密碼技術(shù)是信息安全的核心技術(shù)。如今，計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下信息的保密性、完整性、可用性和抗抵賴性，都需要采用密碼技術(shù)來解決。密碼體制大體分為對(duì)稱密碼(又稱為私鑰密碼)和非對(duì)稱密碼(又稱為公鑰密碼)兩種。公鑰密碼在信息安全中擔(dān)負(fù)起密鑰協(xié)商、數(shù)字簽名、消息認(rèn)證等重要角色，已成為最核心的密碼。
當(dāng)前，公鑰密碼的安全性概念已經(jīng)被大大擴(kuò)展了。像著名的RSA公鑰密碼算法、Rabin公鑰密碼算法和ElGamal公鑰密碼算法都已經(jīng)得到了廣泛應(yīng)用。但是，有些公鑰密碼算法在理論上是安全的，可是在具體的實(shí)際應(yīng)用中并非安全。因?yàn)樵趯?shí)際應(yīng)用中不僅需要算法本身在數(shù)學(xué)證明上是安全的，同時(shí)也需要算法在實(shí)際應(yīng)用中也是安全的。比如，公鑰加密算法根據(jù)不同的應(yīng)用，需要考慮選擇明文安全、非適應(yīng)性選擇密文安全和適應(yīng)性選擇密碼安全三類。數(shù)字簽名根據(jù)需要也要求考慮抵抗非消息攻擊和選擇消息攻擊等。因此，近年來，公鑰密碼學(xué)研究中的一個(gè)重要內(nèi)容——可證安全密碼學(xué)正是致力于這方面的研究。
公鑰密碼在信息安全中擔(dān)負(fù)起密鑰協(xié)商、數(shù)字簽名、消息認(rèn)證等重要角色，已成為最核心的密碼。目前密碼的核心課題主要是在結(jié)合具體的網(wǎng)絡(luò)環(huán)境、提高運(yùn)算效率的基礎(chǔ)上，針對(duì)各種主動(dòng)攻擊行為，研究各種可證安全體制。其中引人注目的是基于身份(ID)密碼體制和密碼體制的可證安全模型研究，目前已經(jīng)取得了重要成果。這些成果對(duì)網(wǎng)絡(luò)安全、信息安全的影響非常巨大，例如公鑰基礎(chǔ)設(shè)施(PKI)將會(huì)更趨于合理，使其變?yōu)镮D-PKI。在密碼分析和攻擊手段不斷進(jìn)步，計(jì)算機(jī)運(yùn)算速度不斷提高以及密碼應(yīng)用需求不斷增長的情況下，迫切需要發(fā)展密碼理論和創(chuàng)新密碼算法。
在2004年信息安全國際會(huì)議上，本文第一作者(即曹珍富教授)做了“密碼理論中的若干問題”的主題報(bào)告，其中也介紹了密碼學(xué)的最新進(jìn)展。這在不同程度上代表了當(dāng)前密碼學(xué)的發(fā)展方向。
1.在線/離線密碼學(xué)
公鑰密碼學(xué)能夠使通信雙方在不安全的信道上安全地交換信息。在過去的幾年里，公鑰密碼學(xué)已經(jīng)極大地加速了網(wǎng)絡(luò)的應(yīng)用。然而，和對(duì)稱密碼系統(tǒng)不同，非對(duì)稱密碼的執(zhí)行效率不能很好地滿足速度的需要。因此，如何改進(jìn)效率成為公鑰密碼學(xué)中一個(gè)關(guān)鍵的問題之一。
針對(duì)效率問題，在線/離線的概念被提出。其主要觀點(diǎn)是將一個(gè)密碼體制分成兩個(gè)階段：在線執(zhí)行階段和離線執(zhí)行階段。在離線執(zhí)行階段，一些耗時(shí)較多的計(jì)算可以預(yù)先被執(zhí)行。在在線階段，一些低計(jì)算量的工作被執(zhí)行。
2.圓錐曲線密碼學(xué)
圓錐曲線密碼學(xué)是1998年由本文第一作者首次提出，C.Schnorr認(rèn)為，除橢圓曲線密碼以外這是人們最感興趣的密碼算法。在圓錐曲線群上的各項(xiàng)計(jì)算比橢圓曲線群上的更簡單，一個(gè)令人激動(dòng)的特征是在其上的編碼和解碼都很容易被執(zhí)行。同時(shí)，還可以建立模n的圓錐曲線群，構(gòu)造等價(jià)于大整數(shù)分解的密碼?，F(xiàn)在已經(jīng)知道，圓錐曲線群上的離散對(duì)數(shù)問題在圓錐曲線的階和橢圓曲線的階相同的情況下，是一個(gè)不比橢圓曲線容易的問題。所以，圓錐曲線密碼已成為密碼學(xué)中的一個(gè)重要的研究內(nèi)容。
3.代理密碼學(xué)
代理密碼學(xué)包括代理簽名和代理密碼系統(tǒng)。兩者都提供代理功能，另外分別提供代理簽名和代理解密功能。
目前，代理密碼學(xué)的兩個(gè)重要問題亟需解決。一個(gè)是構(gòu)造不用轉(zhuǎn)換的代理密碼系統(tǒng)，這個(gè)工作已經(jīng)被本文第一作者和日本Tsukuba大學(xué)的學(xué)者進(jìn)行了一些研究。另外一個(gè)是如何來構(gòu)造代理密碼系統(tǒng)的較為合理的可證安全模型，以及給出系統(tǒng)安全性的證明。已經(jīng)有一些研究者開始在這方面展開工作。
4.密鑰托管問題
在現(xiàn)代保密通信中，存在兩個(gè)矛盾的要求：一個(gè)是用戶間要進(jìn)行保密通信，另一個(gè)是政府為了抵制網(wǎng)絡(luò)犯罪和保護(hù)國家安全，要對(duì)用戶的通信進(jìn)行監(jiān)督。密鑰托管系統(tǒng)就是為了滿足這種需要而被提出的。在原始的密鑰托管系統(tǒng)中，用戶通信的密鑰將由一個(gè)主要的密鑰托管代理來管理，當(dāng)?shù)玫胶戏ǖ氖跈?quán)時(shí)，托管代理可以將其交給政府的監(jiān)聽機(jī)構(gòu)。但這種做法顯然產(chǎn)生了新的問題：政府的監(jiān)聽機(jī)構(gòu)得到密鑰以后，可以隨意地監(jiān)聽用戶的通信，即產(chǎn)生所謂的“一次監(jiān)控，永遠(yuǎn)監(jiān)控”問題。另外，這種托管系統(tǒng)中“用戶的密鑰完全地依賴于可信任的托管機(jī)構(gòu)”的做法也不可取，因?yàn)橥泄軝C(jī)構(gòu)今天是可信任的，不表示明天也是可信任的。
在密鑰托管系統(tǒng)中，法律強(qiáng)制訪問域LEAF(Law Enforcement Access Field)是被通信加密和存儲(chǔ)的額外信息塊，用來保證合法的政府實(shí)體或被授權(quán)的第三方獲得通信的明文消息。對(duì)于一個(gè)典型的密鑰托管系統(tǒng)來說，LEAF可以通過獲得通信的解密密鑰來構(gòu)造。為了更趨合理，可以將密鑰分成一些密鑰碎片，用不同的密鑰托管代理的公鑰加密密鑰碎片，然后再將加密的密鑰碎片通過門限化的方法合成。以此來達(dá)到解決“一次監(jiān)控，永遠(yuǎn)監(jiān)控”和“用戶的密鑰完全地依賴于可信任的托管機(jī)構(gòu)”的問題?，F(xiàn)在對(duì)這一問題的研究產(chǎn)生了構(gòu)造網(wǎng)上信息安全形式問題，通過建立可證安全信息形式模型來界定一般的網(wǎng)上信息形式。
5.基于身份的密碼學(xué)
基于身份的密碼學(xué)是由Shamir于1984年提出的。其主要觀點(diǎn)是，系統(tǒng)中不需要證書，可以使用用戶的標(biāo)識(shí)如姓名、IP地址、電子郵件地址等作為公鑰。用戶的私鑰通過一個(gè)被稱作私鑰生成器PKG(Private Key Generator)的可信任第三方進(jìn)行計(jì)算得到。基于身份的數(shù)字簽名方案在1984年Shamir就已得到。然而，直到2001年，Boneh等人利用橢圓曲線的雙線性對(duì)才得到Shamir意義上的基于身份的加密體制(IBE)。在此之前，一個(gè)基于身份的更加傳統(tǒng)的加密方案曾被Cocks提出，但效率極低。目前，基于身份的方案包括基于身份的加密體制、可鑒別身份的加密和簽密體制、簽名體制、密鑰協(xié)商體制、鑒別體制、門限密碼體制、層次密碼體制等。
6.多方密鑰協(xié)商問題
密鑰協(xié)商問題是密碼學(xué)中又一基本問題。
Diffie-Hellman協(xié)議是一個(gè)眾所周知的在不安全的信道上通過交換消息來建立會(huì)話密鑰的協(xié)議。它的安全性基于Diffie-Hellman離散對(duì)數(shù)問題。然而，Diffie-Hellman協(xié)議的主要問題是它不能抵抗中間人攻擊，因?yàn)樗荒芴峁┯脩羯矸蒡?yàn)證。
當(dāng)前已有的密鑰協(xié)商協(xié)議包括雙方密鑰協(xié)商協(xié)議、雙方非交互式的靜態(tài)密鑰協(xié)商協(xié)議、雙方一輪密鑰協(xié)商協(xié)議、雙方可驗(yàn)證身份的密鑰協(xié)商協(xié)議以及三方相對(duì)應(yīng)類型的協(xié)議。
如何設(shè)計(jì)多方密鑰協(xié)商協(xié)議？存在多元線性函數(shù)(雙線性對(duì)的推廣)嗎？如果存在，我們能夠構(gòu)造基于多元線性函數(shù)的一輪多方密鑰協(xié)商協(xié)議。而且，這種函數(shù)如果存在的話，一定會(huì)有更多的密碼學(xué)應(yīng)用。然而，直到現(xiàn)在，在密碼學(xué)中，這個(gè)問題還遠(yuǎn)遠(yuǎn)沒有得到解決。目前已經(jīng)有人開始作相關(guān)的研究，并且給出了一些相關(guān)的應(yīng)用以及建立這種函數(shù)的方向，給出了這種函數(shù)肯定存在的原因。
7.可證安全性密碼學(xué)
當(dāng)前，在現(xiàn)有公鑰密碼學(xué)中，有兩種被廣泛接受的安全性的定義，即語義安全性和非延展安全性。語義安全性，也稱作不可區(qū)分安全性IND(Indistinguishability),首先由Goldwasser和Micali在1984年提出，是指從給定的密文中，攻擊者沒有能力得到關(guān)于明文的任何信息。非延展安全性NM(Non-malleability)是由Dolev、Dwork和Naor在1991年提出的，指攻擊者不能從給定的密文中，建立和密文所對(duì)應(yīng)的與明文意義相關(guān)的明文的密文。在大多數(shù)令人感興趣的研究問題上，不可區(qū)分安全性和非延展安全性是等價(jià)的。
對(duì)于公鑰加密和數(shù)字簽名等方案，我們可以建立相應(yīng)的安全模型。在相應(yīng)的安全模型下，定義各種所需的安全特性。對(duì)于模型的安全性，目前可用的最好的證明方法是隨機(jī)預(yù)言模型ROM(Random Oracle Model)。在最近幾年里，可證明安全性作為一個(gè)熱點(diǎn)被廣泛地研究，就像其名字所言，它可以證明密碼算法設(shè)計(jì)的有效性。現(xiàn)在，所有出現(xiàn)的標(biāo)準(zhǔn)算法，如果它們能被一些可證明安全性的參數(shù)形式所支持，就被人們廣泛地接受。就如我們所知道的，一個(gè)安全的密碼算法最終要依賴于NP問題，真正的安全性證明還遠(yuǎn)遠(yuǎn)不能達(dá)到。然而，各種安全模型和假設(shè)能夠讓我們來解釋所提出的新方案的安全性，按照相關(guān)的數(shù)學(xué)結(jié)果，確認(rèn)基本的設(shè)計(jì)是沒有錯(cuò)誤的。
隨機(jī)預(yù)言模型是由Bellare和Rogaway于1993年從Fiat和Shamir的建議中提出的，它是一種非標(biāo)準(zhǔn)化的計(jì)算模型。在這個(gè)模型中，任何具體的對(duì)象例如哈希函數(shù)，都被當(dāng)作隨機(jī)對(duì)象。它允許人們規(guī)約參數(shù)到相應(yīng)的計(jì)算，哈希函數(shù)被作為一個(gè)預(yù)言返回值，對(duì)每一個(gè)新的查詢，將得到一個(gè)隨機(jī)的應(yīng)答。規(guī)約使用一個(gè)對(duì)手作為一個(gè)程序的子例程，但是，這個(gè)子例程又和數(shù)學(xué)假設(shè)相矛盾，例如RSA是單向算法的假設(shè)。概率理論和技術(shù)在隨機(jī)預(yù)言模型中被廣泛使用。
然而，隨機(jī)預(yù)言模型證明的有效性是有爭議的。因?yàn)楣：瘮?shù)是確定的，不能總是返回隨機(jī)的應(yīng)答。1998年，Canetti等人給出了一個(gè)在ROM模型下證明是安全的數(shù)字簽名體制，但在一個(gè)隨機(jī)預(yù)言模型的實(shí)例下，它是不安全的。
盡管如此，隨機(jī)預(yù)言模型對(duì)于分析許多加密和數(shù)字簽名方案還是很有用的。在一定程度上，它能夠保證一個(gè)方案是沒有缺陷的。
但是，沒有ROM，可證明安全性的問題就存在質(zhì)疑，而它是一個(gè)不可忽視的問題。直到現(xiàn)在，這方面僅有很少的研究。
密碼學(xué)還有許許多多這樣的問題。當(dāng)前,密碼學(xué)發(fā)展面臨著挑戰(zhàn)和機(jī)遇。計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)的發(fā)展和信息時(shí)代的到來，給密碼學(xué)提供了前所未有的發(fā)展機(jī)遇。在密碼理論、密碼技術(shù)、密碼保障、密碼管理等方面進(jìn)行創(chuàng)造性思維，去開辟密碼學(xué)發(fā)展的新紀(jì)元才是我們的追求。