國產(chǎn)商用密碼算法研究及性能分析

姚 鍵

(國家稅務(wù)總局北京稅務(wù)局 北京 100026)

0 引 言

隨著信息時代的來臨，鋪天蓋地的信息和數(shù)據(jù)逐漸充斥了人們的生活，隨之而來的信息安全問題備受人們關(guān)注，作為信息安全問題中不可或缺的角色——密碼技術(shù)近年來也得到了極大發(fā)展，正在快速地向各個領(lǐng)域滲透。國家對密碼技術(shù)高度重視，在過去十余年間，不斷完善我國的商用密碼體系，不斷開放與革新現(xiàn)有的密碼研究成果，引導(dǎo)著無論是普通百姓還是專家學(xué)者投入千千萬萬的專業(yè)性和創(chuàng)造力到國家的密碼體系建設(shè)中。如今我國已形成一套成熟的、科學(xué)的、自主的、受到國際認(rèn)可的商用密碼體系，它們幾乎被運(yùn)用在人們?nèi)粘Ｉ畹姆椒矫婷?，是國?nèi)眾多領(lǐng)域信息安全的重要保障。

1 密碼技術(shù)

1.1 國外密碼技術(shù)

密碼技術(shù)是保障通信秘密的一種手段和方法，據(jù)傳最早可以上溯到公元前1900年，在古埃及開始使用石刻密碼，從此古典密碼算法登上歷史舞臺，較為典型的有caeser密碼、vigenere密碼，此時的信息保護(hù)大多依靠人工完成，密碼技術(shù)僅局限于軍事、外交、政務(wù)等領(lǐng)域，缺少系統(tǒng)科學(xué)的理論基礎(chǔ)和支撐。1948年Shannon發(fā)表《保密系統(tǒng)的通信理論》，為密碼學(xué)奠定了理論基礎(chǔ)，該文利用數(shù)學(xué)方法對信息源、密鑰等重要概念進(jìn)行了定量分析和描述，數(shù)學(xué)推導(dǎo)的科學(xué)性和邏輯性將密碼學(xué)提升到了科學(xué)的高度。20世紀(jì)40年代計算機(jī)技術(shù)的出現(xiàn)使密碼技術(shù)重迎來新的春天，因特網(wǎng)的快速發(fā)展極大促進(jìn)了近現(xiàn)代密碼技術(shù)的發(fā)展和研究。1976年第一個公鑰密碼學(xué)思想——DH密鑰交換算法由W.Diffie和M.E.Helman首次提出，極大地改善了以往的單鑰體制中的密鑰管理問題。1977年來自IBM公司的數(shù)字加密標(biāo)準(zhǔn)(DES)分組密碼算法被美國政府確定為信息保密標(biāo)準(zhǔn)，這是讓算法透明化的一大創(chuàng)舉，密碼算法不再是國家機(jī)密，而是讓群眾集思廣益共同創(chuàng)新的技術(shù)。1978年Ron Rivest、Adi Shamir和Len Adleman首次發(fā)表了RSA公鑰密碼算法，這也是迄今為止使用最多的公鑰密碼算法。至此現(xiàn)代密碼正式拉開了序幕，密碼用在了政務(wù)、經(jīng)濟(jì)、文化等領(lǐng)域的各個方面，不僅與國家政府而且還與社會中每一個普通人的切身利益息息相關(guān)。

1.2 密碼技術(shù)分類

目前世界上活躍使用的密碼算法按密鑰的特點分為散列算法、對稱密碼算法體制、非對稱密碼算法三類，按加密方式分為流密碼體制和分組密碼體制兩類。

散列算法又叫雜湊算法，該算法并未涉及密鑰，僅是將使用者指定長度的消息壓縮成定長的、不可逆的、獨一無二的雜湊值，常被用在數(shù)字簽名、身份認(rèn)證、數(shù)據(jù)完整性校驗、隨機(jī)數(shù)生成等方面。通常雜湊算法需滿足抗原像攻擊性、抗碰撞性、抗第二原像攻擊性、抗長擴(kuò)展攻擊性、抗長消息第二攻擊性、集群攻擊性等安全屬性[1]，國際上公認(rèn)的密碼雜湊算法標(biāo)準(zhǔn)有SHA系列、RIPEMD系列、KECCAK系列、Stribog、Whirlpool等。

對稱密碼體制算法中加密解密使用同一個密鑰，加密解密的基本原理也是一致的，都是基于對明文信息的的置換和替代或者通過兩者的組合運(yùn)用完成的。國際上較為著名的對稱密碼算法有DES、AES系列、Camelia系列、IDEA、CAST系列、HIGHT等。在公鑰密碼體制出現(xiàn)之前，古典密碼學(xué)和近現(xiàn)代密碼學(xué)使用的密碼算法都屬于對稱密碼體制，因此對稱密碼體制在密碼學(xué)界有著不可替代的重要地位，多年以來對稱密碼體制被廣泛運(yùn)用在各類信息的保密工作中，對后來密碼體制的發(fā)展也產(chǎn)生了深遠(yuǎn)的影響。對稱密碼體制具體又被分為流密碼和分組密碼兩種。流密碼體制又叫序列密碼體制，將明文按字節(jié)加密，直接用偽隨機(jī)數(shù)字與明文密文數(shù)值異或進(jìn)行加解密，這在提高效率、節(jié)省空間、隱蔽性強(qiáng)的同時，對安全性的要求更高了。分組密碼體制又叫塊密碼體制，將明文按定長的字符串加密，這個字符串長度在其中起關(guān)鍵作用，過長運(yùn)行效率低下，過短安全性差，因此使用時常常需要根據(jù)需求謹(jǐn)慎選取。

非對稱密碼體制也被稱為單鑰體制、公鑰密碼體制。起初，為了解決密文被敵方截獲便能輕易得到明文的問題，于是使用不同的加密與解密密鑰，通常將這兩種密鑰區(qū)分為公開密鑰(PK)和私有密鑰(SK)，目的是即使截獲密文沒有私鑰也無法破譯出明文，保證明文的安全性。公鑰密碼體制的基礎(chǔ)是數(shù)學(xué)的不可解問題，例如“單向函數(shù)”，“陷門函數(shù)”，“求逆困難”等問題。經(jīng)典的公鑰密碼算法有基于大整數(shù)因子分解文圖的RSA算法、基于有限域橢圓曲線離散對數(shù)問題的ECC算法、基于有限域離散對數(shù)問題的DSA算法。分組密碼包含了所有非對稱密碼。

1.3 國內(nèi)密碼技術(shù)

1977年，在黃山幾乎匯集了當(dāng)時國內(nèi)所有的密碼學(xué)專家首次召開了中國民間組織的密碼研討會——偽隨機(jī)序列研討會，這次會議恢復(fù)了我國中斷已久的密碼交流。到了20世紀(jì)80年代，國內(nèi)相關(guān)機(jī)構(gòu)逐漸從對信息論的研究過渡到對密碼的研究上，人們慢慢認(rèn)清了密碼的重要性和戰(zhàn)略地位，國內(nèi)大學(xué)1988年開始增設(shè)密碼學(xué)碩士點，1992年開始增設(shè)密碼學(xué)博士點。幾年后開始著手準(zhǔn)備成立中國密碼學(xué)會，堅持每兩年一會，激勵了我國密碼學(xué)的交流與發(fā)展。此外中共中央多次召開專門會議，就加強(qiáng)信息安全的問題進(jìn)行指示。2000年左右武漢大學(xué)張煥國教授發(fā)起增設(shè)信息安全專業(yè)的建議得到教育部批準(zhǔn)，社會各組織也加大了在信息安全方面人力物力財力的投入。1999年國務(wù)院開始施行《商用密碼管理條例》，以法律條文的方式確定了黨和國家關(guān)于商用密碼的要求與期望，標(biāo)志著我國商用密碼的法制化。2002年正式成立了國家商用密碼辦公室。2011年9月祖沖之序列密碼算法被3GPP LTE采納正式成為國際加密標(biāo)準(zhǔn)，這是我國自主研制的第一個獲此殊榮的密碼標(biāo)準(zhǔn)，是我國密碼行業(yè)的巨大進(jìn)步。2017年在北京成功舉辦了中國商用密碼應(yīng)用高峰論壇和全國商用密碼產(chǎn)品及應(yīng)用技術(shù)展覽會，充分展示了我國在密碼學(xué)領(lǐng)域走出國門的堅定決心和強(qiáng)大能力。如今隨著云計算、大數(shù)據(jù)、互聯(lián)網(wǎng)等新型科學(xué)技術(shù)的不斷涌現(xiàn)，密碼技術(shù)的新挑戰(zhàn)也接踵而至。

20年間，國家密碼管理局陸續(xù)制定了一系列國家商用密碼標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)后來被廣泛應(yīng)用在我國的教育、工業(yè)、農(nóng)業(yè)、金融、電子、能源、交通、城市建設(shè)、電力水利、稅收、社保等涉及國計民生和基礎(chǔ)建設(shè)的重要領(lǐng)域，直接推動產(chǎn)生相關(guān)專利2 000多項，相關(guān)產(chǎn)品1 900多種，相關(guān)單位900多家，這些算法在安全性和實現(xiàn)效率上表現(xiàn)優(yōu)秀，完全可以媲美國際算法，也得到了國際上各相關(guān)組織的認(rèn)可和使用。

2 國產(chǎn)商用密碼概述

國產(chǎn)商用密碼體系的密碼種類豐富，基本滿足了我國生產(chǎn)生活中的各類需求，主要有SM系列及祖沖之序列算法，囊括了所有典型的密碼體制。具體可分為三類：SM3密碼雜湊(Hash、散列)算法屬于散列算法范疇，SM1(SCB2)、SM4、SM7、祖沖之序列密碼算法(ZUC)屬于對稱密碼算法體制范疇，SM2、SM9屬于非對稱密碼算法體制范疇。

SM3密碼雜湊算法在2012年公布為國內(nèi)密碼行業(yè)標(biāo)準(zhǔn)，2016年公布為國家標(biāo)準(zhǔn)，目前已提交給ISO國際標(biāo)準(zhǔn)化組織進(jìn)入到DIS階段。SM3密碼雜湊算法為Merkle-Damgard結(jié)構(gòu)，大體類似于SHA-256，官方公布的標(biāo)準(zhǔn)文檔[2]對該算法進(jìn)行了概要描述：對輸入長度小于264比特的消息，經(jīng)過填充和迭代壓縮，生成長度為256比特的雜湊值。其中包含異或、模、模加、移位、與、或、非運(yùn)算的使用，由填充、迭代過程、消息擴(kuò)展和壓縮函數(shù)所構(gòu)成。SM3密碼雜湊算法的具體實現(xiàn)流程可以參考官方標(biāo)準(zhǔn)文檔[2]。

SM1分組密碼算法(又名SCB2)尚未公開，僅提供了存在于芯片的IP核，所使用的密鑰長度和分組長度都是128比特，在安全性和硬件性能上與AES相近。

SM4(原名SMS4)分組密碼算法于2006年公開發(fā)布，2012年3月公布為國內(nèi)密碼行業(yè)標(biāo)準(zhǔn)，2016年8月公布為國家標(biāo)準(zhǔn)，2016年10月正式進(jìn)入ISO國際標(biāo)準(zhǔn)化組織的ISO標(biāo)準(zhǔn)學(xué)習(xí)期，現(xiàn)已納入可信計算組織(TCG)發(fā)布的可信平臺模塊庫規(guī)范(TPM2.0)。SM4分組密碼算法為Feistel結(jié)構(gòu)，官方公布的標(biāo)準(zhǔn)文檔[3]對該算法的進(jìn)行了明確規(guī)定，其分組長度和密鑰長度均為128比特,采用32輪的非線性迭代結(jié)構(gòu)來進(jìn)行加密和密鑰擴(kuò)展，加密算法和解密算法的結(jié)構(gòu)相同，只是輪密鑰使用順序相反解密輪密鑰是加密輪密鑰的逆序。其中包含異或、循環(huán)左移、輪函數(shù)、合成置換、非線性變換、線性變換、S盒變換等子運(yùn)算。該算法的最大的亮點在于其非線性變換中使用的S盒具有高復(fù)雜度、低差分均勻度、高非線性度、高平衡性等優(yōu)點，直接影響了整個算法的安全強(qiáng)度，起到了混淆作用，隱藏了內(nèi)部的代數(shù)結(jié)構(gòu)。SM4分組密碼算法的具體實現(xiàn)流程可參考官方標(biāo)準(zhǔn)文檔[3]。

SM7分組密碼算法所使用的密鑰長度和分組長度都是128比特，由于該算法尚未公開SM7的相關(guān)研究也微乎其微。

祖沖之序列密碼算法(ZUC)的名字來自中國古代著名數(shù)學(xué)家祖沖之，2010年6月針對LTE(長期演進(jìn)計劃)標(biāo)準(zhǔn)我國首次公布的了由中科院數(shù)據(jù)保護(hù)與通信安全研究中心(DACAS)設(shè)計的流密碼，線性反饋移位寄存器(LFSR)、比特重組(BR)和非線性函數(shù)(F)三部分共同組成了祖沖之序列密碼算法。LFSR部分具有線性復(fù)雜度大、隨機(jī)統(tǒng)計特性好的特點，BR部分具有友好的移位操作和字符串連接操作，F(xiàn)部分中S盒具有擴(kuò)散性好、非線性好的特點，這三部分有效地結(jié)合在一起，使ZUC算法具有較高的安全性。祖沖之序列密碼算法以128比特的序列和128比特的密鑰作為輸入，每運(yùn)行一次產(chǎn)生一組32比特的密鑰字，前32步用作初始化，33步舍棄，從第34步輸出密鑰流，用明文與之異或即得密文，祖沖之序列密碼算法的具體實現(xiàn)流程可參考官方標(biāo)準(zhǔn)文檔[4]。

SM2橢圓曲線公鑰密碼算法于2010年12月公開發(fā)布，2012年3月公布為國內(nèi)密碼行業(yè)標(biāo)準(zhǔn)，2016年8月公布為國家標(biāo)準(zhǔn)，2016年10月正式進(jìn)入ISO國際標(biāo)準(zhǔn)化組織的ISO標(biāo)準(zhǔn)學(xué)習(xí)期，現(xiàn)已納入可信計算組織(TCG)發(fā)布的可信平臺模塊庫規(guī)范(TPM2.0)。SM2橢圓曲線公鑰密碼算法的安全性建立在橢圓曲線離散對數(shù)問題上，與ECC算法的密碼機(jī)制類似。橢圓曲線最初由Koblitz和Miller分別應(yīng)用在公鑰密碼系統(tǒng)。相比RSA算法，ECC算法具有低耗能、低內(nèi)存占用、低耗時的優(yōu)勢。在ECC基礎(chǔ)上，SM2算法又加以改進(jìn)，使用了安全性更強(qiáng)的簽名和密鑰交換機(jī)制，該算法輸出位長為256的雜湊值，系統(tǒng)參數(shù)為256比特素數(shù)域上的橢圓曲線，SM2算法包括總則、數(shù)字簽名算法、密鑰交換協(xié)議和公鑰加密解密算法，具體運(yùn)算流程可參考官方標(biāo)準(zhǔn)文檔[5]。

SM9標(biāo)識密碼算法是一種基于標(biāo)識的密碼技術(shù)，1984年，Shamir首次提出標(biāo)識密碼的概念，同時也提出了第一個基于標(biāo)識的密碼算法，其公鑰是使用對象的手機(jī)號碼、電子郵箱等唯一標(biāo)識，這樣大大簡化了密鑰管理和頻繁申請交換證書的復(fù)雜性，提高了工作效率又減少了成本投入，后來這種算法慢慢演變?yōu)槭褂脵E圓曲線對實現(xiàn)的標(biāo)識密碼算法。我國自主研發(fā)的SM9標(biāo)識密碼算法在2016年4月公開發(fā)布，具有應(yīng)用靈活、管理方便的特點。SM9標(biāo)識密碼算法也是基于橢圓曲線離散對數(shù)的問題，同時增加了對橢圓曲線對雙線性的應(yīng)用，其使用的雙線性對需要滿足雙線性、非退化性、可計算性。SM9算法所使用的數(shù)學(xué)基礎(chǔ)原理與SM2算法類似，僅是增加了對的相關(guān)內(nèi)容，在附錄中詳盡地描述了使用Miller來計算對的方法以及適于對的橢圓曲線的生成。SM9算法包括總則、數(shù)字簽名算法、密鑰交換協(xié)議、密鑰封裝機(jī)制和密鑰加密算法，具體運(yùn)算流程可參照官方標(biāo)準(zhǔn)文檔[6]。

3 國產(chǎn)商用密碼安全性和實現(xiàn)效率分析

一個密碼算法最受人們關(guān)注的主要是安全性和實現(xiàn)效率兩方面，我國的國產(chǎn)商用密碼體系中的各算法無論是安全性還是實現(xiàn)效率上相比國際的主流算法都是具有優(yōu)勢的。

3.1 密碼散列算法

國產(chǎn)商用密碼中密碼散列算法有SM3雜湊算法。在安全性方面，針對SM3雜湊算法目前主要有碰撞攻擊、原像攻擊、區(qū)分器攻擊三類攻擊方法，SM3雜湊算法與國際上常見散列算法(這里選取SHA-256、RIPEMD-128、KECCAK-256)在這三類攻擊下最好攻擊結(jié)果見表1。

從表1可知，SM3算法的碰撞攻擊百分比為31%，僅高于KECCAK類算法，低于其他大部分的算法；SM3算法的原像攻擊百分比為47%，僅高于KECCAK類算法，低于其他大部分的算法；SM3算法的區(qū)分器攻擊百分比為58%，遠(yuǎn)遠(yuǎn)比其他算法低。整體上可以說明SM3雜湊算法具有較高的安全性。在實現(xiàn)效率方面，SM3雜湊算法與SHA-256相當(dāng)，但又增加了一些顯著改進(jìn)的技術(shù)，不僅節(jié)省了硬件開銷，而且提升了算法的適用性和運(yùn)算效率，例如使用了P置換函數(shù)，加速了雪崩效應(yīng)，提高了運(yùn)算速度。

3.2 對稱密碼算法

國產(chǎn)商用密碼中的對稱密碼算法目前已公開的有SM4分組密碼算法和祖沖之序列密碼算法兩種，因此國內(nèi)對對稱密碼的使用和研究幾乎是圍繞這兩種算法展開的，這兩種算法在國內(nèi)擁有完全的自主權(quán)和極大的創(chuàng)新性，在國際上也受到了各國的認(rèn)可。

在安全性方面，對稱密碼體制加密解密的結(jié)構(gòu)相同，一旦密鑰泄露，任何人都能對信息進(jìn)行加密和解密，所以對稱密碼算法是存在一定的安全風(fēng)險的。SM4分組密碼算法目前尚未發(fā)現(xiàn)有任何一種攻擊方法能將其攻破，SM4分組密碼算法、祖沖之序列密碼算法(ZUC)與國際上其他分組密碼算法(這里選取AES-128、CAST-128、SEED、Camellia-128)對抗各種攻擊的結(jié)果對比如表2所示。

表2 SM4算法、ZUC算法與其他分組密碼對抗不可能攻擊結(jié)果

可見，國產(chǎn)密碼中SM4分組密碼算法在安全性上比國際上大多數(shù)分組算法都具有優(yōu)勢，能夠抵抗常見的多種攻擊且表現(xiàn)十分優(yōu)秀。ZUC算法作為序列密碼的安全性要求從體制本身就優(yōu)于分組密碼，僅從其窮盡搜索的結(jié)果看來，ZUC算法的安全性也是很樂觀的。

在實現(xiàn)效率方面，吳筱等[27]曾測算出128位密鑰的SM4算法，運(yùn)算速率為2.29 Gbps，而64位的DES算法，運(yùn)算速度為1.28 Gbps，可見SM4算法在實現(xiàn)效率上是優(yōu)于DES算法的。

3.3 非對稱密碼算法

國產(chǎn)商用密碼中目前自主設(shè)計的非對稱密碼算法僅有SM2橢圓曲線公鑰密碼算法和SM9標(biāo)識密碼算法兩種，是我國密碼技術(shù)的跨越性創(chuàng)造成果，尤其是SM2算法是我國目前使用最為廣泛的一種國產(chǎn)密碼算法，可見非對稱密碼算法對國內(nèi)密碼技術(shù)發(fā)展的重大意義。

在安全性方面，非對稱密碼算法與算法的橢圓曲線、數(shù)字簽名、密鑰交換協(xié)議、加解密算法均有密切關(guān)系。

汪朝暉等[28]曾對SM2算法的安全性進(jìn)行了詳盡分析，可以總結(jié)為：第一，橢圓曲線的安全性關(guān)系著算法的安全，一條安全的橢圓曲線需滿足抗MOV攻擊條件、抗異常曲線攻擊條件、抗Pohlig-Hellman方法和Pollard方法攻擊條件、抗GHS方法攻擊條件，SM2算法采用的橢圓曲線完全滿足。第二，SM2算法中數(shù)字簽名算法具有防御自主選擇消息攻擊和密鑰替換攻擊的能力。第三，SM2算法中密鑰交換協(xié)議在ECDH密鑰交換協(xié)議較低安全性的基礎(chǔ)上，在信息互換過程中增加了信息認(rèn)證。第四，SM2算法中加密解密算法中使用了Hash函數(shù)(SM3密碼雜湊算法等)來驗證涉及的明文和密文信息，增強(qiáng)了算法的博可延展性，從而具備了抵御強(qiáng)攻擊的能力。SM2橢圓曲線公鑰密碼算法在安全性上不亞于ECC算法、RSA算法，是屬于完全指數(shù)級的高復(fù)雜度算法。有數(shù)據(jù)[29]表明SM2算法210位的密鑰強(qiáng)度相當(dāng)于RSA算法2 048位的密鑰長度，SM2算法160位的密鑰強(qiáng)度相當(dāng)于RSA算法1 024位的密鑰長度，可見相同安全性水平下，SM2算法需要的密鑰長度更短，證明其算法的安全性是高于RSA算法的。

SM9標(biāo)識密碼算法由于公布時間過晚，相關(guān)研究還十分稀少。袁峰等[30]曾對SM9算法的安全性進(jìn)行了詳盡分析，可以總結(jié)為：第一，SM9算法中數(shù)字簽名算法安全性通過考察是否存在一個基于攻擊者的多項式算法可以求解τ-DHI問題。第二，SM9算法中公鑰加密算法安全性通過考察是否存在一個基于攻擊者的多項式算法可以求解τ-Gap-BDHI問題。第三，SM9算法中密鑰交換協(xié)議的安全性通過考察是否存在一個基于攻擊者的多項式算法可以求解τ-Gap-BDHI問題。由于τ-DHI問題和τ-Gap-BDHI問題計算難度和復(fù)雜度極高，因此SM9標(biāo)識密碼算法的安全性是十分可觀的。

在實現(xiàn)效率方面，非對稱密碼體制由于要維護(hù)其高安全性，因此算法過于復(fù)雜，遠(yuǎn)不及對稱密碼效率高，但是SM2算法的實現(xiàn)效率還是遠(yuǎn)遠(yuǎn)高過國際上的典型密碼算法RSA、DSA的。有數(shù)據(jù)[29]表明256位密鑰的SM2算法的簽名速度和驗簽速度分別為4 095次/秒和871次/秒，2 048位密鑰的RSA算法的簽名速度和驗簽速度分別為455次/秒和15 122次/秒，可見SM2算法具有簽名速度慢、驗簽速度快的特點，與RSA算法相反。

4 國產(chǎn)商用密碼的應(yīng)用

國產(chǎn)商用密碼體系算法的應(yīng)用具有數(shù)量大、范圍廣、認(rèn)同度高的三個基本特點，可以從SM系列算法和ZUC序列算法的應(yīng)用情況上充分體現(xiàn)出來。SM3密碼雜湊算法應(yīng)用十分廣泛，目前支持該算法的產(chǎn)品多達(dá)1千多款，是我國金融系統(tǒng)、安全登錄系統(tǒng)、電子簽名類系統(tǒng)、云計算平臺、網(wǎng)絡(luò)安全設(shè)施等諸多領(lǐng)域的基礎(chǔ)技術(shù)。SM4分組密碼算法主要應(yīng)用在無線局域網(wǎng)芯片中,支持該算法的產(chǎn)品多達(dá)700多種，滿足了國內(nèi)各行業(yè)對對稱加密算法的需求,國際上與IBM公司合作，實現(xiàn)SM4與IBM主機(jī)兼容。SM7分組密碼算法在IC卡應(yīng)用、票務(wù)應(yīng)用、支付卡應(yīng)用中發(fā)揮著重要作用，例如電子門票、門禁卡、校園一卡通、公交卡等[8]。祖沖之序列密碼算法主要在通信領(lǐng)域使用，手機(jī)終端已實現(xiàn)全部支持該算法，未來在物聯(lián)網(wǎng)、智能移動、語音加密等新興技術(shù)也將進(jìn)一步推廣該算法。SM2橢圓曲線公鑰密碼算法的支持產(chǎn)品多達(dá)1 000多種，全國多家第三方機(jī)構(gòu)、銀行、交通、海關(guān)等重要單位都完成了對SM2算法的支持工作。SM9標(biāo)識密碼算法主要應(yīng)用在安全郵件、身份識別方面，目前支持該算法的產(chǎn)品還很少，但是基于標(biāo)識的密碼技術(shù)受到了越來越多人的重視，標(biāo)識密碼的需求十分旺盛，發(fā)展前景和應(yīng)用潛力相當(dāng)樂觀。總之，國產(chǎn)商用密碼在短短幾年實現(xiàn)了飛躍式的成長和壯大。

以稅務(wù)行業(yè)為例,稅務(wù)數(shù)據(jù)的真實性和有效性是制約稅務(wù)信息化發(fā)展進(jìn)程的瓶頸，在稅務(wù)行業(yè)主要通過發(fā)票控制稅源，因此發(fā)票的防偽至關(guān)重要。不法分子常常在發(fā)票上做文章，擾亂了社會秩序，損害了人民利益。傳統(tǒng)的利用紙張制造技術(shù)、油墨制造技術(shù)、特種印刷技術(shù)、激光全息技術(shù)防偽很難起到防止“買假用假”、“真票假開”、“套購倒賣”等現(xiàn)象，密碼技術(shù)的應(yīng)用解決了這些難題[31]。我國在1994年提出了稅務(wù)系統(tǒng)“金稅工程”——全國增值稅專用發(fā)票計算機(jī)稽核網(wǎng)絡(luò)系統(tǒng)。這是我國商用密碼技術(shù)在稅務(wù)領(lǐng)域應(yīng)用最早、時間最長、效益最好的一個典型示范。它包括全國從國家稅務(wù)總局到省、地市、縣四級統(tǒng)一的計算機(jī)主干網(wǎng)以及若干個覆蓋全國的增值稅一般子系統(tǒng)[32]，是利于覆蓋全國稅務(wù)機(jī)關(guān)的計算機(jī)網(wǎng)絡(luò)，對增值稅發(fā)票和企業(yè)納稅狀況進(jìn)行嚴(yán)密監(jiān)控的一個體系。這套系統(tǒng)在全國各地推廣近上百萬套，每年可為國家挽回數(shù)百億元的損失。正是因為有了國產(chǎn)商用密碼的中國“芯”，過去國內(nèi)猖獗一時的利用增值稅專用發(fā)票偷逃稅款的現(xiàn)象得到了有效遏制，促進(jìn)了市場經(jīng)濟(jì)健康有序的發(fā)展。稅務(wù)系統(tǒng)只是國產(chǎn)商用密碼應(yīng)用的一個縮影，卻充分反映出國產(chǎn)商用密碼對國家信息安全保障工作具有不可估量的經(jīng)濟(jì)價值和社會價值。

盡管我國現(xiàn)有的密碼技術(shù)從無到有、從摸索到應(yīng)用取得了巨大的技術(shù)成果，但國產(chǎn)商用密碼體系面對日新月異的世界絕不能止步于此，而是需要不斷改進(jìn)和創(chuàng)新的。

第一，人類現(xiàn)有的密碼算法中找不到任何一種是完美無缺的，或多或少都存在一些棘手的問題，如密鑰管理難，數(shù)據(jù)共享難度大，用戶自主性低，難以防御丟失攻擊、盜竊攻擊、假冒攻擊等。常用的解決方案是將各有優(yōu)缺點的密碼算法重構(gòu)(融合或替換)，形成混合多種密碼算法思想的新型算法，這樣確實能達(dá)到去粗取精，但又帶來了有關(guān)算法使用權(quán)限自主性和可控性的新問題。

第二，算法的各種特性不能片面地評價為好與不好，隨著應(yīng)用范圍的不斷擴(kuò)大，應(yīng)用場景需求的改變常常使算法的優(yōu)點反而成為不可避免的詬病，例如：SM3算法由于其散列的高復(fù)雜度計算降低了使用中的適用性；SM2算法由于要保證其高安全性，算法實現(xiàn)的效率遠(yuǎn)不如對稱密碼算法等等。因此算法的選取和性能的權(quán)衡至關(guān)重要。

第三，國際上量子密碼學(xué)、智能身份認(rèn)證、同態(tài)密碼等前沿密碼技術(shù)的研究不斷更進(jìn)，既是對國內(nèi)的現(xiàn)有商用密碼體系發(fā)展新技術(shù)的機(jī)會又是對其中存在弊端的舊密碼算法機(jī)制的沖擊和變革。

第四，大數(shù)據(jù)、云計算、知識共享、物聯(lián)網(wǎng)、區(qū)塊鏈等新型技術(shù)的發(fā)展，激發(fā)了人們對高安全性和高效性需求的日益增長，給人們的生活模式帶來了電子支付、數(shù)字貨幣、電子交易、互聯(lián)網(wǎng)金融等的巨大轉(zhuǎn)變，這對我國的密碼體制提出了更新更高的要求。

第五，我國網(wǎng)絡(luò)安全投入相比國際上眾多國家是遠(yuǎn)遠(yuǎn)不夠的，僅占整個IT產(chǎn)業(yè)的1%～2%，而世界平均水平是5%～10%，其中歐美國家水平為8%～12%。

第六，“中興事件”、“棱鏡門”事件的發(fā)生，在一定程度上揭示了國際上沒有永遠(yuǎn)的合作只有互斥利益的爭奪，披露了中國信息化基礎(chǔ)設(shè)施上對國外產(chǎn)品和國外技術(shù)重度使用的巨大隱患。

綜上所述，在密碼技術(shù)的實際應(yīng)用中應(yīng)結(jié)合各類算法的特點，權(quán)衡利弊，讓算法實現(xiàn)最優(yōu)的性能發(fā)揮最大的作用。國家對于密碼技術(shù)的研究應(yīng)更深入更廣泛更有針對性，加大資金、設(shè)備、信息的投入，積極培養(yǎng)相關(guān)領(lǐng)域的專業(yè)人才，對于國際的新型技術(shù)進(jìn)行積極而充分的交流，在維護(hù)國家密碼體系自主權(quán)和控制權(quán)的基礎(chǔ)上注入新技術(shù)的活力。此外國家有關(guān)部門還應(yīng)加強(qiáng)對密碼規(guī)范性的監(jiān)管力度，對密碼的安全性進(jìn)行嚴(yán)格地評估，從而推動國家的信息安全事業(yè)又穩(wěn)又快地發(fā)展。

5 結(jié) 語

本文首先通過一些歷史大事件對國內(nèi)外密碼技術(shù)的演進(jìn)歷史和分類進(jìn)行了提煉，從國產(chǎn)商用密碼體系切入，系統(tǒng)詳細(xì)地論述了我國現(xiàn)有商用密碼體系主要包括SM系列及祖沖之算法在內(nèi)的各類商用密碼的算法特點、安全性分析和性能分析，最后分析了該體系的具體應(yīng)用情況并對國產(chǎn)商用密碼體系的完善和發(fā)展進(jìn)行了探討。相比大多數(shù)國際上的典型同類算法，國產(chǎn)商用密碼算法在安全性和實現(xiàn)效率方面都具有明顯的優(yōu)勢，但在具體應(yīng)用和推廣中還存在不足。國家相關(guān)部門應(yīng)在完善現(xiàn)有國產(chǎn)密碼算法弊端的基礎(chǔ)上繼續(xù)對密碼新型技術(shù)和發(fā)展趨勢的創(chuàng)新開展研究，同時加強(qiáng)對密碼技術(shù)推廣和使用的監(jiān)管力度，在保證國家對密碼算法完全自主性和可控性的前提下，實現(xiàn)對信息安全的強(qiáng)力保護(hù)和對信息攻擊的有效對抗。