顶尖密码学人才做了近 8000 道题，筛选 64 组人 PK，竟与国密算法有关

会员服务 ·

顶尖密码学人才做了近 8000 道题，筛选 64 组人 PK，竟与国密算法有关

2017 年 11 月 27 日 宅客频道 李勤

讲两个“鬼故事”：

拿着一部智能手机“听一听”你的计算机，你的计算机的密码就可能被窃听走；

用手摸一摸笔记本电脑的外壳，感受一下温度，有人就能知道你电脑里的秘密。

再给你讲个鬼故事——刚才宅客频道编辑说的这两个故事都是真的，这是当前已经实现的几种侧信道攻击方式：

“听译”电子邮件密钥

通过智能手机从运行 PGP 程序的计算机中“听译”密钥。这项密钥提取攻击技术能准确地捕捉计算机 CPU 解码加密信息时的高频声音，并提取密钥。

用手触碰电脑即可破解密码

电脑 CPU 运算时造成“地”电势的波动，用手触碰笔记本电脑的外壳，接着再测量释放到皮肤上的电势，然后用复杂的软件进行分析，最终得到计算机正在处理的数据。例如，当加密软件使用密钥解密时，监测这种波动就可得到密钥。

不止这些，最近，一帮密码学人才聚集在北京，试图在智能门禁、智能交通、停车场、电子彩票、疾病信息、快递信息、防伪系统、数字版权等多个与我们日常生活密切相关的领域中演示“密码”的功与防，有些人试图构筑让攻击者无法下手的密码算法，而有些人则想尽办法攻击一些加密算法。

这就是中国密码学会举办的 2017 第三届全国密码技术竞赛决赛。可以说，这可能是中国最强的密码技术比赛。

“最强”密码技术比拼

为什么是“最强”？

首先，中国密码学会是国家一级学会，由国内从事密码学术研究的知名专家、学者和部分大专院校、科研院所从事密码学研究的人员发起，由中国科协主管，挂靠国家密码管理局。如果你留意一查，会发现破解了 MD5 的中国密码学家王小云是这个学会的四位副理事长之一。

再者，据中国密码学会理事、航天信息股份有限公司科技委主任郭宝安与中国密码学会常务理事、中国科学院信息工程研究所总工程师荆继武对雷锋网宅客频道表示，这次比拼的是实打实的“密码技术”，而非密码学研究理论。

在初赛前，全国 38 所高校的密码学人才先经历一次筛选，只有在一个近 8000 道题的题库中闯关成功，你才能具备基本参赛资格。随后，选手有两种选择：在企业给定的范围中选择一个项目参赛，或选择前沿密码学领域自己命题参赛。

初赛后，26 所高校的 64 支队伍杀进了决赛，其中入围决赛队伍最多的四所高校分别是：信息工程大学 10 支队伍、西安电子科技大学 8 支队伍、武警工程大学 7 支队伍、北京电子科技学院 7 支队伍。众所周知，这四所院校在密码学领域都很强。

宅客频道从这 64 个参赛项目中发现，除了上述与我们生活密切相关的领域，选手们还关注了很多密码学前沿领域，如区块链、量子密码、物联网轻量级密码算法、云安全、个人信息保护等，甚至还有选手挑战使用硬软件测试攻击国密算法。

64 个参赛项目分成四组，由专家组联合评出每组的前两名项目，再从 8 个项目中选出 4 个项目在 25 号进行终极 PK。

科普＋政学研用＋推广国密算法

2016 年第二届全国密码技术竞赛结束后，荆继武和郭宝安将一些参赛队伍介绍给贵阳大数据中心的企业，有的企业表示，想连人带技术一起“带走”。

在不久前的阿里先知创新大会上，王小云特别强调，密码学的研究者在与产业界接触的过程中，更能了解企业需求。

中国密码学会想在“政学研”中加上“用”的环节，因此，邀请了企业参与设计 A 类 7道赛题，并在每组的评委中引入了企业专家。

宅客频道了解到，一些安全企业会比较看重应用层面的安全，但底层安全技术涉及不多。看起来高大上的密码技术其实与生活息息相关，小到一张银行卡、一部智能手机、一个网络摄像头，大到地面交通、卫星通信、云服务平台，都会大量使用与密码技术相关软件或硬件。就算你在应用层千防万防，一旦在“底层”守卫上失了手，就是徒劳无功。

就宅客频道与郭宝安、荆继武聊的情况来看，对密码研究者而言，他们想让外界了解的心十分迫切。他们多次强调此次接受采访的目的：科普。

科普的对象有三，首先是高校，希望有更多研究者加入，其次是企业，希望有更多合作，再者是希望全社会能关注密码学。

▲荆继武（左）、郭宝安（右）

“踢球的人多了，自然水平能相应提高。”荆说。

另一特殊情况是，宅客频道注意到，在 64 组题目中，有不少选手瞄准的是国密算法。上述两位专家称，为了鼓励大家研究国密算法，本次大赛会更倾斜于使用国密算法的项目。

不久前，国产 SM2 与 SM9 数字签名标准上升为国际标准，郭与荆认为，这至少说明国密算法与现在国际算法是“一样好的”，甚至要更好，他们想借此促进国密算法的推广。

“假如，我国银行要引入一款产品，但这个产品需要通过国际认证才能进入，你用人家的标准，就要等人家开口批准，如果对方拖着，那么可能就只能采购已经符合它标准的国外产品。”郭称，从产业角度看，推广国密算法也是增强市场话语权的砝码。

再者，推广国密算法能保障国家安全自主可控。“ 哪怕 AES 破了，我们也不会受影响。”荆强调。

郭和荆对国密算法有极强的信任。宅客频道了解到，目前 SM3 也在申请 ISO 标准中。王小云曾对宅客频道指出，她在和其他研究者设计完成 SM3后，又对它进行了分析。“但我们目前只能进行 20 轮的实际攻击，事实上它一共有 64 轮，即完成这个算法是 64 步。”王认为，SM3 在目前的计算力上是非常安全的。

“MEPV：多引擎密码协议分析平台”夺冠

11 月 25 日，基于区块链技术的物联网安全节点技术、基于分组密码的实用型功耗分析平台、多层次的个人数据加密存储算法、MEPV：多引擎密码分析协议平台四项技术角逐最后的冠军。

最终，信息工程大学的项目“MEPV：多引擎密码协议分析平台”获得此次大赛的第一名。

▲多引擎密码协议分析平台；团队名称：诗洒年华；指导老师：陆思奇；所属学校：信息工程大学

密码协议形式化分析一只是密码学中的热点问题，但其长期存在着两个问题：形式化语义多样复杂，目标协议描述困难；现有的形式化分析工具所得到的分析结果不够全面。

“MEPV：多引擎密码协议分析平台”提出了基于格式填充的协议描述模式。该团队通过对协议角色定义、执行过程和安全属性等形式化语义进行大量的研究，基于编译器技术，自主设计了本作品的文件编译模块，将多种形式化语义进行分割、精炼、规约，并通过构建映射的方式将其转化为适用于不同引擎的SPDL、HLPSL和Pi演算形式化语言，并自动生成相应的协议描述文件，使得密码协议研究者可摆脱控制台限制，在描述向导的指引下通过勾选、填充等方式，完成对目标协议及安全属性等方面的多形式化语言描述。

同时，该平台构建了包括认证协议、密钥交换协议等多种类的密码协议库，研究者可直接查看其分析结果，或对其相关描述文件进行修改后，使用本平台进行分析。

该平台针对密码协议攻击的相关方法，动态调用三种引擎中的 Athena 算法、OFMC 分析端和进程代数等多种技术，实现对目标协议空间的遍历，并能通过迭代算法给出极大参数，对无限状态空间给出明确终止，支持 CK 模型、eCK 模型等多种强安全模型，支持机密性、认证性、完整性、新鲜性等多种安全属性，并可支持协议的并行分析。

中国密码学会在对该项目的介绍中，给出了这样的评价：“本平台可为密码协议标准制定提供可靠且有力的参考，从而对商业、通讯和电子支付等众多领域产生深远影响。”

戳蓝字查看更多精彩内容

探索篇

▼

暗网【上】| 暗网【下】

草榴社区 | 程序媛| 以图搜图

心脏滴血 | 撞库攻击 | 黑客猎人

刷票 | 人肉 | 炸群 | 内鬼

恶性病毒怼天怼地怼对手

真相篇

▼

这是一场针对高级知识分子的裸聊诈骗