潘梁靜

(商丘職業(yè)技術(shù)學(xué)院 基礎(chǔ)部，河南 商丘 476100)

隨著社會(huì)的發(fā)展，信息保密工作越來越重要，密碼學(xué)隨之出現(xiàn)，為信息保密工作做出了巨大貢獻(xiàn).隨著密碼學(xué)技術(shù)與互聯(lián)網(wǎng)技術(shù)的發(fā)展和進(jìn)步，現(xiàn)代對(duì)于密碼學(xué)的應(yīng)用已經(jīng)從傳統(tǒng)的單純對(duì)信息的保密轉(zhuǎn)變?yōu)楦訌V泛的安全保護(hù)與隱私保護(hù)，對(duì)于當(dāng)今時(shí)代的信息安全具有非常重要的意義[1]492-502.所謂公鑰密碼體制，就是指公鑰密碼的設(shè)計(jì)方案.公鑰密碼這一理論最早是在1976年的時(shí)候在美國率先提出的，從此以后，針對(duì)公鑰密碼的研究層出不窮，其中RSA公鑰密碼體制、McMliece公鑰密碼體制等方案均對(duì)公鑰密碼的發(fā)展有著巨大的推動(dòng).但是，許多公鑰密碼體制在提出并經(jīng)過實(shí)際的驗(yàn)證后發(fā)現(xiàn)具有缺陷，對(duì)于信息的保護(hù)作用存在較嚴(yán)重的問題，因此被逐漸拋棄.

1 大整數(shù)分解困難問題的公鑰密碼體制

1.1 RSA公鑰密碼體制攻擊現(xiàn)狀

從數(shù)學(xué)角度講，公鑰密碼的安全性直接取決于函數(shù)分解的難易程度，分解難度越高，公鑰密碼就越安全.數(shù)學(xué)研究中有人認(rèn)為對(duì)于RSA的攻擊方法最好就是通過分解，但是這一論點(diǎn)并未得到數(shù)學(xué)界的廣泛認(rèn)可，目前對(duì)于RSA的分解大整數(shù)普遍認(rèn)為或許會(huì)有其他多項(xiàng)式分解算法存在.相對(duì)于其他途徑，分解n是攻擊RSA最簡單的途徑之一[2]15-20.目前對(duì)RSA的攻擊主要是關(guān)于RSA-155的分解，是由1999年6個(gè)國家的數(shù)學(xué)家共同進(jìn)行的.這些數(shù)學(xué)家們采用NFS成功地將RSA-155進(jìn)行了分解，推算出關(guān)于分解RSA-155所需要的實(shí)際時(shí)間，并在隨后的7個(gè)月內(nèi)將其分解.并對(duì)其攻破進(jìn)行了預(yù)估，研究者認(rèn)為，這種算法會(huì)在3年之內(nèi)普及起來，屆時(shí)RSA-155的安全性將會(huì)降低.

一般應(yīng)用于大整數(shù)的分解方法主要包括以下幾種類型：數(shù)域篩法、二次篩法、P-1法、平方法等.通過MOORE定律對(duì)大整數(shù)分解進(jìn)行假設(shè)，預(yù)估分解大整數(shù)的公式算法為：Y=13.24D1/3+1 928.6.按照該公式，其中D代表的是采用十進(jìn)制表示下的大整數(shù)，因此可以對(duì)分解年限進(jìn)行推測，即768bit(D=231)將會(huì)在2010年的時(shí)候被攻破，1 024bit(D=309)會(huì)在2018年的時(shí)候被攻破.也就是說，RSA公鑰密碼體制在實(shí)際的應(yīng)用中如果要實(shí)現(xiàn)數(shù)據(jù)的短期安全保障可以采用1 024bit的整數(shù)加密模式，而如果要想實(shí)現(xiàn)長期的數(shù)據(jù)安全保障，應(yīng)當(dāng)使用1 024bit以上的整數(shù)加密模式，例如2 048bit.但是要增加RSA加密模長會(huì)帶來一定的技術(shù)難題，隨著大整數(shù)分解技術(shù)的發(fā)展與計(jì)算機(jī)處理技術(shù)的進(jìn)步，這種問題將會(huì)得到妥善解決.

1.2 RSA的標(biāo)準(zhǔn)化及其實(shí)現(xiàn)

由于RSA公鑰密碼體制在實(shí)際應(yīng)用中具有較大的優(yōu)勢，因此在國際上許多國家和組織已經(jīng)逐漸將其作為公鑰密碼體制以及密碼算法的標(biāo)準(zhǔn)化.例如在Internet中的PGP就是將數(shù)字簽字與傳輸信息密鑰以RSA作為標(biāo)準(zhǔn)算法從而進(jìn)行設(shè)計(jì)的[3]3726-3728.

RSA是眾多算法中較為簡單的一種公鑰密碼體制，且在長期的發(fā)展中，RSA的發(fā)展較為成熟，許多信息公司都將RSA作為公鑰密碼體制研究的主要研究對(duì)象，例如IBM公司中對(duì)于SSLava、Cryptix的設(shè)計(jì)實(shí)現(xiàn)與RSA公司中RSAref的設(shè)計(jì)實(shí)現(xiàn).從目前的RSA硬件發(fā)展來看，RSA的速度相對(duì)較慢，職能達(dá)到DES的千分之一，在RSA的512bit模式下，其硬件僅僅只能達(dá)到64kbit每秒；從軟件發(fā)展來看，也只能達(dá)到DES的百分之一，也就是說，RSA從其本身的速度上相比于對(duì)稱密鑰體制基本沒有任何優(yōu)勢，因此一般多將RSA應(yīng)用到密鑰交換或者密鑰認(rèn)證當(dāng)中[4]31-33,38.

2 離散對(duì)數(shù)困難問題的密碼體制

離散對(duì)數(shù)困難問題下的密碼體制種類也比較多，包括有限域乘法群問題下的EIGamal公鑰密碼體制與DSA公鑰密碼體制，或者橢圓曲線離散對(duì)數(shù)下的橢圓曲線公鑰密碼體制，另外包括有近幾年提出的XTR公鑰密碼體制等.本文針對(duì)橢圓曲線公鑰密碼體制也就是俗稱的ECC或者ECDLP公鑰密碼體制進(jìn)行分析.

2.1 ECDLP公鑰密碼體制攻擊現(xiàn)狀

從數(shù)學(xué)角度講，橢圓曲線可以設(shè)為E，其上設(shè)置點(diǎn)P的階作為最小正整數(shù)，將其用n表示，應(yīng)當(dāng)要使n和p相乘為零.將其帶入到ECC公鑰密碼體制中進(jìn)行分析可知，在所給定的曲線E上的點(diǎn)P主要是將n作為階，如果此時(shí)在橢圓E上另外再設(shè)置一個(gè)點(diǎn)，將其記為Q，再根據(jù)橢圓設(shè)定一個(gè)整數(shù)，以L表示，要求L要大于或者等于零，而小于或者等于n-1，最終得出的結(jié)論為L和P相乘為Q[5]1292-1295,1335.

而橢圓曲線公鑰密碼體制就是建立在這樣一種離散對(duì)數(shù)困難的基礎(chǔ)上的，由于其本身存在的特殊性，因此其在實(shí)際應(yīng)用中最主要的就是關(guān)于信息泄漏安全的相關(guān)研究，這主要取決于該方法對(duì)于ECDLP安全性的依賴性.因此，對(duì)ECDLP的攻擊主要是針對(duì)ECDLP的攻擊，這種攻擊形式基本與有限域中乘法群的離散對(duì)數(shù)攻擊模式相同.但是，由于橢圓曲線的特殊性，其中包含一些離散對(duì)數(shù)有著其他的計(jì)算形式.在對(duì)離散對(duì)數(shù)的攻擊中一般是采用亞指數(shù)時(shí)間計(jì)算法進(jìn)行攻擊，這也就是所謂的指數(shù)攻擊法.這種辦法雖然能夠通用到絕大多數(shù)的離散對(duì)數(shù)攻擊中，但是并不能應(yīng)用到ECDLP中，這主要是因?yàn)樵趥鹘y(tǒng)的Index Calculus算法中要想尋到因子基是很簡單的，但是這種內(nèi)容換算到ECDLP當(dāng)中卻不適用，在以往的研究當(dāng)中，ECDLP研究受到了數(shù)學(xué)界較為廣泛的關(guān)注，從目前的ECDLP研究中尚未證實(shí)存在有較大的安全問題，對(duì)于其攻擊在研究中大致可以分為兩種，分別是對(duì)于一般橢圓曲線的離散對(duì)數(shù)與對(duì)于特殊橢圓曲線的離散對(duì)數(shù)的攻擊類型，對(duì)于一般橢圓曲線的常見的攻擊方法有Xedni攻擊法、Pohlig-Hellman攻擊法、小大步攻擊法、分布式攻擊法等[6]20-23.當(dāng)前的研究顯示，分布式攻擊法中的ECDLP攻擊算法是效果最好的一種攻擊法.對(duì)于特殊橢圓曲線的常見攻擊法包括有SSAS法與MOV法兩種，隨著ECDLP公鑰密碼體制的發(fā)展，近些年一些新型方法逐漸出現(xiàn)，例如GHS等方法也是應(yīng)對(duì)特殊橢圓曲線的一種較為有效的方法.

2.2 ECC的標(biāo)準(zhǔn)化與其實(shí)現(xiàn)

ECC在實(shí)際的應(yīng)用過程中對(duì)于公鑰密碼體制的研究具有重大的作用，因此隨著其發(fā)展，逐漸受到了較為廣泛地認(rèn)可，其標(biāo)準(zhǔn)化草案建設(shè)逐漸完善起來.許多公司發(fā)現(xiàn)了ECC的廣闊的市場前景，開始注冊(cè)ECC的研究并將其應(yīng)用到其產(chǎn)品的生產(chǎn)當(dāng)中.近些年ECC的橢圓曲線公鑰密碼產(chǎn)品在市場中迅速占有了一席之地，例如美國的NeXT公司研究出的ECC算法得到了較為廣泛的認(rèn)可和關(guān)注，NexT利用易記憶的字串作為密鑰，使其ECC算法的安全性與速度都得到了良好的提升.而另外一家加拿大的公司針對(duì)ECC開發(fā)出了另外一種非?？煽康毓€密碼體制的硬件電路，能夠有效實(shí)現(xiàn)信息的加密解密，并且能夠同時(shí)實(shí)現(xiàn)諸如數(shù)字簽名與認(rèn)證等多項(xiàng)密鑰功能[7]10-15.同時(shí)，許多國家都開發(fā)出了針對(duì)性的產(chǎn)品，包括中國，許多相關(guān)研究者都在對(duì)ECC進(jìn)行研究，并開發(fā)出相應(yīng)的硬件與軟件.

因此，ECC目前的標(biāo)準(zhǔn)化仍然處于開發(fā)階段，尚未實(shí)現(xiàn)完全的標(biāo)準(zhǔn)統(tǒng)一，但是在其發(fā)展中許多相對(duì)成熟的標(biāo)準(zhǔn)化模式的出現(xiàn)仍然是ECC擁有良好的市場前景和發(fā)展形勢，并且ECC體制已經(jīng)逐漸被納入眾多專業(yè)化的組織協(xié)會(huì)當(dāng)中，例如IEEE在20世紀(jì)末的時(shí)候?qū)CC作為一種公鑰密碼標(biāo)準(zhǔn)收錄到了關(guān)于密鑰的相關(guān)機(jī)制當(dāng)中，并且在2000年的時(shí)候被正式通過.

3 新型公鑰體制的研究發(fā)展

從提出公鑰密碼體制的概念，眾多相關(guān)工作者不斷對(duì)其進(jìn)行探索研究，到目前為止已經(jīng)有許多公鑰密碼體制出現(xiàn)，但是真正能夠在實(shí)踐中發(fā)揮作用并受到學(xué)術(shù)界廣泛認(rèn)可的公鑰密碼體制很少[8]77-81.許多相對(duì)成熟的公鑰密碼體制一般都要很大的素?cái)?shù)，例如應(yīng)用最為廣泛的RSA公鑰密碼體制、ELG公鑰密碼體制等.因此，許多研究工作者開始思考是否存在有能夠在素?cái)?shù)之外建立起來的公鑰密碼體制，組合型公鑰密碼體制就是在這樣的背景下提出的，但是在研究中發(fā)現(xiàn)，這種公鑰密碼體制存在非常大的缺陷，將其作為公鑰密碼體制研究并非完全沒有希望，但是相比于素?cái)?shù)型公鑰密碼體制，對(duì)組合型花費(fèi)大量人力、物力進(jìn)行研究最終所獲得的回報(bào)無異于舍近求遠(yuǎn)[9]90-95. 隨著信息化時(shí)代的發(fā)展，對(duì)于信息的安全性要求越來越高，因此對(duì)于公鑰密碼體制的研究從未間斷，近些年提出的新型公鑰密碼體制中較為成熟且獲得了較多認(rèn)可的主要有辮群公鑰密碼體制與量子公鑰密碼體制兩種.

3.1 辮群公鑰密碼體制

這種密碼體制最早是由一名叫Artin的研究者提出的，所謂辮群就是指n辮群Bn是一對(duì)正整數(shù)n定義的有n股辮的無限非交換群，而群中的每一個(gè)元素都可以成為一個(gè)n辮.這是一種組合群公鑰密碼體制，但是又與普通的組合群又較大的差別，從本身性能上講，辮群公鑰密碼體制具有更強(qiáng)的安全性與速度，在其執(zhí)行群中包括有U和V兩組字節(jié)的乘積運(yùn)算，這種運(yùn)算知識(shí)將二者連接起來，群運(yùn)算則是將二者隱藏起來，這就可以對(duì)二者進(jìn)行變形從而獲得.將二者設(shè)為兩個(gè)n辮，再將其標(biāo)準(zhǔn)型由p和q進(jìn)行置換，最終其乘積就可以在較短的時(shí)間內(nèi)算出[10]18-23.

3.2 量子公鑰密碼體制

這種密碼體制是一種建立在Turing模型上的理論體系，其最早是作為一種計(jì)算模型概念產(chǎn)生的，主要是通過概率機(jī)進(jìn)行模擬，但是在計(jì)算機(jī)技術(shù)的發(fā)展中，出現(xiàn)了一種量子計(jì)算的計(jì)算模型，因此量子公鑰密碼機(jī)制獲得了較大的發(fā)展.在量子公鑰密碼體制的研究中最大的成果是關(guān)于對(duì)離散對(duì)數(shù)與整數(shù)分解的算法，能夠?qū)ζ涠囗?xiàng)式時(shí)間進(jìn)行較為準(zhǔn)確的演算.這種算法雖然能體現(xiàn)量子Turing機(jī)的功能，但是在發(fā)展中其演算結(jié)果中也能夠反映出這種量子機(jī)的局限性，例如相比較于傳統(tǒng)的均勻隨機(jī)預(yù)言的選擇，NP問題通過概率1在量子機(jī)上于O(2n/2)的時(shí)間內(nèi)無法求解.雖然量子公鑰密碼體制存在一定的缺陷，但是不可否認(rèn)，這種密碼體制在目前仍然有較大的研究價(jià)值，并且有許多研究者不斷對(duì)其進(jìn)行更加深入地研究.

4 結(jié)語

公鑰密碼體制最重要的作用是對(duì)于信息的抗泄漏，也是公鑰密碼體制的根本目標(biāo).目前研究界認(rèn)為，有兩種公鑰密碼體制在信息抗泄漏方面的功能是最強(qiáng)的，分別為大整數(shù)分解困難問題的公鑰密碼體制與離散對(duì)數(shù)困難問題的公鑰密碼體制，本文通過對(duì)這兩種公鑰密碼體制進(jìn)行探討，旨在對(duì)其他尚在研究中的密碼體制進(jìn)行展望.綜上所述，對(duì)于公鑰密碼體制的研究成果是非常豐富的，未來公鑰密碼體制仍然會(huì)是信息抗泄漏研究中的重點(diǎn).