近期,國家在密碼領域又有了新動作!6月25日上午,《中華人民共和國密碼法(草案)》(以下簡稱“《密碼法》草案”)提請十三屆全國人大常委會第十一次會議審議,國家密碼管理局局長李兆宗特就提請審議密碼法事宜做出專項說明。在密碼法出臺倒計時之際,我們應該注意哪些安全升級的注意事項。
國家密碼管理局局長李兆宗
01
一圖看懂密碼法的前世今生
02
一圖看懂密碼法的體例
03
重點解讀e連看
(1)國家對密碼實行分類管理,密碼分三類
《密碼法》草案共五章四十四條,其中提出了密碼分類保護的原則要求:核心密碼、普通密碼用于保護國家秘密信息,核心密碼保護信息的最高密級為絕密級,普通密碼保護信息的最高密級為機密級;核心密碼、普通密碼屬于國家秘密,由密碼管理部門依法實行嚴格統一管理。商用密碼用于保護不屬于國家秘密的信息;公民、法人和其他組織均可依法使用商用密碼保護網絡與信息安全。
(2)特定商用密碼實行進口許可和出口管制
(3)商用密碼產品未經認證,后果嚴重
《密碼法》草案同時指出建立商用密碼檢測認證制度,并鼓勵從業單位自愿接受商用密碼檢測認證。但是對列入網絡關鍵設備和網絡安全專用產品目錄的商用密碼產品、用于網絡關鍵設備和網絡安全專用產品的商用密碼服務實行強制性檢測認證。用于網絡關鍵設備和網絡安全專用產品的商用密碼服務,應當由具備資格的機構安全認證合格或者安全檢測符合要求后,方可銷售或者提供。
違反上述條款規定,銷售或者提供未經安全認證、安全檢測或者安全認證不合格、安全檢測不符合要求的商用密碼產品或者服務的,由市場監督管理部門責令改正或者停止違法行為,給予警告,沒收違法產品和違法所得;違法所得十萬元以上的,可以并處違法所得一倍以上三倍以下罰款;沒有違法所得或者違法所得不足十萬元的,可以并處三萬元以上十萬元以下罰款。
04新規定對電子簽名影響幾何
作為商用密碼應用常見、典型的應用場景之一,目前電子簽名主要通過數字簽名技術實現,應用了大量密碼學算法和技術原理,包括市面上常見的散列算法MD5、SHA1/SHA256,對稱加密算法AES,非對稱加密算法DSA、RSA、ECC,以及我國自主研發的SM系列商用密碼算法。
可以預見,《密碼法》審議通過后,電子簽名勢必要列入網絡關鍵設備和網絡安全專用產品目錄,由商用密碼認證、檢測機構認證合格或者檢測符合要求后,方可銷售或者提供。我國目前只有國家商用密碼檢測中心等數家國家密碼管理局指定的商用密碼產品檢測機構。
這也就意味著,無論是在法律銜接還是《密碼法》的具體實施過程中,國家密碼管理局都將起到至關重要的作用。國家密碼管理局認可的電子簽名產品,才是合法、合規的。不具備密碼學資質的電子簽名公司,不僅存在合法經營的風險,而且其生成的電子合同及電子證據很可能無法獲得司法體系的認可。
放眼市面上所有的電子簽名產品,e簽寶是目前唯一一家取得《商用密碼產品型號證書》的互聯網電子簽名平臺,也是國家密碼行業標準化技術委員會和可靠產業聯盟成員單位,技術獲國家與政府認可。同時e簽寶還是浙江省政府“最多跑一次”政務服務改革指定電子簽名供應商,為全國“互聯網+電子政務”提供了示范樣本。
