《中华人民共和国密码法》(以下简称《密码法》)已于2019年10月颁布,其中对一些常用密码领域的概念进行了规范,现结合工作实际作一些梳理和辨析。
密码 口令
《密码法》中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。密码的主要功能有两个,一个是加密保护,另一个是安全认证。
加密保护就是将明文变成密文。例如,古希腊军队使用一种叫作“斯巴达棒”的圆木棍来进行加密通信,使用方法是:把一根长带状羊皮纸缠绕在圆木棍上,然后在上面写字;解下羊皮纸后,上面只有乱序的字符,只有再次以同样的方式缠绕到同样粗细的木棍上,才能看出所写的内容。
安全认证就是确认主体和信息的真实可靠性。例如,增值税防伪税控系统采用商用密码技术保护涉税信息,增值税发票信息经密码算法进行加解密处理,确定该发票的明文信息是否真实,从而遏制增值税犯罪,减少税款流失。
人们日常接触的计算机或手机开机“密码”、微信“密码”、QQ“密码”、电子邮箱登录“密码”、银行卡支付“密码”等,实际上是口令(Password)。口令是进入个人计算机、手机、电子邮箱或银行账户的“通行证”,是一种简单、初级的身份认证手段,是最简易的密码。
密码技术 密码产品 密码服务
根据《密码法》规定,密码的管理对象包括密码技术、密码产品和密码服务。
密码技术,是采用特定变换的方法对信息等进行加密保护、安全认证的技术,包括密码编码、实现、分析等技术。我国自主研制的SM4分组密码算法、SM2公钥密码算法等是典型的密码技术。
密码产品,是承载密码技术、实现密码功能的实体,包括密码机、密码芯片和模块等。日常生活中常见的第二代居民身份证、智能电卡、社会保障卡中使用的密码芯片,网上银行专用的U盾、电子密码器、动态令牌等,就是典型的密码产品。
密码服务,是基于密码技术和产品,实现密码功能,提供密码保障的行为,包括密码保障系统集成、密码保障系统运营等。数字证书认证系统集成、增值税发票防伪税控系统运营等是典型的密码服务。
核心密码 普通密码 商用密码
《密码法》根据保护对象的不同,将密码分为核心密码、普通密码和商用密码,实行分类管理。
核心密码、普通密码用于保护国家秘密信息,有力保障了中央政令军令安全,为维护国家网络空间主权、安全和发展利益构筑起密码屏障。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息。
核心密码、普通密码属于国家秘密,密码管理部门依法对核心密码、普通密码实行严格统一管理,针对核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等各个环节制定了一系列严格的安全管理制度和保密措施,对核心密码、普通密码实行全生命周期的严格统一管理。
商用密码用于保护不属于国家秘密的信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。也就是说,商用密码可以用于保护除国家秘密之外的所有信息,既可以保护企业商业秘密、公民个人隐私,也可以保护政务领域中不属于国家秘密的工作信息。
目前,商用密码已经广泛应用于国民经济发展和社会生产生活的方方面面,涵盖金融和通信、公安、税务、社保、交通、卫生健康、能源、电子政务等重要领域,积极服务“互联网+”行动计划、智慧城市和大数据战略,以及物联网、人工智能、区块链等新技术应用,在维护国家安全,促进经济社会发展,保护公民、法人和其他组织合法权益方面发挥着重要作用。
三类密码保护的对象不同,对其进行明确划分,有利于确保密码安全保密,有利于密码管理部门根据不同信息等级和使用对象,对密码实行科学管理,充分发挥三类密码保护网络与信息安全的核心支撑作用。
商用密码检测 商用密码认证
根据《中华人民共和国认证认可条例》及相关规定,商用密码检测包括商用密码产品检测和网络与信息系统商用密码应用安全性评估,是指依据商用密码标准或者技术规范,利用仪器设备、环境设施等技术条件和专业技能,对商用密码进行检验测定的专业技术活动,比如对密码机等商用密码产品的密码功能及安全性进行检测。
商用密码认证是指由商用密码认证机构通过型式试验、工厂检查和相关资料信息综合评价等方式,证明商用密码产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动,比如对密码机等商用密码产品是否符合相关商用密码标准进行认证。对符合认证要求的,出具认证证书并允许使用认证标志。
商用密码检测结果是商用密码认证机构作出认证结论的重要依据。
(作者:国家密码管理局政策法规室)