在2017年10月底召开的国际CC用户论坛(CCUF),采纳了中国信息安全测评中心(测评中心)提交的多项标准修订意见;在11月3日召开的国际标准化组织信息安全分技术委员会工作组会议(ISO/IEC JTC1 SC27),通过测评中心和科大国盾量子技术股份有限公司联合申请的国际首份ISO/IEC标准研究“量子密钥分发(QKD)技术标准研究”立项。这一年,以测评中心为代表,中国在实际参与国际信息安全标准制定、体现量子密钥分发技术科技创新能力方面,取得了重大突破并获得了国际认可。也是在这一年,测评中心石竑松博士,成为中国唯一被选为信息安全基础标准——通用评估准则(Common Criteria,CC)标准的联合编辑,同时也参与和见证了上述突破性工作。

测评标准是衡量信息安全技术的准绳

信息安全测评标准是衡量信息技术的安全准绳。在这一领域,CC标准是支撑安全测评工作的基础典范,已成为全球信息安全领域最基础、最重要的标准之一。基于CC标准的测评,可以兼顾信息产品开发者、消费者和评估者的多方利益。简单地说,消费者基于评估者的可信结论,将有更多更可靠的产品选择;开发者可通过更好地理解消费者的需求,并按照评估要求设计出更可靠的产品;而评估者由于有了明确合理的测评依据,可使测评结果更趋于准确和一致,从而实现可互认性。

1999年,CC标准公开发布第一个版本V2.1,随后的CC标准则处于不断逐步完善的过程,目前的CC V3.1版本已在IT产品评估方面得到了广泛应用。在CC标准方面,测评中心于2000年前后组织针对CC标准V2.1版本的翻译和研究工作。石竑松博士介绍,由于我国专家当时未参与CC标准的讨论和制定过程,可利用的互联网资源又很贫乏,要正确理解、并恰当翻译出高度抽象的CC标准显然很不容易。

2001年,国家公布GB/T 18336-2001标准,为我国刚刚起步的信息安全测评工作提供了有力支持,也为后续的翻修工作提供了便利。在此基础上,测评中心又分别于2005、2008和2014年组织了针对GB/T 18336的修订工作,以保持与当时最新的CC标准一致。目前,我国采用的GB/T 18336-2015版本和国际现用CC V3.1版本等同。根据石竑松博士提供的数据,迄今为止,我国已建立了数十项应用产品的安全技术国家标准,并完成了1500余款不同类型国内外软件、硬件和固件产品的评估,受益面覆盖金融、交通、通信、社保、海关、航天等国计民生相关领域。可以说,GB/T 18336标准已经在我国信息安全评估领域发挥着重要价值。

石竑松博士介绍,长期以来我国主要是翻译和应用CC标准,虽有大量的实践和研究工作,却未实质性地参与标准的制修订进程。为此,测评中心从多个渠道加大国际合作步伐,与国际技术组织,如CC发展理事会(CCDB)、CC用户论坛(CCUF)下的各个国际技术社区(iTC)、负责处理CC在ISO/IEC层面发展的ISO/IEC JTC1 SC27等,都建立了紧密联系,并在2011年和2013年的国际CC大会上代表中国做了CC测评技术报告,产生了良好的国际影响。实际上,在本次CC标准修订之初,测评中心专家就参与了标准修订框架的规划过程,提出了很多有益于CC发展的意见。

在2017年11月初举行的ISO/IEC JTC1 SC27工作组会议期间,因为专业的技术背景优势,测评中心石竑松博士在激烈的SC27遴选联合编辑的活动中胜出,为我国争取到实质参与CC标准第二部分修订进程的宝贵机会。作为联合编辑,石竑松博士将和国际专家一道维护CC标准的发展未来,不仅有深入理解CC标准编制过程的机会,还可以准确及时地传达我国对CC标准的态度,输出有利于CC标准取得更大发展的技术贡献。

石竑松博士在接受采访时总结说,“从2000年对CC标准的追随,到2017年实质参与CC标准的编修进程,近20年的时间里,锲而不舍的精神薪火相传,我们应用安全测评标准和技术的方式越来越成熟,道路越走越开阔,向世界传递的中国声音也越来越响亮。借力我国IT技术的整体发展前景,我国将有更多机会参与甚至主导测评技术和标准的完善过程,助力全球信息安全治理工作。”

传统密码模块的测评和标准化进程

密码技术是实现信息系统安全的根本。从大量测评实践和网络安全事件来看,绝大多数的信息安全问题都和密码模块的误用、滥用有关,因此,石竑松博士指出,密码模块测评在基于CC标准的测评工作中最重要也最能体现测评机构能力。

虽然CC标准将密码算法的理论安全性分析排除在外,但是CC测评过程需要关注密码算法在实现和配置方面的安全。一个在证明模型下安全的密码算法,其实现过程可能会因参数选择失误、随机数质量低下以及实现逻辑错误等原因而引入安全缺陷,这是对密码模块进行符合性检测的重要内容。如果一个密码算法的证明模型没有考虑现实因素,即便在这种模型下取得了较高的安全性,仍可能会因为侧信道的存在而出现严重的安全问题。

石竑松博士介绍,测评中心从开展测评业务之初即着手处理密码模块的测评问题,经过近20年的努力,已经可以对各种公开算法、各种算法的软、硬件实现形式进行安全测评,测评手段从最初的符合性测试,到非侵入式侧信道分析、半侵入式故障注入分析,甚至纳米级电路的侵入式分析。目前,测评中心的测评能力可以满足CC脆弱性分析最高级别(即AVA_VAN.5)的安全测评要求,在工具装备和测评者的分析能力上接近国际最高行业水平。同时,为了更好地支撑物联网、移动互联网等领域的安全测评工作,测评中心在区块链、轻量级算法、移动智能终端、TEE等方面开展研究工作,为可以预见的密码算法应用领域积聚分析力量。

在CC标准的基础上编写的国家标准GB/T 22186和GB/T 20276,为硬件芯片和嵌入式软件实现的密码模块定义了较全面的安全要求,为硬件密码模块厂商提供了设计指导。测评中心依托这些标准,完成了200多款国内外芯片的测评,级别从EAL3+至EAL5+,对金融、通信、社保、广电、海关等行业所用芯片进行严格把关,发挥了重要的技术关口作用。

量子密钥分发模块的测评和标准化进程

随着量子计算能力的不断提升,有预测称,到2031年,将出现具有大规模计算能力的量子计算机,而IBM已经推出了具有50个量子比特的原型机。石竑松博士认为,“这种状况必然加速信息安全领域对信息破解危机的担忧,密码学正承受着前有未有的压力。”在分析量子计算技术影响信息安全的同时,测评中心对后量子算法和量子密钥分发(QKD)技术两个并行的研究方向进行了深入研究和实践,自2016年针对QKD的测试工作后,2017年在QKD的国际标准化工作中取得了重大突破。

后量子算法和量子密钥分发技术都是构造性的解决方案,其目的一致,即构造出安全的算法或协议,以化解量子攻击对信息安全的压力,但是这两种研究路径也有显著的差异,后量子算法是从计算上安全的角度构造出可以抵抗计算能力有上界的攻击,这和目前对RSA、ECC、IPSec等计算意义上安全的方案研究思路一脉相承。不过,目前兼顾可证明安全和计算效率的后量子算法仍未出现。

与后量子算法的研究思路不同,QKD从信息论安全的意义上来研究密钥分发,或者更准确地说,QKD要解决的是一个密钥扩展的问题。在分配了一个足够短的初始密钥后,两个通信方可以将该密钥进行足够长的扩展,并使仅通过监听通信信道,攻击者无法获得扩展密钥的任何信息(排除极小的概率外),即便攻击者具有无限的计算能力。石竑松博士说,对这一安全目标的描述通常会一不小心就受到质疑,是引起误会的根源。

石竑松博士强调,需要特别指出的是,QKD的实际安全性仍然依赖于各种假设,媒体所宣传的“绝对安全”或“无条件安全”都只是在理想的信道侦听模型下才能实现,实际的QKD系统仍可能面临侧信道攻击,这和所有的计算上安全的密码算法/协议一样,所不同的是在信道层面,使用QKD技术产生的密钥可以抵抗量子攻击。

石竑松博士还指出,信息论意义上安全的方案并非只有QKD,从早期Shannon对完善保密系统的论述,到Shamir的秘密分享方案、Wegman和Carter的安全消息认证方案、Dolev等人的安全消息传输协议、Maurer等人的无界存储模型下密钥协商协议,以及Dodis等在信息论意义上的众多工作,无不是信息论意义上的研究。可以说,QKD只是因为使用了一条量子信道,而有别于上述经典方案,但量子信道的安全性和量子计算的正确性所依据的量子力学基本原理是一致的。如果我们否认QKD,无异于否认量子计算的正确性,但是后者代表未来的计算模型,受到的质疑却很少,这是一个奇怪的社会现象。

自20世纪80年代QKD理论被正式提出以来,美、欧、日、韩、俄等国已在此方面进行了大量深入的研究,各种QKD系统已从实验室走向了应用前台。作为未来一种抵抗量子攻击的坚实技术,量子密钥分发能力已成为大国之间技术博弈的焦点之一。近年来,我国也进行了大量的QKD研究和工程实践活动,部分技术甚至已走到世界前列。从京沪干线到太空漫步的墨子号,我国在QKD领域的技术和经费投入已能支撑对这一技术的广泛应用需求。

QKD模块本质上也是一种密码模块。测评中心从2016年起开始分析QKD的安全问题,基于大量的QKD理论文献,分析QKD协议证明模型,并在对QKD系统的光学、后处理和系统安全进行细致研究后,形成了比较系统的分析技术方案,构建了可胜任多种测评活动的技术平台。石竑松博士认为,“当全世界都在瞄准QKD技术时,QKD的产业发展必然呈现激烈竞争的局面,处于技术顶端的国际标准也将成为各主要国家角逐的目标。为此,我们表达了在国际舞台上建立QKD安全标准的愿望,一方面希望得到国际研究群体对QKD的正面认可,另一方面希望为QKD技术在全球的产业化增加推力。”

2017年,测评中心和科大国盾量子股份有限公司各自发挥在密码模块测评以及QKD研发方面的优势,经过国内专家的严格评审,率先向ISO/IEC提出建立QKD安全技术标准的提案,编制QKD的安全功能要求和检测技术规范。在今年的SC27工作组会议上,经过多轮技术答辩,QKD研究项目顺利立项。这是ISO/IEC层面首份关于QKD的国际技术标准,得到我国专家组以及英国、俄罗斯、西班牙、卢森堡、日本等国代表的大力支持和赞扬。

石竑松博士感觉到在SC27会议现场遇到的“前所未有的压力”,因为来自美国的两位后量子密码专家明确否认QKD的安全性,不过他们并不是否认量子信道的安全性。简单地说,美国专家的问题聚焦在QKD是否可以真正地实现信息论意义上的安全,因为QKD设备的运行过程会泄露侧信道信息,使具有一定攻击能力的攻击者可以真实地发动侧信道攻击。随后,项目团队认真分析两位美国专家的著作,找到了使辩论得以胜出的逻辑缺陷。根据物理学全息原理,侧信道问题可能是客观存在,但是攻击者是否有足够的能力获取到所有的侧信道信息,是否能恢复出有效信息却是未知的。我们不能因为侧信道问题而否认QKD的安全性,就像我们不能因为侧信道问题而否认所有其他信息论安全的研究一样。同样,包括后量子算法在内,其实现模块都可能会遭受侧信道攻击,但仍然是值得研究的。

石竑松博士表示,“项目组将和国内外同行一道,开启世界首份ISO/IEC QKD标准制定的征程”。

(本刊记者  夏聃,本文刊登于《中国信息安全》杂志2017年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。