新一代密码杂凑算法研究的问题与挑战

• Published in: Journal of Cryptologic Research Vol. 12; no. 3; p. .
• Main Author: 吴文玲
• Format: Journal Article
• Language: Chinese
• Published: Beijing Chinese Association for Cryptologic Research, Journal of Cryptologic Research 01.01.2025
• ISSN: 2097-4116

密码杂凑算法作为最常用的数据完整性保护算法, 广泛应用于数据完整性验证、数字签名、随机数生成等领域, 是保障信息安全的基础性底层密码算法. 为应对量子计算威胁, 推动新一代商用密码算法标准制定, 商用密码标准研究院将面向全球开展新一代公钥密码算法、密码杂凑算法、分组密码算法征集活动, 遴选产生优胜算法, 推动形成我国新一代商用密码算法标准. 格公钥密码作为目前最有前景的后量子密码算法之一, 需要调用密码杂凑算法产生伪随机数, 密码杂凑算法的性能将直接影响格公钥密码算法的性能. 比如, 美国后量子公钥加密标准 Kyber 调用 SHA-3 生成所需的伪随机数, SHA-3 算法的计算成本约占 Kyber 算法总成本的 30%. 同时大模型训练数据的完整性验证等应用场景对密码杂凑算法的性能有极高的要求, 目前的密码杂凑算法标准均不能很好地满足这些应用需求. 因此, 新一代密码杂凑算法应该具有经典安全性和量子安全性的理论保障, 以及高速、灵活的软件和硬件实现性能. 新一代密码杂凑算法的杂凑值输出长度大、状态规模大, 面向量子计算和人工智能的安全性挑战, 以及大模型大数据、隐私保护对密码杂凑算法的新需求, 有很多问题尚待研究. 首先, 密码杂凑算法的整体结构. 整体结构的理论安全是保障密码杂凑算法安全性的基础, 现有密码杂凑算法的整体结构较为单一, 除传统的 MD 结构外, 近年推出的大部分算法都采用了 Sponge 结构. 亟需开展密码杂凑算法整体结构的基础性创新研究, 量子安全模型和证明方法是评估新型整体结构面临的理论难点. 其次, 基于分组密码的杂凑模式. 常用分组密码的分组长度远小于新一代密码杂凑算法的杂凑值输出长度, 需要研究 MMO、DM 等杂凑模式的可扩展性, 多倍分组长度的杂凑模式, 以及杂凑模式在传统环境和量子环境下的可证明安全性. 第三, 大状态密码函数的设计. 兼顾安全性和实现性能的大状态密码函数是设计新一代密码杂凑算法的关键. 性能方面需综合考虑现代 SIMD 指令集所支持的功能和时钟周期数, 设计软件和硬件性能俱佳的大状态密码函数. 安全性方面的理论问题是各种参数的等价划分以及等价类函数的安全界证明. 第四, 自动化分析的效率问题. 近年对称密码自动分析取得了丰富成果, 但是目前的自动分析工具多用于轻量级密码算法, 用于大状态密码函数时, 大量参数与约束显著增加了求解难度, 存在不出结果、时间过