信文｜趙一凡 孔 瑩 周正達

密碼測評技術(shù)研究和應(yīng)用將有力促進密碼技術(shù)發(fā)展，加強對密碼技術(shù)產(chǎn)品和密碼系統(tǒng)安全保障。深入挖掘密碼測評技術(shù)內(nèi)涵和外延，加強技術(shù)研發(fā)，推動密碼測評技術(shù)不斷創(chuàng)新和提高，適應(yīng)我國信息安全發(fā)展需求

密碼測評技術(shù)是有效推動商用密碼技術(shù)及行業(yè)健康發(fā)展的重要領(lǐng)域。《中華人民共和國密碼法》頒布，密碼技術(shù)規(guī)范有效管理已有法律依據(jù)，技術(shù)層面急需發(fā)展先進的密碼測評技術(shù)和完善的檢測認證體系。密碼測評技術(shù)是信息安全測評的重要內(nèi)容，構(gòu)建完整信息安全測評認證體系基礎(chǔ)，指導(dǎo)密碼技術(shù)產(chǎn)品和密碼系統(tǒng)安全有效測評。提高我國對密碼算法和密碼產(chǎn)品安全隱患發(fā)現(xiàn)能力，保障我國密碼算法和密碼產(chǎn)品安全先進性具有重要現(xiàn)實意義。密碼測評技術(shù)研究和應(yīng)用將有力促進密碼技術(shù)發(fā)展，加強對密碼技術(shù)產(chǎn)品和密碼系統(tǒng)安全保障。深入挖掘密碼測評技術(shù)內(nèi)涵和外延，加強技術(shù)研發(fā)，推動密碼測評技術(shù)不斷創(chuàng)新和提高，適應(yīng)我國信息安全發(fā)展需求。

密碼算法檢測技術(shù)

密碼算法是密碼安全性的核心，密碼算法檢測技術(shù)是密碼測評技術(shù)的傳統(tǒng)研究方向，其主要目的是評估密碼算法實現(xiàn)的安全性，確定算法實現(xiàn)中可能存在的弱點和漏洞，以及評估算法在實際應(yīng)用過程中的可行性和有效性。針對密評的業(yè)務(wù)應(yīng)用場景，重點評價的指標密碼算法實現(xiàn)的安全性、效率以及可靠性。密碼算法實現(xiàn)的安全性是指算法實現(xiàn)的安全強度，即密碼算法實現(xiàn)能夠抵御各種攻擊的能力。密碼算法實現(xiàn)的效率是指算法的運行速度，以及所需的計算資源。密碼算法實現(xiàn)的可靠性，指算法實現(xiàn)的正確性，即算法是否能夠正確地實現(xiàn)標準所需的功能。驗證測試的檢測方式主要包括經(jīng)驗數(shù)據(jù)驗證法、攻擊分析法、統(tǒng)計分析法、結(jié)果分析等多種方式。

通過密碼算法檢測技術(shù)，可以評估密碼算法的安全性能，確定算法中可能存在的弱點和漏洞，從而提高密碼算法的安全性能。

密碼模塊驗證技術(shù)

密碼模塊的檢測驗證技術(shù)是密碼安全性評估的基礎(chǔ)支撐技術(shù)。繼美國國家標準與技術(shù)研究院（NIST）和國際標準化組織（ISO）相繼制定密碼模塊檢測標準之后，我國密碼模塊安全檢測標準于2020年由密碼行業(yè)標準提升為國密標準GB/T 38625-2020《信息安全技術(shù) 密碼模塊安全檢測要求》。該標準主要針對密碼模塊的物理安全、邏輯安全、功能安全和性能安全進行要求，并明確了密碼模塊檢測的流程、方法和技術(shù)要求。密碼模塊安全檢測的關(guān)鍵技術(shù)主要包括物理安全檢測技術(shù)、邏輯安全檢測技術(shù)、功能安全檢測技術(shù)以及相關(guān)性能檢測方法。

密碼模塊安全檢測需要綜合應(yīng)用多種檢測技術(shù)和方法，對密碼模塊的物理安全、邏輯安全、功能安全和性能安全進行全面、細致的檢測和評估。通過科學(xué)規(guī)范的密碼模塊安全檢測，可以提高密碼模塊的安全性和可靠性，保障信息安全的基本需求。

密碼應(yīng)用檢測技術(shù)

密碼應(yīng)用檢測主要是針對目標應(yīng)用系統(tǒng)對密碼技術(shù)如何科學(xué)有效地加強應(yīng)用安全防護能力進行綜合性檢測取樣評估。相關(guān)的評估方式有安全需求分析、安全設(shè)計評估、安全實現(xiàn)評估以及管理制度審查等。

安全需求分析主要是對安全風險進行分析評估，確定密碼應(yīng)用系統(tǒng)的安全級別以及安全要求。安全設(shè)計評估主要是對應(yīng)用系統(tǒng)密碼應(yīng)用方案的安全設(shè)計進行評估，包括涉及密碼應(yīng)用的架構(gòu)設(shè)計、模塊設(shè)計、接口設(shè)計等方面的安全性評估。安全實現(xiàn)評估主要是對密碼應(yīng)用系統(tǒng)的實現(xiàn)過程進行評估，包括密碼應(yīng)用系統(tǒng)的代碼實現(xiàn)、數(shù)據(jù)存儲和傳輸實現(xiàn)、安全策略實現(xiàn)等方面的安全性評估。

輕量級密碼檢測技術(shù)

隨著信息化建設(shè)的發(fā)展，應(yīng)用于嵌入式系統(tǒng)和物聯(lián)網(wǎng)等資源受限環(huán)境下輕量級密碼成為密碼發(fā)展的新領(lǐng)域之一，針對輕量級密碼檢測技術(shù)需求也隨之而生。輕量級密碼具有較小的計算復(fù)雜度、較小的內(nèi)存占用、低功耗等特點。

差分分析是一種用于密碼算法檢測的攻擊方法。通過構(gòu)造特定的差分路徑，對加密算法的運行結(jié)果進行觀測，并通過統(tǒng)計分析差分路徑的正確率來評估算法的安全性。差分分析在輕量級密碼算法檢測中被廣泛應(yīng)用。例如，對于PRESENT算法，研究人員通過差分分析成功地攻擊了其一些版本。邊界值測試也是一種常用的輕量級密碼的測試方法，通過在輸入數(shù)據(jù)的邊界范圍內(nèi)進行測試，評估軟件的性能和安全性。輕量級密碼檢測技術(shù)還包括其他技術(shù)，例如模糊測試、模型檢測、符號執(zhí)行等。這些技術(shù)可以從不同的角度評估密碼算法的安全性和性能，提高輕量級密碼算法的設(shè)計和分析水平。

增強隱私密碼檢測技術(shù)

增強隱私密碼技術(shù)用于保護個人隱私的密碼學(xué)技術(shù)，通過對隱私信息進行加密、保護和管理，實現(xiàn)了對用戶隱私的保護和控制，其中包括多方計算、同態(tài)加密等技術(shù)。針對該類技術(shù)的評估包括算法正確性檢測、隱私保護度評估、安全性評估、實用性評估等方面。

后量子密碼檢測技術(shù)

隨著量子計算機的發(fā)展，傳統(tǒng)密碼學(xué)算法的安全性可能會受到威脅。為了應(yīng)對這一挑戰(zhàn)，后量子密碼學(xué)應(yīng)運而生，它是一種在量子計算機出現(xiàn)后才被提出來的密碼學(xué)理論體系。后量子密碼學(xué)中的密碼算法具有更高的抗量子計算能力，可以保護現(xiàn)有的信息系統(tǒng)不受到量子計算的攻擊。

作為新型的研究領(lǐng)域，后量子密碼檢測成為助力該領(lǐng)域技術(shù)發(fā)展的基礎(chǔ)支撐技術(shù)。后量子密碼檢測技術(shù)對密碼算法進行安全性分析，以確定它是否具有抵御量子計算機攻擊的能力。后量子密碼的安全性依賴于一些特定的數(shù)學(xué)難題，因此需要對這些假設(shè)進行評估。需要對后量子密碼的設(shè)計和實現(xiàn)進行安全證明，以驗證密碼算法的安全性。這需要考慮攻擊者可能采用的不同攻擊模型和攻擊方法，以確定密碼算法的安全強度。隨著量子計算機從概念走向工程落地，該領(lǐng)域技術(shù)正在持續(xù)發(fā)展過程中。

隨著標準化以及合規(guī)性工作的推進，支持密評工作的相關(guān)測評技術(shù)目前已經(jīng)成為研究與產(chǎn)業(yè)關(guān)注的熱門領(lǐng)域。相關(guān)技術(shù)與產(chǎn)品的探索有助于提高測評能力的技術(shù)性、客觀性、高效性，在密評制度的引導(dǎo)下持續(xù)為測評系統(tǒng)安全賦能，加速技術(shù)與產(chǎn)業(yè)化升級步伐。