大咖来稿!技术专家眼中的《密码法》
前言
近日,《中华人民共和国密码法》(下文简称密码法)由第十三届全国人大常委会第十四次会议通过并予公布,自2020年1月1日起施行。密码法是我国密码领域的第一部法律。
密码法内容概要
密码法共五章四十四条,围绕“怎么用密码、谁来管密码、怎么管密码”,重点规范了以下内容:
1
第一章总则部分
规定了本法的立法目的、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施。2
第二章核心密码、普通密码部分
规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施。
3
第三章商用密码部分
规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度.
4
第四章为法律责任部分
5
第五章为附则部分
密码及其特殊性
密码法中所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
密码技术,从功能上看,主要包括加密保护技术和安全认证技术。从内容上看,主要包括密码算法、密钥管理和密码协议。常用的密码技术包括:数字证书、身份认证、数据加解密、数据完整性保护、网络和通讯安全等。
密码产品,按形态划分包括:软件、芯片、模块、板卡、整机和系统等,按功能划分为包括:密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类等。
商用密码服务的主要类型包括密码咨询服务、密码知识和技术培训服务、密码应用系统集成服务、密码应用系统运营服务、密码应用系统维护保障服务等。
早期的密码,主要用于对数据的加密保护。20世纪70年代诞生了RSA公钥密码,成为密码史上划时代的革命事件,随后又出现了ECC等公钥密码,密码不仅可以实现对数据的加密保护,还可以很好地实现对实体身份和数据来源的安全认证。密码具有机密性、完整性、真实性和不可否认性的保护作用。
信息的机密性是指保证信息不被泄露给非授权的个人、计算机等实体的性质。信息是网络空间中最有价值的资产,信息泄露会对国家政治、军事、社会、行业、团体和个人带来巨大危害和影响。信息的机密性是网络与信息安全的主要属性之一。采用密码技术中的加密保护技术,可以实现信息的机密性。
数据的完整性是指数据没有受到非授权的篡改或破坏的性质,它是网络与信息安全的又一个重要属性。密码中的摘要算法可以实现数据的完整性保护。
信息的真实性是指保证信息来源可靠、没有被伪造和篡改的性质。信息的真实性也是网络与信息安全的主要属性之一。密码中的安全认证技术可以解决信息的真实性等问题,这些技术包括数字签名、消息认证码、身份认证协议等。
不可否认性也称抗抵赖性,是指一个已经发生的操作行为无法否认的性质,它同样是网络与信息安全的重要属性。基于公钥密码算法的数字签名技术,可解决行为的不可否认性问题。
密码法规定,国家对密码实行分类管理。密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。商用密码用于保护不属于国家秘密的信息。
国家密码管理局负责人解释,将密码分为核心密码、普通密码和商用密码,实行分类管理,是党中央确定的密码管理根本原则,保障密码安全的基本策略,也是长期以来密码工作经验的科学总结。三类密码保护的对象不同,对其进行明确划分,有利于确保密码安全保密,有利于密码管理部门根据不同信息等级和使用对象,对密码实行科学管理,充分发挥三类密码在保护网络与信息安全中的核心支撑作用。
密码算法
密码算法是密码的核心,密码算法的设计与分析是密码技术的核心内容。常见的密码算法有对称密码算法、公钥密码算法(也叫非对称密码算法)和密码摘要算法(也叫杂凑算法)等类型。对称密码算法又可分为分组密码算法和序列密码算法。核心密码和普通密码其密码算法是保密的,不对外公开。商用密码算法可对外公开。
现代密码的安全强调密码算法中所使用的密钥的安全,所谓密钥,就是控制密码运算过程中的一串不可预测的随机数。密钥需秘密保存,并且密钥空间必须足够庞大,以致无法穷尽。在密码应用中,密钥管理是一个非常重要的环节,它包括密钥的产生、存储、应用、更新、传输、备份和恢复、销毁等密钥的全生命周期。
密码法规定,国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
目前,我国已发布一系列商用密码算法标准,包括常用的基于椭圆曲线的SM2公钥密码算法,SM3摘要算法,SM4分组密码算法,ZUC序列密码算法(也称祖冲之算法),基于标识的SM9公钥密码算法等国家标准算法。
密码法规定,国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
当前,我国SM2、SM3、SM9密码算法已经纳入ISO/IEC国际标准,ZUC算法已经作为国际第四代移动通信加密标准,这标志着我国密码算法国际标准体系已初步成型,为有效保障网络空间安全贡献了中国智慧,提供了中国方案。
商用密码使用要求
01合规正确有效性要求
密码法规定,商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。
涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。商用密码服务使用网络关键设备和网络安全专用产品的,应当经商用密码认证机构对该商用密码服务认证合格。
密码法为商用密码应用合规、正确和有效提供了法律依据。
什么是合规的密码技术?
密码技术包括密码算法、密钥管理和密码协议。
密码法规定,国家建立和完善商用密码标准体系。国务院标准化行政主管部门和国家密码管理部门依据各自职责,组织制定商用密码国家标准、行业标准。
目前,我国已发布一系列商用密码标准,包括SM系列算法标准以及其他标准。作为合规的密码技术,首先,密码技术中所使用的密码算法应该是国家标准密码算法。其次,在密码算法中,密钥是控制密码变换的关键参数,对于密钥的管理要符合《信息系统密码应用基本要求》标准中密钥管理的要求。最后,密码技术中涉及的标准密码协议应符合国内相关密码标准。比如,针对数字证书,我们要遵循《GM/T 0015-2012 基于SM2密码算法的数字证书格式规范》。针对数据加解密和数据完整性保护,我们要遵循《GM/T 0010-2012 SM2 密码算法加密签名消息语法规范》。针对网络和通讯安全,我们要遵循《GM/T 0022-2014 IPSec VPN 技术规范》和《GM/T 0024-2014 SSL VPN 技术规范》。
什么是合规的密码产品?
所谓合规的密码产品,是指信息系统中使用的密码产品与密码模块应通过国家密码管理部门核准。即信息系统中使用的密码产品与密码模块应具有商密型号证书。针对要进行密码安全检测评估的信息系统,至少需要在物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等环节使用合规的密码产品。
什么是合规的密码服务?
所谓合规的密码服务,是指信息系统中使用的密码服务应通过国家密码管理部门的许可。针对要进行密码安全检测评估的信息系统,商用密码服务在合规性方面可落地的有密钥咨询服务、密码知识和技术培训服务、密码应用系统集成服务、密码应用系统运营及维护保障服务等。
商用密码应用的正确性和有效性评估主要是针对信息系统中信息的机密性、真实性、数据的完整性和行为的不可否认性等实现情况的评估。
以使用最为广泛的浏览器为例,目前,我国信息环境中使用的浏览器许多来自国外,这些浏览器在https协议中不支持国家密码算法标准,由此会产生一系列安全问题。作为政企用户,应采用支持国家密码算法标准的国产安全浏览器,如我国的红莲花安全浏览器。
02商用密码安全性评估要求
密码法规定,法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。密码法为商用密码安全性评估提供了法律依据。
开展密码应用安全性评估是维护网络和信息系统密码安全的客观要求,是网络安全形势的需要,是网络运营者和主管部门必须履行的责任。密码是国家的重要战略资源,直接关系国家政治安全、经济安全、国防安全和信息安全。中国特色社会主义进入新时代,密码工作面临着许多新的机遇和挑战,负担着更加繁重的保障和管理任务,各行各业对信息安全的日益增长的需要与其不平衡不充分的发展之间的矛盾较为突出。通过建立健全规范有序的商用密码应用安全评估机制,更好地发挥密码在保障网络和信息系统安全中的核心支撑作用。
按照国家网络安全等级保护制度的要求,等级保护第三级及以上网络系统应当开展商用密码应用安全性评估。关键信息基础设施是重点保护对象,其安全要求更高,需要同步规划、同步建设、同步运行密码保障系统,更要强化商用密码应用安全性评估。
密码法与网络安全法的关系
密码法第一条指出了其立法宗旨:为了规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。网络安全法第一条也指出了其立法宗旨:为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。
没有网络安全就没有国家安全。密码是网络安全的核心支撑,是构建网络信任体系的重要基石,关系国家政治安全、经济安全、国防安全和信息安全,是保护党和国家根本利益的战略性资源,是国之重器。密码将成为保障我国网络空间安全的核心技术,并位于网络安全的核心地位。密码法与网络安全法,并驾齐驱,相互衔接,共同为信息安全保驾护航。密码技术应用将是我国网络安全工作的重点,将推动我国互联网健康发展。
密码法助力商用密码应用
密码法规定,县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
密码法为商用密码应用和推广提供了法律保障。密码的功能不仅可以实现数据的加密保护,还可以实现对实体身份和数据来源的安全认证。密码应用已不仅局限于党政军领导机关部门,而是遍及经济社会生活各领域各方面。
密码法将重要领域商用密码的应用、基础支撑能力的提升以及检测认证、安全性评估、安全审查等制度,及时上升为法律规范,引导全社会合规、正确、有效使用密码,规范网络空间密码保障工作,推动构建以密码技术为核心、多种技术交叉融合的网络空间新安全体制,加快推进关键信息基础设施的密码应用。
商用密码应用的重点是金融领域、基础信息网络、重要信息系统、面向社会服务的政务信息系统和重要工业控制系统。密码法将促进商用密码在重点领域的应用。
金融领域是密码应用的先行示范区,密码法将促进商用密码在银行、非银行支付业务、电子保单、网上证券等方面的应用更加广泛,更加深入,更加有力保障金融信息安全和金融系统安全运行,更好地保护公民个人隐私和金融财产安全。
密码法将加快推动密码在移动通信、广播电视、视频监控等基础信息网络中的应用开展,密码技术将成为保障广播电视安全的基础核心技术,在版权保护等方面提供可靠的技术支撑。目前,基于密码技术的公共安全视频监控联网信息安全体系正处在建设发展期,部分城市视频监控系统在用户认证、访问控制、视频加密等方面采用了密码技术,商用密码在视频监控系统中的应用将产生显著的安全效益和社会效益。
密码在重要信息系统的各个领域中广泛应用。防伪税控系统、税务证书认证系统为税务安全起到了保驾护航的作用;商用密码应用于社会保障卡工程中,实现人手一卡,为持卡人“记录一生、保障一生、服务一生”;城市交通一卡通与密码技术相结合,使得城市生活信息化、便捷化、安全化,推动智慧城市的发展;医院在电子病历系统中使用密码技术,可有效保证电子病历数据的机密性、真实性和完整性,为卫生计生行业安全起到重要的支撑作用。
在面向社会服务的政务信息系统中,商用密码应用于电子证照、电子护照、电子印章、区块链电子发票、政务移动办公,密码法的颁布,将促进商用密码在政务信息系统中深入广泛的应用。
随着人工智能、大数据、云计算、移动互联和工业控制等技术的迅速发展,智能网联汽车系统的发展方兴未艾,密码技术在该领域正逐步得到应用,可以预见,未来智能网联汽车安全防护应用空间巨大,有了密码法,密码技术作为保障智能网联汽车系统安全运行的基础,必将得到更加广泛的应用。
当前,物联网发展迅速,物联网产业规模不断壮大,与此同时,其网络安全问题已成为物联网备受关注的问题。密码法将助力物联网安全应用。推动物联网PKI/CA技术应用,推动物联网安全技术标准落地和合规性检测,推进物联网安全技术发展,商用密码广泛深入应用于物联网,将为构建物联网防御体系,打造物联网安全生态,发挥重要的作用。
随着密码法的出台以及密码技术的不断创新,我国商用密码产业蓬勃发展,据专家预计,到2020年商密行业规模可突破400亿。密码法将促进密码应用在国家关键信息设施和重要领域、重要系统的落地,密码已在并将继续在金融、政务、“云大物移智”等领域得到广泛应用。密码应用大有可为,密码应用产业前景广阔。