量子保密通信技术的飞速发展, 展现了量子密码在通信领域巨大的应用潜力. 量子密码利用量子的物理属性来保证通信的无条件安全, 然而在实际通信系统中, 光源等设备的不完美性给通信系统带来了安全隐患. 针对使用非理想光源的量子密钥分发系统, 采用分束攻击可以获得通信密钥而不被发现. 本文首先介绍分束攻击的发展现状和基本原理, 然后对一种分束攻击改进方案的关键技术进行了研究. 基于对该方案的分析, 对传统的分束攻击进行进一步改进, 提出一种新的分束攻击方案。新方案针对非相位随机化光源, 根据不同光脉冲强度, 设计了一种计算分数器效率的方法, 该方法使得窃听者能够合理控制接收端计数率保持不变; 同时, 为了使得新方案更加实用化, 将光脉冲强度分为不同的安全区间, 针对每一个安全区间求出一个分数器效率使其保持接收端计数率波动在可接受范围内, 从而提高了攻击效率和攻击能力. 最后应用MATLAB拟合出分数器效率与光强之间的函数关系, 并且通过数值模拟以及数次优化证明了方案的安全性和可行性.

随着全球信息化时代的到来, 学习、办公、生活中都离不开网络的使用. 因此网络的安全问题也成为人们关注的焦点. 数字证书的出现很好地解决了网络的身份认证问题, 将用户身份与公钥通过权威第三方机构绑定到一起, 从而证明了用户身份的合法性. 数字证书认证技术更是为我国的电子政务与电子商务的安全保驾护航, 因此, 对数字证书的研究具有很大的意义. 现有的数字证书系统中使用的签名算法大都是基于大数分解或者离散对数, 而随着``量子计算机''的快速发展, 这些签名算法都面临着巨大的安全威胁. 针对这一问题, 提出了一种基于格理论的数字证书方案. 在方案中, 可信第三方证书授权中心(certificate authority, CA)在证书签发过程中使用的签名算法是基于格理论的, 其安全性是基于小整数解困难问题(small integer solution, SIS), 并证明了基于该算法设计的证书是不可伪造的. 这大大提高了证书的安全性. 与传统的RSA、ECDSA证书方案相比较, 本方案不仅可以抵抗量子攻击, 而且在安全比特相同的情况下, 具有更高的签名、验签效率. 与以往的格签名方案相比, 密钥以及签名值的尺寸更短, 便于在证书中存储.

全同态加密方案是一类允许第三方在不知晓解密密钥的前提下对密文进行任意运算的加密方案, 为云计算场景下数据隐私保护提供了有效的密码学工具, 具有重要的应用价值. 在复杂的网络环境下, 消息的接收者往往不是单一的. 如何将一个具备可计算性的密文安全地分享给一个任意选定的接收者集合, 是传统的全同态加密方案尚未解决的问题. 本文结合全同态加密和身份基广播加密的思想, 提出了新的密码学原型——全同态身份基广播加密(identity based broadcast fully homomorphic encryption, IBBFHE), 并基于LWE困难问题假设给出了具体的方案. 数据通过IBBFHE方案加密后允许不具备解密能力的第三方进行同态运算, 且仅能被指定集合内的接收者正确解密, 从而实现了云计算环境下数据的动态群组分享. 本文在LWE假设下, 证明了所提方案的抗半适应性选择身份集合选择明文攻击的安全性. 由于LWE 问题是公认的抗量子攻击难题, 本方案也具备抗量子攻击的安全性.

随着物联网技术发展, 智能设备数量激增, 无线智能物联网设备采用的自组织网络模式具有拓扑动态性、无中心分布性、无固定基础设施等特点, 然而这些特点为通信与定位的安全性带来众多问题. 首先, 为实现无线智能设备的安全通信, 往往采用单双钥加密相结合的方式, 然而一旦设备密钥丢失或泄露, 其密钥更新难以在自组织网络中及时同步; 其次, 在自组织网络中, 多设备之间会话密钥的协商往往需要复杂的交互和运算; 第三, 在城市、野外等复杂环境下, 采用自组织网络模式的智能设备难以接收来自外部足够强的定位信号, 而现有的APS定位算法在缺乏基站等可信第三方基础设施情况下难以确保其定位安全性; 最后, 现有定位算法难以确保无线智能物联网设备所获得的定位信号未遭篡改, 也难以保证网络监控下各移动设备所显示定位的真实性. 针对上述问题, 本系统将无线智能物联网设备之间建立的区块链作为可信基础设施, 记录用户身份对应的密钥更新链, 并便于多用户间会话密钥协商; 基于共识机制实现在无定位信号或弱定位信号下物联网智能设备之间可信相互定位, 并保障设备获取和发出的定位信息真实. 本系统可使用现有安全的密码算法构建, 能够高效安全地实现密钥更新与可信定位, 适宜在实际物联网设备安全通信系统中使用.

扩频通信系统的码序列在近些年一直是备受关注的研究课题之一, 扩频通信序列目前已经被广泛应用于军事以及民用通信. 对于扩频序列, 相关值决定了系统的抗干扰性, 它要求具有良好的互相关性质, 为满足越来越密集的人口通信, 还需要保证每个蜂窝里的用户数量足够大. 本文提出弱半bent布尔函数和弱半bent序列集的定义,并利用Maiorana-McFarland类密码函数构造技术, 构造出弱半bent 正交序列集. 与半bent正交序列集相比, 利用弱半bent序列集可以使单个蜂窝内用户的数量更多. 本文还给出弱半bent序列集的两种优化方案. 第一种优化方案仍然是以增大单个蜂窝用户数为主要目标, 在某些情况下数量比目前最优结果大一倍. 第二种优化方案是用弱半bent正交序列集构造出半bent正交序列集, 使不相邻蜂窝间的用户干扰较弱半bent正交序列集更低, 并且没有减小单个蜂窝内的用户数. 弱半bent正交序列可用于同步CDMA系统的蜂窝用户码, 可以实现用户数量和抗干扰性的较好折中.

已有的基于证书条件代理重加密(CB-CPRE)方案有效保护了云中的数据, 解决了复杂的证书管理问题和密钥托管问题. 但是现有的基于证书条件代理重加密方案仍然存在着应用方面的缺陷, 只考虑了授权人和被授权人在同一个域内的情况, 而新型云环境中, 域间和域内的用户需要进行数据共享, 不同服务商需要相互协作, 为用户提供云服务. 对此, 本文通过结合多域这一概念, 在已有方案基础上, 提出了基于证书多域条件代理重加密(CB-MD-CPRE)方案的定义及其安全模型, 使得不同域内用户能相互访问数据, 有效解决了上述存在的问题. 且结合椭圆曲线群, 本文进一步构造了一个无双线性对的基于证书多域条件代理重加密方案, 并给出证明过程, 说明了该方案在随机预言模型下满足适应性选择密文攻击下的不可区分安全性. 最后, 通过对比分析本方案和其他相关方案, 可以看到本方案在性能方面有明显的优势, 且计算量较低, 在一定程度上限制被授权人解密权限的同时又支持域间和域内用户交流. 因此, 所提方案更适用于实际的云计算应用场合.

认证加密算法同时实现两种最基本的安全功能, 即机密性和完整性, 是一类具有广泛应用前景的密码算法. 认证加密算法虽然研究历史很短, 但一直是密码研究的重要对象.

认证加密算法的研究经历了三次高潮.

第一次高潮是一体式认证加密算法的设计. 2000年之前, 学术界甚至还没有为认证加密给出一个严格的安全性定义, 多数密码研究者的认识仍然停留在``加密 + 认证 = 认证加密"这一初步的认识上, 这期间的学术界一直在探索一体式认证加密算法的设计, 但是都不成功, 这和当时缺乏安全性定义有直接的关系. 随着严格定义的给出, 特别是对密文完整性(INT-CTXT)的刻画, 认证加密才真正开始严密的科学研究. 不同于简单地将加密算法和认证算法组合在一起、一般需要对数据进行两遍处理的组合式设计, 一体式的设计则只需要对数据处理一遍即可同时实现机密性和完整性两种功能. 2000年, 以OCB模式为代表的认证加密工作模式, 第一次完成了一体式的设计, 该模式中一个分组的数据平均只需调用一次分组密码, 较之以前组合式设计的运算效率大为提高. OCB模式在严格的安全模型下被证明是安全的, 即如果底层的分组密码是一个伪随机置换, 那么敌手攻击上层的OCB模式的机密性和完整性的成功概率都是密码意义下可忽略的.

第二次高潮是对认证加密标准化的讨论. 由于认证加密算法的广泛应用, 从2000年开始, 各个标准化组织纷纷开始对认证加密算法进行标准化, 其中包括无线局域网络802.11i标准中的认证加密算法、美国国家标准与技术局(NIST)的认证加密算法标准、密钥信息加密的密钥包装(key wrap)标准、IEEE P1619存储加密标准等等. 这一过程极大推动了认证加密算法的发展, 例如密钥包装(key wrap)标准的讨论, 引发nonce误用问题的讨论, 也促成了确定性认证加密概念的提出. OCB模式虽然效率上有很大优势, 但是由于专利限制等原因, 在相关密码标准的制定过程中屡屡受挫, 组合式的GCM模式反而后来居上, 成为标准化过程中最成功的认证加密算法. 在这期间, 涌现出一批有代表性的设计, 例如CCM、EAX等. 2009年, 国际标准化组织(ISO)的认证加密算法标准ISO/IEC 19772将这些认证加密算法全部都包括进去了, 可以看作是这一阶段认证加密算法研究的一个总结.

第三次高潮是近年来的CAESAR竞赛. 2012年开始, 应用最为广泛的认证加密算法GCM模式被发现出现了一些问题. 首先, GCM模式中的泛杂凑函数存在弱密钥; 其次, GCM模式的安全证明存在缺陷. 2014年, NIST资助的CAESAR 竞赛应运而生, 使得认证加密算法再一次成为密码学界的研究热点. 这之后, 认证加密的研究更多地偏向应用安全. 例如, 在资源受限的环境下, 认证加密的解密设备可能无法在进行完整性通过后才输出明文, 而是输出完明文之后才给出完整性的判断, 这是所谓的明文未认证发布(release unverified plaintext, RUP)问题. 在这一场景的安全性需求下, 很多认证加密算法的安全性都是有问题的. 又例如, 在线处理数据的认证加密, 之前的研究将其和在线密码(online cipher)绑定在一块. 对于这一特殊的对象, 独立于在线密码的安全模型如何定义才算合理, 仁者见仁智者见智, 众说纷纭.

本期``认证加密算法专栏", 我们刊登三篇各具特色的论文, 希望对国内认证加密算法的研究有所启示.

第一篇是题为《认证加密算法研究进展》的综述文章. 该文回顾了认证加密算法的发展历程和相关的安全模型, 然后以CAESAR竞赛候选算法为对象, 总结了认证加密算法的设计理念, 分类介绍了第三轮评估的15个候选算法. 最后, 该文对认证加密算法的发展趋势和存在问题进行了探讨, 抛砖引玉, 期望更多国内学者参与其中的研究.

第二篇论文, 题为《认证加密算法FASER的安全性分析》, 对提交到CAESAR竞赛的认证加密算法FASER进行了分析. FASER包含两个算法: FASER128和FASER256. 该文首先给出FASER128加密算法的状态恢复攻击和密钥恢复攻击, 在32核计算机上只需要几分钟时间就可以实时恢复出密钥. 进一步, 该文还给出了FASER256的状态恢复攻击. 由于这一工作, FASER主动退出了CAESAR竞赛.

第三篇论文的题目是《Grain-128a 认证机制的安全性分析》, 该文以弱密钥分析为切入点对认证加密算法Grain-128a进行了研究. 研究表明Grain-128a认证部分的泛杂凑函数存在弱密钥集合, 攻击者可以有效判定泛杂凑函数的密钥是否属于这一集合, 一旦密钥落入这一集合, 就可以进行概率为1的伪造攻击. 这一分析方法和对GCM的弱密钥分析是一脉相承的.

CAESAR竞赛早已接近尾声, 最终获胜算法的公布日期却一再拖延. 无论如何, 认证加密算法的科学研究还将继续下去.

认证加密算法是能够同时保护数据机密性、完整性、以及数据源认证的对称密码算法, 在现实生活中有着广泛的应用需求. 在CAESAR竞赛的推动下, 认证加密算法研究发展迅速, 推出了一批新算法, 也给出了不少分析结果, 但进展并不顺利. 从现有成果看, 无论是安全目标的凝练刻画, 还是算法设计的理念, 或是分析评估的基本策略, 都呈现出一种五花八门、百家齐放的局面. 本文首先回顾认证加密算法的发展历程, 系统梳理认证加密算法的安全模型; 然后以CAESAR竞赛候选算法为对象, 归类总结认证加密算法的各种设计理念, 介绍各类认证加密算法的优势和最新的安全性评估结果; 最后探讨认证加密算法的发展趋势和存在问题.

CAESAR是日本于2013年发起的密码竞赛活动, 旨在面向全球征集对称认证加密算法. FASER是提交到CAESAR竞赛的认证加密算法簇, 它包括两个算法: FASER128和FASER256. 该算法簇基于流密码体制, 即根据输出密钥和初始随机向量生成与明文流等长的伪随机密钥流, 然后用该伪随机密钥流异或明文流进而输出密文流. FASER 包括加密算法和认证算法, 其认证算法于加密算法类似. 本文我们发现FASER的每拍输出字的比特之间有很强的相关性, 根据这种相关性我们给出FASER128 和FASER256的代数攻击. 首先我们给出FASER128加密算法的状态恢复攻击, 其时间复杂度约为2²⁹, 数据复杂度约为64个密钥字, 我们将该攻击算法在普通的个人计算机上实现, 该攻击算法在数分钟内即可恢复FASER128的状态. 进一步, 我们给出FASER128的密钥恢复攻击, 其时间复杂度约为2³⁶, 该攻击算法在多核计算机上可以并行实现. 例如在32核计算机上可以在几分钟之内恢复出种子密钥. 这表明FASER128不安全. 进一步, 我们的攻击可以很容易地移植到FASER256, 并在文章最后给出了针对FASER256的状态恢复攻击, 其攻击复杂度不超过2⁴⁸. 由于我们的工作, FASER 于2014年被撤销.

Grain-128a是一个基于序列密码的认证加密方案, 泛杂凑函数是其认证部分的核心部件. 之前的研究侧重于寻找其中序列密码的弱点. 本文在假设序列密码是完美的基础上, 以泛杂凑函数的弱密钥分析为切入点, 研究Grain-128a的安全性. 由于这一泛杂凑函数是一个简单的仿射函数, 我们的研究表明其在Grain-128a中存在弱密钥集合, 攻击者可以有效判定泛杂凑函数的密钥是否属于这一集合, 如果密钥属于这一集合, 攻击者可以进行概率为1的伪造攻击. 同时, 我们在弱密钥分析的基础上, 进行密钥恢复攻击. 假设处理的消息是1比特, 我们仅需要1次加密询问和不超过2³²+l-1次解密询问, 就可以恢复泛杂凑函数l+31比特的密钥, 成功概率为1. 更进一步, 我们可以得到序列密码生成的几乎所有的密钥流, 从而可以进行任意的伪造攻击, 即对任意长度不超过$l$比特的消息, 伪造其密文及相应的鉴别码.  本文最后分析了之所以能进行这些攻击的原因和防止攻击相应的措施.