密碼是我們每個人幾乎天天都會用到的東西，但大多數(shù)人可能對其知之甚少。

　　根據(jù)我國法律規(guī)定，不屬于國家秘密的信息，都由“商用密碼”來守護。換句話說，普通人、法人和一般組織使用的密碼都是商用密碼。個人使用的手機、電腦、操作系統(tǒng)、網(wǎng)絡(luò)賬號……處處可見它的影子。

　　作為守護信息安全的最后一道屏障，商用密碼可不可靠，干系甚大。

　　在剛剛結(jié)束不久的全國兩會上，全國人大代表、南京郵電大學(xué)校長葉美蘭告訴我們，如此量大面寬的存在，尚需獲得業(yè)界的廣泛重視。

　　葉美蘭說，“在我國，商用密碼的標(biāo)準(zhǔn)還不很豐富，我們現(xiàn)在大部分(使用的加密算法技術(shù))是國外的，這對于網(wǎng)絡(luò)強國是非常重要的”。她建議“國家在國產(chǎn)商用密碼體系的推進上要高度重視、大力支持，這樣才能在密碼的領(lǐng)域里面、在‘卡脖子’技術(shù)上面能夠有所突破”。

　　“大國要有自己的密碼體系”

　　在今年全國兩會上，有全國人大代表談到“大國要有大算力，中國要構(gòu)筑自己的核心算力”。與之對應(yīng)的，中國理應(yīng)部署自主的密碼安全體系。

　　“大國要有自己的密碼體系。”中國科學(xué)院軟件研究所研究員、可信計算與信息保障實驗室主任張振峰告訴《中國科學(xué)報》，商用密碼應(yīng)用是一個復(fù)雜的系統(tǒng)工程，目前我國各類民用信息系統(tǒng)，除少數(shù)領(lǐng)域(如電力系統(tǒng))國產(chǎn)化程度較高外，大部分應(yīng)用存在著對外依賴的問題。

　　商用密碼使用國外密碼加密技術(shù)、算法、設(shè)備，是否存在隱患？答案幾乎是肯定的。

　　早在2007年，國際加密算法會議就指出，美國國家安全局(NSA)執(zhí)意加入NIST標(biāo)準(zhǔn)的算法，存在植入后門的可能；2013年，路透社爆料稱NSA收買了加密算法機構(gòu)RSA，并植入后門。

　　“這就相當(dāng)于，美國國安局有一把鑰匙，你的鎖如果用了它的鎖芯，它就可以隨意打開它，不管你鎖沒鎖�！币晃粯I(yè)內(nèi)人士告訴記者，這一行為極大地威脅了全世界各國的國家安全和商業(yè)機密安全，因此我國必須要造自己的加密算法，“中國鎖”配“中國鎖芯”，才能把國家安全掌握在自己手中。

　　近年來，云計算、大數(shù)據(jù)、區(qū)塊鏈、數(shù)字貨幣、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、人工智能等新一代信息技術(shù)不斷發(fā)展，安全問題也隨之愈加突出。張振峰說，尤其是網(wǎng)絡(luò)詐騙、隱私侵犯、數(shù)據(jù)泄露等相關(guān)熱點事件不斷發(fā)生，提醒著我們要對網(wǎng)絡(luò)安全愈加重視起來。

　　他介紹，目前我國商用密碼產(chǎn)品日益豐富、算法技術(shù)持續(xù)進步，已經(jīng)形成了一套完整的國產(chǎn)密碼技術(shù)體系，有能力保障各類信息系統(tǒng)的安全性。下一步的關(guān)鍵，是如何推廣應(yīng)用的問題。

　　國產(chǎn)商密應(yīng)用面臨挑戰(zhàn)

　　信息顯示，截至2022年8月，我國現(xiàn)有商用密碼產(chǎn)品達到3000余款，其中2200余款產(chǎn)品取得商用密碼產(chǎn)品認(rèn)證證書，品類涵蓋了密碼芯片、密碼板卡、密碼整機、密碼系統(tǒng)等全產(chǎn)業(yè)鏈條；同時，由我國自主設(shè)計的橢圓曲線公鑰密碼算法SM2、雜湊算法SM3、分組密碼算法SM4、序列密碼算法ZUC、標(biāo)識密碼算法SM9等已經(jīng)成為國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)或密碼行業(yè)標(biāo)準(zhǔn)，標(biāo)志著我國商用密碼算法體系已經(jīng)基本形成。

　　“我國在商密領(lǐng)域有產(chǎn)品、有標(biāo)準(zhǔn)、成體系，但應(yīng)用仍然是難題。”張振峰向《中國科學(xué)報》解釋道，由于我國主導(dǎo)的密碼算法標(biāo)準(zhǔn)進入市場較晚，面對著商用市場巨大的生態(tài)壁壘。此外，底層密碼算法的國產(chǎn)化替代，是一項龐大的系統(tǒng)工程，相關(guān)行業(yè)、市場的主動性和驅(qū)動力都有待深刻挖掘。

　　前述業(yè)內(nèi)人士告訴記者，我國已有的商密算法也存在一些問題，比如算法體系韌性不足、加密效率不高、監(jiān)管和標(biāo)準(zhǔn)機制不完善等，成為國產(chǎn)商密推廣應(yīng)用的道路上的“攔路虎”。

　　他指出，就算法體系韌性而言，目前我國的算法種類還不夠豐富，無法滿足不同場景的加密需求：“以同一標(biāo)準(zhǔn)作用到不同行業(yè)，就會影響到部分行業(yè)的生產(chǎn)效率�！�

　　而從加密效率來看，最好的加密方式是讓加密和設(shè)備或者應(yīng)用本身充分結(jié)合起來，然而目前很多國產(chǎn)產(chǎn)品的加密方案采用的是“外置式”的方案——相當(dāng)于“鎖上加鎖”，導(dǎo)致系統(tǒng)性能低下。

　　另外，我國對國產(chǎn)商密使用的監(jiān)管和標(biāo)準(zhǔn)制定機制尚不成熟，存在著一些對國產(chǎn)商密真實使用情況判斷不準(zhǔn)確、許多關(guān)鍵基礎(chǔ)設(shè)施沒有納入使用考核范圍等現(xiàn)象。比如，在一些關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，有許多打著具有加密功能旗號的產(chǎn)品其實是“中國鎖外國芯”，內(nèi)部還是使用的國外的加密算法，難言真正的自主保護。

　　另外，他提到，我國現(xiàn)在只有一套普適性密碼技術(shù)應(yīng)用測評標(biāo)準(zhǔn)，缺乏對各個行業(yè)根據(jù)實際需求制定的國密應(yīng)用行標(biāo)，導(dǎo)致許多行業(yè)“鞋不對腳”，最終仍對國產(chǎn)替代的落地形成阻礙。

　　近憂未解，又添遠(yuǎn)慮

　　針對上述挑戰(zhàn)，相關(guān)人士建議，要通過國家職能部門牽引，聯(lián)合產(chǎn)學(xué)研三方相關(guān)機構(gòu)，共同推動國產(chǎn)商密技術(shù)研發(fā)、交流和成果轉(zhuǎn)化，加強標(biāo)準(zhǔn)制定，保障我們不僅有“中國鎖芯”，還要讓“鎖芯”足夠豐富，滿足各行各業(yè)應(yīng)用；同時，要加強關(guān)鍵基礎(chǔ)設(shè)施商密應(yīng)用的考核與監(jiān)管，鼓勵應(yīng)用內(nèi)置加密方式，把更多符合條件的關(guān)鍵基礎(chǔ)設(shè)施產(chǎn)品納入到商用密碼產(chǎn)品認(rèn)證目錄中。此外，管理部門與各行業(yè)監(jiān)管部門、協(xié)會、權(quán)威產(chǎn)業(yè)聯(lián)盟，也應(yīng)共同建設(shè)各行各業(yè)的商密應(yīng)用標(biāo)準(zhǔn)，并參與國際標(biāo)準(zhǔn)制定。

　　如果說國產(chǎn)商密在當(dāng)前的應(yīng)用推廣中存在的問題是“近憂”，那么接下來要面臨的還有“遠(yuǎn)慮”。

　　張振峰告訴記者，近年來量子計算技術(shù)的進步、區(qū)塊鏈技術(shù)等新興應(yīng)用的涌現(xiàn)，對傳統(tǒng)的密碼安全體系產(chǎn)生著巨大影響。下一代密碼技術(shù)能不能抵抗量子計算機的攻擊，能不能滿足區(qū)塊鏈系統(tǒng)各種新需求的應(yīng)用，考驗著這一代“密碼人”的智慧。

　　盡管量子計算機尚未真正實現(xiàn)商業(yè)應(yīng)用，但對于這樣一把“萬能鑰匙”，我國對應(yīng)的“鎖”的研究相對滯后。2018年，中國密碼學(xué)會舉辦了一場針對性地算法競賽，但后續(xù)并未啟動標(biāo)準(zhǔn)制定等工作；對比之下，美國國家標(biāo)準(zhǔn)與技術(shù)研究院在該領(lǐng)域持續(xù)發(fā)力，并于2022年7月發(fā)布了4套算法標(biāo)準(zhǔn)，后續(xù)新增4套對抗量子計算機的算法也在計劃中。

　　對此，張振峰表示，在抗量子密碼算法和保障區(qū)塊鏈系統(tǒng)安全體系方面，我國已有許多團隊積極研究，未來有待進一步推進合作、加快形成共識、推動標(biāo)準(zhǔn)和體系的建立。