GlobalPlatform最新密码算法推荐规范发布！

随着量子计算技术的飞速发展，经典密码体系正面临前所未有的安全挑战。2025年1月，国际标准组织GlobalPlatform正式发布《Cryptographic Algorithm Recommendations Version 2.0.4》，为智能卡、安全元件（SE）和可信执行环境（TEE）等领域提供了权威技术指引。作为深耕安全解决方案的科技企业，握奇始终紧跟国际标准动态，整合最新研究成果，为客户提供科学的后量子迁移方案。本文将深入解读该规范的核心内容，并探讨其对行业安全升级的重要意义。

经典密码算法分级管理

为帮助业界顺利过渡，该规范将密码算法划分为三个等级：

◈ Deprecated（弃用）

安全性已无法满足当前要求的算法，必须立即淘汰；市场上已有产品需要给予特别关注。

◈ Legacy（遗留使用）

部分经典算法（例如 RSA 2048）由于广泛使用和兼容性原因，可在2030年前继续使用，但必须尽快升级到更高安全级别。

◈ Recommended（推荐使用）

任何新规范中必须采用的算法，具备更高的安全性，适用于所有新产品开发；安全级别在128比特及以上。

这种分级策略既保障了现有系统平稳过渡，也为未来安全升级提供了清晰的路径。该规范从分组密码、操作模式、认证加密、哈希函数、MAC函数、非对称机制及协议等多个方面对密码算法进行了细致分级，为企业指明了升级方向。例如，3DES、SHA-224等因安全性不足被列为弃用，而CBC、CTR、XTS（基于AES算法）等操作模式则被明确推荐；在非对称算法方面要求经典算法和PQC算法混合使用，其中ECC建议使用256比特及以上参数，RSA则要求参数大于等于3000比特，确保整体安全性，但是RSA 2048仍然遗留使用。

值得注意的是，在后量子迁移过程中，一种保守做法建议将对称密码的密钥和摘要长度加倍（例如，从AES-128升级至AES-256、从SHA-256升级至SHA-512）。然而，多数专家认为，尽管理论上Grover算法可能对分组密码和哈希函数构成攻击，其在实际应用中几乎没有显著优势，因此仍然可以使用128比特安全级别的密码算法，但应持续关注技术演进。

后量子密码算法应用要求

量子计算的崛起将对经典非对称算法构成重大挑战，各国安全机构均强调后量子密码（PQC）技术的重要性。该规范明确指出，在采用PQC算法时，必须至少选用NIST 3级或更高安全级别的参数集。尽管理论上NIST 1级和2级满足128比特的安全性要求，但由于成熟度不足，各方普遍建议采用更高标准以确保长期安全。同时，随着PQC技术的逐步成熟，未来规范可能会对PQC算法的推荐级别做出相应调整，但当前阶段仍需以更高安全级别为主。

混合模式：实现过渡与升级

为了实现平滑的量子安全过渡，规范强调非对称算法机制采用混合模式，即将经典算法与PQC算法组合使用，从而兼顾当前的安全性与未来抗量子攻击的能力。具体来说：

 ▌混合签名

通过将经典数字签名与后量子签名串联验证，实现双重安全保障。

 ▌混合密钥交换

包括两种模式：

CatKDF模式：先将各方共享秘密串联，再通过密钥派生函数（KDF）生成最终密钥；

CasKDF模式：通过串行执行KDF运算，并将前一次运算结果注入后一次运算中，最终生成密钥。这种混合策略利用了成熟技术的稳定性，同时为未来全面采用全量子算法奠定了基础。规范指出，目前尚不明确混合模式是否能作为长期推荐方案。

关键细节：安全强度由“短板”决定！

规范特别强调，密码方案的整体安全强度取决于各组成部分中安全性最低的一环。这包括： 

▌对称密码算法模式对齐

在采用特定操作模式时，各部分推荐级别应保持一致，整体方案的安全级别由最低的那一项决定。

▌多原语组合对齐

对于采用多种密码原语组合（如MAC）的方案，其整体安全性同样受到其中最薄弱环节的制约。这一原则提醒开发者在设计密码方案时，不仅要关注单一算法的安全性，更应重视各环节之间的匹配与协调，避免因某一部分安全性不足而影响整体防护效果。

结语

GP新规范不仅为密码算法的选择提供了科学依据，也为整个行业在迎接量子时代挑战时指明了方向。通过经典密码算法分级管理、后量子密码应用以及混合模式的策略，规范为智能卡、安全元件及可信执行环境等领域的安全升级提供了坚实保障。我们相信，只有不断创新和完善安全技术，才能在激烈的数字安全竞争中保持领先，为各行各业构筑一道坚不可摧的防线。作为安全领域的先行者，我们握奇始终以技术前瞻性与客户价值为核心，不断突破创新，共同构筑数字时代的信息安全防线。