新闻中心

王小云:深入贯彻落实密码法 推动商用密码标准制定与产业发展

时间:2019-11-21 来源:经济参考报

2019年11月21日,清华大学教授、杨振宁讲座教授、全国人大社会建设委员会委员、中国科学院院士、密码学家王小云在经济参考报上发表文章《深入贯彻落实密码法,推动商用密码标准制定与产业发展》。以下为文章内容。

颁布实施密码法,是为了进一步提升我国密码法制化管理和保障水平,促进我国密码事业的发展,保障网络与信息安全,维护国家安全,维护公民、法人和其他组织的合法权益。

密码法共五章四十四条,明确了密码工作的领导和管理体制,即中央密码工作领导机构对全国密码工作实行统一领导,国家密码管理部门负责管理全国的密码工作,各级密码管理部门负责管理本行政区域的密码工作;明确密码按核心密码、普通密码和商用密码三类进行管理,核心密码、普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息。

密码法是一部专业性、技术性很强的国家法律。作为一名长期从事密码理论与密码技术研究的科技工作者,笔者对密码法的出台表示由衷的高兴和坚决的拥护。这里,笔者想谈谈对密码法的学习体会,并对深入贯彻落实密码法,推动商用密码标准制定与产业发展谈几点认识。

其一,密码法准确界定了密码的定义与内涵。

密码作为保障网络与信息安全的核心技术与基础支撑,密码法给出了密码的定义与内涵,明确规定“密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务”。加密保护指的是使用加密技术(即加密算法)与相关技术保障敏感信息的机密性,实现的是保密功能,保证信息不被窃取与获得。安全认证不仅包含信息本身的可认证性与不可抵赖性,也包含信息来源特别是信息发送方或者生成方身份的可认证性、不可抵赖性,还要强调的是,安全认证也包括信息的完整性检测与认证,保障信息是没有被篡改过的原始信息。安全认证主要涉及数字签名与密码杂凑函数两种密码技术(算法)。

值得说明的是,由于高安全的密码技术的攻击难度基于数学难题的破解难度,使用现有的计算资源通常需要亿万年以上的计算算力,破解难度很大。而基于简单口令、指纹和人脸识别等生物特征密码的网络安全身份认证手段由于缺乏数学难题的支撑,不能完全满足商用密码对身份认证的应用需求。

其二,加快推进商用密码产业发展、顶层设计并完善商用密码检测认证体系。

密码法充分考虑了政府职能转变和“放管服”改革的要求,规定国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。规定依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位。

目前,我国加大力度发展在数字金融、公共通信和信息服务、交通、能源、水利、电力、信息惠民、工业制造、电子政务、智慧城市、基础软硬件保障等领域的密码产业,亟须顶层梳理不同行业的业务系统和安全需求,加大密码系统设计与创新力度,建设不同密码行业的密码应用技术研究和测评认证体系,发展密码测评行业。

建议基于人工智能深度学习、自动化搜索技术以及高性能计算,提高密码分析自主创新能力,加大密码系统安全测评能力建设;发展密码软件与硬件基础设施的安全测评技术,提高密码系统分析与测评能力,为密码产业提供技术支撑平台;采取学历教育和在职教育相结合的模式,加大商用密码测评行业从业人才的培养力度;重点发展密码软件防护能力和密码芯片测评能力建设,集中密码高水平人才加大密码软件安全防护研究,解决密码软件安全防护的短板与技术难点;设计抗侧信道攻击的芯片架构,解决密码芯片的“卡脖子”技术。

其三,加大密码核心关键技术的自主创新能力与标准制定,贡献中国密码的智慧与方案。

近年来,在全国信息安全标准化技术委员会和密码行业标准技术委员会的大力推动下,我国成功将密码算法标准SM2/3/9推动成为国际ISO/IEC密码标准,这是我国密码领域在国际标准制定方面零的突破,贡献了中国智慧。

随着新一代信息技术产业的蓬勃发展,适用新产业新业态的新一代密码通用标准和资源受限,云环境以及人工智能环境下的新型密码算法的研究及其标准制定仍需要加强,通过密码标准的制定,带动提升我国密码理论研究整体水平。

建议借鉴3G/4G/5G手机密码通信标准的设计,以及计算机网络密码安全通信系统SSL、TLS、IPsec等密码协议设计的成功经验,及早部署针对物联网、车联网、工控系统、人工智能等环境密码安全通信系统的设计并推动标准制定修订,大力发展密码产业,护航我国数字经济高质量发展。

其四,加快雄安新区同步规划与建设密码防护体系。

国家发展改革委、工业和信息化部、人民银行、交通运输部、国家卫生健康委员会、公安部、科技部和国家密码管理局等相关部门,分析雄安新区信息产业集群、关键信息基础设施以及智慧城市建设的架构、顶层设计,在新区建设之初,就以系统思维同步规划,切实保障以密码安全防护技术为支撑的网络与信息安全防护体系的建设。针对人工智能、物联网、智能制造、大数据、云计算等领域特点,加大研制与之匹配并完美融合的密码防护体系,并制定相关行业密码标准和规范,加大密码技术在不同行业领域中的推广力度。以“全球领先的数字智能城市”建设为目标,将雄安新区打造成全球安全智慧城市建设的新标杆。建议尽快形成可在全国范围内可复制、可推广的密码应用产业集群,抢先制定针对重点信息领域的密码算法与密码信息系统国际标准,形成一批引领世界的商用密码行业标准,推动中国密码技术的国际化进程,为扩大对外开放、中国特色大国外交、“一带一路”建设等提供密码服务保障。

其五,加快推进以密码技术为支撑的区块链技术研发以及试点工程,加快区块链行业标准、国家标准以及国际标准制定进程。

密码哈希函数是区块链的起源性技术。区块链的发展起始于比特币,即区块链1.0。比特币作为密码哈希函数的一个简单应用,在一定时期内引起业界以及投资人的高度重视及青睐。目前区块链技术的发展远远超出了比特币的范畴,发展起多技术、多平台的区块链业务形态。各类技术各有特色,与密码哈希函数交汇融合,结合了数字签名、加密算法等其他密码技术,形成了目前区块链多样化发展态势。区块链技术充分利用了密码哈希函数防交易信息被篡改,可以解决众多领域数据篡改的痛点问题,并根据链上信息进行快速认证,大大提高传统产业的效率。笔者于2005年给出了国际两大通用哈希函数标准MD5和SHA-1的碰撞攻击,研究水平居于国际领先,具备利用研究优势继续加大区块链自主创新能力的基础。

目前区块链技术的标准还未形成,行业发展受到一定制约。由于缺少高水平的密码设计人员,区块链的各种应用也存在不少安全隐患,有些具备货币与支付功能的区块链应用更容易引发一定程度的金融风险。加大金融风险管控,确保数字货币安全可控,也是区块链研究的重要内容。为规范区块链产业发展,建议提高区块链领域自主创新能力,部署标准制定,尽快支撑行业健康快速有序发展。

其六,推动密码专业建设与学科发展,加大规模化密码人才培养力度。

密码法的颁布实施,将从密码管理、密码安全保障、科技创新、标准推动与制定、产业发展等各个层面推动我国密码事业发展。密码事业发展,归根结底靠人才。2015年,教育部批准设置网络空间安全一级学科,加大了包括密码学、网络安全、系统安全、网络空间安全基础理论以及应用安全在内的五个二级学科硕士生、博士生培养。2016年,中央网信办、国家发改委、教育部、科技部、工业和信息化部联合推动高校网络空间安全学院建设,形成了本、硕、博一体化培养模式,对于推动我国密码人才培养具有重要作用。密码法的颁布实施,将进一步扩大密码专业人才需求,呈现更加供不应求的态势。建议尽快推动密码一级学科或在网络空间安全一级学科下设密码方向,全力建设一流密码专业,加强密码专业人才培养规模和水平,同时加大社会培训的力度,满足不同层次、不同行业的密码专业人才需求。

(作者系中国科学院院士)