在介紹密碼系統(tǒng)的安全性定義之前,回顧歷史上的各個加密方法以及對其進行破解的一些故事,就可以發(fā)現(xiàn)密碼學中“攻”與“防”的一些特點。
第一次世界大戰(zhàn)期間雅德利破解蘇聯(lián)間諜密信時,通過一些特征就判斷出密信使用了移位密碼,但在此之后仍通過了大量努力才破解了該密碼。我國兵書《武經(jīng)總要》中所提到的“字驗"加密方式,雖然人人通過閱讀兵書都知道這種加密方法的具體方式,但不知道將帥之間使用的是哪首詩的時候也仍然無法破解該密碼。第二次世界大戰(zhàn)期間對德國“隱謎”密碼打字機的破解,即便從戰(zhàn)場上截獲了打字機本身,或是通過間諜資料推斷出了打字機的具體結(jié)構(gòu),但在不知道其每天密鑰的情況下,極難破解當天的密電。這些故事都反映出兩個特點:① 密碼系統(tǒng)的基本原理是無法做到完全保密的;② 密碼系統(tǒng)即便原理被竊聽者所熟知,但只要密鑰未知,它就難以被破解。
這兩個特點就是密碼學研究中所遵循的“科考夫原則"(Kerckhoffs's Principle),是由19世紀荷蘭語言和密碼學家科考夫(Auguste Kerckhoffs,1835-1903)首先總結(jié)提出的(其有兩種常見表述方式)。
科考夫原則受到密碼學家的推崇。一方面是因為它非常符合事實,世上沒有不透風的墻,竊聽者總可以通過各種手段得到一個密碼系統(tǒng)的設(shè)計原理。而如果一個密碼系統(tǒng)的安全性依賴于系統(tǒng)設(shè)計的保密性,那么當具體設(shè)計原理被竊聽者所知之后,對密碼系統(tǒng)就需要做完全的更換,其時間成本和資源消耗都是巨大的;但如果一個密碼系統(tǒng)的安全性僅依賴于密鑰,那么當密鑰被竊聽者得知之后,只需及時更改密鑰即可。當然,密鑰的安全變更也不是一件容易的事情,但比起設(shè)計一個全新的密碼系統(tǒng)要簡單很多。另一方面,如果一個密碼系統(tǒng)的設(shè)計原理是公開的且其安全性只和密鑰有關(guān),那么就意味著設(shè)計者難以在密碼系統(tǒng)中留下“后門”,購買該系統(tǒng)的用戶就可以放心地使用。這符合用戶的需求,故可稱為可信的密碼系統(tǒng)。
科考夫原則
表述一:一個密碼系統(tǒng)的設(shè)計不應當是保密的,其原理與細節(jié)應當是公開的。
表述二:一個密碼系統(tǒng)哪怕它的一切有關(guān)信息均是公開的,但只要其密鑰是隱秘的.它就應當是安全的。
根據(jù)科考夫原則設(shè)計出來的密碼系統(tǒng),其安全性只依賴于密鑰是否保密,而不依賴于系統(tǒng)設(shè)計原理的保密性。因此,竊聽者的核心任務(wù)就是如何破解密鑰。比如利用詞頻統(tǒng)計分析來破解單表替換加密法,就是要得出字母替換表這一密鑰:再比如破解“隱謎''密碼打字機,不論是波蘭還是英國,其主要任務(wù)是破解當天使用的包括轉(zhuǎn)輪位置和插孔板連線方式在內(nèi)的初始設(shè)定,即當天的密鑰。
在科考夫原則的基礎(chǔ)上,關(guān)于密碼系統(tǒng)的安全性有以下三個常用的準則:
計算安全性(Computational Security)
如果使用最好的破算法來破解該密碼系統(tǒng)至少要N次運算,則該密碼統(tǒng)是計算安全的。當N遠大于某竊聽者所能調(diào)用的全部計算能力時,則可稱該密碼系統(tǒng)對該竊聽者是具有計安全性的
可證明安全性(Provable Security)
如果破解某密碼系統(tǒng)等價于求解某一經(jīng)過深入研究的困難(數(shù)學)問題時,就認為該密碼系統(tǒng)的安全性與該(數(shù)學)問題是高度相關(guān)的
無條件安全性(UnconditionalSecuritY)
即便給予竊聽者以無限的計算資源,其利用某破算法也不能破解某密碼系統(tǒng),則稱該密碼系統(tǒng)對該破譯算法是無條件安全的。如果一個密碼系統(tǒng)對任何破譯算法都是無條件安全的,則稱其具有無條件安全性。
計算安全性是從破解一個密碼系統(tǒng)在計算上所需做出的努力來衡量的,需要消耗的計算資源越高,就意味著破解的用時越長,系統(tǒng)的“安全性"就越高。從計算安全性的定義可以發(fā)現(xiàn)其存在如下問題:對當下使用的現(xiàn)代密碼系統(tǒng)來講,基本無法給出其“最好的破譯算法”,通常都是在當前已公開的破譯算法中尋找最優(yōu)的一個,未公開的或者未來可能出現(xiàn)的更為“天才”的算法是無法考慮在內(nèi)的。因此,計算安全性只有相對意義,并沒有絕對意義。另一個計算安全性的問題是:隨著計算技術(shù)的發(fā)展,現(xiàn)在安全的系統(tǒng)以后可能就不再安全了。比較典型的例子是DES加密系統(tǒng),由于其密鑰長度僅有56bit,到1999年的時候僅需要22h就可以攻破。
可證明安全性是將密碼系統(tǒng)的安全性等價為另一個問題,即從歸納的角度來說明一個密碼系統(tǒng)的安全性。但是另一個問題是否具有足夠的安全性還需要再考察,比如"RSA方法”就被證明與"ECC方法”是等價的,兩者要么同時安全,要么同時被攻破。可證明安全性比較理想的應用是,證明破解一個密碼系統(tǒng)將會等價于求解某類NP完全問題。
無條件安全性是非常強的一種安全性定義,其直接賦予竊聽者以無限的計算資源,且根據(jù)科考夫原則竊聽者對所使用密碼系統(tǒng)的設(shè)計原理也是了若指掌的,因此是凌駕于計算安全性之上的。
上面定義的密碼系統(tǒng)安全性除了和破譯算法相關(guān),實際上還和竊聽者可掌握的明文、密文資源有關(guān),因為其會影響到破譯算法的選擇。實際情況下根據(jù)竊聽者所能掌握的資源,可將針對密碼系統(tǒng)的攻擊分為:
唯密文攻擊(Ciphertext Only Attack):竊聽者只能得到密文。這對竊聽者是最不利的一類情況。比如戰(zhàn)爭中竊聽到的無線密電。
已知明文攻擊(Known Plaintext Attack):竊聽者除得到的密文外,還可以得到一些明文一密文對。比如第二次世界大戰(zhàn)中德軍的密電格式比較“死板”,長密電分為兩段時,第二份密電的開頭總會發(fā)送上一份密電發(fā)送時的“時間信息”。
選擇明文攻擊(Chosen Plaintext Attack):竊聽者除得到的密文外,還可以指定一些明文,并會得到相應的密文。比如利用圖靈的Crib方法破解“隱謎”密碼打字機時,所常采用的“種花”方法。
選擇密文攻擊(Chosen Ciphertext Attack):竊聽者除得到的密文外,還可以指定一些密文,并會得到相應的明文。
同樣的密碼系統(tǒng)在以上各種不同攻擊條件下也會選擇不同的算法。但不論在哪種攻擊方式下都存在一種破譯算法:暴力破解算法,或者稱為窮盡密鑰搜索算法。其通過遍歷全部可能的密鑰來判斷當前所使用的密鑰是什么。面對窮盡密鑰搜索算法,最簡單的抵御方式就是增加密鑰長度,使得待搜索密鑰的個數(shù)增加,這樣,暴力破解所需要的時間就會呈指數(shù)型增長。與之等價,對于同樣長的密鑰,密文越短,密碼系統(tǒng)的安全性就越高。
在此思想基礎(chǔ)上:可以給出在密文足夠短的情況下,在唯密文攻擊條件下具有無條件安全性的密碼系統(tǒng)的數(shù)學定義。首先需要說明的是,密文足夠短(或等價的,密鑰足夠長)不僅是指某一次加密時所產(chǎn)生的密文足夠短,而是應用同一個密鑰所得到的全部密文累積在一起要足夠短,不論是分多少次進行的加密均要計入。其次需要強調(diào)的是,一般而言,竊聽者攻擊密碼系統(tǒng)的目的是獲取密鑰信息,或者獲取明文信息。我們知道,在竊聽者沒有獲得任何關(guān)于密碼系統(tǒng)的信息時,通信雙方可能使用的密鑰以及可能發(fā)送的明文對它而言都是等概率分布的。因此,如果竊聽者獲取了一定量的關(guān)于密碼系統(tǒng)的信息,但基于這些信息,其仍然判斷密鑰和明文的后驗概率仍是等概率的,則在這些信息下系統(tǒng)將是安全的。
唯密文攻擊是密碼攻擊中最為常見的一種攻擊,因為傳輸在網(wǎng)絡(luò)(不安全信道)中的所有數(shù)據(jù)都是可以被復制的。在唯密文攻擊下具有安全性也是一個安全密碼系統(tǒng)最基本的要求,在這種攻擊下,竊聽者掌握的關(guān)于密碼系統(tǒng)的信息就只有密文本身。如果竊聽者在已知密文y的情況下,判斷密鑰K和明文x的后驗概率仍是等概率的,則該密碼系統(tǒng)對于唯密文攻擊就是安全的,可以稱其具有完善保密性(Perfect Secrecy)。其更為嚴格的定義如下:
定義1 完善保密性 如果一個密碼系統(tǒng)滿足:對于任意的明文x ? P和密文y ? C,均有Pr?[x|y]=Pr?[x],即給定密文y,明文x的先驗概率和后驗概率是相等的,則該密碼系統(tǒng)具有完善保密性。
對于上述定義中的概率相等判定條件,應用貝葉斯(Bayes)定理不難得出其等價于:對于任意的明文x ? P和密文y ? C,均有有Pr?[x│y]=Pr?[x]。此條件意味著對于某一固定的明文x,任一密文y,明都至少存在一個密鑰K,使得x可被加密成為y。又考慮到加密函數(shù)是一個單射函數(shù),則密鑰的個數(shù)應當不少于密文的個數(shù),即|K|?|C|由于解密函數(shù)同樣是單射函數(shù),因此密文的個數(shù)應當不少于明文的個數(shù),即|C?|P|。綜合有|K|?|C|?|P|,即密鑰的個數(shù)應當不少于明文的個數(shù)。從二進制數(shù)據(jù)來看,就意味著加密的密鑰長度至少應當?shù)扔诿魑牡拈L度。換言之,每當使用與明文等長的密鑰進行加密后,該密鑰就應當被舍棄,下一次加密需要使用新的密鑰。這種特性被形象地稱為“一次一密”。
香農(nóng)曾指出,在任何攻擊條件下都具有無條件安全性的密碼系統(tǒng)唯有“一次一密"密碼系統(tǒng)。定義2給出了一種最為通用的“一次一密"密碼系統(tǒng)的定義。
定義2 “一次一密”密碼系統(tǒng) 設(shè)明文長度n?1,明文空間、密文空間和密鑰空間滿足P=C=K=(Z_2 )^n。設(shè)明文x=(x_(1,) x_(2,)…,x_n ),密鑰y=eK(x)=(x_1⊕K_(1,) x_2⊕K_(2,)…,x_n⊕K_n ),解密操作dK(y)定義為x=dK(y)=(y_1⊕K_(1,) y_2⊕K_(2,)…,y_n⊕K_n ),其中⊕是異或操作,密鑰K的選取是完全隨機的,且始終保證和明文一樣長。
在“一次一密”密碼系統(tǒng)中,要求使用的對稱密鑰長度始終和明文一樣長,且是完全隨機的,那么即便知道了部分密鑰,也無法用、破解其他部分的密文。其無條件安全性很好理解:因為使用同一密鑰得到的密文只出現(xiàn)一次,在不知道明文的情況下任何算法也無法破解出密鑰;且山于該密鑰只使用一次,因此即便得到了密鑰對其他未破譯的密文來講也是無用的。“一次一密"密碼系統(tǒng)雖然安全性很高,但是其在現(xiàn)實中并不實用。主要是其對密鑰的消耗太大,通信雙方必須在進行保密通信前通過安全的手段共享一個與明文等長的密鑰,這本身就和保密的傳輸同樣長的明文一樣困難。
因此,在現(xiàn)代密碼學中,所使用的密碼系統(tǒng)都是利用較短的密鑰,通過復雜的算法加密較長的明文,換言之如果通過部分明、密文獲得了密鑰,那么對其他密文將會造成致命的威脅。而由于不論在什么情況下都存在窮盡密鑰搜索算法,因此現(xiàn)代密碼系統(tǒng)不論是對稱還是非對稱密碼系統(tǒng),都只有計算安全性,只能保證密鑰在一定時間內(nèi)的安全性。且隨著新破譯算法的不斷提出,對其破解用時也會越來越短,或許某天某個“天才”設(shè)計的破譯算法就能極大地縮短破解用時。比如1994年提出的基于量子計算的"Shor算法”就是針對"RSA方法”的有效破譯算法。
針對這一情況,研究者們提出了新一代的密碼系統(tǒng)一量子密碼系統(tǒng)(易科騰小編注:即基于量子密鑰分發(fā)的密碼系統(tǒng)),使用物理的手段來保證信息的安全。
【注】:本文編選自“十二五”國家重點出版規(guī)劃項目,現(xiàn)代激光技術(shù)及應用叢書《量子密碼》(郭弘、李政宇、彭翔 編著,國防工業(yè)出版社)1.3章節(jié)
文章來源于國家密碼管理局官網(wǎng)【信息公開 / 政策法規(guī) / 政策解讀】專欄,持續(xù)更新中
1.問:《密碼法》施行后,商用密碼產(chǎn)品的管理方式有什么變化?
答:根據(jù)《密碼法》第二十五條、第二十六條的規(guī)定,商用密碼產(chǎn)品管理方式將由行政審批調(diào)整為檢測認證管理,國家密碼管理局不再實施“商用密碼產(chǎn)品品種和型號審批”。市場監(jiān)管總局會同國家密碼管理局建立國家統(tǒng)一推行的商用密碼認證制度,采取支持措施,鼓勵商用密碼產(chǎn)品獲得認證。對列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄的商用密碼產(chǎn)品實施強制性檢測認證,由具備資質(zhì)的機構(gòu)檢測認證合格后,方可銷售或者提供。
2.問:《密碼法》施行后,已發(fā)放的《商用密碼產(chǎn)品型號證書》是否仍然有效?
答:《密碼法》施行后,市場監(jiān)管總局將會同國家密碼管理局建立國家統(tǒng)一推行的商用密碼認證制度,國家密碼管理局將不再受理商用密碼產(chǎn)品品種和型號申請,停止發(fā)放《商用密碼產(chǎn)品型號證書》,已發(fā)放的《商用密碼產(chǎn)品型號證書》自2020年7月1日起自動失效。本著便民利企原則,對于在有效期內(nèi)的《商用密碼產(chǎn)品型號證書》,持證單位可于2020年6月30日前自愿申請轉(zhuǎn)換國推商用密碼產(chǎn)品認證證書,換發(fā)的認證證書有效期與原《商用密碼產(chǎn)品型號證書》有效期保持一致。同時,為方便證書轉(zhuǎn)換,持證單位可向所在地省(區(qū)、市)密碼管理部門提交轉(zhuǎn)換認證申請。
3.問:《密碼法》施行后,尚未完成商用密碼產(chǎn)品品種和型號審批的產(chǎn)品應該如何處理?
答:本著便民利企原則,對于尚未完成商用密碼產(chǎn)品品種和型號審批的,原產(chǎn)品品種和型號申請單位可于2020年6月30日前,自愿轉(zhuǎn)為認證申請;審批期間已經(jīng)開展的審查及檢測,認證機構(gòu)不再重復審查、檢測,切實減輕申請單位負擔,簡化辦事流程。
4.問:《密碼法》施行后,如何向具備資質(zhì)的商用密碼認證機構(gòu)提交認證申請?
答:市場監(jiān)管總局、國家密碼管理局正在抓緊制定國推商用密碼認證的產(chǎn)品目錄、認證規(guī)則和有關(guān)實施要求。待相關(guān)內(nèi)容發(fā)布后,自認證規(guī)則實施之日起,商用密碼從業(yè)單位便可自愿向具備資質(zhì)的商用密碼認證機構(gòu)提交認證申請。有關(guān)認證的適用范圍、申請受理、基本流程、證書管理等內(nèi)容將在認證規(guī)則中予以明確。
5.問:《密碼法》施行后,商用密碼進出口有哪些管理要求?
答:根據(jù)《密碼法》第二十八條的規(guī)定,《密碼法》施行后,商用密碼進出口將納入兩用物項進出口管理,由商務(wù)部、國家密碼管理局依法實施進口許可和出口管制。商務(wù)部、國家密碼管理局、海關(guān)總署正在抓緊制定商用密碼進口許可清單和出口管制清單。清單公布實施前,商用密碼進出口暫時按照目前公布的許可條件和程序?qū)嵤┻M出口許可管理,保持現(xiàn)行工作方式不變。詳見國家密碼管理局、商務(wù)部、海關(guān)總署第38號公告。
6.問:《密碼法》中“密碼”的概念是什么?
答:《密碼法》中的密碼(cryptography),是指采用特定變換的方法對信息等進行加密保護、安全認證的技術(shù)、產(chǎn)品和服務(wù)。而人們?nèi)粘=佑|的計算機或手機開機“密碼”、微信“密碼”、QQ“密碼”、電子郵箱登錄“密碼”、銀行卡支付“密碼”等,實際上是口令(password)。口令是進入個人計算機、手機、電子郵箱或銀行賬戶的“通行證”,是一種簡單、初級的身份認證手段,“口令”不在《密碼法》的管理范圍之內(nèi)。
7.問:《密碼法》有什么樣的法律地位?
答:密碼是國家重要戰(zhàn)略資源,是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐。密碼工作是黨和國家的一項特殊重要工作,直接關(guān)系國家政治安全、經(jīng)濟安全、國防安全和信息安全,在我國革命、建設(shè)、改革各個歷史時期,都發(fā)揮了不可替代的重要作用。進入新時代,以習近平同志為核心的黨中央堅持總體國家安全觀,在完善國家安全體系的總體布局中對加強密碼工作和密碼立法作出了重要部署。
《密碼法》是我國國家安全法律制度體系的重要組成部分,是密碼領(lǐng)域的綜合性、基礎(chǔ)性法律,也是一部技術(shù)性、專業(yè)性較強的專門法律。《密碼法》以法律的形式明確了黨管密碼的根本原則,確立了密碼工作領(lǐng)導和管理體制,明確了密碼分類管理原則以及核心密碼、普通密碼、商用密碼管理的各項制度措施,為保障網(wǎng)絡(luò)與信息安全,維護國家安全、社會公共利益,以及公民、法人和其他組織的合法權(quán)益提供了堅實有力的法律保障,為構(gòu)建系統(tǒng)完備、科學規(guī)范、運行高效的密碼法律制度體系奠定了基礎(chǔ)。
8.問:《密碼法》的立法目的是什么?
答:一、規(guī)范密碼應用和管理,促進密碼事業(yè)發(fā)展
目前,有關(guān)部門、單位和社會公眾對密碼的作用認識不夠全面,使用密碼保護網(wǎng)絡(luò)與信息安全的意識還不夠強,特別是重要網(wǎng)絡(luò)與信息系統(tǒng)密碼應用規(guī)范性、有效性不夠的問題還比較突出,嚴重威脅國家網(wǎng)絡(luò)與信息安全、企業(yè)商業(yè)秘密以及公民個人隱私保護。國家對涉密信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼的應用、基礎(chǔ)支撐能力的提升以及安全性評估、審查制度等不斷提出明確要求,需要上升為法律規(guī)范,為維護國家網(wǎng)絡(luò)與信息安全提供法治保障。在核心密碼、普通密碼方面,需要將現(xiàn)行有效的安全管理制度、特殊管理政策及保障措施法治化,增強核心密碼、普通密碼安全保障能力。在商用密碼方面,傳統(tǒng)上對商用密碼實行全環(huán)節(jié)許可管理,已經(jīng)不適應政府職能轉(zhuǎn)變和“放管服”改革要求,亟需通過立法對現(xiàn)行的商用密碼管理制度作出調(diào)整,切實為企業(yè)松綁減負,促進密碼科技進步和創(chuàng)新,促進密碼產(chǎn)業(yè)健康有序發(fā)展。
二、保障網(wǎng)絡(luò)與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權(quán)益
在網(wǎng)絡(luò)與信息時代,每天都會產(chǎn)生大量涉密和敏感信息,網(wǎng)絡(luò)竊密、網(wǎng)絡(luò)詐騙、侵犯隱私等事件層出不窮,亟需有效的安全防護措施。密碼是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐。制定《密碼法》,就是要更好地促進密碼產(chǎn)業(yè)發(fā)展,營造良好的市場秩序,為社會提供更多優(yōu)質(zhì)高效的密碼,引導全社會正確、合規(guī)、有效使用密碼,充分發(fā)揮密碼在網(wǎng)絡(luò)空間中信息加密、安全認證等方面的重要作用,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權(quán)益。
9.問:《密碼法》經(jīng)歷了怎樣的立法過程?
答:黨和國家高度重視密碼立法工作,2018年至2019年,全國人大常委會和國務(wù)院都將《密碼法》列入了立法工作規(guī)劃。
2014年12月,國家密碼管理局正式啟動《密碼法》的立法工作。
2017年4月至5月,《中華人民共和國密碼法(草案征求意見稿)》在國家密碼管理局商用密碼管理辦公室網(wǎng)站首次面向社會公開征求意見。
2017年6月,《中華人民共和國密碼法(草案送審稿)》正式報送國務(wù)院。
2019年6月10日,《中華人民共和國密碼法(草案)》(以下簡稱草案)經(jīng)國務(wù)院第52次常務(wù)會議會討論通過。6月15日,李克強總理簽署議案,正式將草案提請全國人大常委會審議。
2019年6月25日至29日,十三屆全國人大常委會第十一次會議對草案進行了首次審議。
2019年7月5日至9月2日,草案在中國人大網(wǎng)面向社會公開征求意見。
2019年10月21日至26日,十三屆全國人大常委會第十四次會議對草案進行了二次審議。
10月26日,十三屆全國人大常委會第十四次會議表決通過《密碼法》,習近平主席簽署第三十五號主席令正式頒布,自2020年1月1日起施行。
10.問:密碼有哪些主要功能?
答:密碼的主要功能有兩個,一個是加密保護,另一個是安全認證。
加密保護是指采用特定變換的方法,將原來可讀的信息變成不能直接識別的符號序列。簡單地說,加密保護就是將明文變成密文。例如,古希臘軍隊使用一種叫做“斯巴達棒”的圓木棍來進行加密通信,使用方法是:把一根長帶狀羊皮紙纏繞在圓木棍上,然后在上面寫字;解下羊皮紙后,上面只有亂序的字符,只有再次以同樣的方式纏繞到同樣粗細的木棍上,才能看出所寫的內(nèi)容。
安全認證是指采用特定變換的方法,確認信息是否完整、是否被篡改、是否可靠以及行為是否真實。簡單地說,安全認證就是確認主體和信息的真實可靠性。例如,增值稅防偽稅控系統(tǒng)采用商用密碼技術(shù)保護涉稅信息,增值稅發(fā)票信息經(jīng)密碼算法進行加解密處理,確定該發(fā)票的明文信息是否真實,從而遏制增值稅犯罪,減少稅款流失。
11.問:《密碼法》的管理對象有哪些?
答:作為本法的管理對象,密碼包括密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)。
密碼技術(shù),是指采用特定變換的方法對信息等進行加密保護、安全認證的技術(shù),包括密碼編碼、實現(xiàn)、協(xié)議、安全防護、分析破譯,以及密鑰產(chǎn)生、分發(fā)、傳送、使用、銷毀等技術(shù)。分組密碼算法(如SM4算法)、公鑰密碼算法(如SM2算法)等是典型的密碼算法,密鑰交換協(xié)議、密鑰分發(fā)協(xié)議等是典型的密碼協(xié)議。
密碼產(chǎn)品,是指采用密碼技術(shù)并以加密保護、安全認證的產(chǎn)品,即承載密碼技術(shù)、實現(xiàn)密碼功能的實體。典型的密碼產(chǎn)品包括:密碼機,如鏈路密碼機、網(wǎng)絡(luò)密碼機、服務(wù)器密碼機、傳真密碼機、電話密碼機等;密碼芯片和模塊,如第二代居民身份證、智能電卡、社會保障卡、金融芯片卡中使用的密碼芯片、可信計算密碼模塊等。
密碼服務(wù),是指基于密碼專業(yè)技術(shù)、技能和設(shè)施,為他人提供集成、運營、監(jiān)理等密碼支持和保障的活動,即基于密碼技術(shù)和產(chǎn)品,實現(xiàn)密碼功能,提供密碼保障的行為。典型的密碼服務(wù)包括:密碼保障系統(tǒng)集成(如數(shù)字證書認證系統(tǒng)集成),是指為他人集成建設(shè)實現(xiàn)密碼功能的系統(tǒng),保護他人網(wǎng)絡(luò)與信息系統(tǒng)的安全;密碼保障系統(tǒng)運營(如增值稅發(fā)票防偽稅控系統(tǒng)運營),是指為保證他人實現(xiàn)密碼功能系統(tǒng)的正常運行提供安全管理和維護。
12.問:密碼工作的基本原則是什么?
答:總體國家安全觀要求推動建立新的安全體制,在密碼工作中具體體現(xiàn)為統(tǒng)一領(lǐng)導、分級負責,創(chuàng)新發(fā)展、服務(wù)大局,依法管理、保障安全的基本原則,這是密碼工作歷史經(jīng)驗和實踐的深刻總結(jié)。
13.問:密碼工作的基本原則中“統(tǒng)一領(lǐng)導、分級負責”是指什么?
答:“統(tǒng)一領(lǐng)導、分級負責”是密碼工作的首要原則。統(tǒng)一領(lǐng)導,是指全國密碼工作在黨中央領(lǐng)導下,由中央密碼工作領(lǐng)導機構(gòu)統(tǒng)一領(lǐng)導。《密碼法》把“統(tǒng)一領(lǐng)導”作為密碼工作的一項基本原則,就是要堅持黨的絕對領(lǐng)導,這是密碼工作最重要、最根本、最核心的原則,也是密碼工作的優(yōu)良傳統(tǒng)和寶貴經(jīng)驗。
分級負責,是指國家和省、市、縣四級密碼管理部門分別負責管理全國和本行政區(qū)域的密碼工作。根據(jù)密碼工作的現(xiàn)實需要,參考其他工作領(lǐng)域管理體制改革發(fā)展的經(jīng)驗,《密碼法》明確了各級密碼管理部門的行政主體地位,確立了分級負責的密碼工作管理體制。
14.問:密碼工作的基本原則中“創(chuàng)新發(fā)展、服務(wù)大局”是指什么?
答:創(chuàng)新發(fā)展是密碼工作的發(fā)展之基、力量之源。黨的密碼工作從誕生的第一天起,正是憑借不斷地自主創(chuàng)新,走出了一條從無到有、從小到大、從弱到強的中國特色密碼發(fā)展之路。堅持創(chuàng)新發(fā)展,就是要以科技創(chuàng)新為核心,以管理創(chuàng)新為推動,以制度創(chuàng)新為保證,支持密碼科學技術(shù)研究,推動密碼產(chǎn)業(yè)發(fā)展,使密碼工作始終體現(xiàn)時代性、把握規(guī)律性、富于創(chuàng)造性,為保障網(wǎng)絡(luò)與信息安全、維護國家網(wǎng)絡(luò)空間主權(quán)提供有力的技術(shù)支撐。
服務(wù)大局是密碼工作的價值所在,更是其宗旨要求。密碼工作與黨和國家的事業(yè)血肉相連、命運休戚相關(guān),在革命、建設(shè)和改革各個歷史時期,都緊緊圍繞黨和國家的中心任務(wù)和奮斗目標,發(fā)揮著不可替代的特殊重要作用。進入新時代,堅持服務(wù)大局,就是要緊緊圍繞國家創(chuàng)新驅(qū)動發(fā)展戰(zhàn)略,部署好密碼科技自主創(chuàng)新,實現(xiàn)密碼科技跨越式發(fā)展;要緊緊圍繞國家安全戰(zhàn)略,加大密碼核心關(guān)鍵技術(shù)攻關(guān)和密碼應用,充分發(fā)揮密碼在保安全促發(fā)展中的支撐作用;要緊緊圍繞中央全面深化改革的戰(zhàn)略部署,全面深化密碼管理體制改革,加快政府職能轉(zhuǎn)變;要緊緊圍繞經(jīng)濟結(jié)構(gòu)調(diào)整,加快推進密碼產(chǎn)業(yè)發(fā)展,為經(jīng)濟社會持續(xù)健康發(fā)展,為實現(xiàn)“兩個一百年”奮斗目標、實現(xiàn)中華民族偉大復興的中國夢做出貢獻。
15.問:密碼工作的基本原則中“依法管理、保障安全”是指什么?
答:黨的十九大把堅持全面依法治國確立為習近平新時代中國特色社會主義思想和新時代堅持和發(fā)展中國特色社會主義的基本方略的重要內(nèi)容,提出“必須堅持厲行法治,推進科學立法、嚴格執(zhí)法、公正司法、全民守法”。將密碼管理的各個方面納入法治軌道,是密碼工作的基本要求,是提高密碼工作科學化、規(guī)范化、制度化水平的必由之路。堅持依法管理,就是各級密碼管理部門要嚴格按照《密碼法》和有關(guān)法規(guī)、規(guī)章和規(guī)范性文件的規(guī)定,依法全面履行密碼行政管理職能。依法管理是核心密碼、普通密碼、商用密碼三類密碼管理的共同要求。
密碼安全關(guān)乎黨和國家的根本利益,是密碼工作的生命。堅持保障安全,就是要加強密碼安全制度建設(shè),完善密碼安全管理措施,對密碼管理重點關(guān)鍵環(huán)節(jié)實施有效監(jiān)管,增強密碼安全保障能力;要加強關(guān)鍵信息基礎(chǔ)設(shè)施密碼應用監(jiān)管,建立完善密碼安全性評估和安全審查制度,有效預防和化解密碼安全風險;要加強密碼安全協(xié)作機制建設(shè),確保密碼安全管理的協(xié)同聯(lián)動和有序高效。
16.問:密碼工作堅持黨的絕對領(lǐng)導體現(xiàn)在哪些方面?
答:堅持黨對密碼工作的絕對領(lǐng)導,是在任何時候、任何情況下都必須毫不動搖堅持的根本原則。《密碼法》規(guī)定,堅持中國共產(chǎn)黨對密碼工作的領(lǐng)導,旗幟鮮明地把黨管密碼這一根本原則寫入法律。黨的密碼工作創(chuàng)建于1930年,一直由黨中央直接領(lǐng)導和管理,黨管密碼原則是密碼工作長期實踐和歷史經(jīng)驗的深刻總結(jié),是密碼工作最重要、最根本、最核心的要求。
堅持黨的絕對領(lǐng)導,主要體現(xiàn)在:一是密碼工作的重大事項向中央報告,密碼工作的重大決策由中央決定。二是堅決貫徹執(zhí)行中央關(guān)于密碼工作的方針政策,落實中央確定的密碼工作領(lǐng)導和管理體制。三是充分發(fā)揮黨的領(lǐng)導核心作用,各級黨委(黨組)和密碼工作領(lǐng)導機構(gòu)要認真履行黨管密碼的政治責任。
17.問:我國的密碼工作領(lǐng)導體制是什么?
答:《密碼法》明確規(guī)定,中央密碼工作領(lǐng)導機構(gòu),即中央密碼工作領(lǐng)導小組,對全國密碼工作實行統(tǒng)一領(lǐng)導,把中央確定的密碼工作領(lǐng)導體制,通過法律形式固化下來,為密碼工作沿著正確方向發(fā)展提供根本保證。中央密碼工作領(lǐng)導小組統(tǒng)一領(lǐng)導全國密碼工作,負責制定國家密碼工作重大方針政策,統(tǒng)籌協(xié)調(diào)國家密碼重大事項和重要工作,推進國家密碼法治建設(shè)。
18.問:我國的密碼工作管理體制是什么?
答:根據(jù)密碼工作依法管理的需要,參考其他工作領(lǐng)域管理體制改革發(fā)展的經(jīng)驗,《密碼法》明確了密碼工作管理體制,包括兩個方面的內(nèi)容:一是國家、省、市、縣四級密碼工作管理體制,二是國家機關(guān)和涉及密碼工作的單位的密碼工作職責。
19.問:四級密碼工作管理體制的含義?
答:《密碼法》賦予了國家、省、市、縣四級密碼管理部門行政管理職責。
國家密碼管理部門是指國家密碼管理局。為更好地履行對全國的密碼管理職能,2005年1月,中央機構(gòu)編制委員會批準成立國家密碼管理局。2008年3月,國家密碼管理局列入國務(wù)院部委管理的國家局序列。2018年3月,《國務(wù)院關(guān)于部委管理的國家局設(shè)置的通知》(國發(fā)〔2018〕7號)明確規(guī)定,國家密碼管理局與中央密碼工作領(lǐng)導小組辦公室,一個機構(gòu)兩塊牌子,列入中共中央直屬機關(guān)的下屬機構(gòu)序列。
國家密碼管理局的主要職責是:組織貫徹落實黨和國家關(guān)于密碼工作的方針政策和法律法規(guī),研究提出解決密碼工作發(fā)展中重大問題的建議;擬訂密碼工作發(fā)展規(guī)劃,起草密碼工作法規(guī)并負責密碼法規(guī)的解釋,組織擬訂密碼相關(guān)標準;依法履行密碼行政管理職能,管理密碼科研、生產(chǎn)、裝備(銷售)、檢測認證及使用,查處密碼泄密事件和違法違規(guī)研制、使用密碼行為,負責有關(guān)密碼的涉外事宜;對密碼工作機構(gòu)實施業(yè)務(wù)領(lǐng)導;負責網(wǎng)絡(luò)與信息系統(tǒng)中密碼保障體系的規(guī)劃和管理,規(guī)劃、建設(shè)和管理國家密碼基礎(chǔ)設(shè)施;指導密碼專業(yè)教育和密碼學術(shù)交流,組織密碼專業(yè)人才教育培訓,對高等院校、科研機構(gòu)、學術(shù)團體開展密碼基礎(chǔ)理論與應用技術(shù)研究、交流進行指導;承辦中央密碼工作領(lǐng)導小組的日常工作。
縣級以上地方各級密碼管理部門是指省(自治區(qū)、直轄市)、市(地、州、盟)、縣(市、區(qū)、旗)密碼管理局。為規(guī)范和加強密碼管理部門的行政管理職能,《密碼法》明確了國家、省、市、縣四級分級負責的密碼工作管理體制,賦予了國家、省、市、縣四級密碼管理部門行政管理職責,從體制機制上為密碼管理部門依法履行密碼管理職能提供了堅實的法治保障。
各級密碼管理部門要認真貫徹落實《密碼法》的明確要求,依法確立行政主體地位,全面履行《密碼法》賦予的行政管理職能,加快建立權(quán)力清單、責任清單和負面清單,完善監(jiān)督執(zhí)法機制,規(guī)范執(zhí)法方式,推動管理職能轉(zhuǎn)變和管理方式創(chuàng)新,自覺做到“職權(quán)法定”、“權(quán)依法使”。
20.問:國家機關(guān)和涉及密碼工作的單位的密碼工作職責是什么?
答:國家機關(guān)和涉及密碼工作的單位根據(jù)工作需要,承擔相應的密碼工作職責,是密碼工作管理體制的重要組成部分。國家機關(guān)是指中央、省、市、縣各級國家機關(guān)。涉及密碼工作的單位是指除國家機關(guān)以外,承擔密碼管理職責的企事業(yè)單位等。這些機關(guān)、單位在其職責范圍內(nèi)負責本機關(guān)、本單位或本系統(tǒng)的密碼工作。
21.問:密碼是如何分類的?
答:《密碼法》將密碼分為核心密碼、普通密碼和商用密碼,實行分類管理。核心密碼用于保護國家絕密級、機密級、秘密級信息,普通密碼用于保護國家機密級、秘密級信息,商用密碼用于保護不屬于國家秘密的信息。
22.問:為什么要對密碼實行分類管理?
答:將密碼分為核心密碼、普通密碼和商用密碼,實行分類管理,是黨中央確定的密碼管理根本原則,是保障密碼安全的基本策略,也是長期以來密碼工作經(jīng)驗的科學總結(jié)。三類密碼保護的對象不同,對其進行明確劃分,有利于確保密碼安全保密,有利于密碼管理部門根據(jù)不同信息等級和使用對象,對密碼實行科學管理,充分發(fā)揮三類密碼在保護網(wǎng)絡(luò)與信息安全中的核心支撐作用。對密碼施行分類管理,也是國際通行做法。
23.問:什么是核心密碼、普通密碼?
答:核心密碼、普通密碼用于保護國家秘密信息,有力保障了中央政令軍令安全,為維護國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益構(gòu)筑起密碼屏障。按照《保守國家秘密法》的規(guī)定,國家秘密是指關(guān)系國家安全和利益,依照法定程序確定,在一定時間內(nèi)只限一定范圍的人員知悉的事項。《密碼法》根據(jù)保護對象的不同,對核心密碼、普通密碼進行劃分。核心密碼用于保護國家絕密級、機密級、秘密級信息,普通密碼用于保護國家機密級、秘密級信息。
24.問:為什么要對核心密碼、普通密碼實行嚴格統(tǒng)一管理?
答:密碼管理部門按照中央要求,對核心密碼、普通密碼實行嚴格統(tǒng)一管理,針對核心密碼、普通密碼的科研、生產(chǎn)、服務(wù)、檢測、裝備、使用和銷毀等各個環(huán)節(jié)制定了一系列嚴格的安全管理制度和保密措施,對核心密碼、普通密碼實行全生命周期的嚴格統(tǒng)一管理,明確了一系列保障措施。這是因為:第一,核心密碼、普通密碼用于保護國家秘密信息,直接關(guān)系國家安全和利益。第二,核心密碼、普通密碼本身也屬于國家秘密,一旦泄密,將危害國家安全和利益。黨政機關(guān)應當嚴格按照法律法規(guī)的有關(guān)規(guī)定使用核心密碼、普通密碼保護國家秘密信息,在法律范圍內(nèi)從事相關(guān)活動。第三,核心密碼、普通密碼的管理措施以及密碼管理部門、密碼工作機構(gòu)及其工作人員開展核心密碼、普通密碼工作的保障措施等,需要通過國家立法提供法律依據(jù),進一步提升密碼工作的法治化保障水平。
25.問:什么是商用密碼?
答:商用密碼用于保護不屬于國家秘密的信息。也就是說,商用密碼可以用于保護除國家秘密之外的所有信息,既可以保護企業(yè)商業(yè)秘密、公民個人隱私,也可以保護政務(wù)領(lǐng)域中不屬于國家秘密的工作信息。關(guān)于商用密碼的名稱,1996年,中央決定在我國大力發(fā)展商用密碼,加強對商用密碼的管理。1999年,國務(wù)院頒布施行《商用密碼管理條例》(國務(wù)院令第273號),商用密碼的名稱開始為社會所熟知和廣泛使用。此后,中央文件和黨內(nèi)法規(guī)以及國家密碼管理局制定發(fā)布的規(guī)范性文件均采用了“商用密碼”這一名稱。
26. 問:《密碼法》在商用密碼使用方面提出了什么樣的管理要求?
答:《密碼法》規(guī)定公民、法人和其他組織可以依法使用商用密碼保護網(wǎng)絡(luò)與信息安全,對一般用戶使用商用密碼沒有提出強制性要求。同時,為了保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運行,維護國家安全和社會公共利益,《密碼法》第二十七條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的商用密碼使用要求。
公民、法人和其他組織可以依法使用商用密碼,既是《密碼法》賦予公民、法人和其他組織自主選擇使用商用密碼的權(quán)利,也是鼓勵公民、法人和其他組織依法使用商用密碼保護網(wǎng)絡(luò)與信息安全。
27.問:《密碼法》為什么要鼓勵和支持密碼科學技術(shù)進步和創(chuàng)新?
答:黨的十九大報告指出,創(chuàng)新是引領(lǐng)發(fā)展的第一動力,是建設(shè)現(xiàn)代化經(jīng)濟體系的戰(zhàn)略支撐。密碼科學技術(shù)進步和創(chuàng)新是密碼事業(yè)發(fā)展的靈魂,也是密碼實現(xiàn)持續(xù)健康快速發(fā)展的動力源泉。緊緊牽住核心技術(shù)自主創(chuàng)新這個“牛鼻子”,牢牢掌握密碼關(guān)鍵核心技術(shù),是密碼事業(yè)高質(zhì)量發(fā)展的必由之路。堅持走中國特色密碼自主創(chuàng)新道路,著眼密碼科技前沿、立足網(wǎng)絡(luò)空間安全、面向國家戰(zhàn)略需求,加快創(chuàng)新驅(qū)動發(fā)展,是推進密碼科技創(chuàng)新的基本要求。
28.問:《密碼法》在密碼知識產(chǎn)權(quán)保護方面作了哪些具體規(guī)定?
答:依法保護知識產(chǎn)權(quán),對于激勵科技創(chuàng)新,提高創(chuàng)新能力,促進創(chuàng)新成果合理分享,推動科技進步和經(jīng)濟社會發(fā)展,具有重要意義。
在密碼工作實踐中,無論是密碼技術(shù)研究,還是密碼檢測認證、密碼應用安全性評估、安全審查,都涉及密碼知識產(chǎn)權(quán)保護。《密碼法》在多個條款中對依法保護密碼領(lǐng)域的知識產(chǎn)權(quán)作了具體規(guī)定。在商用密碼檢測認證方面,《密碼法》對檢測、認證機構(gòu)在檢測認證中所知悉的國家秘密、商業(yè)秘密和技術(shù)秘密的保密義務(wù)作了明確規(guī)定,并且規(guī)定了相應的法律責任。《密碼法》還對密碼管理部門和有關(guān)部門及其工作人員對在履行職責中知悉的商業(yè)秘密和個人隱私的保密義務(wù)作了明確規(guī)定,并且規(guī)定了相應的法律責任。
密碼知識產(chǎn)權(quán)保護對國內(nèi)外產(chǎn)品、服務(wù)以及內(nèi)外資企業(yè)一視同仁、同等適用,對外商投資企業(yè)的知識產(chǎn)權(quán)實行同等保護。
29.問:為什么要加強密碼人才培養(yǎng)和隊伍建設(shè)?
答:人才是核心競爭力,密碼事業(yè)的發(fā)展,歸根結(jié)底要靠密碼人才。密碼人才隊伍是一支特殊的隊伍,承擔著密碼科研、密碼管理、密碼服務(wù)保障等重要任務(wù),肩負著保障國家網(wǎng)絡(luò)與信息安全的重要職責。隨著網(wǎng)絡(luò)與信息化的飛速發(fā)展和密碼的廣泛應用,密碼人才需求呈現(xiàn)快速增長態(tài)勢,密碼專業(yè)人才培養(yǎng)和學科建設(shè)取得重要進展。目前,國內(nèi)已有超過100所高校開設(shè)了密碼學專業(yè)或者密碼學相關(guān)課程,培育了大量的密碼專業(yè)人才,涌現(xiàn)出一批具有國際知名度的優(yōu)秀領(lǐng)軍人才。將加強密碼人才培養(yǎng)和隊伍建設(shè)寫進《密碼法》也是貫徹落實相關(guān)中央文件和黨內(nèi)法規(guī)的明確要求,與《網(wǎng)絡(luò)安全法》關(guān)于加強網(wǎng)絡(luò)安全人才培養(yǎng)的規(guī)定也是銜接一致的。
30.問:《密碼法》規(guī)定了什么樣的密碼工作表彰獎勵制度?
答:為充分調(diào)動廣大密碼工作人員做好密碼工作的積極性和創(chuàng)造性,推動密碼工作創(chuàng)新發(fā)展,貫徹落實黨和國家功勛榮譽表彰獎勵制度要求,黨和國家設(shè)立了全國密碼工作先進集體和先進工作者、密碼科學技術(shù)進步獎勵等密碼工作表彰獎勵制度。《密碼法》第九條規(guī)定:“對在密碼工作中作出突出貢獻的組織和個人,按照國家有關(guān)規(guī)定給予表彰和獎勵。”將這一系列表彰獎勵制度保留、固化下來。
31.問:密碼工作表彰獎勵的對象有哪些?
答:密碼工作表彰獎勵的對象主要是在服務(wù)黨和國家工作大局中發(fā)揮重要作用以及在密碼科技進步中作出重要貢獻的密碼管理部門、密碼工作機構(gòu)、商用密碼從業(yè)單位和密碼工作人員等。表彰獎勵工作貫徹“尊重勞動、尊重知識、尊重人才、尊重創(chuàng)造”的方針,注重面向一線,注重工作實績,遵循鼓勵創(chuàng)新、促進發(fā)展、公平公正、嚴格把關(guān)的原則,堅持精神獎勵與物質(zhì)獎勵相結(jié)合、以精神獎勵為主,體現(xiàn)先進性、代表性和時代性。
32.問:為什么要加強密碼安全教育?
答:密碼安全事關(guān)國家安全,密碼安全意識是國家安全意識的重要內(nèi)容。密碼安全教育是密碼工作的重要組成部分,對密碼工作高質(zhì)量發(fā)展起著重要的導向和促進作用。做好密碼安全教育工作,對于正確貫徹中央關(guān)于密碼工作的方針政策,提高全民密碼安全意識,引導全社會合規(guī)、正確、有效使用密碼,確保密碼使用優(yōu)質(zhì)高效、確保密碼管理安全可靠,具有重要意義。
33.問:如何加強密碼安全教育?
答:密碼安全教育要與學習貫徹總體國家安全觀緊密結(jié)合起來,以學習宣傳貫徹《密碼法》為重要抓手,面向不同人群,開展不同形式的密碼安全教育,增強安全教育的針對性和實效性。
一是充分利用“全民國家安全教育日”“國家網(wǎng)絡(luò)安全宣傳周”等平臺,深入開展《密碼法》普及宣傳活動,推動密碼安全教育進社會、進課堂、進教材、進網(wǎng)絡(luò)。
二是充分利用傳統(tǒng)媒體和新興媒體,充分發(fā)揮中國密碼學會、商用密碼領(lǐng)域的行業(yè)協(xié)會等社會團體和全國商用密碼展覽會、《密碼學報》、全國密碼技術(shù)競賽等學術(shù)、產(chǎn)業(yè)交流平臺的作用,創(chuàng)新宣傳方式和手段,加大密碼知識科普工作的力度,增強密碼社會認知度和應用密碼保護信息安全的意識。
三是各級教育主管部門和公務(wù)員主管部門將密碼安全教育納入國民教育體系和公務(wù)員教育培訓體系,加強對大中小學生密碼常識和密碼安全意識的培養(yǎng),加大對各級領(lǐng)導干部進行密碼培訓的力度,推動密碼知識進校園,進黨校(行政學院)、干部學院。
34.問:為什么要把密碼安全教育納入國民教育體系和公務(wù)員教育培訓體系?
答:將密碼安全教育納入國民教育體系,在各階段的教育過程中,開展密碼常識、密碼安全意識的教育,有利于提高全民密碼安全意識,提高全社會自覺使用密碼保護網(wǎng)絡(luò)與信息安全、維護國家密碼安全的意識。
在公務(wù)員培訓中,密碼安全教育主要是關(guān)于密碼常識、密碼安全意識和密碼工作的教育,將密碼安全教育納入公務(wù)員教育培訓體系,有利于公務(wù)員在履行職責過程中更好地貫徹總體國家安全觀,提高密碼安全意識與履職能力。
35.問:《密碼法》對密碼工作規(guī)劃和經(jīng)費做了什么樣的規(guī)定?
答:為保障密碼工作順利開展,充分發(fā)揮密碼在網(wǎng)絡(luò)與信息安全中的基礎(chǔ)支撐作用,《密碼法》第十一條規(guī)定:“縣級以上人民政府應當將密碼工作納入本級國民經(jīng)濟和社會發(fā)展規(guī)劃,所需經(jīng)費列入本級財政預算。”
36.問:《密碼法》對禁止利用密碼從事違法犯罪活動做了什么樣的規(guī)定?
答:密碼是一把“雙刃劍”,既可以用于合法的信息保護,也可能被用來從事違法犯罪活動。密碼一旦被用來從事違法犯罪活動,將嚴重危害國家安全、社會公共利益和公民個人合法權(quán)益。因此,《密碼法》第十二條明確規(guī)定:“任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的密碼保障系統(tǒng)。任何組織或者個人不得利用密碼從事危害國家安全、社會公共利益、他人合法權(quán)益等違法犯罪活動。”
37.問:什么是“竊取他人加密保護的信息或者非法侵入他人的密碼保障系統(tǒng)”?
答:竊取他人加密保護的信息,是指未經(jīng)他人授權(quán),采用非法攻擊密碼等方式獲取他人加密保護的信息的違法行為。
非法侵入他人的密碼保障系統(tǒng),是指未經(jīng)他人授權(quán),采用非法攻擊密碼等方式進入他人的密碼保障系統(tǒng)。這里的“密碼保障系統(tǒng)”,是指采用密碼技術(shù)、產(chǎn)品或者服務(wù)集成建設(shè)的,實現(xiàn)加密保護、安全認證功能的系統(tǒng)。
38.問:《密碼法》為什么規(guī)定“任何組織和個人不得利用密碼從事危害國家安全、社會公共利益、他人合法權(quán)益等違法犯罪活動”?
答:隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展,利用密碼從事違法犯罪活動的案例屢見不鮮,造成了廣泛的社會影響。例如,2017年5月,一款名為“魔哭”(WannaCry)的蠕蟲勒索軟件襲擊全球網(wǎng)絡(luò)。它加密受害者電腦內(nèi)的重要文件,除非受害者通過比特幣交出贖金,否則加密文件無法恢復。“魔哭”勒索軟件的影響范圍覆蓋全球150多個國家和地區(qū),超過30萬臺設(shè)備受到感染和影響。我國有3萬多家機構(gòu)、數(shù)十萬臺設(shè)備受到該軟件襲擊,給國家、社會和公民個人財產(chǎn)造成巨大損失,嚴重危害了國家安全和社會穩(wěn)定。
此外,《密碼法》關(guān)于不得利用密碼從事危害國家安全、社會公共利益、他人合法權(quán)益等違法犯罪活動的規(guī)定也是與《刑法》、《治安管理處罰法》、《網(wǎng)絡(luò)安全法》等有關(guān)法律、行政法規(guī)的規(guī)定相銜接的。
39.問:核心密碼和普通密碼遵循什么樣的管理原則?
答:核心密碼、普通密碼用于保護國家秘密信息,其本身也屬于國家秘密,直接關(guān)系國家安全。
《密碼法》從以下幾個方面規(guī)定了核心密碼、普通密碼的管理原則。
一是國家加強核心密碼、普通密碼的科學規(guī)劃、管理和使用。為深入貫徹落實黨中央對密碼工作的決策部署,國家著眼密碼工作長遠發(fā)展,加強核心密碼、普通密碼的科學規(guī)劃、管理和使用,確保核心密碼、普通密碼安全。
二是加強制度建設(shè),完善管理措施。國家密碼管理部門和有關(guān)部門制定印發(fā)了核心密碼、普通密碼管理的一系列法規(guī)制度和標準規(guī)范,對核心密碼、普通密碼的科研、生產(chǎn)、服務(wù)、檢測、裝備、使用和銷毀等各個環(huán)節(jié)實行全生命周期的嚴格統(tǒng)一管理。
三是增強密碼安全保障能力。國家加強密碼保障體系和密碼安全監(jiān)管能力建設(shè),強化密碼安全監(jiān)測預警、安全風險評估、應急處置和監(jiān)督管理等工作,夯實密碼安全基礎(chǔ)。
40.問:《密碼法》對核心密碼、普通密碼使用作了哪些規(guī)定?
答:《密碼法》第十四條明確規(guī)定:在有線、無線通信中傳遞的國家秘密信息,以及存儲、處理國家秘密信息的信息系統(tǒng),應當依照法律、行政法規(guī)和國家有關(guān)規(guī)定使用核心密碼、普通密碼進行加密保護、安全認證。
資料下載 
量子技術(shù)