密码技术作为保障网络与信息安全的核心技术,是实现信息安全保密、认证认可,以及数据完整性、不可抵赖性的根本手段。早在2004年,我国就出台了电子签名法,2016年网络安全法的颁布,标志着网络空间安全治理驶入了法治化轨道。不久前,全国人大常委会表决通过密码法,又从法律层面进一步规范了密码应用和管理,对于维护网络空间主权和国家安全、社会公共利益,以及保护公民、法人和其他组织的合法权益具有重大意义。
辨析“密码”与“密码科学技术”
密码法颁布前,大众对“密码”的理解多偏于片面,不少人认为它就是我们日常所用的银行卡密码、QQ密码、开机密码、支付密码等。其实,这些散见于生活中的各类登录密码,严格来说只是验证口令,是一种简单的身份鉴别方式。而密码法中所称的“密码”,是指采用特定变换的方式对信息等进行加密保护、安全认证的技术、产品和服务,可见“此密码”非“彼密码”。密码法所指的“密码”,其实是指密码学,是关于“密码科学技术”的一整套体系,其研究内容涉及基础理论、密码模型、密码算法、密码协议、密钥管理和密码实现等,涵盖数学、计算机和通信等多个领域,共同致力于数字信息加解密、数字签名变换及算法的研究,而验证口令仅是密码法中所称的“安全认证技术”的一种基本方法。
鼓励商用密码自主创新
密码法第二十一条和第二十二条指出,“国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用”“国家要建立和完善商用密码标准体系”,从法律层面明确提出保护商用密码领域的知识产权,促进密码技术进步与创新,为商用密码的技术研发和标准制定指明了方向。在商用密码领域,相关行业在较长一段时间内使用的都是国际标准。近年来,国家密码管理局颁布了近40项密码或信息安全标准及规范,初步构建了具有自主知识产权的密码标准体系,为密码法的颁布和实施奠定了重要基础。然而,随着新型通信网络与信息技术的发展,密码攻击与密码编码始终呈现出激烈的博弈局面,在这种态势下,必须加大力度研发具有自主知识产权的密码算法和技术,对现有密码标准体系不断进行更迭和优化。
一方面,要鼓励密码基础理论研究。在密码学的发展历程中,有很长一段时间都处于古典密码阶段,密码设计方案被认为是一种艺术。直到美国数学家克劳德·艾尔伍德·香农开创了信息论,把密码学建立在严格的数学理论基础之上,才使其从艺术走向了科学。1976年,惠特菲尔德·迪菲和马丁·赫尔曼在《密码学的新方向》这篇划时代的论文中,首次提出了公钥密码思想和密钥交换协议,它们作为互联网安全协议的基础,也是推动互联网大获成功的重要原因。香农等人的研究开创了密码学的不同时代,由此可见创新性基础理论研究的价值。近年来,我国在对称密码、序列密码、摘要算法等方面取得了不俗的成绩,未来还要继续鼓励通过多种渠道加强密码基础理论研究与创新,这对构建更加安全可靠的密码方案,有效实施密码法和维护国家安全都具有重大价值和深远意义。
另一方面,要重视新型应用驱动下的密码创新。信息技术发展日新月异,在安全保密方面对密码技术也提出了巨大挑战。云服务器上密态数据的存储与处理,需要研究云计算平台下的加密搜索和密文访问控制技术;基于物联网的数据采集,以及与云计算相结合的融合数据安全,期待更加可靠、有效的轻量级加密与认证算法;随着区块链技术及其应用的更新,强劲的隐私保护需求正呼唤具有可信组合功能的密码技术;政务云平台跨层级、跨部门、跨系统的环境特征,需要一种基于体系安全的密码技术解决方案。为此,密码法第二十三条明确指出,国家鼓励企业、社会团体和教育、科研机构等参与商用密码国际标准化活动,可见对于技术创新的重视。当前,科研院所和产业界须协同发力,才能更好攻破同态密码、属性密码、函数密码、加密搜索等新型密码算法与技术,不断推进密码标准体系建设,适应新型技术环境下的防护需求。
推动商用密码深入应用
密码的研究源于应用的趋动,同样,相关创新成果也要通过应用才能实现其价值。近年来,商用密码在我国电子政务、金融、税务、电力、公检法等领域的网络与信息系统中广泛应用,为保障重要信息系统及网络安全发挥了重要作用。密码法的颁布又使得密码的运用更加有法可依。然而眼下,如何用好商用密码,仍然是困扰业界的一大问题。根据密码法要求,商用密码产品及服务使用方应按照国家密码管理局有关规定,对商用密码产品、密码服务、密码技术进行安全性及合规性认证,而对于关键信息基础设施,还要与相关安全检测评估、网络安全等级测评等要求相衔接。
在实际操作中,笔者认为一是要注重商用密码的合规应用。近年来,我国有关部门相继出台了商用密码实施办法与要求等,例如,中办和国办关于加强重要领域密码应用的指导意见,明确提出使用密码手段加强基础信息网络、重要信息系统、重要工业控制系统以及面向社会服务的政务信息系统的安全。国家密码管理局2018年发布的《信息系统密码应用基本要求》,对密码功能、密码技术应用、密钥管理和安全管理等作出了具体规定,是目前商用密码推广应用参照的主要标准。
其中,密码功能包括机密性、完整性、真实性和不可否认性4个方面;密码技术应用从信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4个层面提出了等级保护要求;密钥管理包含对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等全流程制定管理策略;安全管理则涉及制度、人员,以及密码的具体实施等,全方位筑牢合规应用的堤坝。
二是要重视商用密码的合规评估。在信息系统规划、建设、运行等各阶段,所应用的商用密码都要经过安全性评估。如在规划阶段,需要组织业内专家对商用密码应用解决方案进行评审;在建设阶段,需要密码测评机构对商用密码的应用进行评估,并将其结果作为项目验收的必备材料,评估通过后方可投入运行;在运行阶段,测评机构还要定期对信息系统运行的商用密码进行安全性评估,若未通过,则要限期整改。其中,对网络安全等级保护第三级及以上的信息系统,每年要至少评估一次。
诚然,密码法的出台为商用密码的应用提供了更加坚实的法律保障,但在下一步的推进过程中,还须围绕密码算法、密码技术、密码产品和密码服务等出台相关标准与实施细则,进一步解决应用与评估方面的障碍,为商用密码的发展铺平道路。