❶ 根據中華人民共和國密碼法
《中華人民共和國密碼法》具體如下:
1、為了規范密碼應用和管理,促進密碼事業發展,保障網路與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,制定本法;
2、 密碼工作堅持總體國家安全觀,遵循統一領導、分級負責,創新發展、服務大局,依法管理、保障安全的原則;
3、 堅持中國共產黨對密碼工作的領導。中央密碼工作領導機構對全國密碼工作實行統一領導,制定國家密碼工作重大方針政策,統籌協調國家密碼重大事項和重要工作,推進國家密碼法治建設;
4、 國家密碼管理部門負責管理全國的密碼工作。縣級以上地方各級密碼管理部門負責管理本行政區域的密碼工作。國家機關和涉及密碼工作的單位在其職責范圍內負責本機關、本單位或者本系統的密碼工作。
【法律法規】
《中華人民共和國密碼法(釋義)》
第二十七條 法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網路安全等級測評制度相銜接,避免重復評估、測評。
關鍵信息基礎設施的運營者采購涉及商用密碼的網路產品和服務,可能影響國家安全的,應當按照《中華人民共和國網路安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。
關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域。
關鍵信息基礎設施的運營者,是指關鍵信息基礎設施的所有者、管理者和網路服務提供者。
商用密碼應用安全性評估。是指在採用商用密碼技術、產品和服務集成建設的網路和信息系統中,對其密碼應用的合規性、正確性和有效性進行評估。
❷ 什麼單位需要做商用密碼測評
密評工作由國家密碼管理部門認定的密碼測評機構承擔,國家密碼管理部門定期發布測評機構目錄
責任單位應當制定商用密碼應用建設方案,組織專家或者委託測評機構進行評估,評估結果作為項目規劃立項的重要依據和申報使用財政性資金項目的必備材料
責任單位應當委託測評機構進行商用密碼應用安全性評估,評估結果作為項目建設驗收的必備材料
責任單位應當委託測評機構定期開展商用密碼應用安全性評估,評估未通過,責任單位應當先期調整並重新組織評估;關鍵信息基礎設施,網路安全等級保護第三級及以上信息系統,每年至少評估一次
①基礎信息網路:電信網、廣播電視網、互聯網。
②重要信息系統:能源、教育、公安、測繪地理信息、社保、交通、衛生計生、金融等涉及國計民生和基礎信息資源的重要信息系統。
③重要工業控制系統:核設施、航空航天、先進製造、石油石化、油氣管網、電力系統、交通運輸、水利樞紐、城市設施等重要工業控制系統。
④面向社會服務的政務信息系統:黨政機關和使用財政性資金的事業單位和團體組織使用的面向社會服務的信息系統。
❸ 密碼法是什麼東東
中華人民共和國密碼法
《中華人民共和國密碼法》旨在規范密碼應用和管理,促進密碼事業發展,保障網路與信息安全,提升密碼管理科學化、規范化、法治化水平,是我國密碼領域的綜合性、基礎性法律。
2019年10月26日,第十三屆全國人民代表大會常務委員會第十四次會議表決通過密碼法,將自2020年1月1日起施行。[1]
中文名:中華人民共和國密碼法
外文名:Password law of the people's Republic of China
宗旨:規范密碼應用和管理,促進密碼事業發展,保障網路與信息安全
通過時間:2019年10月26日
施行時間:2020年1月1日
《中華人民共和國密碼法》發布
10月26日,十三屆全國人大常委會第十四次會議表決通過密碼法,將自2020年1月1日起施行。密碼法旨在規范密碼應用和管理,促進密碼事業發展,保障網路與信息安全,提升密碼管理科學化、規范化、法治化水平,是我國密碼領域的綜合性、基礎性法律。
出台歷程
2018年9月7日,十三屆全國人大常委會公布立法規劃(共116件),《中華人民共和國密碼法》位於第一類項目:條件比較成熟、任期內擬提請審議的法律草案。[2]
2019年6月25日,《密碼法草案》提請十三屆全國人大常委會第十一次會議審議,旨在通過立法提升密碼管理科學化、規范化、法治化水平,促進我國密碼事業的穩步健康發展。[3]
2019年10月26日下午,十三屆全國人大常委會第十四次會議表決通過密碼法,將自2020年1月1日起施行。[1]
內容全文
目錄
第一章總則
第二章核心密碼、普通密碼
第三章商用密碼
第四章法律責任
第五章附 則
正文
第一章總則
第一條為了規范密碼應用和管理,促進密碼事業發展,保障網路與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益,制定本法。
第二條本法所稱密碼,是指採用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。
第三條密碼工作堅持總體國家安全觀,遵循統一領導、分級負責,創新發展、服務大局,依法管理、保障安全的原則。
第四條堅持中國共產黨對密碼工作的領導。中央密碼工作領導機構對全國密碼工作實行統一領導,制定國家密碼工作重大方針政策,統籌協調國家密碼重大事項和重要工作,推進國家密碼法治建設。
第五條國家密碼管理部門負責管理全國的密碼工作。縣級以上地方各級密碼管理部門負責管理本行政區域的密碼工作。
國家機關和涉及密碼工作的單位在其職責范圍內負責本機關、本單位或者本系統的密碼工作。
第六條國家對密碼實行分類管理。
密碼分為核心密碼、普通密碼和商用密碼。
第七條核心密碼、普通密碼用於保護國家秘密信息,核心密碼保護信息的最高密級為絕密級,普通密碼保護信息的最高密級為機密級。
核心密碼、普通密碼屬於國家秘密。密碼管理部門依照本法和有關法律、行政法規、國家有關規定對核心密碼、普通密碼實行嚴格統一管理。
第八條商用密碼用於保護不屬於國家秘密的信息。
公民、法人和其他組織可以依法使用商用密碼保護網路與信息安全。
第九條國家鼓勵和支持密碼科學技術研究和應用,依法保護密碼領域的知識產權,促進密碼科學技術進步和創新。
國家加強密碼人才培養和隊伍建設,對在密碼工作中作出突出貢獻的組織和個人,按照國家有關規定給予表彰和獎勵。
第十條國家採取多種形式加強密碼安全教育,將密碼安全教育納入國民教育體系和公務員教育培訓體系,增強公民、法人和其他組織的密碼安全意識。
第十一條縣級以上人民政府應當將密碼工作納入本級國民經濟和社會發展規劃,所需經費列入本級財政預算。
第十二條任何組織或者個人不得竊取他人加密保護的信息或者非法侵入他人的密碼保障系統。
任何組織或者個人不得利用密碼從事危害國家安全、社會公共利益、他人合法權益等違法犯罪活動。
第二章核心密碼、普通密碼
第十三條國家加強核心密碼、普通密碼的科學規劃、管理和使用,加強制度建設,完善管理措施,增強密碼安全保障能力。
第十四條在有線、無線通信中傳遞的國家秘密信息,以及存儲、處理國家秘密信息的信息系統,應當依照法律、行政法規和國家有關規定使用核心密碼、普通密碼進行加密保護、安全認證。
第十五條從事核心密碼、普通密碼科研、生產、服務、檢測、裝備、使用和銷毀等工作的機構(以下統稱密碼工作機構)應當按照法律、行政法規、國家有關規定以及核心密碼、普通密碼標準的要求,建立健全安全管理制度,採取嚴格的保密措施和保密責任制,確保核心密碼、普通密碼的安全。
第十六條密碼管理部門依法對密碼工作機構的核心密碼、普通密碼工作進行指導、監督和檢查,密碼工作機構應當配合。
第十七條密碼管理部門根據工作需要會同有關部門建立核心密碼、普通密碼的安全監測預警、安全風險評估、信息通報、重大事項會商和應急處置等協作機制,確保核心密碼、普通密碼安全管理的協同聯動和有序高效。
密碼工作機構發現核心密碼、普通密碼泄密或者影響核心密碼、普通密碼安全的重大問題、風險隱患的,應當立即採取應對措施,並及時向保密行政管理部門、密碼管理部門報告,由保密行政管理部門、密碼管理部門會同有關部門組織開展調查、處置,並指導有關密碼工作機構及時消除安全隱患。
第十八條國家加強密碼工作機構建設,保障其履行工作職責。
國家建立適應核心密碼、普通密碼工作需要的人員錄用、選調、保密、考核、培訓、待遇、獎懲、交流、退出等管理制度。
第十九條密碼管理部門因工作需要,按照國家有關規定,可以提請公安、交通運輸、海關等部門對核心密碼、普通密碼有關物品和人員提供免檢等便利,有關部門應當予以協助。
第二十條密碼管理部門和密碼工作機構應當建立健全嚴格的監督和安全審查制度,對其工作人員遵守法律和紀律等情況進行監督,並依法採取必要措施,定期或者不定期組織開展安全審查。
第三章商用密碼
第二十一條國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用,健全統一、開放、競爭、有序的商用密碼市場體系,鼓勵和促進商用密碼產業發展。
各級人民政府及其有關部門應當遵循非歧視原則,依法平等對待包括外商投資企業在內的商用密碼科研、生產、銷售、服務、進出口等單位(以下統稱商用密碼從業單位)。國家鼓勵在外商投資過程中基於自願原則和商業規則開展商用密碼技術合作。行政機關及其工作人員不得利用行政手段強制轉讓商用密碼技術。
商用密碼的科研、生產、銷售、服務和進出口,不得損害國家安全、社會公共利益或者他人合法權益。
第二十二條國家建立和完善商用密碼標准體系。
國務院標准化行政主管部門和國家密碼管理部門依據各自職責,組織制定商用密碼國家標准、行業標准。
國家支持社會團體、企業利用自主創新技術制定高於國家標准、行業標准相關技術要求的商用密碼團體標准、企業標准。
第二十三條國家推動參與商用密碼國際標准化活動,參與制定商用密碼國際標准,推進商用密碼中國標准與國外標准之間的轉化運用。
國家鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標准化活動。
第二十四條商用密碼從業單位開展商用密碼活動,應當符合有關法律、行政法規、商用密碼強制性國家標准以及該從業單位公開標準的技術要求。
國家鼓勵商用密碼從業單位採用商用密碼推薦性國家標准、行業標准,提升商用密碼的防護能力,維護用戶的合法權益。
第二十五條國家推進商用密碼檢測認證體系建設,制定商用密碼檢測認證技術規范、規則,鼓勵商用密碼從業單位自願接受商用密碼檢測認證,提升市場競爭力。
商用密碼檢測、認證機構應當依法取得相關資質,並依照法律、行政法規的規定和商用密碼檢測認證技術規范、規則開展商用密碼檢測認證。
商用密碼檢測、認證機構應當對其在商用密碼檢測認證中所知悉的國家秘密和商業秘密承擔保密義務。
第二十六條涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網路關鍵設備和網路安全專用產品目錄,由具備資格的機構檢測認證合格後,方可銷售或者提供。商用密碼產品檢測認證適用《中華人民共和國網路安全法》的有關規定,避免重復檢測認證。
商用密碼服務使用網路關鍵設備和網路安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格。
第二十七條法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網路安全等級測評制度相銜接,避免重復評估、測評。
關鍵信息基礎設施的運營者采購涉及商用密碼的網路產品和服務,可能影響國家安全的,應當按照《中華人民共和國網路安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。
第二十八條國務院商務主管部門、國家密碼管理部門依法對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可,對涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼實施出口管制。商用密碼進口許可清單和出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定並公布。
大眾消費類產品所採用的商用密碼不實行進口許可和出口管制制度。
第二十九條國家密碼管理部門對採用商用密碼技術從事電子政務電子認證服務的機構進行認定,會同有關部門負責政務活動中使用電子簽名、數據電文的管理。
第三十條商用密碼領域的行業協會等組織依照法律、行政法規及其章程的規定,為商用密碼從業單位提供信息、技術、培訓等服務,引導和督促商用密碼從業單位依法開展商用密碼活動,加強行業自律,推動行業誠信建設,促進行業健康發展。
第三十一條密碼管理部門和有關部門建立日常監管和隨機抽查相結合的商用密碼事中事後監管制度,建立統一的商用密碼監督管理信息平台,推進事中事後監管與社會信用體系相銜接,強化商用密碼從業單位自律和社會監督。
密碼管理部門和有關部門及其工作人員不得要求商用密碼從業單位和商用密碼檢測、認證機構向其披露源代碼等密碼相關專有信息,並對其在履行職責中知悉的商業秘密和個人隱私嚴格保密,不得泄露或者非法向他人提供。
第四章法律責任
第三十二條違反本法第十二條規定,竊取他人加密保護的信息,非法侵入他人的密碼保障系統,或者利用密碼從事危害國家安全、社會公共利益、他人合法權益等違法活動的,由有關部門依照《中華人民共和國網路安全法》和其他有關法律、行政法規的規定追究法律責任。
第三十三條違反本法第十四條規定,未按照要求使用核心密碼、普通密碼的,由密碼管理部門責令改正或者停止違法行為,給予警告;情節嚴重的,由密碼管理部門建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
第三十四條違反本法規定,發生核心密碼、普通密碼泄密案件的,由保密行政管理部門、密碼管理部門建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
違反本法第十七條第二款規定,發現核心密碼、普通密碼泄密或者影響核心密碼、普通密碼安全的重大問題、風險隱患,未立即採取應對措施,或者未及時報告的,由保密行政管理部門、密碼管理部門建議有關國家機關、單位對直接負責的主管人員和其他直接責任人員依法給予處分或者處理。
第三十五條商用密碼檢測、認證機構違反本法第二十五條第二款、第三款規定開展商用密碼檢測認證的,由市場監督管理部門會同密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法所得;違法所得三十萬元以上的,可以並處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足三十萬元的,可以並處十萬元以上三十萬元以下罰款;情節嚴重的,依法吊銷相關資質。
第三十六條違反本法第二十六條規定,銷售或者提供未經檢測認證或者檢測認證不合格的商用密碼產品,或者提供未經認證或者認證不合格的商用密碼服務的,由市場監督管理部門會同密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得十萬元以上的,可以並處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足十萬元的,可以並處三萬元以上十萬元以下罰款。
第三十七條關鍵信息基礎設施的運營者違反本法第二十七條第一款規定,未按照要求使用商用密碼,或者未按照要求開展商用密碼應用安全性評估的,由密碼管理部門責令改正,給予警告;拒不改正或者導致危害網路安全等後果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員處一萬元以上十萬元以下罰款。
關鍵信息基礎設施的運營者違反本法第二十七條第二款規定,使用未經安全審查或者安全審查未通過的產品或者服務的,由有關主管部門責令停止使用,處采購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
第三十八條違反本法第二十八條實施進口許可、出口管制的規定,進出口商用密碼的,由國務院商務主管部門或者海關依法予以處罰。
第三十九條違反本法第二十九條規定,未經認定從事電子政務電子認證服務的,由密碼管理部門責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得三十萬元以上的,可以並處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足三十萬元的,可以並處十萬元以上三十萬元以下罰款。
第四十條密碼管理部門和有關部門、單位的工作人員在密碼工作中濫用職權、玩忽職守、徇私舞弊,或者泄露、非法向他人提供在履行職責中知悉的商業秘密和個人隱私的,依法給予處分。
第四十一條違反本法規定,構成犯罪的,依法追究刑事責任;給他人造成損害的,依法承擔民事責任。
第五章附則
第四十二條國家密碼管理部門依照法律、行政法規的規定,制定密碼管理規章。
第四十三條中國人民解放軍和中國人民武裝警察部隊的密碼工作管理辦法,由中央軍事委員會根據本法制定。
第四十四條本法自2020年1月1日起施行。[4]
內容解讀
密碼工作直接關系國家安全。國家密碼管理局局長李兆宗在向會議作說明時介紹,密碼在我國革命、建設、改革各個歷史時期,都發揮了不可替代的重要作用。密碼工作面臨著許多新的機遇和挑戰,擔負著更加繁重的保障和管理任務,制定一部密碼領域綜合性、基礎性法律,十分必要。
草案明確規定,密碼分為核心密碼、普通密碼和商用密碼,實行分類管理。核心密碼、普通密碼用於保護國家秘密信息,屬於國家秘密,由密碼管理部門依法實行嚴格統一管理。商用密碼用於保護不屬於國家秘密的信息,公民、法人和其他組織均可依法使用商用密碼保護網路與信息安全。
為貫徹落實職能轉變和「放管服」改革要求,規范和促進商用密碼產業發展,草案規定了商用密碼的主要制度,包括規定國家鼓勵商用密碼技術的研究開發和應用,健全商用密碼市場體系,鼓勵和促進商用密碼產業發展;規定了商用密碼標准化制度;建立了商用密碼檢測認證制度,並鼓勵從業單位自願接受商用密碼檢測認證等。
在密碼發展促進和保障措施方面,按照草案規定,國家鼓勵和支持密碼科學技術研究、交流,依法保護密碼知識產權,促進密碼科學技術進步和創新,建立密碼工作表彰獎勵制度;國家加強密碼宣傳教育。草案也規定任何組織或者個人不得竊取或者非法侵入他人的加密信息或者密碼保障系統,不得利用密碼從事違法犯罪活動。草案同時規定了相應的法律責任。
❹ 真正安全的密碼系統是什麼
1,評估密碼系統安全性主要有三種方法:
(1)無條件安全性
這種評價方法考慮的是假定攻擊者擁有無限的計算資源,但仍然無法破譯該密碼系統。
(2)計算安全性
這種方法是指使用目前最好的方法攻破它所需要的計算遠遠超出攻擊者的計算資源水平,則可以定義這個密碼體制是安全的。
(3)可證明安全性
這種方法是將密碼系統的安全性歸結為某個經過深入研究的數學難題(如大整數素因子分解、計算離散對數等),數學難題被證明求解困難。這種評估方法存在的問題是它只說明了這個密碼方法的安全性與某個困難問題相關,沒有完全證明問題本身的安全性,並給出它們的等價性證明。
2,實際安全性
對於實際應用中的密碼系統而言,由於至少存在一種破譯方法,即強力攻擊法,因此都不能滿足無條件安全性,只提供計算安全性。密碼系統要達到實際安全性,就要滿足以下准則:
(1)破譯該密碼系統的實際計算量(包括計算時間或費用)十分巨大,以致於在實際上是無法實現的。
(2)破譯該密碼系統所需要的計算時間超過被加密信息有用的生命周期。例如,戰爭中發起戰斗攻擊的作戰命令只需要在戰鬥打響前需要保密;重要新聞消息在公開報道前需要保密的時間往往也只有幾個小時。
(3)破譯該密碼系統的費用超過被加密信息本身的價值。
如果一個密碼系統能夠滿足以上准則之一,就可以認為是滿足實際安全性的。
3,可證明安全性3.1 可證明安全性體系的三大要素
在可證明安全體系中,有三大要素:安全模型,安全性定義和困難性問題。
安全模型分為安全目標和敵手能力。安全目標描述了安全模型要達到什麼程度的安全,例如,對於加密演算法的不可區分性(Indistinguishablity 簡稱 IND)、對於簽名演算法的存在性不可偽造(Existable Unforgeble 簡稱 EU)等。
其中不可區分性(IND)也稱為語義安全(Semantic scurity),其定義如下。敵手即使獲得了密文,也不能得到其對應明文的任何信息,哪怕是 1bit 的信息。其形式化的表示方法為:已知 m0,m1以及 Cb=Enc(pk,mb),其中 m0是 m0或 m1中的任意一個,即 Cb是 m0、m1其中之一的密文,敵手無法有效判斷加密過程中 b 到底是 0 還是 1。
3.2 安全性定義
刻畫敵手的能力,主要有四類,選擇明文攻擊(Chosen Plaintext Attacke 簡稱 CPA)、選擇密文攻擊(Chosen Ciphertext Attack 簡稱 CCA)、惟密文攻擊(Ciphertext-Only Attack)、已知明文攻擊(Known Plaintext Attack)。常用的刻畫敵手能力是前面兩類,選擇明文攻擊(CPA)是指由敵手選擇明文並且可以得到對應的密文。選擇密文攻擊(CCA)是指敵手不僅可以選擇明文獲得密文,還能選擇有限次的密文,獲得對應的明文。CCA比 CPA 描述敵手的能力更強。
下面介紹一下常用的安全性定義。
CPA 安全。我們把選擇明文攻擊(CPA)描述成一個游戲以方便我們更好的理解。首先聲明一點,這個游戲的目的是在選擇明文攻擊的前提下攻破系統的不可區分性(Indistinguishablity),所以下面簡稱這個游戲為 IND-CPA。其次,還要定義兩個角色挑戰者 C 和敵手 A。挑戰者(challenger)的任務相當裁判,主持游戲並且對敵手的行為進行反饋。敵手顧名思義,就是去攻擊當前系統,而且對於這個游戲來說是採用選擇明文攻擊的方法進行攻擊。游戲的描述如下:
A. 初始化:挑戰者 C 創建 IND-CPA 系統,並且將公鑰發送給敵手 A。
B. 敵手 A 選擇兩個長度相同的明文 m0,m1發送給挑戰者 C。挑戰者 C 隨機選擇 b∈{0,1},並將 mb加密記作 cb,然後將密文cb發送給敵手 A。
C. 敵手 A 猜測挑戰者 C 上一步進行加密的明文是 m0還是 m1,並且將猜測結果輸出,輸出結果記為 b『。若 b『=b,那麼敵手攻擊成功。
敵手攻擊的優勢可以定義為如下函數:
其中 w 是加密方案密鑰的長度。因為隨機猜測就有 1/2 的概率贏得 IND-CPA 游戲。所以
才是敵手經過努力得到的優勢。如果對任何多項式時間的敵手 A,存在一個可忽略的優勢σ,使得
那麼就稱這個加密演算法在選擇明文攻擊下具有不可區分性,或者稱為 IND-CPA 安全。
3.3 困難問題
有了安全模型和安全性定義,通常使用規約到困難問題的方法來進行安全性證明。密碼學中常用的困難問題有離散對數困難問題(discrete logarithm problem,簡稱 DLP)、CDH 問題(Computational Diffie-Hellman) 、DDH 問題(Decisional Diffie-Hellman)以及 BDH 問題(Bilinear Diffie-Hellman)。
3.4 可證明安全性理論
有了前面敘述了安全模型,安全性定義,困難性問題,可證有了前面敘述了安全模型,安全性定義,困難性問題,可證明安全體系也變得可行。可證明安全性是指利用「規約」的方法,將攻擊密碼演算法或安全協議的方法規約到一個攻擊困難問題上。首先確定加密體制的安全目標,如簽名體制的安全目標是簽名的不可偽造性(Existable Unforgeble),加密體制的安全目標是信息的不可區分性(Indistinguishablity)。然後根據安全性定義確定敵手的能力構建一個安全性模型。
規約是復雜性理論中的概念, 一個問題P1規約到問題P2是指,已知解決問題 P1的演算法 M1,我們能構造另一演算法 M2,M2可以以 M1作為子程序,用來解決問題 P2。
將規約的方法應用在密碼演算法或安全協議的安全性證明上,例如,可以將敵手對密碼演算法或安全協議(P1)的攻擊規約到一些已經得到深入研究的困難問題(P2)。即若敵手能夠對演算法或協議發起有效的攻擊,就可以利用敵手構建一個演算法來攻破困難問題,然而困難問題是已經被證明無法攻破的,這樣就出現矛盾。根據反證法,敵手可以攻破演算法或協議假設不成立,證明完畢。
一般來說,為了證明方案 1 的安全性,我們可以將方案 1 規約到方案 2,即如果敵手 A 可以攻破方案 1,那麼敵手 B 同樣也可以攻擊方案 2,而方案 2 已經被證明是安全的,或者是一個難題。
證明過程通過一個思維游戲來描述。首先,挑戰者創建方案2,B 表示方案 2 中的敵手,A 表示方案 1 中的敵手。B 為了攻破方案 2,利用 A 作為子程序來攻擊方案 1。B 想要利用 A,就需要對 A 進行訓練,所以 B 模擬了 A 的挑戰者。
❺ 商用密碼應用安全性評估應當與
商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網路安全等級測評制度相銜接,避免重復評估、測評。
開展密評,是為了解決商用密碼應用中存在的突出問題,為網路和信息系統的安全提供科學評價方法,逐步規范商用密碼的使用和管理。
從根本上改變商用密碼應用不廣泛、不規范、不安全的現狀,確保商用密碼在網路和信息系統中有效使用,切實構建起堅實可靠的網路安全密碼屏障。開展密評,是國家網路安全和密碼相關法律法規提出的明確要求,是法定責任和義務。
總體要求:
密碼演算法:使用的密碼演算法應當符合法律、法規的規定和密碼相關國家標准、行業標準的有關要求,重點關注密碼演算法的合規性。
密碼技術:使用的密碼技術應遵循密碼相關國家標准和行業標准。重點關注加密技術的合規性,密碼技術應保證自身的安全性,可靠性,與信息系統的互聯互通性。
密碼產品:使用的密碼產品與密碼模塊應通過國家密碼管理部門核准。「密碼模塊」可包括密碼卡、密碼機、定製密碼模塊、密碼軟體等多種形態。
重點關注密碼產品的合規性和有效性,密碼產品和密碼模塊需根據國家相關規定進行密碼產品安全等級確定、檢測。其中根據GM/T0028-2014《密碼模塊安全技術要求》確定安全等級,依據GM/T0039-2015《密碼模塊安全檢測要求》進行產品檢測。
密碼服務:使用的密碼服務應通過國家密碼管理部門許可。如CA認證機構應獲得《電子認證服務使用密碼許可證》以及《電子認證服務許可證》。
❻ 國家鼓勵商業密碼從業單位採用商用密碼什麼行業標准
第三章商用密碼
第二十一條國家鼓勵商用密碼技術的研究開發、學術交流、成果轉化和推廣應用,健全統一、開放、競爭、有序的商用密碼市場體系,鼓勵和促進商用密碼產業發展。
各級人民政府及其有關部門應當遵循非歧視原則,依法平等對待包括外商投資企業在內的商用密碼科研、生產、銷售、服務、進出口等單位(以下統稱商用密碼從業單位)。國家鼓勵在外商投資過程中基於自願原則和商業規則開展商用密碼技術合作。行政機關及其工作人員不得利用行政手段強制轉讓商用密碼技術。
商用密碼的科研、生產、銷售、服務和進出口,不得損害國家安全、社會公共利益或者他人合法權益。
第二十二條國家建立和完善商用密碼標准體系。
國務院標准化行政主管部門和國家密碼管理部門依據各自職責,組織制定商用密碼國家標准、行業標准。
國家支持社會團體、企業利用自主創新技術制定高於國家標准、行業標准相關技術要求的商用密碼團體標准、企業標准。
第二十三條國家推動參與商用密碼國際標准化活動,參與制定商用密碼國際標准,推進商用密碼中國標准與國外標准之間的轉化運用。
國家鼓勵企業、社會團體和教育、科研機構等參與商用密碼國際標准化活動。
第二十四條商用密碼從業單位開展商用密碼活動,應當符合有關法律、行政法規、商用密碼強制性國家標准以及該從業單位公開標準的技術要求。
國家鼓勵商用密碼從業單位採用商用密碼推薦性國家標准、行業標准,提升商用密碼的防護能力,維護用戶的合法權益。
第二十五條國家推進商用密碼檢測認證體系建設,制定商用密碼檢測認證技術規范、規則,鼓勵商用密碼從業單位自願接受商用密碼檢測認證,提升市場競爭力。
商用密碼檢測、認證機構應當依法取得相關資質,並依照法律、行政法規的規定和商用密碼檢測認證技術規范、規則開展商用密碼檢測認證。
商用密碼檢測、認證機構應當對其在商用密碼檢測認證中所知悉的國家秘密和商業秘密承擔保密義務。
第二十六條涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網路關鍵設備和網路安全專用產品目錄,由具備資格的機構檢測認證合格後,方可銷售或者提供。商用密碼產品檢測認證適用《中華人民共和國網路安全法》的有關規定,避免重復檢測認證。
商用密碼服務使用網路關鍵設備和網路安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格。
第二十七條法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網路安全等級測評制度相銜接,避免重復評估、測評。
關鍵信息基礎設施的運營者采購涉及商用密碼的網路產品和服務,可能影響國家安全的,應當按照《中華人民共和國網路安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。
第二十八條國務院商務主管部門、國家密碼管理部門依法對涉及國家安全、社會公共利益且具有加密保護功能的商用密碼實施進口許可,對涉及國家安全、社會公共利益或者中國承擔國際義務的商用密碼實施出口管制。商用密碼進口許可清單和出口管制清單由國務院商務主管部門會同國家密碼管理部門和海關總署制定並公布。
大眾消費類產品所採用的商用密碼不實行進口許可和出口管制制度。
第二十九條國家密碼管理部門對採用商用密碼技術從事電子政務電子認證服務的機構進行認定,會同有關部門負責政務活動中使用電子簽名、數據電文的管理。
第三十條商用密碼領域的行業協會等組織依照法律、行政法規及其章程的規定,為商用密碼從業單位提供信息、技術、培訓等服務,引導和督促商用密碼從業單位依法開展商用密碼活動,加強行業自律,推動行業誠信建設,促進行業健康發展。
第三十一條密碼管理部門和有關部門建立日常監管和隨機抽查相結合的商用密碼事中事後監管制度,建立統一的商用密碼監督管理信息平台,推進事中事後監管與社會信用體系相銜接,強化商用密碼從業單位自律和社會監督。
密碼管理部門和有關部門及其工作人員不得要求商用密碼從業單位和商用密碼檢測、認證機構向其披露源代碼等密碼相關專有信息,並對其在履行職責中知悉的商業秘密和個人隱私嚴格保密,不得泄露或者非法向他人提供。
❼ 密碼測評難嗎
難。
公司或自己開發的密碼演算法是非常困難的,密碼演算法的強度也很難得到保證,一般開發出的密碼演算法會被專業的密碼破譯者輕而易舉地破解,絕大多數公司或者個人沒有能力開發出強度很強的密碼演算法,即使耗費很大的精力開發出這樣的演算法,切不談付出是否大於收益,密碼演算法遲早會被暴露出來,基於保密性的密碼演算法是無法獲得高安全性的。
為解決當前密碼應用存在的突出問題,國家頒布實施了《網路安全法》、《密碼法》、《網路安全審查辦法》、《國家政務信息化項目建設管理辦法》等一系列法律法規,都對密碼應用安全性評估提出要求,希望通過密碼應用安全性評估促進商用密碼的使用和管理規范,商用密碼應用安全性評估(簡稱「密評」)是指對採用商用密碼技術、產品和服務集成建設的網路和信息系統密碼應用的合規性、正確性和有效性進行評估,包括規劃階段的方案評審和建設、運行階段的安全評估。
❽ 根據中華人民共和國密碼法要求商用密碼服務使用網路關鍵設備和網路安全專用產
根據中華人民共和國密碼法要求,商用密碼服務使用網路關鍵設備和網路安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格。
《中華人民共和國密碼法》第二十六條涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網路關鍵設備和網路安全專用產品目錄,由具備資格的機構檢測認證合格後,方可銷售或者提供。
商用密碼產品檢測認證適用《中華人民共和國網路安全法》的有關規定,避免重復檢測認證。商用密碼服務使用網路關鍵設備和網路安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格。
第二十七條法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委託商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網路安全等級測評制度相銜接,避免重復評估、測評。
以上內容參考開封市公安局——中華人民共和國密碼法