密码学

  密码学(在西欧语文中，源于

密码学(在西欧语文中，源于希腊语kryptós“隐藏的”，和gráphein“书写”)是研究如何隐密地传递信息的学科。在现代特别指对信息以及其传输的数学性研究，常被认为是

  在通信过程中，待加密的信息称为明文，已被加密的信息称为密文，仅有收、发双方知道的信息称为密钥。在密钥控制下，由明文变到密文的过程叫加密，其逆过程叫脱密或解密。在密码系统中，除合法用户外，还有非法的截收者，他们试图通过各种办法窃取机密(又称为被动攻击)或窜改消息(又称为主动攻击)。

一个密码通信系统可如图3所示。

对于给定的明文m和密钥k，加密变换Ek将明文变为密文c=f(m，k)=Ek(m)，在接收端，利用脱密密钥k，(有时k=k，)完成脱密操作，将密文c恢复成原来的明文m=Dk，(c)。一个安全的密码体制应该满足：

①非法截收者很难从密文C中推断出明文m;

②加密和脱密算法应该相当简便，而且适用于所有密钥空间;

③密码的保密强度只依赖于密钥;

④合法接收者能够检验和证实消息的完整性和真实性;

⑤消息的发送者无法否认其所发出的消息，同时也不能伪造别人的合法消息;

⑥必要时可由仲裁机构进行公断。

现代密码学所涉及的学科包括：信息论、

密钥：分为

  其实在公元前，秘密书信已用于战争之中。西洋“史学之父”希罗多德(Herodotus)的《历史》(The Histories)当中记载了一些最早的秘密书信故事。公元前5世纪，希腊城邦为对抗奴役和侵略，与波斯发生多次冲突和战争。于公元前480年，波斯秘密结了强大的军队，准备对雅典(Athens)和斯巴达(Sparta)发动一次突袭。希腊人狄马拉图斯(Demaratus)在波斯的苏萨城(Susa)里看到了这次集结，便利用了一层蜡把木板上的字遮盖住，送往并告知了希腊人波斯的图谋。最后，波斯海军覆没于雅典附近的沙拉米斯湾(Salamis Bay)。

由于古时多数人并不识字，最早的秘密书写的形式只用到纸笔或等同物品，随着识字率提高，就开始需要真正的密码学了。最古典的两个加密技巧是：

置换(Transposition cipher)：将字母顺序重新排列，例如‘help me’变成‘ehpl em’。

替代(substitution cipher)：有系统地将一组字母换成其他字母或符号，例如‘fly at once’变成‘gmz bu podf’(每个字母用下一个字母取代)。

移位式(Transposition cipher)：将字母顺序重新排列，例如‘help me’变成‘ehpl em’;与替代式(substitution cipher)：有系统地将一组字母换成其他字母或符号，例如‘fly at once’变成‘gmz bu podf’(每个字母用下一个字母取代)。 这两种单纯的方式都不足以提供足够的机密性。凯撒密码是最经典的替代法，据传由古罗马帝国的皇帝凯撒所发明，用在与远方将领的通讯上，每个字母被往后位移三格字母所取代。

加密旨在确保通讯的秘密性，例如间谍、军事将领、外交人员间的通讯，同时也有宗教上的应用。举例来说，早期基督徒使用密码学模糊他们写作的部份观点以避免遭受迫害。666或部分更早期的手稿上的616是新约基督经启示录所指的野兽的数字，常用来暗指专迫害基督徒的古罗马皇帝尼禄(Nero)。史上也有部份希伯来文密码的记载。古印度欲经中也提及爱侣可利用密码来通信。隐写术也出现在古代，希罗多德记载将信息刺青在奴隶的头皮上，较近代的隐写术使用隐形墨水、缩影术(microdots)或数字水印来隐藏信息。

宋曾公亮、丁度等编撰《武经总要》“字验”记载，北宋前期，在作战中曾用一首五言律诗的40个汉字，分别代表40种情况或要求，这种方式已具有了密本体制的特点。

1871年，由上海大北水线电报公司选用6899个汉字，代以四码数字，成为中国最初的商用明码本，同时也设计了由明码本改编为密本及进行加乱的方法。在此基础上，逐步发展为各种比较复杂的密码。

在欧洲，公元前405年，

密码破译是随着密码的使用而逐步产生和发展的。1412年，波斯人卡勒卡尚迪所编的百科全书中载有破译简单代替密码的方法。到16世纪末期，欧洲一些国家设有专职的破译人员，以破译截获的密信。密码破译技术有了相当的发展。1863年普鲁士人

  数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非授权者不能了解被保护信息的内容。网络安全使用密码学来辅助完成在传递敏感信息的的相关问题，主要包括：

(I)机密性(confidentiality)

仅有发送方和指定的接收方能够理解传输的报文内容。窃听者可以截取到加密了的报文，但不能还原出原来的信息，即不能得到报文内容。

(II)鉴别(authentication)

发送方和接收方都应该能证实通信过程所涉及的另一方， 通信的另一方确实具有他们所声称的身份。即第三者不能冒充跟你通信的对方，能对对方的身份进行鉴别。

(III)报文完整性(message intergrity)

即使发送方和接收方可以互相鉴别对方，但他们还需要确保其通信的内容在传输过程中未被改变。

(IV)不可否认性(non-repudiation)

如果人们收到通信对方的报文后，还要证实报文确实来自所宣称的发送方，发送方也不能在发送报文以后否认自己发送过报文。

Autokey密码

  密码分析又称破密术。密码分析的目的是发现密码机制的弱点，从事者可能是意图颠覆系统恶意的攻击者或评估系统弱点的设计人。在现代，密码算法与协定必须被仔细检查和测试，确定其保证的安全性。

大众普遍误解认为所有加密法都可以被破解。Bell Labs的Claude Shannon在二次世界大战时期便证明只要钥匙是完全随机，不重复使用，对外绝对保密，与信息等长或比信息更长的一次一密是不可能破解的。除了一次一密以外的多数加密法都可以以暴力攻击法破解，但是破解所需的努力可能是钥匙长度的指数成长。

密码分析的方式有很多，因此有数个分类。一个常见的分别法则是攻击者知晓多少信息。在唯密文攻击中，密码分析者只能存取密文，好的现代密码系统对这种情况通常是免疫的。在已知明文攻击中，密码分析者可以存取多个明文、密文对。在选择明文攻击中，密码分析者可以自选任意明文，并被赋予相对应的密文，例如二战时布列颠所使用的园艺法。最后，选择密文攻击中，密码分析者可以自选任意密文，并被赋予相对应的明文对称钥匙加密的密码分析通常旨在寻找比已知最佳破解法更有效率的方式。例如，以最简单的暴力法破解DES需要一个已知明文与解密运算，尝试近半数可能的钥匙。线性分析攻击法对DES需要已知明文与DES运算，显然比暴力法有效。

  Commitment schemes

Secure multiparty computations

电子投票

认证

数位签名

Cryptographic engineering

Crypto systems

1. 数位签章(Digital Signature)：

这是以密码学的方法，根据EDI讯息的内容和发信有该把私钥，任何人都无法产生该签名，因此比手写式的签名安全许多。收信人则以发信人的公钥进行数位签章的验证。

2. 数位信封(Digital Envelope)：

这是以密码学的方法，用收信人的公钥对某些机密资料进行加密，收信人收到后再用自己的私钥解密而读取机密资料。除了拥有该私钥的人之外， 任何人即使拿到该加密过的讯息都无法解密，就好像那些资料是用一个牢固的信封装好，除了收信人之外，没有人能拆开该信封。

3. 安全回条：

收信人依据讯息内容计算所得到的回覆资料，再以收信人的私钥进行数位签章后送回发信人，一方面确保收信人收到的讯息内容正确无误， 另一方面也使收信人不能否认已经收到原讯息。

4. 安全认证：

每个人在产生自己的公钥之后，向某一公信的安全认证中心申请注册，由认证中心负责签发凭证(Certificate)，以保证个人身份与公钥的对应性与正确性。

  作为信息安全的主干学科，西安电子科技大学的密码学全国第一。1959年，受钱学森指示，西安电子科技大学在全国率先开展密码学研究，1988年，西电第一个获准设立密码学硕士点，1993年获准设立密码学博士点，是全国首批两个密码学博士点之一，也是唯一的军外博士点，1997年开始设有长江学者特聘教授岗位，并成为国家211重点建设学科。2001年，在密码学基础上建立了信息安全专业，是全国首批开设此专业的高校。

西安电子科技大学信息安全专业依托一级国家重点学科“信息与通信工程”(全国第二)、二级国家重点学科“密码学”(全国第一)组建，是985工程优势学科创新平台、211工程重点建设学科，拥有综合业务网理论及关键技术国家重点实验室、无线网络安全技术国家工程实验室、现代交换与网络编码研究中心(香港中文大学—西安电子科技大学)、计算机网络与信息安全教育部重点实验室、电子信息对抗攻防与仿真技术教育部重点实验室等多个国家级、省部级科研平台。

在中国密码学会的34个理事中，西电占据了12个，且2个副理事长都是西电毕业的，中国在国际密码学会唯一一个会员也出自西电。毫不夸张地说，西电已成为中国培养密码学和信息安全人才的核心基地。

以下简单列举部分西电信安毕业生：来学嘉，国际密码学会委员，IDEA分组密码算法设计者;陈立东，美国标准局研究员;丁存生，香港科技大学教授;邢超平，新加坡NTU教授;冯登国，中国科学院信息安全国家实验室主任，中国密码学会副理事长;张焕国，中国密码学会常务理事，武汉大学教授、信安掌门人;何大可，中国密码学会副理事长，西南交通大学教授、信安掌门人;何良生，中国人民解放军总参谋部首席密码专家;叶季青，中国人民解放军密钥管理中心主任。

西安电子科技大学拥有中国在信息安全领域的三位领袖：肖国镇、王育民、王新梅。其中肖国镇教授是我国现代密码学研究的主要开拓者之一，他提出的关于组合函数的统计独立性概念，以及进一步提出的组合函数相关免疫性的频谱特征化定理，被国际上通称为肖—MAssey定理，成为密码学研究的基本工具之一，开拓了流密码研究的新领域，他是亚洲密码学会执行委员会委员，中国密码学会副理事长，还是国际信息安全杂志(IJIS)编委会顾问。

2001年，由西安电子科技大学主持制定的无线网络安全强制性标准——WAPI震动了全世界，中国拥有该技术的完全自主知识产权，打破了美国IEEE在全世界的垄断，华尔街日报当时曾报道说：“中国无线技术加密标准引发业界慌乱”。这项技术也是中国在IT领域取得的具少数有世界影响力的重大科技进展之一。

西安电子科技大学的信息安全专业连续多年排名全国第一，就是该校在全国信息安全界领袖地位的最好反映。

据人民网2018年1月2号报道，日前，中科院公布了2017年新当选的61名院士名单，作为仅有的三名女性之一，数学物理学部的女院士、清华大学教授、密码学家王小云受到了广泛关注。多年来，这位朴实的本土科学家多次攻克世界级难题，在国内外一些密码学专家云集的重要学术会议中，终于有了让人崇拜尊重的中国女性面孔。

十载寒窗 终得醇熟

1966年，王小云出生于山东诸城，由于父亲是中学数学教师，她从小便精通数理。但高考时，她却在最擅长的物理上意外失手，才转投数学系，在山东大学一读就是十个春秋。

读书期间，王小云师从著名数学家潘承洞院士和于秀源教授。在中科院举办的2017年新当选中国科学院院士座谈会上，王小云深情回忆往昔：“我是1987年考上山东大学的研究生，跟潘承洞老师学习解析数论。读了一年多后，潘老师清晰看到了密码学方向的发展前景，而指出解析数论将在其中发挥重要应用。”那时，潘承洞挑选了两个博士生和两个研究生转而研究这一新兴方向，王小云就是其中之一。

1993年，获得山东大学数论与密码学专业博士学位的王小云选择留校任教。没有科研经费，王小云就在仅有的一张小书桌上开始了她的密码研究。

在别人看来，密码学神秘枯燥，但对王小云来说却充满吸引力。她曾坚定地说：“密码学是我喜欢的工作。”

基于HASH函数的MD5和SHA-1，曾是国际上公认的最先进、应用范围最广的两大重要算法。由于世界上不存在两个完全相同的指纹，因此手印成为识别人们身份的唯一标志。在网络安全协议中，使用HASH函数来处理电子签名，能够产生电子文件独一无二的“指纹”，形成“数字手印”。密码学专家曾认为，即使调用全球的计算机，花费数百万年，也很难找到两个相同的“数字手印”，因此在2004年以前，人们对这两大算法能确保电子签名在现实中的绝对安全深信不疑。

1995年，王小云开始了HASH函数的专项研究，并试图找到破解MD5和SHA-1的方法。

就在同一年，王小云的女儿也出生了。女儿的出生非但没有牵绊王小云的科研进度，反而让她更加享受沉浸研究的过程。每天忙完家务，哄睡女儿，王小云就在家里的小台灯下演算HASH函数，尽情领略数学魅力。

虽然科研工作繁忙，但对于生活质量，王小云从来不打折扣，她拿手的红烧排骨深受学生欢迎;家里更是被收拾得一尘不染;在她家的阳台上，一年四季都有鲜花。

“我的科研就是抱孩子抱出来、做家务做出来、养花养出来的。”王小云回忆，“那段时间，我抱着孩子、做着家务的间隙，各种密码可能的破解路径就在我脑中盘旋，一有想法我就会立即记到电脑里。”

“古今中外有很多著名女科学家成功的典范，她们都能处理好家庭和工作的关系”，王小云也希望，“中国的女性特别是从事科研工作的女性，能够更多走出家庭，投入到科研当中。只要有毅力，还是能成功的。”

不鸣则已 一鸣惊人

做学问要耐得住寂寞，成功之前那些岁月里的艰辛，大概只有王小云自己知道。在前十年的磨砺中，王小云只发表过一篇论文，虽然在别人眼中，她一直没什么突出成果，但心无旁骛的王小云只为潜心攻破世界密码难题，并为众多密码系统保驾护航。

2004年8月17日，在美国加州圣芭芭拉召开的国际密码学会议上，通常大会发言人的发言时间限定在两三分钟，大会主席、国际顶级密码学家休斯(Hughes)却破例给了王小云15分钟发言时间。在王小云宣读她主持的研究团队的成果，包括对 MD5、 HAVAL-128、MD4 和 RIPEMD 四个著名HASH算法的破解结果中，会场上掌声雷动，一些学者甚至激动得站起来致敬。“我当时的感觉，真像是获得了奥运金牌的冠军，由衷感到作为一名中国人的自豪。”王小云说。

2005年2月7日，美国国家标准技术研究院申明SHA-1没有被攻破，而且也没有足够理由怀疑它很快将被攻破。但仅过了一周，只有一台普通电脑的王小便宣布成功破解了SHA-1。她的研究成果标志着电子签名可以伪造，世界对更加安全的密码标准的需要迫在眉睫。

短短两年时间，王小云在国际密码界两次掀起地震，让西方人折服。一举成名后，国内外一些密码学专家云集的重要学术会议中，终于有了让人崇拜尊重的中国女性面孔。密码学领域最权威的两大会议Eurocrypto与Crypto也均将“2005年度最佳论文奖”授予这位中国的巾帼英雄。

2005年4月，王小云教授受聘为清华大学杨振宁讲座教授、清华大学长江特聘教授，并成为当年第六届“中国青年科学家奖”的候选人。

国家发展在前 个人得失在后

2005年起， NIST开始探讨向全球密码学者征集新的HASH函数算法标准的可行性，如果设计的算法被采纳为国际标准，那将是密码学家的最高殊荣。虽然集全球期待于一身，但王小云放弃了这次难得的机会，全力带领国内专家为我国设计了第一个HASH函数算法标准SM3。

2008年，新兴量子密码学工作组国际会议公布了关于量子计算领域和量子密码学的有趣结合，并给出一些能抵抗量子计算的特别密码算法，其中一个被称作“格”的新密码体制引起王小云的关注。

王小云对“格”密码体制的关注，与恩师潘承洞的学术传承有关。在2017年新当选中国科学院院士座谈会上，王小云特别谈起恩师对自己的学术影响：30年前，潘承洞曾让他的学生们研读一篇关于“低密度攻击”的论文，这是当时一位非常著名的数论学家转到密码领域后做出的一篇经典论文，论文针对经典的背包密码体制给出了一个攻击，但王小云并未读懂。

“从我破解MD5和SHA-1到现在，我主攻的两个方向之一就是那篇论文中关于抗量子计算的公钥密码体制研究，也就是‘格’密码体制研究。”回溯自己的研究历程，王小云很是感慨，“我比潘老师给我读的那篇论文晚了十几年时间，但这个方向目前已经是未来公钥密码中非常重要的一个研究方向。现在看来这个方向选择得非常对!”

虽然深受国内外瞩目，但王小云很少接受采访，她的秘书告诉中国妇女报·中国女网记者，近几年里，王小云只接受了学校推荐的两个采访，且时间相隔长达五年。不只面对媒体，在周围人眼中，王小云一直默默无闻，从不急功近利，这也正是她在科研工作中一直恪守的准则。

对王小云来说，她只在乎自己研究的领域是否符合国家发展的需要。“当时我做HASH函数在中国算是比较顶峰的，突然转向抗量子计算攻击的‘格’密码算法的研究，很多人会觉得你损失很多，会有一点遗憾。但我个人不这样认为，人是有得有失的，你在这里失去的东西，可以在其他地方补回来。”她所坚持的是：“不能以功利的心态看待科研，这是最重要的一点。”

SM3一经公布，其安全性便得到国内外高度认可。该算法获国家专利，并被纳入我国30多个行业规范中，经国家密码管理局审批的含SM3的密码产品如金融社保卡、新一代银行芯片卡与智能电表等相关产品已经在全国广泛使用。

近年来，王小云还将她多年积累的密码分析理论的优秀成果深入应用到密码系统的设计中，为国家密码重大需求解决了实际问题，为保护国家重要领域和重大信息系统安全发挥了极大作用。

她说：“我们在密码研究上，一开始是纯密码的学术研究，对业界的需求考虑得很少，但现在看到业界遍地开花的局面，非常高兴。特别是我们开始考虑哪些产业界需要怎样的算法和密码系统，这也给我国密码领域的研究提供了更多机遇和发展思路。”