今日頭條
官方微信
官方抖音
資訊頻道一、“密碼”和“口令”
現(xiàn)實生活中提到的“密碼”一詞,比如人們?nèi)粘J褂玫拈_機“密碼”、微信“密碼”、銀行卡支付“密碼”等,這些“密碼”實際上是口令。口令只是進入個人計算機、手機、電子郵箱或者個人銀行賬戶的“通行證”,它是一種簡單、初級的身份認(rèn)證手段。這些口令與《密碼法》草案中的“密碼”不同,真正的“密碼”,藏在安全支付設(shè)備中、藏在網(wǎng)絡(luò)系統(tǒng)內(nèi),默默守護國家秘密信息安全、守護我們每個人的信息安全。
《密碼法》中的密碼指的是使用特定變換的方法對信息等進行加密保護、安全認(rèn)證的產(chǎn)品、技術(shù)和服務(wù)。《密碼法》共五章四十四條,對密碼分為核心密碼、普通密碼和商用密碼進行分類管理。其中,核心密碼、普通密碼用于保護國家秘密信息,核心密碼保護信息的最高密級為絕密級,普通密碼保護信息的最高密級為機密級。核心密碼、普通密碼屬于國家秘密。密碼管理部門依照本法和有關(guān)法律、行政法規(guī)、國家有關(guān)規(guī)定對核心密碼、普通密碼實行嚴(yán)格統(tǒng)一管理。商用密碼用于保護不屬于國家秘密的信息。公民、法人和其他組織可以依法使用商用密碼保護網(wǎng)絡(luò)與信息安全。
二、商用密碼
我國自行研發(fā)的自主可控商用密碼算法主要包括:ZUC,SM2,SM3,SM4和SM9等,這些密碼算法涵蓋了對稱密碼中的序列密碼,分組密碼,非對稱密碼中的橢圓曲線密碼,以及密碼雜湊算法,把它們組合起來可以為各種需要密碼技術(shù)作為支撐的行業(yè)應(yīng)用提供堅實可靠的基礎(chǔ)。
1.對稱密碼算法
序列密碼ZUC(祖沖之)算法和分組密碼(SM4)算法都屬于對稱密碼算法,也就是說,加密一方和解密一方使用完全相同的密鑰來分別進行加密和解密,從而提供保密性(機密性)保證。
ZUC算法目前主要用于通信領(lǐng)域。2011年9月,我國以ZUC算法為核心的加密算法128-EEA3和完整性保護算法128-EIA3,與美國AES、歐洲SNOW 3G共同成為了4G移動通信密碼算法國際標(biāo)準(zhǔn)。
SM4算法最初作為我國自主無線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI的專用密碼算法發(fā)布,后成為分組密碼算法國家行業(yè)標(biāo)準(zhǔn)。由于SM4算法最初用于無線局域網(wǎng)芯片WAPI協(xié)議中,支持SM4算法的WAPI無線局域網(wǎng)芯片已超過350多個型號,全球累計出貨量超過70億顆。在金融領(lǐng)域,僅統(tǒng)計支持 SM4 算法的智能密碼鑰匙出貨量已超過 1.5 億個。
2.非對稱密碼算法
非對稱密碼算法又稱公鑰密碼算法,公鑰密碼算法包括公鑰加密和私鑰簽名(即數(shù)字簽名,可提供真實性、不可否認(rèn)性保證)兩種主要用途,打破了對稱密碼算法加密和解密必須使用相同密鑰的限制。公鑰加密算法加密和解密使用不同的密鑰。其中加密的密鑰被公開,稱為公鑰;解密的密鑰被保密,稱為私鑰。公鑰、私鑰是密切關(guān)聯(lián)的,從私鑰可推導(dǎo)出公鑰,但從公鑰推導(dǎo)出私鑰是計算上不可行的。SM2算法(橢圓曲線公鑰密碼算法)和SM9算法(標(biāo)識密碼算法)是我國頒布的商用密碼標(biāo)準(zhǔn)算法中的公鑰密碼算法,常見的國外公鑰密碼算法有RSA、ECDSA算法等。
基于SM2算法的數(shù)字簽名技術(shù)已在我國電子認(rèn)證領(lǐng)域廣泛應(yīng)用。SM2算法于2017年被國際標(biāo)準(zhǔn)化組織(ISO)采納,成為國際標(biāo)準(zhǔn)ISO/IEC 14888-3的一部分。SM9算法將用戶的標(biāo)識(如郵件地址、手機號碼、QQ號碼等)作為公鑰,不需要數(shù)字證書、證書庫或密鑰庫,省略了交換數(shù)字證書和公鑰過程,使得安全系統(tǒng)變得易于部署和管理,非常適合端對端離線安全通訊、云端數(shù)據(jù)加密、基于屬性加密、基于策略加密的各種場合。同SM2算法一起,SM9數(shù)字簽名算法也在2017年被ISO采納,成為國際標(biāo)準(zhǔn)ISO/IEC 14888-3的一部分。
3.密碼雜湊算法
密碼雜湊算法又稱雜湊函數(shù)、哈希(hash)算法、哈希函數(shù),是把任意長的輸入串轉(zhuǎn)化成固定長的輸出串的一種函數(shù)。我國商用密碼標(biāo)準(zhǔn)中的密碼雜湊算法是SM3算法,并于2018年10月成為國際標(biāo)準(zhǔn)。SM3算法的輸出長度固定為256比特。輸入長度在理論上是無限制的。在實踐中根據(jù)填充規(guī)范的要求,輸入長度不能超過264比特。只使用SM3算法不能提供完整性保護,而是需要配合密鑰使用,即帶密鑰的雜湊算法(HMAC):利用雜湊算法,將一個密鑰和一個消息作為輸入,生成一個消息摘要作為輸出。HMAC可用作數(shù)據(jù)完整性檢驗,檢驗數(shù)據(jù)是否被非授權(quán)地改變;也可用作消息鑒別,保證消息源的合法性等。
SM3 算法應(yīng)用非常廣泛。如在智能電網(wǎng)領(lǐng)域,采用SM3算法的智能電表接近10億用戶,均能安全穩(wěn)定運行。在金融系統(tǒng),目前大約有7億多銀行磁條卡更新為密碼芯片卡,動態(tài)令牌累計發(fā)行7726萬支,這些卡片及令牌均使用了SM3算法。
三、等級保護中的密碼
我們看到在等級保護中也有許多與密碼相關(guān)的要求,GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中與密碼相關(guān)的要求如下:
1.真實性
? 應(yīng)在通信前基于密碼技術(shù)對通信的雙方進行驗證或認(rèn)證;
? 應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。
2.保密性
? 應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。
? 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等;
? 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等。
3.完整性
? 應(yīng)采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性;
? 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等;
? 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等;
4.不可否認(rèn)性
? 在可能涉及法律責(zé)任認(rèn)定的應(yīng)用中,應(yīng)采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù),實現(xiàn)數(shù)據(jù)原發(fā)行為的抗抵賴和數(shù)據(jù)接收行為的抗抵賴。
5.密碼管理要求
? 應(yīng)確保密碼產(chǎn)品與服務(wù)的采購和使用符合國家密碼管理主管部門的要求。
? 應(yīng)進行上線前的安全性測試,并出具安全測試報告,安全測試報告應(yīng)包含密碼應(yīng)用安全性測試相關(guān)內(nèi)容。
? 密碼管理應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn);
? 密碼管理應(yīng)使用國家密碼管理主管部門認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品。
6.利用密碼技術(shù)可以有效解決的問題
? 可信驗證:可基于可信根對系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應(yīng)用程序等進行可信驗證,并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證,在檢測到其可信性受到破壞后進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心,并進行動態(tài)關(guān)聯(lián)感知;應(yīng)采用可信驗證機制對接入到網(wǎng)絡(luò)中的設(shè)備進行可信驗證,保證接入網(wǎng)絡(luò)的設(shè)備真實可信
? 遠程管理:當(dāng)進行遠程管理時,應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽
? 集中管理:應(yīng)能夠建立一條安全的信息傳輸路徑,對網(wǎng)絡(luò)中的安全設(shè)備或者安全組件進行管理。
四、小結(jié)
當(dāng)今密碼技術(shù)在保護信息安全方面的應(yīng)用越來越廣泛,促使云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術(shù)產(chǎn)業(yè)蓬勃發(fā)展。相信隨著《中華人民共和國密碼法》的頒布與實施、等級保護制度的實施,我國數(shù)字經(jīng)濟將繼續(xù)高質(zhì)量發(fā)展。
(來源:光明網(wǎng))
北京市公安局海淀分局備案號:11010802023656號