商用密码算法的“中国远征”

　　起码需要5、6年时间。”一位来自德国的“老标准”给中国密码标准的国际“起步”估了个“时间戳”。那是2015年初，国家密码管理局计划启动SM系列算法的ISO（国际标准化组织）国际标准推进工作。在没有太多经验情况下，希望找到多年从事密码标准工作的国际友人，想摸个底，可前景却不太乐观。

　　“在ISO这个类别已有的10个标准中，美、俄、法、德、韩均在其中，我们要有明显的先进性，才有可能入围。”国际标准化组织SC27专家、中国科学院软件所副总工程师张振峰说。

　　2017年11月3日，7年没有同类新标准入选的SC27/WG2，一致通过我国SM2、SM9数字签名标准正式成为国际标准。这也是我国商用密码标准首次进入ISO。

　　这是一次“破局”之赢，仅用两年半时间，不仅打破了国际标准的参与国格局，也让中国走上商用密码应用的国际舞台。

　　“深闺”算法仍是国际领先

　　也许“国际领先”“世界前列”的提法并不鲜见。但在“标准之争”的竞赛场上，领先优势来不得半点含糊——领先在哪里、优势在何处，都是中国工作组必须要明确展示的内容。

　　然而，2015年5月，中国工作组在ISO马来西亚古晋大会上，正式提出将中国自主研制的SM2、SM9数字签名算法纳入国际标准之后，一位国际友人却善意地提醒道：“目前没看出明显的技术优势。”

　　这位“老行家”的评语让整个工作组一怔，头一次来到国际“考场”的工作组突然明白：SM2、SM9算法的优势不能一下子被识别出来。

　　虽说“酒香不怕巷子深”，但要能把香味散发出来才行。这个提醒让工作组将证明算法优势、并用合适的方法表述出来作为此后工作的重中之重。回国之后，张振峰紧急召集中国科学院软件研究所可信计算与信息保障实验室的业务骨干，寻求突破。

　　为了摸清技术优势，张振峰对SM2来了个“追本溯源”。“十几年前，国家密码管理局召集我们进行自己的密码算法研制工作。”张振峰回忆，密码算法关系到国家安全，中国要有自己的密码算法。

　　那时候没有多少参考，可谓“深闺磨杵”。“研制组聚在一起头脑风暴，我们提出要满足多用户安全性，也就是敌手攻击一组用户时，也要保障安全。”张振峰说，当时的考量是，技术一旦成熟，“攻击方”必然可以同时对多个用户进行攻击。这一思路近期得到IETF（国际互联网工程任务组）的认可，2017年在其标准中采纳。

　　“对比ISO/IEC体系内之前的同类密码算法，它们只满足单用户情形下的安全性。”张振峰说，这方面中国SM2具有显著优势。

　　“我们无意针对特定算法进行对比论证，谁有漏洞、比谁先进。”张振峰说，这是国际会议工作的特殊之处，因为目标是争取工作组内同行的共识和认可。

　　为此，软件所可信计算实验室开启了一系列研究。

　　2015年，安全标准研究国际学术会议召开。张振峰团队的论文首次证明了我国数字签名标准满足不可伪造安全性和多用户安全性，顺利发表在会议会刊上。只分析一般性框架在我们的模型下存在缺陷，不针对具体标准，其间的尺寸拿捏，颇显功力。

　　不可或缺的“东风”

　　果不其然，当ISO组织在工作组内就中国标准征集意见时，K国代表团反馈表示，根据ISO相关文件，新加入标准必须在“安全、性能（运算速度）、技术”上有明显优势，才可入选，目前看不出技术优势，很难下结论。A国则通过国家意见的形式提出了非常正式的质询，如何生成相关参数。“这是在质疑我们有没有设置‘后门’。”张振峰说。

　　“标准远征途中，碰到阻力是再正常不过的事。”张振峰说，它们“绵里藏针”或“单刀直入”，但是只要在技术上做好准备，能够将技术先进性展示明确，一般都可以迎刃而解。

　　技术先进性的证明论文，让K国的“老标准”打着哈哈说：“我一直就是持赞成意见的。”一份根据规则文件的精准答复，让A国代表提了个可有可无的问题打着圆场，“有没有英文版本供我们参考？”

　　然而，有些阻力却是技术完全无能为力的——

　　2015年10月，中国工作组心急如焚。后天就要去印度斋普尔开会了，包括张振峰在内的工作组成员的签证却还没有被批准。所有的策略都演练成熟，却可能因为一张签证无法到会。

　　万事俱备、只欠东风。工作组怎么能不着急呢。

　　“当时只有一个人拿到了签证。”张振峰回忆，“其他人的签证都没有获批，而且申请的都是因公出国。我们做了一个预案，把准备好的资料、演讲稿、问题，全部传给他，希望他能‘力担千钧’。”

　　这个问题最后通过外交渠道得到了解决。“经过交涉，印方官员直接给印度驻华大使馆官员去了电话，我们终于在最后时刻拿到签证。”张振峰说。

　　国家利益高于一切

　　2016年A国提出，由于决议起草组流程的瑕疵，2015年10月印度斋普尔会议上的部分决议不应该生效，其中就涉及到“确定SM2数字签名算法以补篇形式纳入ISO/IEC 14888-3”的决定。

　　为应对这一突发事件，代表团商讨对策一直到凌晨3点。“多国的利益权衡，让大家很难下决定，但是国家利益高于一切。当国家利益受损时，我们必须予以反驳！”回忆起这段，张振峰几欲拍案而起。

　　11月8日，张振峰收到来自ISO的正式通知。印有专属“LOGO”的决议文件，让他整个人踏实下来。

　　10月13日，张振峰收到ISO委员会发来的汇总意见，建议提出删去带有“SM2、SM9”字样的副标题。

　　“一开始，我们觉得这条意见无关紧要，只要算法能成为国际标准就行。”张振峰说，“后来，我转念一想，不删更好，里面有中国算法的命名。”

　　为此，他检索到ISO在2016年才发布的一份文件。“里面专门有一条，鼓励加副标题。”张振峰说，在一个尊重规则的组织里，善用规则就能为国家争取利益。

　　回顾两年半来的征途，他说：“作为设计者，我对这两个算法有感情，接任务时只感到‘这是好事’，后来才有些紧张，‘代表国家，完不成可怎么办’。”

　　在他和工作组的努力下，中国算法获得了100%赞成、跳级进入标准发布阶段、并在标准文本的标题上保留算法的本名。

　　如今，SM2、SM9顺利成为国际标准，极大地提升我国在密码领域的国际标准化水平和国际话语权，并增强我国密码产业在国际上的核心竞争力。