执行密码、加密或解密的算法,可能是为了保护信息、保护宝贵的财产或保护隐私。
自古以来,有入侵才能得到保护,为了更加严密的保护,密码的研究和设置方式不断发生变化。为了更好地管理密码系统,聚集密码人才,很多国家都在设立专门的密码管理机构,但他们的工作不是像电影里那样拦截核武器的密码,拯救世界。
密码管理局在做什么?
10月26日,通常是一天,但密码管理局认为这不平凡。当天,全国各地的密码管理局向更多人发送了信息,通知国民《中华人民共和国密码法》是颁布一周年。
当然,预计大多数人会注意到这条短信的宣传者“密码管理局”。我们居然有这样的管理局?这是什么机构?他们通常在做什么?
是像《风声》 《布莱切利四人组》 《模仿游戏》那样拦截密码和解密信息吗?还是像今天《网络谜踪》 《碟中谍》那样通过层层交织的数字信息解密?或者像《降临》那样,从一开始就能用密码解构语言体系吗?
照片来源《模仿游戏》
如果你对密码管理局有越来越多的神秘想象,打开他们的主页会受到更大的冲击。因为他们的官网是“党政机关风”。虽然这个机构本身是国家组织。但是有了官网就显得不神秘了,和其他官网没什么区别,和电影里的悬疑机关不一样,只能生活在传说中。
事实上,这个机构确实很神秘。他们甚至会主动出来让更多人知道。除了短信宣传和管理局高度相关的密码法外,还上街宣传密码法,开设更多论坛科普和密码法相关内容。
他们的工作与普通民众最相关的就是底层科普。他们的目标是让人们正确认识密码,理解密码的作用,合法使用密码,加强密码的安全意识。如果密码管理局让你很接地气,也许你赶上了他们的科普活动。他们还在学习强国的应用程序中进行专门账户、科普内容、密码知识和政策答案活动。
密码管理局也是政务服务的处理窗口之一。
他们将审查与密码相关的技术、服务,有加密技术的设备的进出口也要经过这个部门。密码研究、生产、设备、销售也由国家密码局履行密码管理职能。在防止重要信息系统的安全风险方面,规划和管理国家密码基础设施也是密码管理局的一部分。
广东省密码管理局政务服务
但是对密码管理局有幻想的读者也不必悲伤。密码管理局的部分业务范围看起来还是很有故事性的。比如管理局会收到最先进的密码,中国新一代的数字签名算法是设计后提交给密码管理局的。这使我想起了曲折的情节。(阿尔伯特爱因斯坦,Northern Exposure,《密码名言》)机构义务中写的“密码泄露事件和违法违规研究、密码使用行为”可以脑补很多间谍剧、探案剧。
只是故事再精彩,你也不会知道。
你使用的密码不是“密码”
在《中华人民共和国密码法》颁布一周年之际发送大量短信,这不是密码管理局第一次进入公众视野。在此之前,密码管理局曾因《密码法》的出台而卷入传闻,让很多人了解了管理密码的组织机构。
当时,“网络密码由国家统一管理,保护信息安全”的传闻在网络上引起了不少争议,但事实可能与大家想象的有很大差异。
icle.detail&_iz=31825&index=5" width="640" height="383"/>首先,你日常使用的密码实际上不是「密码」。如果说你使用的密码是「感冒」的话,那密码管理局所说的密码或许就是「流感」。虽然听上去是一个东西,实际上差别非常大。
国家密码管理局新闻发言人李国海在解读密码法时就做过解释:
我们输入的取款密码、网站的登录密码,实际上并不是密码法中规定的「密码」。准确来讲,上述这些「密码」应该称为「口令」,只是一种最简单、最初级的认证方式。而真正的「密码」,藏在安全支付设备中、藏在网络系统内,默默守护国家秘密信息安全、守护我们每个人的信息安全。
也就是说,我们的平常使用的密码应该说是口令,它们的实质其实是需要密码系统保护的重要信息。这和密码法想要统一管理的密码其实完全不同,因此你的密码会被国家统一管理的担心其实是不存在的。
▲ 严格来说《网络迷踪》的密码也都是口令信息
在《密码法》的条文中,密码被分为了三类:核心密码、普通密码和商用密码。
现在可以来一个问题进行随机考察了:以上三类密码中,你用的最多的密码是哪一类?估计大部分人会猜用的最多的是商用密码和普通密码,但这个答案是错的。
因为核心密码、普通密码是用于保护国家秘密信息的,前者保护信息的最高密级为绝密级,后者保护信息的最高密级为机密级。在这三类密码中,唯有商用密码不被用来保护国家秘密信息,而被广泛用于保护企业商业秘密、公民个人隐私等,电子签名文件、金融芯片卡、增值税防伪税控系统、居民身份证等用的都是商用密码,它的影响也不可谓不大。
▲ 二代居民身份证用的就是商用密码芯片
就因为商用密码和每个公民息息相关,所以即便商用密码不用于保护国家秘密信息的,它相关技术中仍有部分属于国家秘密,研发和使用仍需要由国家密码管理局统一管理。
量子密码,未来密码
在信息成为一种最有价值商品的今天,密码可以说和每个国家的经济、政治和军事命运息息相关。所以直到现在,最尖端的密码技术大多依旧集中在政府的保密信息中,连那些为此做出巨大贡献的密码学家都不被外界所知,因为密码就是国家和国家直接保持竞争优势的工具。
每个国家管理密码的组织也并不相同。美国是国家安全局的密码学中心;英国负责这部分事务的是 GCHQ(政府通信总部),俄罗斯则是前身为 FAPSI 的联邦专用通信和信息服务警卫局,法国负责这部分的是 ANSSI(法国国家网络安全局),中国负责管理密码的就是密码管理局了。虽然每个管理机构的名称和职责范围有不同,但他们确实都有管理密码的责任。
密码管理的工作一部分是研究密码,另一部分则是保证先进的密码不会被出口。所以在 2020 年 8 月 28 日,中国商务部、科技部发布了《中国禁止或限制出口技术目录》(《2020 年出口管制目录》) 的修订。在这此修订版本中,密码芯片设计,实现技术,量子密码技术都加入了受限列表。
▲ RSA 密码就曾在美国禁止出口名单中,因此印有几行 RSA 密码的 T 恤也在禁出口名单中,美国人在 T 恤背面印上宪法条文对此进行抗议
在这个受限列表中,量子密码就是最被密码学家们寄予厚望的新密码。这也是那个和「有事不决,量子力学」拥有一样核心原理的密码。
过去,密码分析家们一直都在寻找一个分解因数的捷径,希望用理论性革新密码学。但因数分解的研究已经持续了好几个世纪,进展并不大,所以也有不少分析家在寻求技术性的革新,一种可以更快执行密码分析的技术 —— 量子计算机。
这就是「一力降十会」式的降维打击,因为量子计算机的计算速度使得现代超级计算机像一把老旧的算盘,它可以通过算力的突飞猛进破解所有艰涩的密码。《码书:编码与解码的战争》一书中就写道:
任何先拿下这项锦标(量子计算机)的国家将有能力监控它的人民的通讯、读取它的商业对手的心思、窃听它的敌人的计谋。量子运算,虽然尚在襁褓期,对个人、国际商务和全球安全而言,已是潜在的威胁。
▲ 从此《碟中谍》这样的场面会越来越少
量子计算机如此可怕,密码的破译者在等待它的来临,但也有编码者已经开始准备构起一面看不到的敌人的围墙,他们开始研究量子密码 —— 一个面对量子计算机也能确保隐私的加密系统。在构想中,量子密码就是能够提供完美隐私和绝对安全的未来密码,是一套永远无法破解的加密系统。
正因为这个「永远无法破解」是如此诱人,各国最优秀的密码学家和数学家们都投入到了量子密码的研究之中。即便是在各国官方的官方信息中,量子密码出现的频率也不可谓不低。
国家密码管理局就公示过资助量子密钥研究的信息;量子密码还是密码科学技术国家重点实验室的研究方向;在各个学术分享和密码论坛上它也从不缺席。美国国家安全局还在官网上展示了国家对量子密码的网络安全观点,法国也公开宣称其计划在 2022 年前部署第一个量子密钥分发解决方案。
▲ 国家密码局公开的公示信息
▲ 美国国安局官网就有量子密码相关内容
换句话说,虽然量子密码离我们普通人的生活还非常遥远,但在国家密码管理局这样的密码研究机构中,它已经是非常重要的研究方向了。
国家密码管理局给你发来的短信是在你普及密码法;他们平常的工作在制定密码相关的法律细则,管理密码的科研、生产、进出口事务等;但同时,他们也在关注着更先进的密码的研究进程,让不会被破解的量子密码今早来临。
这样一看,是不是突然觉得收到的这条短信突然就更有意义了。至少以后你也能和自己的孙子吹嘘一下:「你爷爷我当年还收过国家密码管理局特意发给我的短信呢?」
