商用密码发展

信息安全与商用密码

中国工程院院士蔡吉人

一、密码在信息化社会中的作用和地位

信息革命浪潮席卷全球，已成为不可逆转之势。我国高度重视信息化，制定了“发展信息技术，以信息化带动工业化”的发展战略。信息是国家发展的重要资源。伴随着信息网络化的发展，国际上围绕信息获取、利用和控制的斗争愈演愈烈，“制信息权”成为各国竞争的制高点，信息安全已成为不可回避的现实挑战。

密码是保障信息安全的核心技术，是网络环境下实现信息保护和安全认证的有效手段。在解决网络信息系统的身份认证、安全接入以及信息的保密性、完整性和不可否认性等方面发挥着特殊的不可替代的作用，有效地使用密码技术是网络安全风险控制的关键。

美国政府在强调密码在信息时代的作用时认为：“国家密码政策的正确作用应该是，有利于从充满信息脆弱性的当今世界明智地过渡到具有高度信息安全性的未来世界”。密码学家Schneier也说过：“加密术是网络空间的核心技术。如果没有密码术，电子商务将永远无法成为主流。”

当前，随着信息网络的发展，密码应用领域不断拓宽。密码在为党、政、军各级领导机关提供秘密通信的同时，已广泛应用于经济、科技、文化和社会生活的各个领域，成为现代社会的重要战略资源。因此，我们要充分发挥密码在保障国家安全、社会稳定、经济发展和公众利益中的重要作用，促进国家信息化的健康发展。

二、密码领域面临的新形势和新挑战

1.密码发展历史的简要回顾

密码已有几千年的历史。在很长一段时间里，密码都是作为一种隐蔽通信技术。密码称为一门完整的、成熟的学科，还是20世纪50年代的事情。

● 1949年，信息论创始人Shannon发表的经典论文“保密通信的信息理论”，将密码学的研究引入了科学的轨道。

● 1976年，著名学者Diffie和Hellman“密码学的新方向”的发表，奠定了公钥密码学的基础；

● 1977年，美国数据加密标准（DES）的公布，使密码学的研究和应用从秘密走向公开。

密码领域的这些重大变革，极大地推动了密码学的快速发展，使其成为一门蓬勃发展的学科。随着信息网络技术，特别是互联网的迅速发展，信息安全问题已引起人们的极大关注，密码作为信息安全核心技术的地位被进一步确立。密码领域正发生着深刻的变化。

2.密码领域的新特点

密码由主要应用于政府、军事、外交等领域逐步走向社会，深入到经济、金融、商务、科技、文化、甚至个人领域，密码应用领域不断扩大；密码研究由国家专门机构走向高等院校、科研院所、企事业单位，促进了密码理论与密码技术的发展。

密码理论和技术实现了由传统密码到现代密码的重大变革，现代密码是通信、计算机和密码的结合，它融合了对称密码和非对称密码等多种密码技术，实现了信息保密和安全认证的完整结合。

密码体制与功能由单一化阶段经多元化阶段，走向集成化阶段，密码系统建立在芯片上已成为发展趋势。

总起来说，当前，无论是密码理论、密码技术的发展速度，还是密码业务范围、使用领域的扩展速度都是空前的。

3.密码领域面临的形势和挑战

全球信息革命的到来，推进了我国信息化的进程，使电子商务、电子政务和社会信息化得到空前的发展，这对密码工作提出了新的要求，要求密码能提供全面的信息保护和安全认证。

在中办发[2003]27号文中，有关信息安全保障工作第三项工作指出：“加强以密码技术为基础的信息保护和网络信任体系建设”。此项工作涵盖了密码管理、法规、技术开发利用、密钥管理以及以密码技术为基础的网络信任体系建设等各个方面。它是统一的、完整的，我们必须以新的思想、理论、技术和管理去完成国家赋予密码工作的任务。

信息作为国家发展的重要资源，国际上围绕"信息控制权"的斗争愈演愈烈，反映在密码领域，攻防斗争更加尖锐和复杂。高科技应用密码斗争领域，使得这种斗争空前激烈；计算能力的不断提高，对密码保密构成威胁。密码编制必须在自主研究基础上不断创新。

密码的社会化应用，引起了密码管理方式的重大变革，正确的宏观调控和管理有利于商用密码的发展，调控和管理不当则可能产生负面影响。密码安全和方便使用之间的制衡，始终是商用密码管理的关注点，要不断检查、评估和调整相应的管理策略，创建一个主动、灵活、适应性强的密码管理体制。

面对新形势，应紧紧围绕国家信息化发展战略，紧紧把握密码需求的脉搏，大力发展商用密码技术，加强商用密码的科学化管理，充分发挥密码在信息化建设中的关键性作用，促进信息化建设健康有序地发展。

4.大力发展商用密码，促进信息化建设健康发展

党和国家高度重视商用密码工作，先后采取了一系列重大举措来促进商用密码的发展。

1993年，为适应现代化密码保障的需要，适时作出了发展商用密码的决定，并成立了相应的商用密码管理机构。

中央制定了“统一领导、集中管理、定点研制、专控经营、满足使用”这一发展商用密码的二十字方针。

1999年，经朱基同志批准，国务院颁布了《商用密码管理条例》。先后批准了7家商用密码科研定点单位，103家商用密码产品生产定点单位和217家商用密码产品销售许可单位，有力地促进了商用密码的发展。

根据中办27号文对密码工作的要求，为适应信息化发展的新趋势，我们必须大力发展商用密码，建立和完善社会信息化密码保障体系，促进信息化建设健康发展。

三、密码工作的重点

1.加强密码理论研究

密码理论是推进密码发展的源动力。我们应加强密码理论研究，为不断提高密码编制水平提供强有力的支撑。

●发展Shannon保密通信理论，建立在开放网络环境中针对各种攻击（包

括主动攻击和被动攻击）模型下的密码保密通信理论。

●深化和发展基于数学的密码理论，发掘可用于构造密码的数学难题。

●创建新的理论基础，为公钥密码基础设施提供理论保障，为高速多媒体网络通信提供新密码算法，为分析和评测密码算法提供理论准则和科学方法。

●建立密码安全性形式化分析方法。可证明安全性理论研究是近几年来密码研究领域提出的一个新方向，要在非对称密码和对称密码研究中，运用和发展可证明安全性理论。

●开展信息隐藏、量子密码、混沌密码等新型保密通信和新型密码的研究。

●大力发展密码技术，研究开发多算法、多应用、多协议的密码应用平台，满足电子政务、电子商务发展的需要，解决密码设备的互通、兼容性问题。

●建立面向芯片实现的国家密码算法体系，研究开发高性能的密码算法专用芯片（ASIC）和密码算法系统集成芯片（SoC）。

●加强密码设备安全防护能力的研究，强化密码模块的抗解剖、抗能量攻击和抗定时攻击等防护能力。

●适应一体化、嵌入式的要求，加强密码技术和通信技术、密码技术和其它安全技术融合的研究。

我们要通过提高对密码新技术的预测能力，取得并保持密码领域的优势。

2.加强密码基础设施建设

建立和完善以密码技术为基础的网络信任体系，实现网络环境下安全可信的接入、传输和应用，推进电子政务和电子商务的发展。按照网络化、设施化、规范化的要求，构建覆盖全国范围、布局合理的密钥管理基础设施。为证书系统、多种密码设备和密码应用提供密钥支撑服务。建立和完善密码分析测评中心，实现对各信息系统的密码设备和密码系统的科学、全面的检测和评估。

3.积极推进商用密码标准和法规建设

密码标准是密码理论与技术发展的结晶，是国家保护自主知识产权的重要武器，也是一个国家商用密码发展水平的重要标志。要加快推进商用密码标准化的进程，制定相应的与国际标准相衔接的、与我国信息化发展需要相适应的商用密码规范和标准。

密码法规是社会信息化密码管理的依据。要按照中办发［2003］27号文件