憂慮！密碼每天都用，卻無法完全信任它

密碼是我們每個人幾乎天天都會用到的東西，但大多數人可能對其知之甚少。

根據我國法律規定，不屬于國家秘密的信息，都由“商用密碼”來守護。換句話說，普通人、法人和一般組織使用的密碼都是商用密碼。個人使用的手機、電腦、操作系統、網絡賬號……處處可見它的影子。

作為守護信息安全的最后一道屏障，商用密碼可不可靠，干系甚大。

在剛剛結束不久的全國兩會上，全國人大代表、南京郵電大學校長葉美蘭告訴我們，如此量大面寬的存在，尚需獲得業界的廣泛重視。

葉美蘭說，“在我國，商用密碼的標準還不很豐富，我們現在大部分（使用的加密算法技術）是國外的，這對于網絡強國是非常重要的”。她建議“國家在國產商用密碼體系的推進上要高度重視、大力支持，這樣才能在密碼的領域里面、在‘卡脖子’技術上面能夠有所突破”。

“大國要有自己的密碼體系”

在今年全國兩會上，有全國人大代表談到“大國要有大算力，中國要構筑自己的核心算力”。與之對應的，中國理應部署自主的密碼安全體系。

“大國要有自己的密碼體系。”中國科學院軟件研究所研究員、可信計算與信息保障實驗室主任張振峰告訴《中國科學報》，商用密碼應用是一個復雜的系統工程，目前我國各類民用信息系統，除少數領域（如電力系統）國產化程度較高外，大部分應用存在著對外依賴的問題。

商用密碼使用國外密碼加密技術、算法、設備，是否存在隱患？答案幾乎是肯定的。

早在2007年，國際加密算法會議就指出，美國國家安全局（NSA）執意加入NIST標準的算法，存在植入后門的可能；2013年，路透社爆料稱NSA收買了加密算法機構RSA，并植入后門。

“這就相當于，美國國安局有一把鑰匙，你的鎖如果用了它的鎖芯，它就可以隨意打開它，不管你鎖沒鎖。”一位業內人士告訴記者，這一行為極大地威脅了全世界各國的國家安全和商業機密安全，因此我國必須要造自己的加密算法，“中國鎖”配“中國鎖芯”，才能把國家安全掌握在自己手中。

近年來，云計算、大數據、區塊鏈、數字貨幣、物聯網、車聯網、人工智能等新一代信息技術不斷發展，安全問題也隨之愈加突出。張振峰說，尤其是網絡詐騙、隱私侵犯、數據泄露等相關熱點事件不斷發生，提醒著我們要對網絡安全愈加重視起來。

他介紹，目前我國商用密碼產品日益豐富、算法技術持續進步，已經形成了一套完整的國產密碼技術體系，有能力保障各類信息系統的安全性。下一步的關鍵，是如何推廣應用的問題。

“我國在商密領域有產品、有標準、成體系，但應用仍然是難題。”張振峰向《中國科學報》解釋道，由于我國主導的密碼算法標準進入市場較晚，面對著商用市場巨大的生態壁壘。此外，底層密碼算法的國產化替代，是一項龐大的系統工程，相關行業、市場的主動性和驅動力都有待深刻挖掘。

前述業內人士告訴記者，我國已有的商密算法也存在一些問題，比如算法體系韌性不足、加密效率不高、監管和標準機制不完善等，成為國產商密推廣應用的道路上的“攔路虎”。

他指出，就算法體系韌性而言，目前我國的算法種類還不夠豐富，無法滿足不同場景的加密需求：“以同一標準作用到不同行業，就會影響到部分行業的生產效率。”

而從加密效率來看，最好的加密方式是讓加密和設備或者應用本身充分結合起來，然而目前很多國產產品的加密方案采用的是“外置式”的方案——相當于“鎖上加鎖”，導致系統性能低下。

另外，我國對國產商密使用的監管和標準制定機制尚不成熟，存在著一些對國產商密真實使用情況判斷不準確、許多關鍵基礎設施沒有納入使用考核范圍等現象。比如，在一些關鍵基礎設施領域，有許多打著具有加密功能旗號的產品其實是“中國鎖外國芯”，內部還是使用的國外的加密算法，難言真正的自主保護。

另外，他提到，我國現在只有一套普適性密碼技術應用測評標準，缺乏對各個行業根據實際需求制定的國密應用行標，導致許多行業“鞋不對腳”，最終仍對國產替代的落地形成阻礙。

谷歌量子計算機 圖源：谷歌

如果說國產商密在當前的應用推廣中存在的問題是“近憂”，那么接下來要面臨的還有“遠慮”。

張振峰告訴記者，近年來量子計算技術的進步、區塊鏈技術等新興應用的涌現，對傳統的密碼安全體系產生著巨大影響。下一代密碼技術能不能抵抗量子計算機的攻擊，能不能滿足區塊鏈系統各種新需求的應用，考驗著這一代“密碼人”的智慧。

盡管量子計算機尚未真正實現商業應用，但對于這樣一把“萬能鑰匙”，我國對應的“鎖”的研究相對滯后。2018年，中國密碼學會舉辦了一場針對性地算法競賽，但后續并未啟動標準制定等工作；對比之下，美國國家標準與技術研究院在該領域持續發力，并于 2022年7月發布了4套算法標準，后續新增4套對抗量子計算機的算法也在計劃中。

對此，張振峰表示，在抗量子密碼算法和保障區塊鏈系統安全體系方面，我國已有許多團隊積極研究，未來有待進一步推進合作、加快形成共識、推動標準和體系的建立。

本文圖片除注明外，均來自微信公共圖片庫