密碼是我們每個(gè)人幾乎天天都會(huì)用到的東西，但大多數(shù)人可能對(duì)其知之甚少。

　　根據(jù)我國(guó)法律規(guī)定，不屬于國(guó)家秘密的信息，都由“商用密碼”來守護(hù)。換句話說，普通人、法人和一般組織使用的密碼都是商用密碼。個(gè)人使用的手機(jī)、電腦、操作系統(tǒng)、網(wǎng)絡(luò)賬號(hào)……處處可見它的影子。

　　作為守護(hù)信息安全的最后一道屏障，商用密碼可不可靠，干系甚大。

　　在剛剛結(jié)束不久的全國(guó)兩會(huì)上，全國(guó)人大代表、南京郵電大學(xué)校長(zhǎng)葉美蘭告訴我們，如此量大面寬的存在，尚需獲得業(yè)界的廣泛重視。

　　葉美蘭說，“在我國(guó)，商用密碼的標(biāo)準(zhǔn)還不很豐富，我們現(xiàn)在大部分(使用的加密算法技術(shù))是國(guó)外的，這對(duì)于網(wǎng)絡(luò)強(qiáng)國(guó)是非常重要的”。她建議“國(guó)家在國(guó)產(chǎn)商用密碼體系的推進(jìn)上要高度重視、大力支持，這樣才能在密碼的領(lǐng)域里面、在‘卡脖子’技術(shù)上面能夠有所突破”。

　　“大國(guó)要有自己的密碼體系”

　　在今年全國(guó)兩會(huì)上，有全國(guó)人大代表談到“大國(guó)要有大算力，中國(guó)要構(gòu)筑自己的核心算力”。與之對(duì)應(yīng)的，中國(guó)理應(yīng)部署自主的密碼安全體系。

　　“大國(guó)要有自己的密碼體系�！敝袊�(guó)科學(xué)院軟件研究所研究員、可信計(jì)算與信息保障實(shí)驗(yàn)室主任張振峰告訴《中國(guó)科學(xué)報(bào)》，商用密碼應(yīng)用是一個(gè)復(fù)雜的系統(tǒng)工程，目前我國(guó)各類民用信息系統(tǒng)，除少數(shù)領(lǐng)域(如電力系統(tǒng))國(guó)產(chǎn)化程度較高外，大部分應(yīng)用存在著對(duì)外依賴的問題。

　　商用密碼使用國(guó)外密碼加密技術(shù)、算法、設(shè)備，是否存在隱患？答案幾乎是肯定的。

　　早在2007年，國(guó)際加密算法會(huì)議就指出，美國(guó)國(guó)家安全局(NSA)執(zhí)意加入NIST標(biāo)準(zhǔn)的算法，存在植入后門的可能；2013年，路透社爆料稱NSA收買了加密算法機(jī)構(gòu)RSA，并植入后門。

　　“這就相當(dāng)于，美國(guó)國(guó)安局有一把鑰匙，你的鎖如果用了它的鎖芯，它就可以隨意打開它，不管你鎖沒鎖�！币晃粯I(yè)內(nèi)人士告訴記者，這一行為極大地威脅了全世界各國(guó)的國(guó)家安全和商業(yè)機(jī)密安全，因此我國(guó)必須要造自己的加密算法，“中國(guó)鎖”配“中國(guó)鎖芯”，才能把國(guó)家安全掌握在自己手中。

　　近年來，云計(jì)算、大數(shù)據(jù)、區(qū)塊鏈、數(shù)字貨幣、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、人工智能等新一代信息技術(shù)不斷發(fā)展，安全問題也隨之愈加突出。張振峰說，尤其是網(wǎng)絡(luò)詐騙、隱私侵犯、數(shù)據(jù)泄露等相關(guān)熱點(diǎn)事件不斷發(fā)生，提醒著我們要對(duì)網(wǎng)絡(luò)安全愈加重視起來。

　　他介紹，目前我國(guó)商用密碼產(chǎn)品日益豐富、算法技術(shù)持續(xù)進(jìn)步，已經(jīng)形成了一套完整的國(guó)產(chǎn)密碼技術(shù)體系，有能力保障各類信息系統(tǒng)的安全性。下一步的關(guān)鍵，是如何推廣應(yīng)用的問題。

　　國(guó)產(chǎn)商密應(yīng)用面臨挑戰(zhàn)

　　信息顯示，截至2022年8月，我國(guó)現(xiàn)有商用密碼產(chǎn)品達(dá)到3000余款，其中2200余款產(chǎn)品取得商用密碼產(chǎn)品認(rèn)證證書，品類涵蓋了密碼芯片、密碼板卡、密碼整機(jī)、密碼系統(tǒng)等全產(chǎn)業(yè)鏈條；同時(shí)，由我國(guó)自主設(shè)計(jì)的橢圓曲線公鑰密碼算法SM2、雜湊算法SM3、分組密碼算法SM4、序列密碼算法ZUC、標(biāo)識(shí)密碼算法SM9等已經(jīng)成為國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)或密碼行業(yè)標(biāo)準(zhǔn)，標(biāo)志著我國(guó)商用密碼算法體系已經(jīng)基本形成。

　　“我國(guó)在商密領(lǐng)域有產(chǎn)品、有標(biāo)準(zhǔn)、成體系，但應(yīng)用仍然是難題。”張振峰向《中國(guó)科學(xué)報(bào)》解釋道，由于我國(guó)主導(dǎo)的密碼算法標(biāo)準(zhǔn)進(jìn)入市場(chǎng)較晚，面對(duì)著商用市場(chǎng)巨大的生態(tài)壁壘。此外，底層密碼算法的國(guó)產(chǎn)化替代，是一項(xiàng)龐大的系統(tǒng)工程，相關(guān)行業(yè)、市場(chǎng)的主動(dòng)性和驅(qū)動(dòng)力都有待深刻挖掘。

　　前述業(yè)內(nèi)人士告訴記者，我國(guó)已有的商密算法也存在一些問題，比如算法體系韌性不足、加密效率不高、監(jiān)管和標(biāo)準(zhǔn)機(jī)制不完善等，成為國(guó)產(chǎn)商密推廣應(yīng)用的道路上的“攔路虎”。

　　他指出，就算法體系韌性而言，目前我國(guó)的算法種類還不夠豐富，無法滿足不同場(chǎng)景的加密需求：“以同一標(biāo)準(zhǔn)作用到不同行業(yè)，就會(huì)影響到部分行業(yè)的生產(chǎn)效率。”

　　而從加密效率來看，最好的加密方式是讓加密和設(shè)備或者應(yīng)用本身充分結(jié)合起來，然而目前很多國(guó)產(chǎn)產(chǎn)品的加密方案采用的是“外置式”的方案——相當(dāng)于“鎖上加鎖”，導(dǎo)致系統(tǒng)性能低下。

　　另外，我國(guó)對(duì)國(guó)產(chǎn)商密使用的監(jiān)管和標(biāo)準(zhǔn)制定機(jī)制尚不成熟，存在著一些對(duì)國(guó)產(chǎn)商密真實(shí)使用情況判斷不準(zhǔn)確、許多關(guān)鍵基礎(chǔ)設(shè)施沒有納入使用考核范圍等現(xiàn)象。比如，在一些關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，有許多打著具有加密功能旗號(hào)的產(chǎn)品其實(shí)是“中國(guó)鎖外國(guó)芯”，內(nèi)部還是使用的國(guó)外的加密算法，難言真正的自主保護(hù)。

　　另外，他提到，我國(guó)現(xiàn)在只有一套普適性密碼技術(shù)應(yīng)用測(cè)評(píng)標(biāo)準(zhǔn)，缺乏對(duì)各個(gè)行業(yè)根據(jù)實(shí)際需求制定的國(guó)密應(yīng)用行標(biāo)，導(dǎo)致許多行業(yè)“鞋不對(duì)腳”，最終仍對(duì)國(guó)產(chǎn)替代的落地形成阻礙。

　　近憂未解，又添遠(yuǎn)慮

　　針對(duì)上述挑戰(zhàn)，相關(guān)人士建議，要通過國(guó)家職能部門牽引，聯(lián)合產(chǎn)學(xué)研三方相關(guān)機(jī)構(gòu)，共同推動(dòng)國(guó)產(chǎn)商密技術(shù)研發(fā)、交流和成果轉(zhuǎn)化，加強(qiáng)標(biāo)準(zhǔn)制定，保障我們不僅有“中國(guó)鎖芯”，還要讓“鎖芯”足夠豐富，滿足各行各業(yè)應(yīng)用；同時(shí)，要加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施商密應(yīng)用的考核與監(jiān)管，鼓勵(lì)應(yīng)用內(nèi)置加密方式，把更多符合條件的關(guān)鍵基礎(chǔ)設(shè)施產(chǎn)品納入到商用密碼產(chǎn)品認(rèn)證目錄中。此外，管理部門與各行業(yè)監(jiān)管部門、協(xié)會(huì)、權(quán)威產(chǎn)業(yè)聯(lián)盟，也應(yīng)共同建設(shè)各行各業(yè)的商密應(yīng)用標(biāo)準(zhǔn)，并參與國(guó)際標(biāo)準(zhǔn)制定。

　　如果說國(guó)產(chǎn)商密在當(dāng)前的應(yīng)用推廣中存在的問題是“近憂”，那么接下來要面臨的還有“遠(yuǎn)慮”。

　　張振峰告訴記者，近年來量子計(jì)算技術(shù)的進(jìn)步、區(qū)塊鏈技術(shù)等新興應(yīng)用的涌現(xiàn)，對(duì)傳統(tǒng)的密碼安全體系產(chǎn)生著巨大影響。下一代密碼技術(shù)能不能抵抗量子計(jì)算機(jī)的攻擊，能不能滿足區(qū)塊鏈系統(tǒng)各種新需求的應(yīng)用，考驗(yàn)著這一代“密碼人”的智慧。

　　盡管量子計(jì)算機(jī)尚未真正實(shí)現(xiàn)商業(yè)應(yīng)用，但對(duì)于這樣一把“萬能鑰匙”，我國(guó)對(duì)應(yīng)的“鎖”的研究相對(duì)滯后。2018年，中國(guó)密碼學(xué)會(huì)舉辦了一場(chǎng)針對(duì)性地算法競(jìng)賽，但后續(xù)并未啟動(dòng)標(biāo)準(zhǔn)制定等工作；對(duì)比之下，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院在該領(lǐng)域持續(xù)發(fā)力，并于2022年7月發(fā)布了4套算法標(biāo)準(zhǔn)，后續(xù)新增4套對(duì)抗量子計(jì)算機(jī)的算法也在計(jì)劃中。

　　對(duì)此，張振峰表示，在抗量子密碼算法和保障區(qū)塊鏈系統(tǒng)安全體系方面，我國(guó)已有許多團(tuán)隊(duì)積極研究，未來有待進(jìn)一步推進(jìn)合作、加快形成共識(shí)、推動(dòng)標(biāo)準(zhǔn)和體系的建立。