沃通专家解读《密码法》,数据加密保护将是我国网络安全工作的重点
“《密码法》的正式颁布和明年1月1日正式生效,这是密码界的一件大事和盛事,标志着密码将成为保障我国网络空间安全的核心技术和位于网络安全的核心地位。”从事密码工作十五年的沃通CA创始人和CEO王高华先生非常兴奋地说,“同时,这也标志着数据加密保护已经有法可依,全网裸奔和大数据滥用的时代即将结束,各种数据加密保护的密码应用将得到普及而使得我国的互联网更加安全可控,将有力地推着我国互联网的健康持续发展。”
为了让大家都能读懂《密码法》,本法第二条非常明确地定义了“密码”,这里的“密码”是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。也就是说,这不是指通常俗称的“银行卡密码”“登录密码“,这些密码正式叫法为”口令“,是由数字、字母和特殊符合组成的一串字母,用于简单的”你知道什么“的身份认证。
根据本法第二条的定义,密码主要用于信息加密保护和安全认证。密码用于安全认证已经在我国得到了普及应用,各种网银Key、电子政务(工商、税务、海关、社保、招标等)用于身份认证的USB Key,实际上是USBKey中有CA(电子认证服务机构)颁发的签名证书和加密证书,采用密码技术对用户的网上行为进行数字签名安全认证,以保证登录系统的身份可信和文档可信。据工信部网站发布的数据,截至到2018年3月31日,我国有效电子认证证书持有量合计3.82亿张,这些数字证书的密码应用有效地保障了我国各个电子政务和电子商务应用的安全可信。
而密码的另一个最大的也是最重要的应用是“对信息进行加密保护“,这个最重要的应用在我国还处于起步阶段,也没有得到应有的重视。如网站https加密应用,据英国Netcraft的统计数据,我国在世界各国https加密应用部署量排名位于第22位(美国第一、德国第二、英国第三、荷兰第四、法国第五),我国只占全世界0.83%的份额,也就是说,在全球一万个采用https加密的网站中,我国只占83个,而我国网站数量已经位居全球第一(约八千万个)。由于没有采用密码应用加密,使得我国互联网上的流量都是明文,各种重要的个人隐私信息、企业重要商业信息都在互联网上明文传输,这才是导致我国的数据泄密事件频发和各种攻击不断的最根本原因!攻击者窃取到明文数据后就可以做大数据分析和画像,就可以利用这些大数据来实施犯罪和网络攻击!
这些基于非法获取到的大数据分析实施的攻击很少发生在有可靠安全防护的服务器端/云端,也很少发生在有安全防护的用户端(电脑和手机),而绝大多数都是发生在各种信息从用户端传输到服务器端的路上,在半路上截获了各种信息,因为这些信息都是明文的,没有采用密码技术“对信息进行加密保护“。而这次出台的《密码法》将有望改变目前的局面,让我国互联网上流动的信息(数据)都是密文,给我国互联网平添了一层天然的安全屏障。
王高华先生在10月19日第六届世界互联网大会互联网之光博览会“网络安全产业发展论坛”上发言时指出:”网络安全产业开始进入To D时代,这里的D是Data(数据),也就是说,网络安全产业开始从To B(企业用户服务)、To C(终端用户服务)进入To D(数据保护服务)的新时代”。一位美国安全专家称:为了解决现代威胁,我们需要更少关注防御系统,更多地关注防御数据本身。其实,解决从用户端到服务器端/云端的数据安全问题必须由密码技术来解决,那就是在网站系统部署SSL证书采用https加密协议自动实现从C端(浏览器或APP)到服务器端/云端的数据传输加密。
目前,谷歌浏览器、火狐浏览器和苹果Safari浏览器都对没有部署SSL证书的http网站提示“不安全”,因为目前使用的http协议从用户浏览器到服务器之间的数据传输是明文的,各种机密数据非常容易被非法窃取和非法篡改。所有网站都必须部署SSL证书实现https加密传输,这是大势所趋。美国政府所有网站和政务服务系统已经完成81% https加密改造,而我国政府网站系统和重要信息基础设施网站https加密部署比例不到1%。即使我国有不到1%的网站部署了SSL证书,这些网站也仍然存在安全风险,因为都是部署国外CA签发的RSA加密算法SSL证书,极有可能由于政治、经济和贸易纠纷等各种原因吊销和断供这些SSL证书,而导致我国的各种重要信息基础设施系统无法正常提供服务。而这次出台的《密码法》第二十七条就明确要求我国的关键信息基础设施运营者应当使用商用密码进行保护,也就是说,我国的政府网站和各种政务服务系统必须采用国产密码https加密,全面采用https加密来实现我国互联网数据从用户端到云端在传输过程都是加密的,有效地防止各种数据泄露和数据滥用犯罪。
就网站https加密这块,美国早在2015年6月就由负责协助总统实现其政策、预算、管理和目标监管和其他法定职责的总统管理和预算办公室(OMB)发文要求所有政府网站和政务系统都必须建立https加密连接,并制定的相应的技术标准和建立检查监督机制。截止到10月25日联邦政府网站系统已经完成81%的全站https加密,有效地解决了美国公众向政府系统提交机密信息的安全保障问题。有了政府的引导和示范,社会网站系统https部署率也已经超过70%,也就是说,美国互联网上流动的数据基本上都是加密的,切断了非法获取各种机密数据的可能性,有效地保护了美国网站和系统的安全和美国公民的隐私信息安全。而本次出台的《密码法》比美国出台的规定力度更大,使得我国的密码保护走上法制化的轨道,将大大加快我国采用密码保护我国互联网数据的步伐,加速推动我国政府网站和电子政务服务系统在网站https国产密码加密的实施和部署,将有力保障了我国电子政务系统的安全可控,并带动各种电子商务系统也能普及部署国密SSL证书来实现网站https加密防护。
沃通CA早在3年前就着手了国密证书全生态应用的研究和相关产品研发,已经联合360浏览器和自主研发的密信浏览器支持商用密码算法实现国密https加密,并成功研发密信邮件客户端实现全自动国密证书加密每一封电子邮件来保障邮件机密信息在传输过程和在云端的安全防护,也已经成功研发密信阅读器支持国密证书签名和加密PDF/OFD文件。网络安全产业已经开始从To B和To C进入到To D发展阶段,数据加密保护将是今后我国网络安全的重点,只有用户端(C)、服务器端(B)和数据保护(D)这个三个方面都做好了安全防护,都采用了密码技术,才能真正保护和保障我国互联网的安全可控和健康持续发展,这就是制定《密码法》的重要意义之所在,也是电子认证业和网络安全产业发展的大好机会,沃通CA愿同业界共享商用密码应用研究成果,共同为采用密码来保障我国互联网安全可控做贡献。