商用密码应用政策、现状与展望
在2017年互联网安全大会密码应用技术论坛上的发言
商用密码应用政策、现状与展望
(国家密码管理局商用密码管理办公室副主任霍炜)
各位嘉宾,女士们、先生们:
非常荣幸参加第五届互联网安全大会,与来自海内外的朋友们相聚在北京金秋,围绕互联网安全这一时代命题,交流成果,分享思想,共谋未来。在此,我代表国家密码管理局商用密码管理办公室,对大会和论坛的举办表示热烈的祝贺!对各位嘉宾的到来表示热烈的欢迎!
互联网是把双刃剑,用得好,它是阿里巴巴的宝库;用不好,它就是潘多拉的魔盒,小可杀人于无形,大可颠覆国家政权。网络空间是全世界人民的公共空间,网络安全是人类社会面临的共同挑战,有效应对网络安全是世界各国的共同责任。2015年12月16日,习近平主席在第二届世界互联网大会上,提出互联网发展治理的“四项原则”、“五点主张”,并特别指出:“要维护网络安全,共同构建和平、安全、开放、合作的网络空间”。2016年11月16日,习近平主席在第三届世界互联网大会上发表讲话指出:“要携手构建网络空间命运共同体”。
下面,我就落实习近平主席重要讲话要求,围绕构建和平、安全、开放、合作的网络空间,进一步发挥密码的核心支撑作用,与各位嘉宾分享一些观点和看法,请大家批评指正。
一、密码是互联网安全的核心支撑
推动互联网安全互联需要发挥密码的基础支撑作用。目前,全球网民数量突破35亿,约占世界总人口的1/2,全球范围内网络互联、信息互通,互联网让世界变成了“鸡犬之声相闻”的地球村,相隔万里的人们不再“老死不相往来”。密码是互联网的基础设施,是安全互联互通的前提,人、机、物的可信互认、安全互通均依赖于密码。可以说,互联网安全发展,客观需要密码技术,来实现可用、且可控的互联互通。
维护互联网空间安全需要发挥密码的核心保障作用。网络攻击、网络犯罪、网络恐怖主义已成当今各国公害。习近平主席指出,“安全是发展的前提,发展是安全的保障,安全和发展要同步推进。”互联网发展不能成为沙漠之上的“海市蜃楼”。传统信息安全中用密码实现的真实性、机密性、完整性、可用性、抗抵赖等需求,仍然是互联网应用的安全需求。安全实现的密码技术,是经过理论证明的、保障互联网安全的关键技术。现在和未来相当长的时间内,密码将在数据加密、身份鉴别、访问控制、取证溯源等方面发挥着难以替代的重要作用。要充分发挥密码的核心保障作用,共同维护网络数据安全、技术安全和应用安全。
服务互联网创新发展需要发挥密码的协同促进作用。今天的互联网已经处于新的阶段,移动互联、万物互联、人工智能的时代已经到来。我们所处的每一个行业、每一个国家,都因此发生了重大改变。不管你是什么人,不管你身处哪里,不管你在干什么,我们每个人都是这场大变革的一部分。在这场变革中,密码因其解决网络安全问题的经济性、便捷性、有效性,以及在处理海量数据机密性保护、复杂网络实体认证等方面具有的独特优势,将成为网络空间的“内在”基因。而且,密码技术将不断与互联网安全深度融合,随着互联网安全发展的新趋势,不断创新、不断变革。
综上所述,构建和平、安全、开放、合作的网络空间,密码大有可为。我的理解,关键是要倡导“三个新”:
第一个是新安全文明:即通过密码实现可信互联、安全互通,倡导网络空间开放、共享、安全的发展理念;
第二个是新安全体制:即树立以总体国家安全观为统领,以密码为核心技术和基础支撑的网络信息安全观;
第三个是新安全环境:即构建以密码基础设施为底层支撑的,系统的、完善的网络安全保障体系。
二、提升密码保障能力的挑战与机遇
我们在密码的重要性上取得共识,但如何推进密码深入广泛应用,提升网络空间安全保障能力,我们面临着严峻的挑战,但也迎来了难得的机遇,这是问题的两个方面。
一方面,密码应用安全挑战日益严峻。当前,网络威胁形式复杂多样,未知威胁渐成主流,网络安全威胁被许多国家列为第一层级的安全威胁,上升为国家战略并付诸行动。谷歌公司使用高性能计算机找到SHA-1算法的碰撞,揭示了高性能计算对密码和网络安全的新挑战,OpenSSL“心脏出血”漏洞证明了密码安全对网络空间的致命威胁,勒索软件攻击事件体现了密码攻防角色互换的新趋势,密码安全已成为网络安全的焦点。眼下,我们的网络安全防护能力还比较薄弱,防护方式也比较单一。特别是在密码使用方面,还存在使用密码意识不强,密码应用缺乏规划,密码使用不够规范,以及服务保障、风险控制和应急处置能力不足等问题。可以说,问题突出,隐患很大,必须构建科学完善的密码安全保障体系。
另一方面,密码产业发展机遇前所未有。全球的网络安全产业刚刚起步,投资与创业机会将聚焦网络安全领域,未来可能催生万亿级别的大市场(资料显示:2016年全球网络安全市场已超过6000亿人民币,Gartner的数据是906亿美元)。目前,我国网络安全投入还很不够,仅占整个IT产业比重的1%至2%,低于世界5%至10%的平均水平,更低于欧美国家8%至12%的水平,相比于西方发达国家,我国尚有8倍的增长空间,这既是短板也是市场。按照国家有关部署,金融和重要领域正在强化密码应用,大量网络和信息系统涉及密码保障系统的新建或改造,市场空间很大。可以说,密码应用将会带动更多安全投入,拓展更大安全市场空间。谁投入早,创新多,谁成为网络安全行业龙头的可能就更大。对此,产业单位要有更加积极的认识。
三、密码发展取得了显著成效
国家高度重视商用密码工作。1999年国务院颁布《商用密码管理条例》,对商用密码产品的科研、生产、销售和使用实施管理。2002年国家商用密码办公室成立,专门负责全国商用密码管理工作,包括商用密码技术与标准化、产品服务和进出口审批、密码应用、监督管理、检测认证等。
经过多年的发展,我国在密码基础理论研究方面取得了大批国际瞩目的原创成果,设计了具有中国特色的基础密码算法体制,制定了涵盖应用各层面的密码标准体系,拥有了具有国际影响力的密码学家团体,具备了完备的高校和科研院所专业密码人才培养体系,具备了从密码芯片到密码应用系统全产业链的密码产业队伍,具备了以金融等重点行业应用为代表的,深入国民经济信息应用各环节的,统一可控的密码应用市场。目前,有1900多款商用密码通用产品,900多家从业单位,密码产品不断丰富,产业支撑能力不断增强。
从密码应用实践来看,我国商用密码算法在设计、实现方面均有优势,以SM算法为例,密钥替换攻击是目前多个数字签名算法不能抵御的攻击方法,SM2数字签名算法抵御密钥替换攻击方面存在可证明安全,SM2算法的性能与EC-SDSA等国际算法相当,但签名长度更短。SM3算法能够抵御差分分析且具有较强的扩散性,在硬件实现面积和性能上占优。SM4算法在设计上实现了资源重用,即密钥扩展过程和加密过程类似,实现时硬件资源占用较少,目前针对SM4的研究最多能分析32轮中的23轮,具有良好的安全强度。
四、促进密码创新与依法依规使用
为更好地发挥密码在互联网安全中的重要作用,切实维护国家安全、促进经济发展、保护人民群众利益,国家密码管理局将加强密码规范管理、促进密码广泛应用、着力密码科技创新、指导密码应用安全性评估、构建密码安全通报机制。
一是加强密码规范管理。《密码法》初稿今年5月面向社会公开征求意见,国家有关部门正在积极推进立法进程。国家密码管理局正在制定配套法规,完善商用密码管理法规体系,确保商用密码管理有法可依、有章可循。
二是促进密码广泛应用。不断强化密码应用与国家战略的融合。《“十三五”国家信息化规划》提出,构建关键信息基础设施安全保障体系,要加强密码应用,国家互联网大数据平台建设,要推进数据加解密、完整性验证等安全技术的应用。银行业清算办法、网络安全等级保护管理要求、政务信息化规划,也都提出密码应用要求。通过密码广泛应用,不断促进密码技术、产品和服务创新,形成典型应用案例和标准规范,实现密码事业创新发展的生动局面。
三是着力密码科技创新。加强密码基础研究和原始创新,推进国家密码重大科技项目、重大工程和重大基础设施建设。组建产学研用联盟,建设密码创新产业基地和重点实验室,实施创新驱动和协同攻关,努力形成一批“拳头”产品,有效应对网络空间威胁,不断满足物联网、工业控制、移动智能终端等新兴领域对密码应用新的需求,不断提高密码供给质量,让产品更好用,让用户更爱用。
四是指导密码应用安全性评估。根据国家法律法规要求,今年,国家密码管理局在7省5行业开展了密码应用安全性评估试点。关键信息基础设施(试点期间主要针对等级保护三级及以上信息系统)要进行密码应用安全性评估,包括规划、上线、运行三个阶段。评估结果作为项目规划立项、申报财政性资金、建设验收的必备材料。目的就是,督促网络建设和运营者落实密码应用和安全保障责任。
五是构建密码安全通报机制。在总体国家安全观的统领下,国家密码管理局将会同国家网信、公安、保密等网络安全主管部门,以及各行业主管部门,建立密码安全通报机制,加强密码基础数据、应用情况、安全动态等信息的共享,实现密码数据的动态跟踪和密码安全的态势感知。
各位嘉宾,女士们、先生们,纵观密码的发展历史,新型计算的威胁和新型应用的需求,一直是推动密码技术进步的两大主要动力。第二次世界大战的军事通信需求,催生了机械密码的巅峰时代;图灵炸弹的攻击威胁和全球网络的安全通信需求,推动了现代密码学的出现。当前,量子计算的威胁和互联网安全的需求,催生着密码技术的革命性突破与发展。
各位嘉宾都是互联网安全和密码技术的设计者、维护者、使用者和受益者,让我们一道,积极倡导网络安全新文明、推动网络安全新体制、创建网络安全新环境,构建以密码为核心技术和基础支撑的网络安全保障体系,让互联网成为安全之网、放心之网;让互联网安全,从密码开始,从密码应用开始。
谢谢大家!