檢測密碼安全性，提升信息安全防護水平密碼安全性評估檢測技術研究

信文｜趙一凡 孔 瑩 周正達

密碼測評技術研究和應用將有力促進密碼技術發展，加強對密碼技術產品和密碼系統安全保障。深入挖掘密碼測評技術內涵和外延，加強技術研發，推動密碼測評技術不斷創新和提高，適應我國信息安全發展需求

密碼測評技術是有效推動商用密碼技術及行業健康發展的重要領域。《中華人民共和國密碼法》頒布，密碼技術規范有效管理已有法律依據，技術層面急需發展先進的密碼測評技術和完善的檢測認證體系。密碼測評技術是信息安全測評的重要內容，構建完整信息安全測評認證體系基礎，指導密碼技術產品和密碼系統安全有效測評。提高我國對密碼算法和密碼產品安全隱患發現能力，保障我國密碼算法和密碼產品安全先進性具有重要現實意義。密碼測評技術研究和應用將有力促進密碼技術發展，加強對密碼技術產品和密碼系統安全保障。深入挖掘密碼測評技術內涵和外延，加強技術研發，推動密碼測評技術不斷創新和提高，適應我國信息安全發展需求。

密碼算法檢測技術

密碼算法是密碼安全性的核心，密碼算法檢測技術是密碼測評技術的傳統研究方向，其主要目的是評估密碼算法實現的安全性，確定算法實現中可能存在的弱點和漏洞，以及評估算法在實際應用過程中的可行性和有效性。針對密評的業務應用場景，重點評價的指標密碼算法實現的安全性、效率以及可靠性。密碼算法實現的安全性是指算法實現的安全強度，即密碼算法實現能夠抵御各種攻擊的能力。密碼算法實現的效率是指算法的運行速度，以及所需的計算資源。密碼算法實現的可靠性，指算法實現的正確性，即算法是否能夠正確地實現標準所需的功能。驗證測試的檢測方式主要包括經驗數據驗證法、攻擊分析法、統計分析法、結果分析等多種方式。

通過密碼算法檢測技術，可以評估密碼算法的安全性能，確定算法中可能存在的弱點和漏洞，從而提高密碼算法的安全性能。

密碼模塊驗證技術

密碼模塊的檢測驗證技術是密碼安全性評估的基礎支撐技術。繼美國國家標準與技術研究院（NIST）和國際標準化組織（ISO）相繼制定密碼模塊檢測標準之后，我國密碼模塊安全檢測標準于2020年由密碼行業標準提升為國密標準GB/T 38625-2020《信息安全技術 密碼模塊安全檢測要求》。該標準主要針對密碼模塊的物理安全、邏輯安全、功能安全和性能安全進行要求，并明確了密碼模塊檢測的流程、方法和技術要求。密碼模塊安全檢測的關鍵技術主要包括物理安全檢測技術、邏輯安全檢測技術、功能安全檢測技術以及相關性能檢測方法。

密碼模塊安全檢測需要綜合應用多種檢測技術和方法，對密碼模塊的物理安全、邏輯安全、功能安全和性能安全進行全面、細致的檢測和評估。通過科學規范的密碼模塊安全檢測，可以提高密碼模塊的安全性和可靠性，保障信息安全的基本需求。

密碼應用檢測技術

密碼應用檢測主要是針對目標應用系統對密碼技術如何科學有效地加強應用安全防護能力進行綜合性檢測取樣評估。相關的評估方式有安全需求分析、安全設計評估、安全實現評估以及管理制度審查等。

安全需求分析主要是對安全風險進行分析評估，確定密碼應用系統的安全級別以及安全要求。安全設計評估主要是對應用系統密碼應用方案的安全設計進行評估，包括涉及密碼應用的架構設計、模塊設計、接口設計等方面的安全性評估。安全實現評估主要是對密碼應用系統的實現過程進行評估，包括密碼應用系統的代碼實現、數據存儲和傳輸實現、安全策略實現等方面的安全性評估。

輕量級密碼檢測技術

隨著信息化建設的發展，應用于嵌入式系統和物聯網等資源受限環境下輕量級密碼成為密碼發展的新領域之一，針對輕量級密碼檢測技術需求也隨之而生。輕量級密碼具有較小的計算復雜度、較小的內存占用、低功耗等特點。

差分分析是一種用于密碼算法檢測的攻擊方法。通過構造特定的差分路徑，對加密算法的運行結果進行觀測，并通過統計分析差分路徑的正確率來評估算法的安全性。差分分析在輕量級密碼算法檢測中被廣泛應用。例如，對于PRESENT算法，研究人員通過差分分析成功地攻擊了其一些版本。邊界值測試也是一種常用的輕量級密碼的測試方法，通過在輸入數據的邊界范圍內進行測試，評估軟件的性能和安全性。輕量級密碼檢測技術還包括其他技術，例如模糊測試、模型檢測、符號執行等。這些技術可以從不同的角度評估密碼算法的安全性和性能，提高輕量級密碼算法的設計和分析水平。

增強隱私密碼檢測技術

增強隱私密碼技術用于保護個人隱私的密碼學技術，通過對隱私信息進行加密、保護和管理，實現了對用戶隱私的保護和控制，其中包括多方計算、同態加密等技術。針對該類技術的評估包括算法正確性檢測、隱私保護度評估、安全性評估、實用性評估等方面。

后量子密碼檢測技術

隨著量子計算機的發展，傳統密碼學算法的安全性可能會受到威脅。為了應對這一挑戰，后量子密碼學應運而生，它是一種在量子計算機出現后才被提出來的密碼學理論體系。后量子密碼學中的密碼算法具有更高的抗量子計算能力，可以保護現有的信息系統不受到量子計算的攻擊。

作為新型的研究領域，后量子密碼檢測成為助力該領域技術發展的基礎支撐技術。后量子密碼檢測技術對密碼算法進行安全性分析，以確定它是否具有抵御量子計算機攻擊的能力。后量子密碼的安全性依賴于一些特定的數學難題，因此需要對這些假設進行評估。需要對后量子密碼的設計和實現進行安全證明，以驗證密碼算法的安全性。這需要考慮攻擊者可能采用的不同攻擊模型和攻擊方法，以確定密碼算法的安全強度。隨著量子計算機從概念走向工程落地，該領域技術正在持續發展過程中。

隨著標準化以及合規性工作的推進，支持密評工作的相關測評技術目前已經成為研究與產業關注的熱門領域。相關技術與產品的探索有助于提高測評能力的技術性、客觀性、高效性，在密評制度的引導下持續為測評系統安全賦能，加速技術與產業化升級步伐。