有关美国商用密码算法的管理做法

政府组织制定技术标准与管理条例。

如:由美国商业部负责征集、由国家安全局NSA和国家标准与技术研究所NIST负责分析、评估和筛选密码算法并形成统一的商用密码算法标准。最后由商业部部长批准向社会公开。

政府鼓励使用标准商用密码算法。
政府将标准的商用密码算法公开并免费提供给各公司开发成产品，提供给社会使用。

政府不参与商用密码算法安全产品的商业经营活动。
商用密码信息安全产品可以经过中性技术权威的评测认证机构进行评测认证。经过中性机构评测认证的产品有利于进入市场。
各开发公司使用标准密码算法所开发的安全产品的质量与系统安全性，由开发者负责，毋须向政府申报批准或由政府组织专家审定。产品完全由市场来检验、选择、优胜劣汰。
标准商用密码算法不一定需要硬件保护。保密的关键在于保护密钥，解密的关键则在如何得到密钥。（见附件）
目前美国使用的128位对称密码算法（DES），支持全美的电子商务活动。1998年全美电子商务营业额为160亿美元，尚未发现有安全问题。
非美国国籍的人也可以从事密码技术及其安全产品的研究、生产与销售。如：美国最著名的密码公司RSA总裁是Jim Bizos，他居然不是美国人，至今拿着希腊护照。他的公司中有1/3的工程师不是美国公民。更应引起我们重视的是这个公司员工中的1/4是地地道道的中国人。公司副总裁张昭国来自台湾；公司中的主要科学家、密码算法的设计人尹依群来自中国的北京大学。美国能够放心大胆地让外国人主持他的商用密码和商用密码产品开发！其实，现代密码算法已不同于传统的密码算法或密码本，即便是发明该算法的人，如他得不到密钥，他本人要破解也是极其困难甚至是不可能的。
政府限制对不同国家出口不同密钥长度的安全产品，出口控制标准需执行美国联邦条例法典和国际武器贸易条例（ITAR）关于安全产品出口的规定（目前已有放松）。美国限制对中国和俄罗斯出口密钥长于40位的安全产品；目前尚未见有政府限制商用密码安全产品进口条例的规定。对高强度算法的安全产品出口，政府要求有备用钥匙，即对密钥作托管（有诸多争论已多年，难以实现）。
附件： 抗攻击分析数据资料

　

如PIN的物理保护失败，或私钥丢失与用户的口信令被窃同时发生时，用户应极时挂失。因此，要严格管理、保存好自已的PIN IC卡。
关于RSA算法的保密强度安全评估
RSA算法的保密强度，随其密钥的长度增加而增强。但是，密钥越长，其加解密所耗的时间也越长。因此，要根据所保护信息的敏感程度每攻击者破解所要花的代价值不值得和系统所要求的反应时间来综合考虑决定。尤其对于商业信息领域更是如此。

以下我们列出美国麻省理工学院RSA129（N=10129素因子分解攻击研究小组Hal Abelson, Jeff schiller, Brian lamacchia和Derek Atkins. 根据他们对PGP RSA（MPQS）算法攻击研究的结果如下；（注：1995，Simson garfinkel 《Pretty good privasy》极好的保密系统一书）。

RSA-129 (429-bit key) 4600 MIPS-YEARS

即相当于要4600台VAX11/780联合运行一年的时间或一台Pentium运行46年时间才能将一个N*10129的大数分解找到其P.Q.

RSA 512-bit key 42x104 MIPS-YEARS

RSA 700-bit key 42x108 MIPS-YEARS

RSA 1024-bit key 2.8x1015 MIPS-YEARS

RSA 384-bit key 470 MIPS-YEARS

公开密钥算法是在1976年由当时在美国斯坦福大学的迪菲（Diffie）和赫尔曼(Hellman)两人首先发明的（论文“New Direction in Cryptography”） 。但目前最流行的RSA是由分别取自三名发明此算法的数学家（Ronald Rivest,adi Shamir 和Len Adleman）的名字的第一个字母来构成的。

RSA算法研制的最初理念与目标是旨在解决DES算法秘密密钥的利用公开信道传输分发的难题。而实际结果不但很好地解决了这个难题；还可利用RSA来完成对电文的数字签名以抗对电文的否认与抵赖；同时还可以利用数字签名较容易地发现攻击者对电文的非法篡改，以保护数据信息的完整性。

攻破RSA密钥的时间：
密钥长度：100 200 300 500 750 1000

时间： 30秒 3天 9年 1兆年 2x109年 6x1015年

当密钥长度大于512位时，以有限的人生攻破密钥是无法实现的。

　

4）据美国（华尔街报）1999年3月8日报导，由Verisign公司（一个信息保密安全公司）经理 Anil Pereira分析指出，欲破解一个秘密密钥长度为128位的DES加密要比破解一个秘密密钥长度为40位的DES加密要困难300X1042倍（300 Septillion倍）。也就是说如以300MC奔腾CPU的PC机破解40位DES加密要花3个小时计，那么用同样的PC机来破解一个128位DES加密就要花去900 X1042小时。这在一个人的有生之年是不可能做到的。目前尚无报导是否有数百人同时用数百台大型计算机利用互联网分布处理来破128位DES加密的事情。但可以肯定这种做法所花代价对于普通的商密来讲，肯定是不值的。

　

另外，基于1997年的技术统计分析的攻击结果，JALAL FEGHHI等人98年9月给出DES加密抗攻击的情况如下表所述：(摘自由Talal Feghhi, Jalil Feghhi Peter Willians 《Digital Certificates》一书中的第51页，该书于1998/9由加拿大出版)
　

　

破解所需 攻击 平均时间 者类

型

密钥长度
个人攻击
小组攻击
院、校网络攻击
大公司
军事情报机构

40（bits）
数周
数日
数小时
数毫秒
数微秒

56
数百年
数十年
数年
数小时
数秒钟

64
数千年
数百年
数十年
数日
数分钟

80
不可能
不可能
不可能
数百年
数百年

128
不可能
不可能
不可能
不可能
数千年


上表中攻击者配有如下计算机资源的攻击能力

攻击者类型
所配有的计算机资源
每秒处理的密钥数

个人攻击
1台高性能桌式计算机及其软件
217-224

小组攻击
16台高性能桌式计算机及其软件
221-224

院、校网络攻击
256台高性能桌式计算机及其软件
225-228

大公司
配有价值1百万美元的硬件
243

军事情报机构
配有价值1百万美元的硬件及先进的攻击技术
255


注：99年的技术比97年预计将提高200倍左右。