近期,國(guó)家在密碼領(lǐng)域又有了新動(dòng)作!6月25日上午,《中華人民共和國(guó)密碼法(草案)》(以下簡(jiǎn)稱(chēng)“《密碼法》草案”)提請(qǐng)十三屆全國(guó)人大常委會(huì)第十一次會(huì)議審議,國(guó)家密碼管理局局長(zhǎng)李兆宗特就提請(qǐng)審議密碼法事宜做出專(zhuān)項(xiàng)說(shuō)明。在密碼法出臺(tái)倒計(jì)時(shí)之際,我們應(yīng)該注意哪些安全升級(jí)的注意事項(xiàng)。
國(guó)家密碼管理局局長(zhǎng)李兆宗
01
一圖看懂密碼法的前世今生
02
一圖看懂密碼法的體例
03
重點(diǎn)解讀e連看
(1)國(guó)家對(duì)密碼實(shí)行分類(lèi)管理,密碼分三類(lèi)
《密碼法》草案共五章四十四條,其中提出了密碼分類(lèi)保護(hù)的原則要求:核心密碼、普通密碼用于保護(hù)國(guó)家秘密信息,核心密碼保護(hù)信息的最高密級(jí)為絕密級(jí),普通密碼保護(hù)信息的最高密級(jí)為機(jī)密級(jí);核心密碼、普通密碼屬于國(guó)家秘密,由密碼管理部門(mén)依法實(shí)行嚴(yán)格統(tǒng)一管理。商用密碼用于保護(hù)不屬于國(guó)家秘密的信息;公民、法人和其他組織均可依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全。
(2)特定商用密碼實(shí)行進(jìn)口許可和出口管制
(3)商用密碼產(chǎn)品未經(jīng)認(rèn)證,后果嚴(yán)重
《密碼法》草案同時(shí)指出建立商用密碼檢測(cè)認(rèn)證制度,并鼓勵(lì)從業(yè)單位自愿接受商用密碼檢測(cè)認(rèn)證。但是對(duì)列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄的商用密碼產(chǎn)品、用于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品的商用密碼服務(wù)實(shí)行強(qiáng)制性檢測(cè)認(rèn)證。用于網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品的商用密碼服務(wù),應(yīng)當(dāng)由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后,方可銷(xiāo)售或者提供。
違反上述條款規(guī)定,銷(xiāo)售或者提供未經(jīng)安全認(rèn)證、安全檢測(cè)或者安全認(rèn)證不合格、安全檢測(cè)不符合要求的商用密碼產(chǎn)品或者服務(wù)的,由市場(chǎng)監(jiān)督管理部門(mén)責(zé)令改正或者停止違法行為,給予警告,沒(méi)收違法產(chǎn)品和違法所得;違法所得十萬(wàn)元以上的,可以并處違法所得一倍以上三倍以下罰款;沒(méi)有違法所得或者違法所得不足十萬(wàn)元的,可以并處三萬(wàn)元以上十萬(wàn)元以下罰款。
04新規(guī)定對(duì)電子簽名影響幾何
作為商用密碼應(yīng)用常見(jiàn)、典型的應(yīng)用場(chǎng)景之一,目前電子簽名主要通過(guò)數(shù)字簽名技術(shù)實(shí)現(xiàn),應(yīng)用了大量密碼學(xué)算法和技術(shù)原理,包括市面上常見(jiàn)的散列算法MD5、SHA1/SHA256,對(duì)稱(chēng)加密算法AES,非對(duì)稱(chēng)加密算法DSA、RSA、ECC,以及我國(guó)自主研發(fā)的SM系列商用密碼算法。
可以預(yù)見(jiàn),《密碼法》審議通過(guò)后,電子簽名勢(shì)必要列入網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄,由商用密碼認(rèn)證、檢測(cè)機(jī)構(gòu)認(rèn)證合格或者檢測(cè)符合要求后,方可銷(xiāo)售或者提供。我國(guó)目前只有國(guó)家商用密碼檢測(cè)中心等數(shù)家國(guó)家密碼管理局指定的商用密碼產(chǎn)品檢測(cè)機(jī)構(gòu)。
這也就意味著,無(wú)論是在法律銜接還是《密碼法》的具體實(shí)施過(guò)程中,國(guó)家密碼管理局都將起到至關(guān)重要的作用。國(guó)家密碼管理局認(rèn)可的電子簽名產(chǎn)品,才是合法、合規(guī)的。不具備密碼學(xué)資質(zhì)的電子簽名公司,不僅存在合法經(jīng)營(yíng)的風(fēng)險(xiǎn),而且其生成的電子合同及電子證據(jù)很可能無(wú)法獲得司法體系的認(rèn)可。
放眼市面上所有的電子簽名產(chǎn)品,e簽寶是目前唯一一家取得《商用密碼產(chǎn)品型號(hào)證書(shū)》的互聯(lián)網(wǎng)電子簽名平臺(tái),也是國(guó)家密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)和可靠產(chǎn)業(yè)聯(lián)盟成員單位,技術(shù)獲國(guó)家與政府認(rèn)可。同時(shí)e簽寶還是浙江省政府“最多跑一次”政務(wù)服務(wù)改革指定電子簽名供應(yīng)商,為全國(guó)“互聯(lián)網(wǎng)+電子政務(wù)”提供了示范樣本。
