不同的时间消耗序列能够作为特征, 用来确定神经网络模型的具体结构. 已有基于侧信道分析的逆向方法都是面向特定神经网络结构, 本文提出的逆向方法可以面向所有神经网络模型. 通过分析卷积神经网络中卷积层、池化层以及全连接层中的时间消耗, 提出一种基于时间的模型逆向攻击. 该方法需要向目标神经网络结构提供随机输入, 测得运行时各层时间消耗, 将模型逆向问题转化为模型分类问题. 本文对Vgg系列、ResNet系列等神经网络结构进行实测实验, 使用不同数量的时间特征进行训练与预测, 所选取的指标包括精确率、召回率、F_1值等, 随着选取的时间特征层数越多, 分类器预测的效果越好. 实验结果表明当使用100层运算层的时间特征时上述指标均可达到98.9%, 本文方法能够有效区分出选取的11种神经网络结构.