忧虑！密码每天都用，却无法完全信任它

密码是我们每个人几乎天天都会用到的东西，但大多数人可能对其知之甚少。

根据我国法律规定，不属于国家秘密的信息，都由“商用密码”来守护。换句话说，普通人、法人和一般组织使用的密码都是商用密码。个人使用的手机、电脑、操作系统、网络账号……处处可见它的影子。

作为守护信息安全的最后一道屏障，商用密码可不可靠，干系甚大。

在刚刚结束不久的全国两会上，全国人大代表、南京邮电大学校长叶美兰告诉我们，如此量大面宽的存在，尚需获得业界的广泛重视。

叶美兰说，“在我国，商用密码的标准还不很丰富，我们现在大部分（使用的加密算法技术）是国外的，这对于网络强国是非常重要的”。她建议“国家在国产商用密码体系的推进上要高度重视、大力支持，这样才能在密码的领域里面、在‘卡脖子’技术上面能够有所突破”。

“大国要有自己的密码体系”

在今年全国两会上，有全国人大代表谈到“大国要有大算力，中国要构筑自己的核心算力”。与之对应的，中国理应部署自主的密码安全体系。

“大国要有自己的密码体系。”中国科学院软件研究所研究员、可信计算与信息保障实验室主任张振峰告诉《中国科学报》，商用密码应用是一个复杂的系统工程，目前我国各类民用信息系统，除少数领域（如电力系统）国产化程度较高外，大部分应用存在着对外依赖的问题。

商用密码使用国外密码加密技术、算法、设备，是否存在隐患？答案几乎是肯定的。

早在2007年，国际加密算法会议就指出，美国国家安全局（NSA）执意加入NIST标准的算法，存在植入后门的可能；2013年，路透社爆料称NSA收买了加密算法机构RSA，并植入后门。

“这就相当于，美国国安局有一把钥匙，你的锁如果用了它的锁芯，它就可以随意打开它，不管你锁没锁。”一位业内人士告诉记者，这一行为极大地威胁了全世界各国的国家安全和商业机密安全，因此我国必须要造自己的加密算法，“中国锁”配“中国锁芯”，才能把国家安全掌握在自己手中。

近年来，云计算、大数据、区块链、数字货币、物联网、车联网、人工智能等新一代信息技术不断发展，安全问题也随之愈加突出。张振峰说，尤其是网络诈骗、隐私侵犯、数据泄露等相关热点事件不断发生，提醒着我们要对网络安全愈加重视起来。

他介绍，目前我国商用密码产品日益丰富、算法技术持续进步，已经形成了一套完整的国产密码技术体系，有能力保障各类信息系统的安全性。下一步的关键，是如何推广应用的问题。

“我国在商密领域有产品、有标准、成体系，但应用仍然是难题。”张振峰向《中国科学报》解释道，由于我国主导的密码算法标准进入市场较晚，面对着商用市场巨大的生态壁垒。此外，底层密码算法的国产化替代，是一项庞大的系统工程，相关行业、市场的主动性和驱动力都有待深刻挖掘。

前述业内人士告诉记者，我国已有的商密算法也存在一些问题，比如算法体系韧性不足、加密效率不高、监管和标准机制不完善等，成为国产商密推广应用的道路上的“拦路虎”。

他指出，就算法体系韧性而言，目前我国的算法种类还不够丰富，无法满足不同场景的加密需求：“以同一标准作用到不同行业，就会影响到部分行业的生产效率。”

而从加密效率来看，最好的加密方式是让加密和设备或者应用本身充分结合起来，然而目前很多国产产品的加密方案采用的是“外置式”的方案——相当于“锁上加锁”，导致系统性能低下。

另外，我国对国产商密使用的监管和标准制定机制尚不成熟，存在着一些对国产商密真实使用情况判断不准确、许多关键基础设施没有纳入使用考核范围等现象。比如，在一些关键基础设施领域，有许多打着具有加密功能旗号的产品其实是“中国锁外国芯”，内部还是使用的国外的加密算法，难言真正的自主保护。

另外，他提到，我国现在只有一套普适性密码技术应用测评标准，缺乏对各个行业根据实际需求制定的国密应用行标，导致许多行业“鞋不对脚”，最终仍对国产替代的落地形成阻碍。

谷歌量子计算机 图源：谷歌

如果说国产商密在当前的应用推广中存在的问题是“近忧”，那么接下来要面临的还有“远虑”。

张振峰告诉记者，近年来量子计算技术的进步、区块链技术等新兴应用的涌现，对传统的密码安全体系产生着巨大影响。下一代密码技术能不能抵抗量子计算机的攻击，能不能满足区块链系统各种新需求的应用，考验着这一代“密码人”的智慧。

尽管量子计算机尚未真正实现商业应用，但对于这样一把“万能钥匙”，我国对应的“锁”的研究相对滞后。2018年，中国密码学会举办了一场针对性地算法竞赛，但后续并未启动标准制定等工作；对比之下，美国国家标准与技术研究院在该领域持续发力，并于 2022年7月发布了4套算法标准，后续新增4套对抗量子计算机的算法也在计划中。

对此，张振峰表示，在抗量子密码算法和保障区块链系统安全体系方面，我国已有许多团队积极研究，未来有待进一步推进合作、加快形成共识、推动标准和体系的建立。

本文图片除注明外，均来自微信公共图片库