國內(nèi)的一些行業(yè)應(yīng)用智能卡規(guī)范中，凡是涉及到CPU卡的大多會提到采用SSF33加密算法。但是目前在任何公開的資料中始終不能找到SSF33加密算法的詳細(xì)內(nèi)容，開始的時候大家都疑竇叢生，后來也就習(xí)以為常見怪不怪了。因為雖然規(guī)范中定義了SSF33算法，但是在實際應(yīng)用中幾乎都不使用這套算法。尤其是針對那些需要在國際間實現(xiàn)互聯(lián)互通的領(lǐng)域，比如銀行卡方面，從來就沒用過SSF33算法。

SSF33算法究竟是什么機(jī)制，始終讓人倍感神秘。但是從中國人民銀行PBOC2.0的規(guī)范中大體可以看出一些端倪。

從本質(zhì)上看，SSF33算法相當(dāng)于3DES算法的一個擴(kuò)展，但是在內(nèi)部的具體實現(xiàn)方式，比如移位、迭代、替換、壓縮和擴(kuò)充是否完全符合DES算法則不得而知。

在加密算法方面目前國際通用的對稱算法是DES（或者后來出現(xiàn)的AES），而非對稱算法是RSA和EC。而且這些算法都是公開的，但是密鑰是保密的。只所以能夠公開是因為算法足夠安全，對于破解者來說在現(xiàn)有的技術(shù)條件下，要想破解這些算法要么是不可能的，要么不具備現(xiàn)實意義（比如對于一個有效期只有3年的信用卡，如果花費(fèi)20年的時間才能破解就沒有任何的意義）。

在加密領(lǐng)域也存在一些算法和密鑰都不公開的模式，比如NXP公司的Mifare產(chǎn)品。不過這種不公開的算法很難保證安全，因為沒有經(jīng)過眾多破解專家的分析和破譯，事實也證明了這種不安全。

回過頭來再看看我們的國產(chǎn)SSF33算法，假設(shè)它足夠安全那就應(yīng)該公開讓大家去測評。否則，這種算法本身就沒有多大的存在意義。換句話說，對于這種存在潛在風(fēng)險的加密算法不應(yīng)該在應(yīng)用中采納。

當(dāng)然還有一種可能，就是我們的SSF33算法本身就是在DES算法基礎(chǔ)上進(jìn)行了簡單的修改，安全性是沒有問題的，不過根本算不上一個全新的算法，這樣也不好公開，否則我們怎么面對國內(nèi)外專家的質(zhì)疑呢？

期待有一天能夠一睹國產(chǎn)SSF33加密算法的真容！

cc

收藏 海報分享