潘梁靜

(商丘職業(yè)技術學院 基礎部，河南 商丘 476100)

隨著社會的發(fā)展，信息保密工作越來越重要，密碼學隨之出現，為信息保密工作做出了巨大貢獻.隨著密碼學技術與互聯網技術的發(fā)展和進步，現代對于密碼學的應用已經從傳統(tǒng)的單純對信息的保密轉變?yōu)楦訌V泛的安全保護與隱私保護，對于當今時代的信息安全具有非常重要的意義[1]492-502.所謂公鑰密碼體制，就是指公鑰密碼的設計方案.公鑰密碼這一理論最早是在1976年的時候在美國率先提出的，從此以后，針對公鑰密碼的研究層出不窮，其中RSA公鑰密碼體制、McMliece公鑰密碼體制等方案均對公鑰密碼的發(fā)展有著巨大的推動.但是，許多公鑰密碼體制在提出并經過實際的驗證后發(fā)現具有缺陷，對于信息的保護作用存在較嚴重的問題，因此被逐漸拋棄.

1 大整數分解困難問題的公鑰密碼體制

1.1 RSA公鑰密碼體制攻擊現狀

從數學角度講，公鑰密碼的安全性直接取決于函數分解的難易程度，分解難度越高，公鑰密碼就越安全.數學研究中有人認為對于RSA的攻擊方法最好就是通過分解，但是這一論點并未得到數學界的廣泛認可，目前對于RSA的分解大整數普遍認為或許會有其他多項式分解算法存在.相對于其他途徑，分解n是攻擊RSA最簡單的途徑之一[2]15-20.目前對RSA的攻擊主要是關于RSA-155的分解，是由1999年6個國家的數學家共同進行的.這些數學家們采用NFS成功地將RSA-155進行了分解，推算出關于分解RSA-155所需要的實際時間，并在隨后的7個月內將其分解.并對其攻破進行了預估，研究者認為，這種算法會在3年之內普及起來，屆時RSA-155的安全性將會降低.

一般應用于大整數的分解方法主要包括以下幾種類型：數域篩法、二次篩法、P-1法、平方法等.通過MOORE定律對大整數分解進行假設，預估分解大整數的公式算法為：Y=13.24D1/3+1 928.6.按照該公式，其中D代表的是采用十進制表示下的大整數，因此可以對分解年限進行推測，即768bit(D=231)將會在2010年的時候被攻破，1 024bit(D=309)會在2018年的時候被攻破.也就是說，RSA公鑰密碼體制在實際的應用中如果要實現數據的短期安全保障可以采用1 024bit的整數加密模式，而如果要想實現長期的數據安全保障，應當使用1 024bit以上的整數加密模式，例如2 048bit.但是要增加RSA加密模長會帶來一定的技術難題，隨著大整數分解技術的發(fā)展與計算機處理技術的進步，這種問題將會得到妥善解決.

1.2 RSA的標準化及其實現

由于RSA公鑰密碼體制在實際應用中具有較大的優(yōu)勢，因此在國際上許多國家和組織已經逐漸將其作為公鑰密碼體制以及密碼算法的標準化.例如在Internet中的PGP就是將數字簽字與傳輸信息密鑰以RSA作為標準算法從而進行設計的[3]3726-3728.

RSA是眾多算法中較為簡單的一種公鑰密碼體制，且在長期的發(fā)展中，RSA的發(fā)展較為成熟，許多信息公司都將RSA作為公鑰密碼體制研究的主要研究對象，例如IBM公司中對于SSLava、Cryptix的設計實現與RSA公司中RSAref的設計實現.從目前的RSA硬件發(fā)展來看，RSA的速度相對較慢，職能達到DES的千分之一，在RSA的512bit模式下，其硬件僅僅只能達到64kbit每秒；從軟件發(fā)展來看，也只能達到DES的百分之一，也就是說，RSA從其本身的速度上相比于對稱密鑰體制基本沒有任何優(yōu)勢，因此一般多將RSA應用到密鑰交換或者密鑰認證當中[4]31-33,38.

2 離散對數困難問題的密碼體制

離散對數困難問題下的密碼體制種類也比較多，包括有限域乘法群問題下的EIGamal公鑰密碼體制與DSA公鑰密碼體制，或者橢圓曲線離散對數下的橢圓曲線公鑰密碼體制，另外包括有近幾年提出的XTR公鑰密碼體制等.本文針對橢圓曲線公鑰密碼體制也就是俗稱的ECC或者ECDLP公鑰密碼體制進行分析.

2.1 ECDLP公鑰密碼體制攻擊現狀

從數學角度講，橢圓曲線可以設為E，其上設置點P的階作為最小正整數，將其用n表示，應當要使n和p相乘為零.將其帶入到ECC公鑰密碼體制中進行分析可知，在所給定的曲線E上的點P主要是將n作為階，如果此時在橢圓E上另外再設置一個點，將其記為Q，再根據橢圓設定一個整數，以L表示，要求L要大于或者等于零，而小于或者等于n-1，最終得出的結論為L和P相乘為Q[5]1292-1295,1335.

而橢圓曲線公鑰密碼體制就是建立在這樣一種離散對數困難的基礎上的，由于其本身存在的特殊性，因此其在實際應用中最主要的就是關于信息泄漏安全的相關研究，這主要取決于該方法對于ECDLP安全性的依賴性.因此，對ECDLP的攻擊主要是針對ECDLP的攻擊，這種攻擊形式基本與有限域中乘法群的離散對數攻擊模式相同.但是，由于橢圓曲線的特殊性，其中包含一些離散對數有著其他的計算形式.在對離散對數的攻擊中一般是采用亞指數時間計算法進行攻擊，這也就是所謂的指數攻擊法.這種辦法雖然能夠通用到絕大多數的離散對數攻擊中，但是并不能應用到ECDLP中，這主要是因為在傳統(tǒng)的Index Calculus算法中要想尋到因子基是很簡單的，但是這種內容換算到ECDLP當中卻不適用，在以往的研究當中，ECDLP研究受到了數學界較為廣泛的關注，從目前的ECDLP研究中尚未證實存在有較大的安全問題，對于其攻擊在研究中大致可以分為兩種，分別是對于一般橢圓曲線的離散對數與對于特殊橢圓曲線的離散對數的攻擊類型，對于一般橢圓曲線的常見的攻擊方法有Xedni攻擊法、Pohlig-Hellman攻擊法、小大步攻擊法、分布式攻擊法等[6]20-23.當前的研究顯示，分布式攻擊法中的ECDLP攻擊算法是效果最好的一種攻擊法.對于特殊橢圓曲線的常見攻擊法包括有SSAS法與MOV法兩種，隨著ECDLP公鑰密碼體制的發(fā)展，近些年一些新型方法逐漸出現，例如GHS等方法也是應對特殊橢圓曲線的一種較為有效的方法.

2.2 ECC的標準化與其實現

ECC在實際的應用過程中對于公鑰密碼體制的研究具有重大的作用，因此隨著其發(fā)展，逐漸受到了較為廣泛地認可，其標準化草案建設逐漸完善起來.許多公司發(fā)現了ECC的廣闊的市場前景，開始注冊ECC的研究并將其應用到其產品的生產當中.近些年ECC的橢圓曲線公鑰密碼產品在市場中迅速占有了一席之地，例如美國的NeXT公司研究出的ECC算法得到了較為廣泛的認可和關注，NexT利用易記憶的字串作為密鑰，使其ECC算法的安全性與速度都得到了良好的提升.而另外一家加拿大的公司針對ECC開發(fā)出了另外一種非?？煽康毓€密碼體制的硬件電路，能夠有效實現信息的加密解密，并且能夠同時實現諸如數字簽名與認證等多項密鑰功能[7]10-15.同時，許多國家都開發(fā)出了針對性的產品，包括中國，許多相關研究者都在對ECC進行研究，并開發(fā)出相應的硬件與軟件.

因此，ECC目前的標準化仍然處于開發(fā)階段，尚未實現完全的標準統(tǒng)一，但是在其發(fā)展中許多相對成熟的標準化模式的出現仍然是ECC擁有良好的市場前景和發(fā)展形勢，并且ECC體制已經逐漸被納入眾多專業(yè)化的組織協會當中，例如IEEE在20世紀末的時候將ECC作為一種公鑰密碼標準收錄到了關于密鑰的相關機制當中，并且在2000年的時候被正式通過.

3 新型公鑰體制的研究發(fā)展

從提出公鑰密碼體制的概念，眾多相關工作者不斷對其進行探索研究，到目前為止已經有許多公鑰密碼體制出現，但是真正能夠在實踐中發(fā)揮作用并受到學術界廣泛認可的公鑰密碼體制很少[8]77-81.許多相對成熟的公鑰密碼體制一般都要很大的素數，例如應用最為廣泛的RSA公鑰密碼體制、ELG公鑰密碼體制等.因此，許多研究工作者開始思考是否存在有能夠在素數之外建立起來的公鑰密碼體制，組合型公鑰密碼體制就是在這樣的背景下提出的，但是在研究中發(fā)現，這種公鑰密碼體制存在非常大的缺陷，將其作為公鑰密碼體制研究并非完全沒有希望，但是相比于素數型公鑰密碼體制，對組合型花費大量人力、物力進行研究最終所獲得的回報無異于舍近求遠[9]90-95. 隨著信息化時代的發(fā)展，對于信息的安全性要求越來越高，因此對于公鑰密碼體制的研究從未間斷，近些年提出的新型公鑰密碼體制中較為成熟且獲得了較多認可的主要有辮群公鑰密碼體制與量子公鑰密碼體制兩種.

3.1 辮群公鑰密碼體制

這種密碼體制最早是由一名叫Artin的研究者提出的，所謂辮群就是指n辮群Bn是一對正整數n定義的有n股辮的無限非交換群，而群中的每一個元素都可以成為一個n辮.這是一種組合群公鑰密碼體制，但是又與普通的組合群又較大的差別，從本身性能上講，辮群公鑰密碼體制具有更強的安全性與速度，在其執(zhí)行群中包括有U和V兩組字節(jié)的乘積運算，這種運算知識將二者連接起來，群運算則是將二者隱藏起來，這就可以對二者進行變形從而獲得.將二者設為兩個n辮，再將其標準型由p和q進行置換，最終其乘積就可以在較短的時間內算出[10]18-23.

3.2 量子公鑰密碼體制

這種密碼體制是一種建立在Turing模型上的理論體系，其最早是作為一種計算模型概念產生的，主要是通過概率機進行模擬，但是在計算機技術的發(fā)展中，出現了一種量子計算的計算模型，因此量子公鑰密碼機制獲得了較大的發(fā)展.在量子公鑰密碼體制的研究中最大的成果是關于對離散對數與整數分解的算法，能夠對其多項式時間進行較為準確的演算.這種算法雖然能體現量子Turing機的功能，但是在發(fā)展中其演算結果中也能夠反映出這種量子機的局限性，例如相比較于傳統(tǒng)的均勻隨機預言的選擇，NP問題通過概率1在量子機上于O(2n/2)的時間內無法求解.雖然量子公鑰密碼體制存在一定的缺陷，但是不可否認，這種密碼體制在目前仍然有較大的研究價值，并且有許多研究者不斷對其進行更加深入地研究.

4 結語

公鑰密碼體制最重要的作用是對于信息的抗泄漏，也是公鑰密碼體制的根本目標.目前研究界認為，有兩種公鑰密碼體制在信息抗泄漏方面的功能是最強的，分別為大整數分解困難問題的公鑰密碼體制與離散對數困難問題的公鑰密碼體制，本文通過對這兩種公鑰密碼體制進行探討，旨在對其他尚在研究中的密碼體制進行展望.綜上所述，對于公鑰密碼體制的研究成果是非常豐富的，未來公鑰密碼體制仍然會是信息抗泄漏研究中的重點.