作者:奇安信行业安全研究中心主任 裴智勇
奇安信集团战略管理部高级研究员 乔思远
作为密码爱好者,我们对于10月26日十三届全国人大常委会第十四次会议审议通过的,即将于2020年1月1日开始实施的《中华人民共和国密码法》也是甚为关注。特此撰文,分享一些个人的理解,也算是做一点点科普。
什么是密码?
根据密码法(第二条)的法律定义:密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
其实,这个关于密码概念的定义,即是法律定义,也是业界公认的技术定义。这里有两个关键点,一个是密码的工作方法:特定的“变换”,一个是密码的作用:“加密保护”与“安全认证”。
因此,我们生活中在登录界面输入“密码”,以及人脸识别、指纹识别、声纹识别等生物识别技术,都不是真正的密码,它们只是“登录口令”,是某种特征的输入和匹配。而真正的密码则工作在这个过程的背后。在你“刷脸”的时候,以及系统存储你的面部特征信息的时候,系统都会用密码对这些信息进行加密,以保护你的身份特征信息不被黑客窃取。
密码分几类?
密码法根据应用场景和加密强度的要求,把密码范围三类(第六条、第七条):
核心密码、普通密码和商用密码。
其中核心密码、普通密码都是用于保护国家秘密信息的密码。核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。而商用密码则是用于保护不属于国家秘密的信息的密码,用于保护公民、法人和其他组织的信息安全。
特别的,普通密码其实一点都不普通。这个名字只不过是业界的一种通行叫法而已。而且,密码法还明确说明:核心密码、普通密码属于国家秘密。
哪些行为属于与密码相关的违法犯罪行为?
密码法主要规定了三种情形(第十二条)属于与密码相关的犯罪:
一、窃取他人加密保护的信息。
二、非法侵入他人的密码保障系统。
三、利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。
例如,制作勒索病毒、加密传播木马病毒及各类不法信息,都属于第三种情形。
做密码工作是否需要持证上岗?
一般不用。但如果要做核心密码和普通密码,就需要“持证上岗”了。
密码法(第十八条)规定:国家建立适应核心密码、普通密码工作需要的人员录用、选调、保密、考核、培训、待遇、奖惩、交流、退出等管理制度。
生产和销售密码产品,是否必须经过检测认证?
这个问题,简单的说就是:生产者自愿,但使用领域受限。
根据密码法(第二十五条)要求:国家鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。但法律对此并不强求。
同时密码法(第二十六条)也要求:涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。
企业、行业可以自定密码标准吗?
可以。
根据密码法《第二十二条》规定,密码即有国家标准,也可以有行业标准,同时,在商用密码领域,国家还支持社会团体、企业制定高于国家标准、行业标准的团体标准、企业标准。
外商必须使用中国密码吗?国产密码在外国能用吗?
在除关键信息基础设施之外的一般商用领域,使用什么密码是企业的自由,外商和国内企业一视同仁。同时,国产密码也在走向国际化。例如,SM2、SM3、SM4、SM9、祖冲之序列密码算法等国产密码算法,已经成为国际标准,或者获得国际标准提案立项。
密码法(第二十一条)要求有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。
同时,密码法(第二十三条)还指出:国家推动参与商用密码国际标准化活动,参与制定商用密码国际标准,推进商用密码中国标准与国外标准之间的转化运用。
密码也能进出口吗?
能,但有限制。
根据密码法(第二十八条)要求:对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。但是,大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
声明:本文来自奇安信集团,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。