密碼支撐與密碼應用
密碼是網路空間安全的基石,時刻保護著國家安全、社會經濟和個人隱私。密碼應用依賴於密碼支撐,而密碼支撐需要正確規範地使
用才能夠發揮價值。經過長期發展,密碼支撐逐漸形成了密碼標準,不斷推動著密碼產業的發展。
>>> 密碼的內涵和作用
隨著計算機應用和網路技術的迅速普及密碼」已經成為家喻戶曉、不可或缺的辭彙但若被問起「密碼是什麼?」,恐怕少有人能夠給出一個令多數人信服的回答。一般來講老百姓理解的密碼就是自己登錄電腦或者查詢銀行卡的口令;而專業人士的密碼,通常包括一系列演算法、協議、實現策略和管理辦法。
密碼具有悠久的歷史,其含義也在發展過程中不斷演變,甚至已經逐漸形成了一門學科——密碼學。嚴格來講,密碼是指使用特定變換對數據等信息進行加密保護或者安全認證的物項和技術。其中加密保護是指使用特定變換,將原來可讀的信息變成不能識別的符號序列,從而保護信息的機密性;安全認證是指使用特定變換,確認信息是否被篡改、是否來自可靠信息源以及確認行為是否真實等,從而保護信息的真實性、數據的完整性和行為的不可否認性。物項是指實現加密保護或安全認證功能的設備與系統,技術是指物項實現加密保護或安全認證功能的方法或手段。
密碼在網路空間中身份識別、安全隔離、信息加密、完整性保護和抗抵賴性等方面具有不可替代的重要作用。相對於其他類型的安全手段,如人力保護、設備加固、物理隔離、防火牆、監控技術、生物技術等,密碼技術是保障網路與信息安全最有效、最可靠、最經濟的手段。
>>> 密碼的價值在於應用
密碼科學屬於應用科學,其各項成果已經深入應用到各國軍事、政治、經濟和外交等領域,成為國與國之間較量的重器。
歷史上,因為密碼破譯導致戰爭形勢逆轉的事例舉不勝舉。二戰中,英國海軍捕獲了德國潛艇 U-110,對其中的恩尼格碼密碼機和密碼本如獲至寶;經過後期大量的研究和明密文統計後,終於破解了德軍加密通信,從而在戰爭中贏得主動。類似地,在著名的中途島海戰中,美國海軍破解了日本海軍主要通信系統 JN-25的部分密碼,獲知其將以較大兵力攻擊中途島的關鍵情報;於是提前埋伏,以少勝多,給予日本海軍沉重打擊,取得了太平洋戰區的主動權,扭轉了二戰局勢。毫不誇張地講,密碼破譯加速了二戰的結束。
而在當代經濟建設中,密碼同樣發揮著舉足輕重的作用,為金融、證券、保險、稅務、電力、交通、通信、航天等行業提供了關鍵有效的信息安全防護能力。
圖 1 網上銀行密碼應用示意
以人們熟悉的網上銀行為例。在交易過程中,密碼實現了用戶與網銀系統的雙向身份認證,保證了交易雙方身份的真實性,保證了秘密信息 PIN 在金融交易過程中始終以密文形式存在,保證了用戶和網銀系統之間信息的機密性和完整性,保證了數據在金融交易過程中的完整性,保證了發送方和接收方交易行為的不可抵賴性。
>>> 密碼應用需要密碼支撐
現實信息系統中各種應用對安全的需求種類繁多、五花八門。有的數據只需要機密性保護,有的同時需要機密性和完整性保護;有的需要長期加密存儲,有的僅需要短時間內不被泄漏。而與此同時,應用環境支撐密碼演算法、協議運行的軟硬體性能也有很大的差異。特別是隨著雲計算、大數據、物聯網、移動互聯網、智能家居等新型信息技術的發展,密碼如何正確使用的問題變得越來越複雜。
從內容上看,密碼技術主要包括密碼演算法、密鑰管理和密碼協議。其中密碼演算法可分為加密演算法、解密演算法、數字簽名演算法和雜湊演算法;密鑰管理包括密鑰的產生、分發、存儲、使用、更新、歸檔、撤銷、備份、恢復和銷毀等;而密碼協議更是名目繁多,舉不勝舉。
這就導致如何將不同的密碼技術在現實條件下根據應用需求合理配置科學使用成為一個專業問題。經過長期發展,當前密碼行業已經形成了以密碼支撐為主體的建設模式,通過密碼支撐為上層的密碼應用、安全應用和常規應用提供基礎的密碼服務,如圖 2。
圖 2 密碼支撐、密碼應用、安全應用與常規應用關係
狹義的密碼支撐包括密碼產品、密碼系統、密碼基礎設施等,具體的產品形式可分為安全晶元類、密碼模塊類和密碼整機類。它們屏蔽了底層密碼計算的多樣性、指令的複雜性,實現了密碼資源的統一調用和管理。廣義的密碼支撐還包括密碼檢測機構、密碼標準和密碼管理政策等。它們規範了密碼監督、管理和使用,增強了密碼安全保障能力。
相比較地,密碼支撐之外的產品、系統、基礎設施、檢測、標準、管理政策等被稱為非密碼支撐。它們和密碼支撐共同為上層的安全應用提供信息系統必需的資源支持。
>>> 密碼支撐不等於實際安全
密碼支撐的模式使得人們對密碼技術的應用化繁為簡,密碼行業提供支撐資源,應用行業直接調配使用即可,這極大促進了密碼產業與相關產業的融合發展。
但值得注意的是,密碼不等於安全。應用系統通過安全應用獲得密碼支撐,並不意味著一定解決了其安全問題。通常有以下三方面原因:
密碼支撐被棄用。個別信息系統應用開發商對密碼在安全防護中的重要地位缺乏認識,為節省資源或者貪圖輕巧,在其開發工作中故意忽視密碼支撐。注意到,只有被安全應用調用,密碼支撐資源才有機會發揮作用。所以此類應用中數據的機密性、完整性、認證性等缺乏相應密碼演算法、協議、機制的防護,整個系統毫無安全可言。
密碼支撐被誤用。部分信息系統應用開發商對密碼配用缺乏技能和經驗,不了解密碼演算法的類型、協議參與方的角色要求、關鍵參數的類型和規模等基本知識,錯誤地調用密碼支撐資源,導致不可避免的安全漏洞。常見的案例包括顛倒分組密碼中密鑰和明文的位置、固定使用加密演算法初始向量、在數字簽名中使用計數器代替隨機數、在身份鑒別中顛倒挑戰者響應者角色等。
密碼支撐被亂用。個別信息系統應用開發商對密碼在信息互聯互通中的重要影響缺乏認識,執行密碼標準不嚴格,不規範地調用密碼支撐資源,導致系統無法對接甚至安全漏洞。常見的案例包括未明確約定協議底層使用的演算法名稱及參數、擅自修改數據介面及數據格式、簡化使用標準所規定的密碼協議等。
棄用、誤用、亂用密碼支撐都將導致安全問題,所以正確規範地使用密碼支撐資源是信息系統應用開發商必須認真學習熟練掌握的基本能力。同時也必須認識到,只有信息系統應用開發商才有機會了解提煉客戶的實際安全需求,從而在其調用密碼支撐資源建設安全應用的過程中有機會努力做到「正確規範」。
以某應用中需要「抗抵賴簽名」為例,關鍵信息包括簽名者的身份、簽署內容的類型、具體的數據格式以及驗簽者的身份等。這些與實際應用密切相關的細節信息,是密碼支撐自身所不能夠掌握的。應用開發商務必與客戶深入溝通,明確此類細節,提煉客戶安全需求,從而為正確規範地調用密碼支撐資源做好充足準備。
>>>密碼支撐形成密碼標準
在對外展現可靠和便利的同時,密碼支撐的建設模式也促進了密碼行業自身梳理思路,良性發展。經過多年的探索,以密碼支撐為主體的商用密碼應用技術框架(見圖 3)設計科學,運行成熟,並廣泛應用到金融、保險、證券、通信、廣播電視、稅務、社保、交通、醫療、電力等諸多關係到國計民生的重要領域,極大促進了國內商用信息安全保障體系的建設。
圖 3 商用密碼應用技術框架
通過持續建設密碼支撐能力,國家密碼管理局自 2012 年以來陸續發布了一系列我國自主的密碼技術標準。截至 2017 年 6 月,已發布密碼行業標準 53 項,範圍涵蓋基礎密碼演算法、密碼應用協議、密碼設備介面等多個方面,已經初步形成體系化的密碼技術標準結構。
截至 2017 年 7 月,已有 11 項密碼行業標準上升成為國家標準,SM2/3/4/9[2-3] 均進 入 國際 ISO 標準的不同制定階段,ZUC 演算法則早在2011 年 9 月成為 LTE 國際標準,用於實現新一代寬頻無線移動通信系統中的無線信道加密和完整性保護 。
>>>密碼標準促進密碼發展
密碼標準的建設為密碼技術、密碼產品、密碼管理和密碼檢測等分別提供了統一的依據,幫助密碼從業人員理清了發展思路,使得科研有目標,應用有依據,檢測有指標,管理有辦法;同時為產業界整合密碼資源,構建信任服務,保障產品質量提供了必要的戰略戰術指導。
以我國目前已經形成的密碼行業標準為例,其包括基礎、應用、檢測和管理四大類共十三子類,見圖 4。這四大類標準既可以支撐密碼產品研製、密碼應用和密碼管理,也可以支撐其他行業用戶構建本行業密碼應用標準。
圖 4 密碼行業標準體系
同時,這四大類標準之間相互聯繫緊密。基礎類標準為其他三類標準提供底層、共性支撐(如演算法、術語、密碼協議、密碼產品等);檢測類標準為基礎類標準和應用類標準提供合規性檢測功能,保障密碼使用的合規性;管理類標準提供管理功能;應用類標準為上層具體密碼應用和密碼服務提供支撐。
此外,密碼標準的國際化推進提升了我國在國際密碼領域的話語權,擴大了我國密碼在國際市場的應用範圍,增強了我國密碼技術、標準、產品的全球影響力和核心競爭力。
>>>結語
隨著信息系統的多樣化發展,密碼應用的環境正在變得越來越複雜。應用系統中安全漏洞頻發,責任邊界卻模糊不清。
本文介紹並分析了密碼支撐的內涵和外延,通過闡述密碼支撐與密碼應用、安全應用和常規應用之間的關係,本文嘗試明確,保障可靠穩定的密碼支撐是密碼從業人員的本職,而「應用中的安全問題」是用戶或信息系統開發商自身必須要了解的需求,如何使用密碼支撐來解決其安全問題是信息安全服務商必須要掌握的方法。務必各司其職,各負其責。
密碼從業單位務必理清觀念,做好教育、培訓、宣傳、指導和幫助工作,使得用戶或信息系統開發商能夠了解密碼,在其行業標準中引用密碼標準;使得信息安全服務商能夠正確使用密碼,在安全建設中構建合適的密碼應用中間層。同時,密碼從業單位應該圍繞密碼支撐體系展開工作,將密碼理論與新技術的研究成果切實在密碼工程實現中落地,做好密碼支撐體系的創新、研發與建設工作。
希望本文能夠為密碼從業人員認識行業特點,找准自身定位,確定發展思路提供一定參考。
(本文選自《信息安全與通信保密》2018年第五期)
