新年来临之际,网上疯传一条奇闻:“中国《密码法》将于2020年1月1日上路:密码将由国家统一管理,用意为保护信息安全。”这是一个彻头彻尾的谎言,《密码法》中的“密码”与网民上网使用的“密码”南辕北辙,此“密码”非彼“密码”矣。
密码学在英文中对应的是Cryptography,该词源于希腊语kryptós“隐藏的”,和gráphein“书写”两词的组合,在早期指的是一种掩盖文字真实内容的密写技术。现代密码学则是对信息进行加密保护、安全认证的一整套的技术和协议。密码学中的密码代表的是一个过程,它更像是一个动词而不是一个名词。Cryptography的中文译成“加密解密系统”更为正确一些。
客户用来登录的是Password,俗称密码,其实它的正确译名应是口令。口令与指纹、虹膜、人脸等都是身份识别的信息,它们是需要密码系统加以保护的重要信息。
个人用来登录的是口令而不是密码,密码系统是一种用于保护口令等各种敏感信息的加密解密的技术手段和协议。前者是被保护的客体,而后者是保护前者的一整套技术手段,它们是完全不同的两种概念。中文是一种优美动人的文字系统,但常有词不达意的欠缺。
2020年1月1日起正式施行的是《中华人民共和国密码法》。该法的第二条明确指出:
第二条 本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
看仔细了,《密码法》第二条说得很清楚,它管的是加密解密的技术、产品和服务,与个人登录用的口令是风马牛不相及。新诞生的密码法不仅与统一管理“网络密码”毫无关系,即使对“密码技术”也不是要一统天下。
《密码法》明确了密码分类管理的原则,规定核心密码、普通密码用于保护国家秘密信息,由密码管理部门实行严格统一管理。但是在商用密码管理方面,充分体现了简政放权的改革要求,大幅削减行政许可事项,进一步放宽市场准入,切实为商用密码从业单位松绑减负。详见《密码法》第二十一条[1]。
商用密码就是用来保护千万网民的口令及相关敏感信息的。根据密码法,政府对于商用密码的总的原则是“放”而不是“收”,其目的是通过有序的市场竞争,让商用密码在优胜劣汰、去芜存菁的过程中不断提升产品的质量和竞争力。所以新的密码法的宗旨就是为了更可靠、更有效地保护全体网民们的隐私和通信安全。
重要的事情需要反复强调:《密码法》中的“密码”是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务,它与用户上网登录的所谓“密码”(其实是口令!)完全无关。
另外,许多网民对密码技术还存在着这样两种误解:一是觉得密码技术与已无关,二是认为有了密码技术就天下无贼可以高枕无忧了。其实这两个观点都是错的。
长久以来人们都把密码与军事、外交联系在一起,印象中密码的使用者如果不是躲在阴暗角落的间谍特务就是捍卫国家安全的孤胆英雄。事实上,今天每个普通人都离不开密码,密码技术已经飞入平常百姓家。当你在网上购物,当你用手机通话或收发微信,所有信息都在开放共享的网络上传输。
现代通讯技术使得信息的传输变得方便、迅速和高效的同时,它也使信息很容易被黑客截获。没有密码技术保护在网上使用信用卡,在无线网上通话将会是难以想象的。
可以毫不夸张地说,密码技术是信息时代-后工业时代的保护神,密码技术对于政府、军队和大众生活,已是不可须臾离者也。它像空气一样,人们一刻也少不了它,但却常常为人们所忽视。
大多数人认为密码系统是高大上的技术,与己无关。却不知密码系统就在每个人的手机、电脑和各种智能设备里,它们就是捍卫信息安全的无名英雄。密码系统在互联网上是通过互联网传输层的安全协议(TLS)执行的。TLS为互联网上密钥的产生和分发、数据传输的加密和解密、用户的身份认证及电子签名等制定统一的标准和算法。
商用密码开发商根据TLS的标准开发出相应的软件包和程序库,并预装在手机和电脑里。网页浏览、微信、电子邮件等应用程序在处理数据传输时都会自动调用这些具有统一标准的软件包和程序库,以确保互联网上数据在传输过程中的保密性、真实性、完整性、和可用性。
互联网时代必须高度重视密码技术,但是如果认为有了密码技术互联网就天下太平则更是大错特错。
先不说密码技术本身也存在一些安全隐患,即使密码技术是无条件绝对安全,它也只能保证信息在传输过程中的安全性,即所谓的信道安全性。但是信息在用户和服务器的两端的设备上(手机、平板、电脑等等)都是以明文形式存在的,而这些设备又都是与互联网相通的,网上黑客可以利用这些设备的软硬件漏洞入侵并取得各种敏感信息,包括用户的帐户、口令,加密解密的密钥。
今日信息系统的安全确实面临一系列严峻的挑战,但如果把这些挑战按危急严重程度罗列出来的话,密码安全问题根本进不了前三甲。随着信息的电子化和网络化,密钥的产生和管理全部是由电子计算机完成的,相比计算机硬件和操作系统存在的严重安全隐患,密码系统的问题真是小巫见大巫了。千万不要以为有了密码法就可以天下太平了。
《密码法》 伴着新年的脚步声越走越近,衷心希望它会给互联网安全带来新气象,也祝福在新的一年里中国网民们在网上更安全、更快乐。
[1]《密码法》第二十一条 国家鼓励商用密码技术的研究开发和应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。商用密码的科研、生产、销售、服务和进出
a&s是国际知名展览公司——德国法兰克福展览集团旗下专业的自动化&安全生态服务平台,为智慧安防、智慧生活、智能交通、智能建筑、IT通讯&网络等从业者提供市场分析、技术资讯、方案评估、行业预测等,为读者搭建专业的行业交流平台。
粤公网安备 44030402000264号
