密码,一种用于执行加密或解密的算法,它的存在有可能是为了保护一段信息,保护珍贵财产,也可能只是为了保护个人隐私。
而自古有入侵才有保护,为了做到更严密的保护,密码的研究和设定方式一直在更新换代。而为了更好地管理密码系统,聚集密码人才,很多国家都设立了专门的密码管理机构,只不过他们的工作可不是像电影那样,拦截核武器的密码拯救世界。
「密码管理局」都在做什么?
10 月 26 日,普普通通的一天,但密码管理局觉得这并不普通。在这一天,全国不同地区的密码管理局都给民众发了宣传短信,让更多人知道这一天也是《中华人民共和国密码法》颁布的一周年。
当然,大多人估计都会被这条短信的宣传方「密码管理局」吸引注意力。我们竟然还有这样的管理局吗?这是个什么机构?它们平常都在做什么?
是像《风声》《布莱切利四人组》《模仿游戏》那样拦截一段段密码,破译信息的吗?还是像今天《网络谜踪》《碟中谍》一样通过层层相扣的数字信息破解密码?或者是像《降临》那样,从无到有地用密码解构语言体系?
▲ 图片来自:《模仿游戏》
如果你对密码管理局有越来越多的神秘想象,那你打开他们官网受到的冲击就越大。因为他们的官网非常的「党政机关风」,虽然这个机构本身就是国家组织。但有官网就显得很不神秘,和其他官网没什么区别,不像电影里的神秘机构,只能活在传说里。
事实上,这个机构确实也神秘,他们甚至会很主动的走出来让更多人知道。不只发短信宣传和管理局关联度极高的密码法,还会走上街头进行对密码法进行宣传,办论坛科普更多和密码法相关的内容。
他们的工作和普通民众最相关的就是下基层科普。让民众正确地认识密码,了解密码的作用,合法地使用密码,增强密码安全意识都是他们的目标。如果密码管理局让你感到很接地气,那估计就是你赶上了他们的科普活动。他们在学习强国 app 上还有专门的账号,科普内容,举办密码知识与政策的答题活动。
而密码管理局也是政务服务的办理窗口之一。
他们会对密码相关的技术、服务进行审核,有加密技术的设备进出口都得经过这个部门;密码科研、生产、装备、销售也由国家密码局履行密码行政管理职能;而在防范重要信息系统安全风险的问题上,为规划和管理国家密码基础设施也是密码管理局工作的一部分。
▲ 广东省密码管理局的政务服务
不过对密码管理局有种种幻想的读者也不用伤心,因为密码管理局有一些业务范围看起来依然很有故事性,比如管理局会接收最先进的密码,中国新一代数字签名算法在设计好后就是提交给密码管理局的,这不禁让人想到不少曲折的剧情片。而写在机构职责中的那句「查处密码失泄密事件和违法违规研制、使用密码行为」,也能让人脑补不少谍战剧、探案剧。
只是故事再精彩,你可能也没法知道罢了。
你用的密码不是「密码」
在《中华人民共和国密码法》颁布一周年之际群发短信,这不是密码管理局第一次走入大众视野中。在此之前,密码管理局曾经因为《密码法》的出台而被卷入谣言之中,这件事让不少人知道了这个管理密码的组织机构。
当时「网络密码将由国家统一管理,以此保护信息安全」在网络上传的沸沸扬扬,这个传言的杀伤力可谓不小,但事实可能和大家想的有不少差距。
首先,你日常使用的密码实际上不是「密码」。如果说你使用的密码是「感冒」的话,那密码管理局所说的密码或许就是「流感」。虽然听上去是一个东西,实际上差别非常大。
国家密码管理局新闻发言人李国海在解读密码法时就做过解释:
我们输入的取款密码、网站的登录密码,实际上并不是密码法中规定的「密码」。准确来讲,上述这些「密码」应该称为「口令」,只是一种最简单、最初级的认证方式。而真正的「密码」,藏在安全支付设备中、藏在网络系统内,默默守护国家秘密信息安全、守护我们每个人的信息安全。
也就是说,我们的平常使用的密码应该说是口令,它们的实质其实是需要密码系统保护的重要信息。这和密码法想要统一管理的密码其实完全不同,因此你的密码会被国家统一管理的担心其实是不存在的。
▲ 严格来说《网络迷踪》的密码也都是口令信息
在《密码法》的条文中,密码被分为了三类:核心密码、普通密码和商用密码。
现在可以来一个问题进行随机考察了:以上三类密码中,你用的最多的密码是哪一类?估计大部分人会猜用的最多的是商用密码和普通密码,但这个答案是错的。
因为核心密码、普通密码是用于保护国家秘密信息的,前者保护信息的最高密级为绝密级,后者保护信息的最高密级为机密级。在这三类密码中,唯有商用密码不被用来保护国家秘密信息,而被广泛用于保护企业商业秘密、公民个人隐私等,电子签名文件、金融芯片卡、增值税防伪税控系统、居民身份证等用的都是商用密码,它的影响也不可谓不大。
▲ 二代居民身份证用的就是商用密码芯片
就因为商用密码和每个公民息息相关,所以即便商用密码不用于保护国家秘密信息的,它相关技术中仍有部分属于国家秘密,研发和使用仍需要由国家密码管理局统一管理。
量子密码,未来密码
在信息成为一种最有价值商品的今天,密码可以说和每个国家的经济、政治和军事命运息息相关。所以直到现在,最尖端的密码技术大多依旧集中在政府的保密信息中,连那些为此做出巨大贡献的密码学家都不被外界所知,因为密码就是国家和国家直接保持竞争优势的工具。
每个国家管理密码的组织也并不相同。美国是国家安全局的密码学中心;英国负责这部分事务的是 GCHQ(政府通信总部),俄罗斯则是前身为 FAPSI 的联邦专用通信和信息服务警卫局,法国负责这部分的是 ANSSI(法国国家网络安全局),中国负责管理密码的就是密码管理局了。虽然每个管理机构的名称和职责范围有不同,但他们确实都有管理密码的责任。
密码管理的工作一部分是研究密码,另一部分则是保证先进的密码不会被出口。所以在 2020 年 8 月 28 日,中国商务部、科技部发布了《中国禁止或限制出口技术目录》(《2020 年出口管制目录》) 的修订。在这此修订版本中,密码芯片设计,实现技术,量子密码技术都加入了受限列表。
▲ RSA 密码就曾在美国禁止出口名单中,因此印有几行 RSA 密码的 T 恤也在禁出口名单中,美国人在 T 恤背面印上宪法条文对此进行抗议
在这个受限列表中,量子密码就是最被密码学家们寄予厚望的新密码。这也是那个和「有事不决,量子力学」拥有一样核心原理的密码。
过去,密码分析家们一直都在寻找一个分解因数的捷径,希望用理论性革新密码学。但因数分解的研究已经持续了好几个世纪,进展并不大,所以也有不少分析家在寻求技术性的革新,一种可以更快执行密码分析的技术 —— 量子计算机。
这就是「一力降十会」式的降维打击,因为量子计算机的计算速度使得现代超级计算机像一把老旧的算盘,它可以通过算力的突飞猛进破解所有艰涩的密码。《码书:编码与解码的战争》一书中就写道:
任何先拿下这项锦标(量子计算机)的国家将有能力监控它的人民的通讯、读取它的商业对手的心思、窃听它的敌人的计谋。量子运算,虽然尚在襁褓期,对个人、国际商务和全球安全而言,已是潜在的威胁。
▲ 从此《碟中谍》这样的场面会越来越少
量子计算机如此可怕,密码的破译者在等待它的来临,但也有编码者已经开始准备构起一面看不到的敌人的围墙,他们开始研究量子密码 —— 一个面对量子计算机也能确保隐私的加密系统。在构想中,量子密码就是能够提供完美隐私和绝对安全的未来密码,是一套永远无法破解的加密系统。
正因为这个「永远无法破解」是如此诱人,各国最优秀的密码学家和数学家们都投入到了量子密码的研究之中。即便是在各国官方的官方信息中,量子密码出现的频率也不可谓不低。
国家密码管理局就公示过资助量子密钥研究的信息;量子密码还是密码科学技术国家重点实验室的研究方向;在各个学术分享和密码论坛上它也从不缺席。美国国家安全局还在官网上展示了国家对量子密码的网络安全观点,法国也公开宣称其计划在 2022 年前部署第一个量子密钥分发解决方案。
▲ 国家密码局公开的公示信息
▲ 美国国安局官网就有量子密码相关内容
换句话说,虽然量子密码离我们普通人的生活还非常遥远,但在国家密码管理局这样的密码研究机构中,它已经是非常重要的研究方向了。
国家密码管理局给你发来的短信是在你普及密码法;他们平常的工作在制定密码相关的法律细则,管理密码的科研、生产、进出口事务等;但同时,他们也在关注着更先进的密码的研究进程,让不会被破解的量子密码今早来临。
这样一看,是不是突然觉得收到的这条短信突然就更有意义了。至少以后你也能和自己的孙子吹嘘一下:「你爷爷我当年还收过国家密码管理局特意发给我的短信呢?」