“密码”忧虑!密码每天都用,却无法完全信任它

2023-03-17 21:05:07来源:媒体滚动

今天,很高兴为大家分享来自媒体滚动的忧虑!密码每天都用,却无法完全信任它,如果您对忧虑!密码每天都用,却无法完全信任它感兴趣,请往下看。

密码是我们每个人几乎天天都会用到的东西,但大多数人可能对其知之甚少。

根据我国法律规定,不属于国家秘密的信息,都由“商用密码”来守护。换句话说,普通人、法人和一般组织使用的密码都是商用密码。个人使用的手机、电脑、操作系统、网络账号……处处可见它的影子。

作为守护信息安全的最后一道屏障,商用密码可不可靠,干系甚大。

在刚刚结束不久的全国两会上,全国人大代表、南京邮电大学校长叶美兰告诉我们,如此量大面宽的存在,尚需获得业界的广泛重视。

叶美兰说,“在我国,商用密码的标准还不很丰富,我们现在大部分(使用的加密算法技术)是国外的,这对于网络强国是非常重要的”。她建议“国家在国产商用密码体系的推进上要高度重视、大力支持,这样才能在密码的领域里面、在‘卡脖子’技术上面能够有所突破”。

“大国要有自己的密码体系”

在今年全国两会上,有全国人大代表谈到“大国要有大算力,中国要构筑自己的核心算力”。与之对应的,中国理应部署自主的密码安全体系。

“大国要有自己的密码体系。”中国科学院软件研究所研究员、可信计算与信息保障实验室主任张振峰告诉《中国科学报》,商用密码应用是一个复杂的系统工程,目前我国各类民用信息系统,除少数领域(如电力系统)国产化程度较高外,大部分应用存在着对外依赖的问题。

商用密码使用国外密码加密技术、算法、设备,是否存在隐患?答案几乎是肯定的。

早在2007年,国际加密算法会议就指出,美国国家安全局(NSA)执意加入NIST标准的算法,存在植入后门的可能;2013年,路透社爆料称NSA收买了加密算法机构RSA,并植入后门。

“这就相当于,美国国安局有一把钥匙,你的锁如果用了它的锁芯,它就可以随意打开它,不管你锁没锁。”一位业内人士告诉记者,这一行为极大地威胁了全世界各国的国家安全和商业机密安全,因此我国必须要造自己的加密算法,“中国锁”配“中国锁芯”,才能把国家安全掌握在自己手中。

近年来,云计算、大数据、区块链、数字货币、物联网、车联网、人工智能等新一代信息技术不断发展,安全问题也随之愈加突出。张振峰说,尤其是网络诈骗、隐私侵犯、数据泄露等相关热点事件不断发生,提醒着我们要对网络安全愈加重视起来。

他介绍,目前我国商用密码产品日益丰富、算法技术持续进步,已经形成了一套完整的国产密码技术体系,有能力保障各类信息系统的安全性。下一步的关键,是如何推广应用的问题。

“我国在商密领域有产品、有标准、成体系,但应用仍然是难题。”张振峰向《中国科学报》解释道,由于我国主导的密码算法标准进入市场较晚,面对着商用市场巨大的生态壁垒。此外,底层密码算法的国产化替代,是一项庞大的系统工程,相关行业、市场的主动性和驱动力都有待深刻挖掘。

前述业内人士告诉记者,我国已有的商密算法也存在一些问题,比如算法体系韧性不足、加密效率不高、监管和标准机制不完善等,成为国产商密推广应用的道路上的“拦路虎”。

他指出,就算法体系韧性而言,目前我国的算法种类还不够丰富,无法满足不同场景的加密需求:“以同一标准作用到不同行业,就会影响到部分行业的生产效率。”

而从加密效率来看,最好的加密方式是让加密和设备或者应用本身充分结合起来,然而目前很多国产产品的加密方案采用的是“外置式”的方案——相当于“锁上加锁”,导致系统性能低下。

另外,我国对国产商密使用的监管和标准制定机制尚不成熟,存在着一些对国产商密真实使用情况判断不准确、许多关键基础设施没有纳入使用考核范围等现象。比如,在一些关键基础设施领域,有许多打着具有加密功能旗号的产品其实是“中国锁外国芯”,内部还是使用的国外的加密算法,难言真正的自主保护。

另外,他提到,我国现在只有一套普适性密码技术应用测评标准,缺乏对各个行业根据实际需求制定的国密应用行标,导致许多行业“鞋不对脚”,最终仍对国产替代的落地形成阻碍。

谷歌量子计算机 图源:谷歌谷歌量子计算机 图源:谷歌

如果说国产商密在当前的应用推广中存在的问题是“近忧”,那么接下来要面临的还有“远虑”。

张振峰告诉记者,近年来量子计算技术的进步、区块链技术等新兴应用的涌现,对传统的密码安全体系产生着巨大影响。下一代密码技术能不能抵抗量子计算机的攻击,能不能满足区块链系统各种新需求的应用,考验着这一代“密码人”的智慧。

尽管量子计算机尚未真正实现商业应用,但对于这样一把“万能钥匙”,我国对应的“锁”的研究相对滞后。2018年,中国密码学会举办了一场针对性地算法竞赛,但后续并未启动标准制定等工作;对比之下,美国国家标准与技术研究院在该领域持续发力,并于 2022年7月发布了4套算法标准,后续新增4套对抗量子计算机的算法也在计划中。

对此,张振峰表示,在抗量子密码算法和保障区块链系统安全体系方面,我国已有许多团队积极研究,未来有待进一步推进合作、加快形成共识、推动标准和体系的建立。

本文图片除注明外,均来自微信公共图片库

好了,关于忧虑!密码每天都用,却无法完全信任它就讲到这。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章