講兩個“鬼故事”：

拿著一部智能手機“聽一聽”你的計算機，你的計算機的密碼就可能被竊聽走；

用手摸一摸筆記本電腦的外殼，感受一下溫度，有人就能知道你電腦里的秘密。

再給你講個鬼故事——剛才雷鋒網(wǎng)編輯說的這兩個故事都是真的，這是當前已經(jīng)實現(xiàn)的幾種側信道攻擊方式：

“聽譯”電子郵件密鑰

通過智能手機從運行 PGP 程序的計算機中“聽譯”密鑰。這項密鑰提取攻擊技術能準確地捕捉計算機 CPU 解碼加密信息時的高頻聲音，并提取密鑰。

用手觸碰電腦即可破解密碼

電腦 CPU 運算時造成“地”電勢的波動，用手觸碰筆記本電腦的外殼，接著再測量釋放到皮膚上的電勢，然后用復雜的軟件進行分析，最終得到計算機正在處理的數(shù)據(jù)。例如，當加密軟件使用密鑰解密時，監(jiān)測這種波動就可得到密鑰。

不止這些，最近，一幫密碼學人才聚集在北京，試圖在智能門禁、智能交通、停車場、電子彩票、疾病信息、快遞信息、防偽系統(tǒng)、數(shù)字版權等多個與我們?nèi)粘Ｉ蠲芮邢嚓P的領域中演示“密碼”的功與防，有些人試圖構筑讓攻擊者無法下手的密碼算法，而有些人則想盡辦法攻擊一些加密算法。

這就是中國密碼學會舉辦的 2017 第三屆全國密碼技術競賽決賽?？梢哉f，這可能是中國最強的密碼技術比賽。

“最強”密碼技術比拼

為什么是“最強”？

首先，中國密碼學會是國家一級學會，由國內(nèi)從事密碼學術研究的知名專家、學者和部分大專院校、科研院所從事密碼學研究的人員發(fā)起，由中國科協(xié)主管，掛靠國家密碼管理局。如果你留意一查，會發(fā)現(xiàn)破解了 MD5 的中國密碼學家王小云是這個學會的四位副理事長之一。

再者，據(jù)中國密碼學會理事、航天信息股份有限公司科技委主任郭寶安與中國密碼學會常務理事、中國科學院信息工程研究所總工程師荊繼武對雷鋒網(wǎng)宅客頻道表示，這次比拼的是實打?qū)嵉摹懊艽a技術”，而非密碼學研究理論。

在初賽前，全國 38 所高校的密碼學人才先經(jīng)歷一次篩選，只有在一個近 8000 道題的題庫中闖關成功，你才能具備基本參賽資格。隨后，選手有兩種選擇：在企業(yè)給定的范圍中選擇一個項目參賽，或選擇前沿密碼學領域自己命題參賽。

初賽后，26 所高校的 64 支隊伍殺進了決賽，其中入圍決賽隊伍最多的四所高校分別是：信息工程大學 10 支隊伍、西安電子科技大學 8 支隊伍、武警工程大學 7 支隊伍、北京電子科技學院 7 支隊伍。眾所周知，這四所院校在密碼學領域都很強。

雷鋒網(wǎng)從這 64 個參賽項目中發(fā)現(xiàn)，除了上述與我們生活密切相關的領域，選手們還關注了很多密碼學前沿領域，如區(qū)塊鏈、量子密碼、物聯(lián)網(wǎng)輕量級密碼算法、云安全、個人信息保護等，甚至還有選手挑戰(zhàn)使用硬軟件測試攻擊國密算法。

64 個參賽項目分成四組，由專家組聯(lián)合評出每組的前兩名項目，再從 8 個項目中選出 4 個項目在 25 號進行終極 PK。

科普＋政學研用＋推廣國密算法

2016 年第二屆全國密碼技術競賽結束后，荊繼武和郭寶安將一些參賽隊伍介紹給貴陽大數(shù)據(jù)中心的企業(yè)，有的企業(yè)表示，想連人帶技術一起“帶走”。

在不久前的阿里先知創(chuàng)新大會上，王小云特別強調(diào)，密碼學的研究者在與產(chǎn)業(yè)界接觸的過程中，更能了解企業(yè)需求。

中國密碼學會想在“政學研”中加上“用”的環(huán)節(jié)，因此，邀請了企業(yè)參與設計 A 類 7道賽題，并在每組的評委中引入了企業(yè)專家。

雷鋒網(wǎng)了解到，一些安全企業(yè)會比較看重應用層面的安全，但底層安全技術涉及不多?？雌饋砀叽笊系拿艽a技術其實與生活息息相關，小到一張銀行卡、一部智能手機、一個網(wǎng)絡攝像頭，大到地面交通、衛(wèi)星通信、云服務平臺，都會大量使用與密碼技術相關軟件或硬件。就算你在應用層千防萬防，一旦在“底層”守衛(wèi)上失了手，就是徒勞無功。

就雷鋒網(wǎng)與郭寶安、荊繼武聊的情況來看，對密碼研究者而言，他們想讓外界了解的心十分迫切。他們多次強調(diào)此次接受采訪的目的：科普。

科普的對象有三，首先是高校，希望有更多研究者加入，其次是企業(yè)，希望有更多合作，再者是希望全社會能關注密碼學。

［荊繼武（左）、郭寶安（右）］

“踢球的人多了，自然水平能相應提高?！鼻G說。

另一特殊情況是，雷鋒網(wǎng)注意到，在 64 組題目中，有不少選手瞄準的是國密算法。上述兩位專家稱，為了鼓勵大家研究國密算法，本次大賽會更傾斜于使用國密算法的項目。

不久前，國產(chǎn) SM2 與 SM9 數(shù)字簽名標準上升為國際標準，郭與荊認為，這至少說明國密算法與現(xiàn)在國際算法是“一樣好的”，甚至要更好，他們想借此促進國密算法的推廣。

“假如，我國銀行要引入一款產(chǎn)品，但這個產(chǎn)品需要通過國際認證才能進入，你用人家的標準，就要等人家開口批準，如果對方拖著，那么可能就只能采購已經(jīng)符合它標準的國外產(chǎn)品?！惫Q，從產(chǎn)業(yè)角度看，推廣國密算法也是增強市場話語權的砝碼。

再者，推廣國密算法能保障國家安全自主可控。“ 哪怕 AES 破了，我們也不會受影響?！鼻G強調(diào)。

郭和荊對國密算法有極強的信任。雷鋒網(wǎng)了解到，目前 SM3 也在申請 ISO 標準中。王小云曾對雷鋒網(wǎng)指出，她在和其他研究者設計完成 SM3后 ，又對它進行了分析?！暗覀兡壳爸荒苓M行 20 輪的實際攻擊，事實上它一共有 64 輪，即完成這個算法是 64 步?！蓖跽J為，SM3 在目前的計算力上是非常安全的。

“MEPV：多引擎密碼協(xié)議分析平臺”奪冠

11 月 25 日，基于區(qū)塊鏈技術的物聯(lián)網(wǎng)安全節(jié)點技術、基于分組密碼的實用型功耗分析平臺、多層次的個人數(shù)據(jù)加密存儲算法、MEPV：多引擎密碼分析協(xié)議平臺四項技術角逐最后的冠軍。

最終，信息工程大學的項目“MEPV：多引擎密碼協(xié)議分析平臺”獲得此次大賽的第一名。

［多引擎密碼協(xié)議分析平臺；團隊名稱：詩灑年華；指導老師：陸思奇；所屬學校：信息工程大學］

密碼協(xié)議形式化分析一只是密碼學中的熱點問題，但其長期存在著兩個問題：形式化語義多樣復雜，目標協(xié)議描述困難；現(xiàn)有的形式化分析工具所得到的分析結果不夠全面。

“MEPV：多引擎密碼協(xié)議分析平臺”提出了基于格式填充的協(xié)議描述模式。該團隊通過對協(xié)議角色定義、執(zhí)行過程和安全屬性等形式化語義進行大量的研究，基于編譯器技術，自主設計了本作品的文件編譯模塊，將多種形式化語義進行分割、精煉、規(guī)約，并通過構建映射的方式將其轉(zhuǎn)化為適用于不同引擎的SPDL、HLPSL和Pi演算形式化語言，并自動生成相應的協(xié)議描述文件，使得密碼協(xié)議研究者可擺脫控制臺限制，在描述向?qū)У闹敢峦ㄟ^勾選、填充等方式，完成對目標協(xié)議及安全屬性等方面的多形式化語言描述。同時，該平臺構建了包括認證協(xié)議、密鑰交換協(xié)議等多種類的密碼協(xié)議庫，研究者可直接查看其分析結果，或?qū)ζ湎嚓P描述文件進行修改后，使用本平臺進行分析。

該平臺針對密碼協(xié)議攻擊的相關方法，動態(tài)調(diào)用三種引擎中的 Athena 算法、OFMC 分析端和進程代數(shù)等多種技術，實現(xiàn)對目標協(xié)議空間的遍歷，并能通過迭代算法給出極大參數(shù)，對無限狀態(tài)空間給出明確終止，支持 CK 模型、eCK 模型等多種強安全模型，支持機密性、認證性、完整性、新鮮性等多種安全屬性，并可支持協(xié)議的并行分析。

中國密碼學會在對該項目的介紹中，給出了這樣的評價：“本平臺可為密碼協(xié)議標準制定提供可靠且有力的參考，從而對商業(yè)、通訊和電子支付等眾多領域產(chǎn)生深遠影響?！?/p>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。