密碼是我們每個人幾乎天天都會用到的東西，但大多數(shù)人可能對其知之甚少。

　　根據(jù)我國法律規(guī)定，不屬于國家秘密的信息，都由“商用密碼”來守護。換句話說，普通人、法人和一般組織使用的密碼都是商用密碼。個人使用的手機、電腦、操作系統(tǒng)、網(wǎng)絡賬號……處處可見它的影子。

　　作為守護信息安全的最后一道屏障，商用密碼可不可靠，干系甚大。

　　在剛剛結(jié)束不久的全國兩會上，全國人大代表、南京郵電大學校長葉美蘭告訴我們，如此量大面寬的存在，尚需獲得業(yè)界的廣泛重視。

　　葉美蘭說，“在我國，商用密碼的標準還不很豐富，我們現(xiàn)在大部分(使用的加密算法技術)是國外的，這對于網(wǎng)絡強國是非常重要的”。她建議“國家在國產(chǎn)商用密碼體系的推進上要高度重視、大力支持，這樣才能在密碼的領域里面、在‘卡脖子’技術上面能夠有所突破”。

　　“大國要有自己的密碼體系”

　　在今年全國兩會上，有全國人大代表談到“大國要有大算力，中國要構(gòu)筑自己的核心算力”。與之對應的，中國理應部署自主的密碼安全體系。

　　“大國要有自己的密碼體系�！敝袊�科學院軟件研究所研究員、可信計算與信息保障實驗室主任張振峰告訴《中國科學報》，商用密碼應用是一個復雜的系統(tǒng)工程，目前我國各類民用信息系統(tǒng)，除少數(shù)領域(如電力系統(tǒng))國產(chǎn)化程度較高外，大部分應用存在著對外依賴的問題。

　　商用密碼使用國外密碼加密技術、算法、設備，是否存在隱患？答案幾乎是肯定的。

　　早在2007年，國際加密算法會議就指出，美國國家安全局(NSA)執(zhí)意加入NIST標準的算法，存在植入后門的可能；2013年，路透社爆料稱NSA收買了加密算法機構(gòu)RSA，并植入后門。

　　“這就相當于，美國國安局有一把鑰匙，你的鎖如果用了它的鎖芯，它就可以隨意打開它，不管你鎖沒鎖�！币晃粯I(yè)內(nèi)人士告訴記者，這一行為極大地威脅了全世界各國的國家安全和商業(yè)機密安全，因此我國必須要造自己的加密算法，“中國鎖”配“中國鎖芯”，才能把國家安全掌握在自己手中。

　　近年來，云計算、大數(shù)據(jù)、區(qū)塊鏈、數(shù)字貨幣、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、人工智能等新一代信息技術不斷發(fā)展，安全問題也隨之愈加突出。張振峰說，尤其是網(wǎng)絡詐騙、隱私侵犯、數(shù)據(jù)泄露等相關熱點事件不斷發(fā)生，提醒著我們要對網(wǎng)絡安全愈加重視起來。

　　他介紹，目前我國商用密碼產(chǎn)品日益豐富、算法技術持續(xù)進步，已經(jīng)形成了一套完整的國產(chǎn)密碼技術體系，有能力保障各類信息系統(tǒng)的安全性。下一步的關鍵，是如何推廣應用的問題。

　　國產(chǎn)商密應用面臨挑戰(zhàn)

　　信息顯示，截至2022年8月，我國現(xiàn)有商用密碼產(chǎn)品達到3000余款，其中2200余款產(chǎn)品取得商用密碼產(chǎn)品認證證書，品類涵蓋了密碼芯片、密碼板卡、密碼整機、密碼系統(tǒng)等全產(chǎn)業(yè)鏈條；同時，由我國自主設計的橢圓曲線公鑰密碼算法SM2、雜湊算法SM3、分組密碼算法SM4、序列密碼算法ZUC、標識密碼算法SM9等已經(jīng)成為國際標準、國家標準或密碼行業(yè)標準，標志著我國商用密碼算法體系已經(jīng)基本形成。

　　“我國在商密領域有產(chǎn)品、有標準、成體系，但應用仍然是難題�！睆堈穹逑颉吨袊�科學報》解釋道，由于我國主導的密碼算法標準進入市場較晚，面對著商用市場巨大的生態(tài)壁壘。此外，底層密碼算法的國產(chǎn)化替代，是一項龐大的系統(tǒng)工程，相關行業(yè)、市場的主動性和驅(qū)動力都有待深刻挖掘。

　　前述業(yè)內(nèi)人士告訴記者，我國已有的商密算法也存在一些問題，比如算法體系韌性不足、加密效率不高、監(jiān)管和標準機制不完善等，成為國產(chǎn)商密推廣應用的道路上的“攔路虎”。

　　他指出，就算法體系韌性而言，目前我國的算法種類還不夠豐富，無法滿足不同場景的加密需求：“以同一標準作用到不同行業(yè)，就會影響到部分行業(yè)的生產(chǎn)效率�！�

　　而從加密效率來看，最好的加密方式是讓加密和設備或者應用本身充分結(jié)合起來，然而目前很多國產(chǎn)產(chǎn)品的加密方案采用的是“外置式”的方案——相當于“鎖上加鎖”，導致系統(tǒng)性能低下。

　　另外，我國對國產(chǎn)商密使用的監(jiān)管和標準制定機制尚不成熟，存在著一些對國產(chǎn)商密真實使用情況判斷不準確、許多關鍵基礎設施沒有納入使用考核范圍等現(xiàn)象。比如，在一些關鍵基礎設施領域，有許多打著具有加密功能旗號的產(chǎn)品其實是“中國鎖外國芯”，內(nèi)部還是使用的國外的加密算法，難言真正的自主保護。

　　另外，他提到，我國現(xiàn)在只有一套普適性密碼技術應用測評標準，缺乏對各個行業(yè)根據(jù)實際需求制定的國密應用行標，導致許多行業(yè)“鞋不對腳”，最終仍對國產(chǎn)替代的落地形成阻礙。

　　近憂未解，又添遠慮

　　針對上述挑戰(zhàn)，相關人士建議，要通過國家職能部門牽引，聯(lián)合產(chǎn)學研三方相關機構(gòu)，共同推動國產(chǎn)商密技術研發(fā)、交流和成果轉(zhuǎn)化，加強標準制定，保障我們不僅有“中國鎖芯”，還要讓“鎖芯”足夠豐富，滿足各行各業(yè)應用；同時，要加強關鍵基礎設施商密應用的考核與監(jiān)管，鼓勵應用內(nèi)置加密方式，把更多符合條件的關鍵基礎設施產(chǎn)品納入到商用密碼產(chǎn)品認證目錄中。此外，管理部門與各行業(yè)監(jiān)管部門、協(xié)會、權(quán)威產(chǎn)業(yè)聯(lián)盟，也應共同建設各行各業(yè)的商密應用標準，并參與國際標準制定。

　　如果說國產(chǎn)商密在當前的應用推廣中存在的問題是“近憂”，那么接下來要面臨的還有“遠慮”。

　　張振峰告訴記者，近年來量子計算技術的進步、區(qū)塊鏈技術等新興應用的涌現(xiàn)，對傳統(tǒng)的密碼安全體系產(chǎn)生著巨大影響。下一代密碼技術能不能抵抗量子計算機的攻擊，能不能滿足區(qū)塊鏈系統(tǒng)各種新需求的應用，考驗著這一代“密碼人”的智慧。

　　盡管量子計算機尚未真正實現(xiàn)商業(yè)應用，但對于這樣一把“萬能鑰匙”，我國對應的“鎖”的研究相對滯后。2018年，中國密碼學會舉辦了一場針對性地算法競賽，但后續(xù)并未啟動標準制定等工作；對比之下，美國國家標準與技術研究院在該領域持續(xù)發(fā)力，并于2022年7月發(fā)布了4套算法標準，后續(xù)新增4套對抗量子計算機的算法也在計劃中。

　　對此，張振峰表示，在抗量子密碼算法和保障區(qū)塊鏈系統(tǒng)安全體系方面，我國已有許多團隊積極研究，未來有待進一步推進合作、加快形成共識、推動標準和體系的建立。