（國家密碼管理局商用密碼管理辦公室，北京 100036）

0 引言

密碼是網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，是保護(hù)國家的戰(zhàn)略性資源，在傳統(tǒng)想信息系統(tǒng)中，例如電力、居民身份證、防偽稅控、社保、金融中發(fā)揮著巨大的作用。移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來，密碼凸顯了越來越重要的作用，特別是區(qū)塊鏈、量子通信、云計(jì)算、物聯(lián)網(wǎng)等新應(yīng)用中，密碼發(fā)揮著關(guān)鍵作用。

1 區(qū)塊鏈中的密碼關(guān)鍵技術(shù)

區(qū)塊鏈?zhǔn)且环N按照時(shí)間順序?qū)?shù)據(jù)區(qū)塊以順序相連的方式組合成的一種鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，并以密碼學(xué)方式保證的不可篡改和不可偽造的分布式賬本，利用塊鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)來驗(yàn)證與存儲(chǔ)數(shù)據(jù)、利用分布式節(jié)點(diǎn)共識(shí)算法來生成和更新數(shù)據(jù)、利用密碼學(xué)的方式保證數(shù)據(jù)傳輸和訪問的安全、利用由自動(dòng)化腳本代碼組成的智能合約來編程和操作數(shù)據(jù)的一種全新的分布式基礎(chǔ)架構(gòu)與計(jì)算范式。區(qū)塊鏈?zhǔn)欠植际綌?shù)據(jù)存儲(chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)制、加密算法等計(jì)算機(jī)技術(shù)的新型應(yīng)用模式，作為構(gòu)造信任的機(jī)器，可能改變社會(huì)價(jià)值傳遞的方式。

區(qū)塊鏈的一個(gè)重要基礎(chǔ)就是利用密碼技術(shù)保障數(shù)據(jù)傳輸、數(shù)字簽名的安全性和雜湊函數(shù)的單向性。例如其重要應(yīng)用——數(shù)字貨幣中就使用了雜湊鏈實(shí)現(xiàn)區(qū)塊之間鏈接，對(duì)雜湊值提出要求實(shí)現(xiàn)挖礦機(jī)制及困難調(diào)整；利用公鑰機(jī)制實(shí)現(xiàn)交易的抗抵賴，只使用公鑰，不使用證書，實(shí)現(xiàn)交易的匿名，采用Hash二叉樹結(jié)構(gòu)實(shí)現(xiàn)交易合法性的快速檢查，如圖1所示，采用環(huán)簽名非交換零知識(shí)證明實(shí)現(xiàn)交易的不可跟蹤。

圖1 區(qū)塊數(shù)據(jù)結(jié)構(gòu)

1.1 雜湊算法實(shí)現(xiàn)鏈?zhǔn)浇Y(jié)構(gòu)

數(shù)字貨幣中，每一個(gè)區(qū)塊除了包含交易及其簽名、時(shí)間戳等，還包含有前一個(gè)區(qū)塊的雜湊值，并且本區(qū)塊也產(chǎn)生一個(gè)雜湊值，這樣就能保證該區(qū)塊在鏈中不被篡改（除非將該區(qū)塊及后續(xù)所有區(qū)塊均篡改，但因?yàn)閰^(qū)塊發(fā)布在全網(wǎng)上，不可能同時(shí)篡改多個(gè)節(jié)點(diǎn)），為激勵(lì)用戶共同維護(hù)賬本，在一些區(qū)塊鏈中（例如比特幣）設(shè)計(jì)了POW（工作量證明）機(jī)制[1]，保障通過有難度的挖礦，獲得獎(jiǎng)勵(lì)和交易手續(xù)費(fèi)，同時(shí)，為了保證產(chǎn)生區(qū)塊頻率，通過調(diào)整難度系數(shù)，使得大約每十分鐘產(chǎn)生一個(gè)區(qū)塊，其設(shè)計(jì)的難題是：通過一個(gè)隨機(jī)數(shù)的調(diào)整使得本區(qū)塊雜湊值（目標(biāo)雜湊值）符合特定條件，例如小于2n（即雜湊值高位有連續(xù)256-n個(gè)零），根據(jù)產(chǎn)生前2016個(gè)區(qū)塊（約兩周）時(shí)間與兩周時(shí)間比例，調(diào)整n值就能夠改變區(qū)塊產(chǎn)生時(shí)間。

1.2 通過雜湊二叉樹（Merkle根）結(jié)構(gòu)實(shí)現(xiàn)少量存儲(chǔ)，快速查詢交易完整性

區(qū)塊鏈中交易為達(dá)到可追溯目標(biāo)，采用雜湊二叉樹方式實(shí)現(xiàn)，將所有交易作為葉子形成一個(gè)二叉樹，父節(jié)點(diǎn)為下一級(jí)兩個(gè)子節(jié)點(diǎn)的雜湊值，如圖1所示。對(duì)交易i的完整性查詢，只需要計(jì)算其兄弟節(jié)點(diǎn)聯(lián)合雜湊值，父節(jié)點(diǎn)及其兄弟節(jié)點(diǎn)聯(lián)合雜湊值，層層追溯，直至計(jì)算根節(jié)點(diǎn)（所有交易的聯(lián)合雜湊值），這個(gè)值稱為Merkle根，如果與鏈上存儲(chǔ)的Merkle根一致，則交易為合法未被篡改交易。

1.3 只使用公鑰而不是證書機(jī)制，實(shí)現(xiàn)交易的匿名

每次交易用戶都自行產(chǎn)生一對(duì)公私鑰，而不是用固定的，與自己身份綁定的公私鑰，實(shí)現(xiàn)交易的匿名，但該機(jī)制無法實(shí)現(xiàn)交易的不可跟蹤。

1.4 采用環(huán)簽名非交換零知識(shí)證明實(shí)現(xiàn)交易的不可跟蹤

為了實(shí)現(xiàn)交易的不可跟蹤，一些區(qū)塊鏈采用了環(huán)簽名機(jī)制[2]，如圖2所示，實(shí)現(xiàn)非交互的零知識(shí)證明，從而保證交易的不可跟蹤。

圖2 環(huán)簽名機(jī)制

設(shè)Ek為對(duì)稱密碼，密鑰為k=H(m, L)

gi為公開置換

（1）計(jì)算yi=gi (xi)容易

（2）而只有知道陷門才能計(jì)算xi=g-1i (yi)簽名實(shí)現(xiàn)：

(1) 隨機(jī)產(chǎn)生 v, x1,…, xs-1,xs+1, …, xr

(2)求解ys，使得

(3) 使用陷門計(jì)算xs=gs-1(ys)

例如，將若一個(gè)或干個(gè)交易定義為x1,…, xr中的元素至少要有一個(gè)隨機(jī)數(shù)，即上述xs。

從x計(jì)算y簡單，所以驗(yàn)證x對(duì)應(yīng)的y，以及Ek(… Ek(Ek (v⊕ y1) ⊕ y2)…)=v很容易，但生成則需要知道陷門。

具體計(jì)算方式為：

區(qū)塊鏈技術(shù)的發(fā)展對(duì)密碼提出了新的挑戰(zhàn)，從雜湊鏈、雜湊二叉樹，到環(huán)簽名技術(shù)，都是密碼協(xié)議在新技術(shù)中的重要應(yīng)用。

2 量子通信的密碼關(guān)鍵技術(shù)

目前主流的量子通信有單光子方案、連續(xù)光子方案、測量設(shè)備無關(guān)通信，還有其他例如量子直接通信、隱形傳態(tài)等技術(shù)。而最成熟的是BB84協(xié)議。

BB84協(xié)議[3]可利用量子的偏振及其不可克隆、（非相同基）測不準(zhǔn)原理，協(xié)議如圖3所示。

圖3 BB84量子通信協(xié)議

發(fā)送方Alice隨機(jī)產(chǎn)生一系列隨機(jī)數(shù)（初始密鑰），再隨機(jī)生成一組基，將隨機(jī)數(shù)制備到這組基上，發(fā)送給Bob，Bob隨機(jī)產(chǎn)生一組測量基，對(duì)接收到的光子進(jìn)行測量，完成測量后公布自己的基，Alice告訴Bob哪些是正確的基，Bob扔掉錯(cuò)誤基，再進(jìn)行保密放大即可實(shí)現(xiàn)密鑰的協(xié)商。

我國在量子通信領(lǐng)域已經(jīng)走在世界的前列，但是目前量子通信還存在一些問題，需要較長時(shí)間來解決。

(1)經(jīng)典信道與量子信道的交互會(huì)形成信息泄漏點(diǎn)，例如隨機(jī)數(shù)的產(chǎn)生與傳輸、協(xié)商前共享參數(shù)的分發(fā)、協(xié)商后密鑰的分發(fā)。

(2)單光子產(chǎn)生安全性是一個(gè)風(fēng)險(xiǎn)點(diǎn)，比如如何實(shí)現(xiàn)抗分束攻擊，為抵抗該類攻擊，一般采用預(yù)共享數(shù)據(jù)加誘騙態(tài)方式，這樣對(duì)首次通信的雙方增加了困難。單光子探測器難度比較大，因?yàn)楫吘怪荒芙邮找粋€(gè)光子，有時(shí)候外界其他的光子進(jìn)來了會(huì)誤認(rèn)為是發(fā)送的光子，這樣就會(huì)出現(xiàn)暗計(jì)數(shù)。

(3)單光子衰減很大，目前點(diǎn)對(duì)點(diǎn)通信舉例大約100公里，超過這個(gè)距離就需要中繼，而中繼實(shí)際必須落地，相當(dāng)于變成了三方通信或多方通信。這種對(duì)中繼的可信安全要求也給量子通信帶來困難，要求有很強(qiáng)的訪問控制策略、權(quán)限管理、以及物理安全防護(hù)。如果要形成量子通信網(wǎng)絡(luò)則困難呈指數(shù)上升，特別是非群組通信組網(wǎng)，如何實(shí)現(xiàn)可信中繼成為亟待解決的問題。

(4) Bob測量以后應(yīng)該廣播公開自己的基，但很多工程實(shí)現(xiàn)中經(jīng)常只和Alice點(diǎn)對(duì)點(diǎn)通信，這樣Bob和Eve就沒有差別了，非廣播形成了新的安全隱患，盡管可以通過預(yù)共享密鑰解決，但預(yù)共享密鑰又反過來給組網(wǎng)帶來了更大的困難。

(5)量子通信系統(tǒng)很脆弱，只要檢測到監(jiān)聽則通信終端，健壯性不如傳統(tǒng)網(wǎng)絡(luò)。

量子通信、量子技術(shù)是高精尖技術(shù)，其成熟不是一蹴而就，由于量子通信理論上具備信息論安全，將其逐步完善，將會(huì)成為對(duì)抗量子計(jì)算的重要利器。

3 移動(dòng)互聯(lián)網(wǎng)及云計(jì)算下密碼新形態(tài)

移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的興起，特別是手機(jī)等移動(dòng)智能終端的普及，密碼由傳統(tǒng)的硬件形態(tài)變得更加多樣化，一是移動(dòng)端形態(tài)、計(jì)算能力、安全防護(hù)能力差別很大且不是系統(tǒng)可以掌控的（例如智能在手機(jī)上裝應(yīng)用軟件）。二是很多數(shù)據(jù)都在云端，如何保證云端數(shù)據(jù)安全和隱私保護(hù)，并且云端不一定有確定的位置，例如內(nèi)容分發(fā)網(wǎng)絡(luò)CDN，如何實(shí)現(xiàn)密鑰的安全分發(fā)成為新的難題。

(1)算法白盒化或?qū)⒚舾袛?shù)據(jù)秘密共享，利用混淆等技術(shù)，在TEE或者SE環(huán)境中實(shí)現(xiàn)安全計(jì)算。

為了在軟件環(huán)境中不泄露密鑰，一般都采用多種機(jī)制共同防護(hù)，一是使用白盒密碼[4-5]，將密鑰隱藏，或是將密鑰分成不同的成分，通過協(xié)同計(jì)算實(shí)現(xiàn)密碼運(yùn)算。二是將算法中關(guān)鍵步驟和數(shù)據(jù)加以混淆，例如操作混淆和替換、控制流扁平化不透明、函數(shù)混淆、代碼隨機(jī)指令等方式，加大軟件逆向工程困難，三是在安全模塊SE或者可信執(zhí)行環(huán)境TEE中運(yùn)行敏感操作，與其他應(yīng)用形成物理/邏輯隔離。

(2)通過虛擬機(jī)技術(shù)、秘密共享技術(shù)、同態(tài)算法和嚴(yán)格的內(nèi)部審計(jì)實(shí)現(xiàn)云端安全計(jì)算環(huán)境。

一是采用同態(tài)算法實(shí)現(xiàn)云端數(shù)據(jù)的密態(tài)計(jì)算和密態(tài)查詢；如果因?yàn)樾实绕渌?，不便采用同態(tài)算法的，由于云計(jì)算虛擬機(jī)的隔離不是物理意義上的隔離，密碼邊界防護(hù)需加強(qiáng)，特別是內(nèi)部審計(jì)已經(jīng)變成了依靠云端自身的安全審計(jì)。

二是云端提供的服務(wù)不同，密碼防護(hù)能力需求也不同，安全計(jì)算、安全存儲(chǔ)較為容易實(shí)現(xiàn)密碼防護(hù)；批量數(shù)據(jù)的代簽代驗(yàn)優(yōu)于單個(gè)數(shù)據(jù)的代簽代驗(yàn)，但是代簽存在私鑰托管，無法抗抵賴的風(fēng)險(xiǎn)；租戶與云端是否需要安全通道，如需要，則安全通信向云端遷移難度很大，效率很低。

縱觀信息時(shí)代的發(fā)展，從PC機(jī)到互聯(lián)網(wǎng)再到移動(dòng)互聯(lián)網(wǎng)，乃至物聯(lián)網(wǎng)時(shí)代的到來，人們的交互越來越便利，正在從物理世界向電子世界（互聯(lián)網(wǎng)世界，虛擬世界）遷移。社交、資訊、游戲、購物、出行、工作都發(fā)生了重要的改變。如何解決虛擬世界的信任機(jī)制，是虛擬世界能否走向繁榮的關(guān)鍵一步，密碼是解決機(jī)器信任的最后保障，新時(shí)代，新需求給密碼帶來了新的機(jī)遇和挑戰(zhàn)，也將帶來更多新的機(jī)遇和挑戰(zhàn)。

參考文獻(xiàn)

[1]Maxwell G.CoinJoun: Bitcoin privacy for the real world.[2018-02-02].

[2]Miers I, Garman C, Green M, et al.Zerocoin:Anonymous distributed e-cash from bitcoin[C].Security and Privacy(SP), 2013 IEEE Symposium on.IEEE，2013：397-401.

[3]C.H.Bennett, G.Brassard, Proceedings IEEE International Conference on Computers, Systems and Signal Processing, Bangalore, India 1984,p.175.

[4]J.Bringer,H.Chabanne,and E.Dottax,White Box Crypto graphy:Another Attempt, vol 2006,2006

[5]H.Gilbert,J.plut,and J.Treger.“Key-Recovery Attack on the ASASA Cryptosystem with Expanding S-boxes” in Advances in Cryptology-CRYPTO 2015, Santa Varvara, CA,USA, 2015.