PKICA密码算法应用安全评估.docVIP

RSA密码算法应用安全评估 目录 1. 背景 6 2. RSA算法相关调研 7 2.1. RSA算法密钥长度推荐 7 2.1.1. RSA实验室 7 2.1.2. 美联邦NIST 8 2.1.3. 欧洲NESSIE 9 2.2. 大数因子分解 9 2.2.1. RSA挑战 9 2.2.2. TWIAL设备 10 2.2.3. 1017 bits大数被成功分解 11 2.2.4. 卡巴斯基实验室发起破解1024-bit RSA（未果） 11 2.3. RSA相关理论攻击 12 2.3.1. 大数因子分解攻击 12 2.3.2. Wiener攻击 12 2.3.3. 小公钥参数（Low Public Exponent）攻击 13 2.3.4. 同态（Homomorphic）攻击 13 2.3.5. RSA数字签名攻击 14 2.4. 相关知识产权 14 3. ECC算法相关调研 15 3.1. ECC算法密钥长度推荐 15 3.1.1. FIPS 186-3推荐密钥长度 15 3.1.2. NSA Suite B Cryptography 16 3.1.3. NIST等价安全性密钥长度对比 17 3.1.4. Certicom公司的技术报告 18 3.2. 椭圆曲线离散对数难题的求解 19 3.2.1. Certicom ECC Challenge 19 3.2.2. 112-bit 素数域ECC破解 20 3.3. ECC相关标准 20 3.4. 相关知识产权 21 3.4.1. 算法专利 21 3.4.2. 实现专利 22 3.4.3. Certicom公司的ECC专利体系 24 4. 国内电子认证机构根CA密钥情况 26 5. 密码算法更换路线图 29 6. RSA1024升级到RSA2048方案 30 6.1. 现有基础 31 6.1.1. 技术基础 31 6.1.2. 设备基础 32 6.1.3. 标准规范基础 33 6.1.4. 认知基础 35 6.2. 需要进一步做的工作 35 6.3. 实施策略与步骤 36 6.3.1. 实施原则 36 6.3.2. 准备工作 36 6.3.3. 基础设施升级方案 37 6.3.4. 应用支撑系统升级方案 39 6.4. 风险与对策 40 7. 全面替换到SM1、SM2、SM3方案 41 7.1. 现有基础 41 7.1.1. 技术基础 41 7.1.2. 设备基础 42 7.1.3. 标准规范基础 44 7.1.4. 认知基础 45 7.2. 需要进一步做的工作 46 7.3. 实施策略与步骤 48 7.3.1. 实施原则 48 7.3.2. 准备工作 48 7.3.3. 基础设施升级方案 50 8. 风险与对策 55 9. 总结 59 背景 随着全球范围内密码技术的发展和计算能力的提升，现有的基于RSA1024的商用密码体系正面临着越来越严重的威胁。国外的相关研究机构、政府机构均已经提出了RSA1024升级的建议和计划。作为我国当前使用最广泛的算法，已经具备了完善的产业链和巨大的市场应用规模。而国内自主知识产权的商用密码体系SM1、SM2、SM3日渐成熟，如何做好应对RSA1024升级的问题，需要产业界共同的努力，认真分析当前的形式和可能面临的问题，做好长远规划。因此，特提出本研究报告，共管理机关和产业企业参考使用。 RSA算法相关调研 针对RSA算法的相关调研，主要是分为如下3部分： RSA算法的密钥长度推荐。各主要的研究机构或标准机构，给出了RSA算法在使用中的密钥长度推荐值。 大数因子分解的工作进展。RSA算法的安全性是基于大数因子分解的困难性，但是随着分布式计算能力的提高，大数因子分解的记录也在不断提高。 RSA算法的相关算法理论攻击。总结列举了各种在算法理论上的攻击方法，除了因子分解攻击外（可通过增加密钥长度防范）外，其它攻击方法都可以通过参数选择、填充、私钥持有者的检查等等方式来防范。 RSA算法密钥长度推荐 根据世界著名研究机构的报告，1024 bits RSA密钥只应使用至2010年、2048 bits RSA密钥只应使用至2030年、3072 bits RSA密钥可使用至2030年之后。 RSA实验室 RSA实验室在2003年5月，发表报告TWIRL and RSA Key Size，推荐如下的RSA算法密钥长度： 数据的保护期 至2010年 至2030年 至2030年之后 对称算法密钥长度 80 bits 112 bits 128 bits RSA算法密钥长度 1024 bits 2048 bits 3072 bits 该报告主要是针对TWIRL（由Adi Shamir和Eran Tromer设计的大数因子分解设备，见下文）和考虑计算能力的发展，