信文｜赵一凡 孔 莹 周正达

密码测评技术研究和应用将有力促进密码技术发展，加强对密码技术产品和密码系统安全保障。深入挖掘密码测评技术内涵和外延，加强技术研发，推动密码测评技术不断创新和提高，适应我国信息安全发展需求

密码测评技术是有效推动商用密码技术及行业健康发展的重要领域。《中华人民共和国密码法》颁布，密码技术规范有效管理已有法律依据，技术层面急需发展先进的密码测评技术和完善的检测认证体系。密码测评技术是信息安全测评的重要内容，构建完整信息安全测评认证体系基础，指导密码技术产品和密码系统安全有效测评。提高我国对密码算法和密码产品安全隐患发现能力，保障我国密码算法和密码产品安全先进性具有重要现实意义。密码测评技术研究和应用将有力促进密码技术发展，加强对密码技术产品和密码系统安全保障。深入挖掘密码测评技术内涵和外延，加强技术研发，推动密码测评技术不断创新和提高，适应我国信息安全发展需求。

密码算法检测技术

密码算法是密码安全性的核心，密码算法检测技术是密码测评技术的传统研究方向，其主要目的是评估密码算法实现的安全性，确定算法实现中可能存在的弱点和漏洞，以及评估算法在实际应用过程中的可行性和有效性。针对密评的业务应用场景，重点评价的指标密码算法实现的安全性、效率以及可靠性。密码算法实现的安全性是指算法实现的安全强度，即密码算法实现能够抵御各种攻击的能力。密码算法实现的效率是指算法的运行速度，以及所需的计算资源。密码算法实现的可靠性，指算法实现的正确性，即算法是否能够正确地实现标准所需的功能。验证测试的检测方式主要包括经验数据验证法、攻击分析法、统计分析法、结果分析等多种方式。

通过密码算法检测技术，可以评估密码算法的安全性能，确定算法中可能存在的弱点和漏洞，从而提高密码算法的安全性能。

密码模块验证技术

密码模块的检测验证技术是密码安全性评估的基础支撑技术。继美国国家标准与技术研究院（NIST）和国际标准化组织（ISO）相继制定密码模块检测标准之后，我国密码模块安全检测标准于2020年由密码行业标准提升为国密标准GB/T 38625-2020《信息安全技术 密码模块安全检测要求》。该标准主要针对密码模块的物理安全、逻辑安全、功能安全和性能安全进行要求，并明确了密码模块检测的流程、方法和技术要求。密码模块安全检测的关键技术主要包括物理安全检测技术、逻辑安全检测技术、功能安全检测技术以及相关性能检测方法。

密码模块安全检测需要综合应用多种检测技术和方法，对密码模块的物理安全、逻辑安全、功能安全和性能安全进行全面、细致的检测和评估。通过科学规范的密码模块安全检测，可以提高密码模块的安全性和可靠性，保障信息安全的基本需求。

密码应用检测技术

密码应用检测主要是针对目标应用系统对密码技术如何科学有效地加强应用安全防护能力进行综合性检测取样评估。相关的评估方式有安全需求分析、安全设计评估、安全实现评估以及管理制度审查等。

安全需求分析主要是对安全风险进行分析评估，确定密码应用系统的安全级别以及安全要求。安全设计评估主要是对应用系统密码应用方案的安全设计进行评估，包括涉及密码应用的架构设计、模块设计、接口设计等方面的安全性评估。安全实现评估主要是对密码应用系统的实现过程进行评估，包括密码应用系统的代码实现、数据存储和传输实现、安全策略实现等方面的安全性评估。

轻量级密码检测技术

随着信息化建设的发展，应用于嵌入式系统和物联网等资源受限环境下轻量级密码成为密码发展的新领域之一，针对轻量级密码检测技术需求也随之而生。轻量级密码具有较小的计算复杂度、较小的内存占用、低功耗等特点。

差分分析是一种用于密码算法检测的攻击方法。通过构造特定的差分路径，对加密算法的运行结果进行观测，并通过统计分析差分路径的正确率来评估算法的安全性。差分分析在轻量级密码算法检测中被广泛应用。例如，对于PRESENT算法，研究人员通过差分分析成功地攻击了其一些版本。边界值测试也是一种常用的轻量级密码的测试方法，通过在输入数据的边界范围内进行测试，评估软件的性能和安全性。轻量级密码检测技术还包括其他技术，例如模糊测试、模型检测、符号执行等。这些技术可以从不同的角度评估密码算法的安全性和性能，提高轻量级密码算法的设计和分析水平。

增强隐私密码检测技术

增强隐私密码技术用于保护个人隐私的密码学技术，通过对隐私信息进行加密、保护和管理，实现了对用户隐私的保护和控制，其中包括多方计算、同态加密等技术。针对该类技术的评估包括算法正确性检测、隐私保护度评估、安全性评估、实用性评估等方面。

后量子密码检测技术

随着量子计算机的发展，传统密码学算法的安全性可能会受到威胁。为了应对这一挑战，后量子密码学应运而生，它是一种在量子计算机出现后才被提出来的密码学理论体系。后量子密码学中的密码算法具有更高的抗量子计算能力，可以保护现有的信息系统不受到量子计算的攻击。

作为新型的研究领域，后量子密码检测成为助力该领域技术发展的基础支撑技术。后量子密码检测技术对密码算法进行安全性分析，以确定它是否具有抵御量子计算机攻击的能力。后量子密码的安全性依赖于一些特定的数学难题，因此需要对这些假设进行评估。需要对后量子密码的设计和实现进行安全证明，以验证密码算法的安全性。这需要考虑攻击者可能采用的不同攻击模型和攻击方法，以确定密码算法的安全强度。随着量子计算机从概念走向工程落地，该领域技术正在持续发展过程中。

随着标准化以及合规性工作的推进，支持密评工作的相关测评技术目前已经成为研究与产业关注的热门领域。相关技术与产品的探索有助于提高测评能力的技术性、客观性、高效性，在密评制度的引导下持续为测评系统安全赋能，加速技术与产业化升级步伐。