ISO/IEC 29150 — 签密机制与应用

签密技术概论与 ISO/IEC 29150

ISO/IEC 29150 规定了签密机制——在单一逻辑操作中同时提供数字签名（认证和不可否认性）和加密（机密性）的密码方案。传统方法需要先签名后加密或先加密后签名的序列，这不仅计算开销更大，而且在组合不当的情况下可能引入安全漏洞。签密由郑宇良于 1997 年首次提出，在计算效率和带宽减少方面取得了显著提升。ISO/IEC 29150 标准化了多种签密方案，包括基于椭圆曲线、基于 RSA 和基于身份的变体，在随机预言机模型下提供了具有可证明安全保障的形式化安全框架。

对于带宽和处理能力受限的物联网应用，根据 ISO/IEC 29150 的签密可以将消息扩展从约 40%（单独的签名加加密）减少到 10% 以下，同时提供等效的 128 位安全性。

标准化签密方案

该标准定义了多种具体的签密机制。ECCSI（椭圆曲线无证书签密）机制在素数阶椭圆曲线群上运行，提供 KEM（密钥封装机制）+ DEM（数据封装机制）构造。基于 RSA 的机制使用带有 OAEP 填充和 PSS 签名的混合加密。基于身份的签密（IBSC）机制通过直接从用户标识符派生公钥来消除公钥证书的需求。每种方案都包含密钥生成、签密和解签密算法以及详细的参数规范。该标准规定了最小密钥大小：256 位椭圆曲线、3072 位 RSA 模数和用于混合构造的 128 位对称密钥。

方案	底层原语	安全模型	典型用例
ECCSI	椭圆曲线 (P-256, P-384)	IND-CCA2 + EUF-CMA	移动消息、物联网
RSA-SC	RSA-OAEP + RSA-PSS	IND-CCA2 + EUF-CMA	基于 PKI 的企业系统
IBSC	双线性对 (Type-3)	IND-CCA2 + EUF-CMA	封闭群组通信
基于证书的 SC	ECC + X.509 证书	IND-CCA2 + sEUF-CMA	法规合规通信

并非所有签密方案都是同等的。一些简化实现牺牲了后量子安全性。截至 2026 年，ISO/IEC 29150 中没有标准化签密方案提供抗量子安全性——未来的修订版预计将包括基于格密码的变体。

安全属性和形式化验证

ISO/IEC 29150 使用基于游戏的形式化定义指定了安全要求。标准要求机密性达到 IND-CCA2（自适应选择密文攻击安全）和不可伪造性达到 EUF-CMA（选择消息攻击下的存在不可伪造性）。此外，它还定义了更强的 密文真实性概念——确保任何能够解密的方也能验证来源，防止”良性”可延展性攻击。该标准包括每种方案的安全证明，减少了实现缺陷的风险。工程洞见：实现者应在解签密验证中使用常数时间比较，以避免定时侧信道攻击，这种攻击可以通过重复操作泄露私钥。

2024 年对 47 个签密实现的调查发现，严格遵循 ISO/IEC 29150 规范的实现中有 92% 通过了形式化验证，而自定义设计的签密方案中仅有 34% 通过——这证明了遵循标准的重要性。

实际应用和部署考虑

签密越来越多地部署在资源受限的环境中：5G SIM 卡（认证和密钥协商）、车载 V2X 通信（带验证的安全广播）、电子护照（紧凑的 ICAO 合规数据保护）和工业物联网传感器（电池高效的安保密文遥测）。该标准包括密钥管理、随机数生成要求（符合 ISO/IEC 18031）和密码模块接口设计（与 ISO/IEC 19790/FIPS 140-3 一致）的指南。

在没有适当侧信道对策（如功耗分析、电磁辐射监测）的情况下部署签密可能完全抵消其安全优势。始终将 ISO/IEC 29150 实现与 ISO/IEC 17825（非侵入式攻击检测）配以实现防篡改部署。

常见问题解答

问1：签密总是比先签名后加密更高效吗？
答：通常是——签密可节省 20-50% 的计算量和 10-30% 的带宽。但具体节省取决于所比较的特定方案。

问2：ISO/IEC 29150 是否支持后量子密码？
答：当前版本不支持。添加基于格密码和基于编码的签密方案的工作正在进行中，将在下一修订版中发布。

问3：签密能否提供前向保密？
答：标准签密本身不提供前向保密。要实现前向保密，需将临时密钥交换与签密结合使用。

问4：哪种签密方案最适合低功耗设备？
答：推荐采用基于 ECC 的方案（ECCSI），适用于 ARM Cortex-M 及类似的微控制器。P-256 上的椭圆曲线运算在 200 MHz Cortex-M4 上大约需要 15-30 ms。

签密技术概论与 ISO/IEC 29150

标准化签密方案

安全属性和形式化验证

实际应用和部署考虑

常见问题解答

发表回复取消回复

Trending now