2020 年 1 月 1 日,中国首部《中华人民共和国密码法》将正式开始实施,而在这之前一直只有一部 2007 年 4 月 23 日公布的《商用密码产品使用管理规定》和《境外组织和个人在华使用密码产品管理办法》。
由于很多人对于所谓的“密码”和“密码法”的概念仅仅停留在登陆手机和网站输入的密码,因此有很多人错误解读为,《密码法》是让党和政府来管每个人的密码。实际上,这是对《密码法》中密码概念的完全误解。
中国国家密码管理局局长李兆宗说:“密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分,也是一部技术性、专业性较强的专门法律。”密码法中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务,主要功能是为了加密保护和安全认证。这与日常生活一般人用在电子邮件、社交媒体、手机上使用的“密码”不同。因此,这里的“密码”主要是指“密码技术”和提供的“加密/解密服务”。
很多人把这次《密码法》和最近中国政府倡导的区块链技术联系在一起。众所周知,区块链技术是完全基于密码学技术,其核心技术使用了大量的传统的加密技术。因此,有理由相信,如果政府要完全掌控未来区块链技术的发展,首先就要完全掌控密码学技术,并且严格管理密码技术的使用。必须说,《密码法》的确对与区块链技术的发展有相当的关系,但是如果仅仅把《密码法》的理解停留在区块链,就未免把该方案的格局局限在太小的地方。
声音 | 知密大学发起人:区块链的关键实际上是“密码共识”:金色财经报道,知密大学发起人刘昌用强调,首先要明白区块链究竟为什么有意义?它的核心价值是什么?具体来说主要有两个方面,一是区块链的关键实际上是“密码共识”,即非对称密码和分布式共识的结合。而“区块链”的定名和风行让人们追求各种“链”的应用和技术,掩盖了密码共识构建全球信息社会新秩序的重大意义。二是加密经济中的“加密”应该是“密码”。区块链的关键应用不是加密解密信息,而是签名验证、私钥签名、公钥验证,能够在信息空间里识别身份、确认权属、转移权属,这是构建信息社会秩序的技术基石。[2020/1/11]
区块链作为一种新兴的技术,的确会大力依靠加解/解密技术,但这些技术都是已经使用了很久的技术,并且都是完全公开的技术,所以限制和管控这些技术本身是没有太大的意义。其次,密码技术目前已经非常广泛应用在我们生产和生活中,几乎所有的通信和商业行为都会主动或者被动地使用到密码技术,而区块链仅仅是其中极小的一部分。因此,对于《密码法》而言,其覆盖范围远超区块链,而是针对整个国家的通信和经济活动,有着极其重大的意义。
而为什么在这个时间点出来,的确和中国大规模讨论区块链技术的节点有所吻合,但其实该方案已经酝酿相当长的时间。并且,很有可能与最近全球对于密码技术使用和管理,以及对于通信监控需求的进一步升级有关。事实上,就在最近三年时间里,欧美各国都在广泛的酝酿和推动各类加密和反加密的技术方案,并由此在社会引起了不小的影响。
声音 | 刘昌用:2020年将主要关注去中心化密码共识社区治理等三个问题:北京大学经济学博士、知密大学创始人刘昌用刚刚发微博,对2020年区块链行业发展作出预测称,对2020年区块链的发展关注三个主要问题:1)去中心化密码共识社区的治理问题。去中心化密码共识系统将为全球社会经济提供安全可靠、不受霸权操控的公共基础设施。但去中心化社区的治理问题远未解决。2)区块链与密码共识相关的教育。区块链领域存在严重的理论落后于实践的问题,存在大量概念、逻辑、理论的混淆,甚至混乱。导致实践探索的低效和欺诈乱象。我将从非对称密码应用的科普开始,展开密码经济相关研究和教育活动。3)区块链的经济、法律、社会、、文化影响。目前,各界仍然把区块链主要作为一种技术,对密码共识(非对称密码和分布式共识)相关的经济逻辑、法律问题、社会影响、变革和文化意义重视不足,而这些将成为区块链发展的一个个瓶颈。[2019/12/31]
其实目前几乎所有的主流密码学算法都是开源和久经考验的,而从政府层面来看不太可能消灭或者限制技术的传播和使用,更多希望能够从使用方式入手,获得更多的掌控权。长期以来,各国政府由于必须考虑到个人隐私和商业隐私的必要性,以及由于反恐和反犯罪行为以及国家安全的巨大诉求,导致政府只能寻找一条中间路线来平衡来自两边的巨大压力。
声音 | 刘昌用:非对称密码技术使数字资产可以被更加安全便捷的确权:12月15日,万家登链·区块链与产业融合应用研讨会暨“i生活”年度盛典在兰州正式召开。
北京大学经济学博士、重庆工商大学区块链经济研究中心主任刘昌用以《数字经济与数字资产》为题进行主题发言。
刘昌用表示,数字经济在未来经济体系中占比会越来越大,非对称密码技术使数字资产可以被更加安全便捷的确权。区块链创新了经济组织模式,区块链是链接起来的数据块,是非对称密码技术+分布式共识达成的密码共识,密码共识是更安全、高效、自由的互联网。[2019/12/16]
很多政府希望能够通过一些不公开的技术手段来获得密码学技术上的主动权,而显然,其中走得最远的绝对不是中国——而是美国。美国在二战后,就已经将密码学技术作为武器进行管理,并且严格限制密码技术的出口,并且由此导致了一系列的民权运动和密码朋克(Cyherpunker)运动的兴起。
根据早期披露出来的资料,早在 1990 年代,美国国家安全局(NSA)就尝试生产一种名为快船芯片(Clipper Chip)的手机芯片组,该芯片组通过美国政府内置的后门实现对信息的加解密。美国政府试图让手机制造商采用该芯片组,但没有成功,该计划最终在 1996 年被取消。
动态 | 加密钱包GateHub的140万个用户账户信息被盗 包括密码、密钥和助记词:金色财经报道,数据泄露索引网站“ Have I was Pwned”一名安全研究人员表示,加密钱包GateHub和RuneScape机器人提供商EpicBot 220万用户的密码数据和个人信息已被泄露。Hunt称,被盗信息包括来自GateHub加密货币钱包的多达140万个用户帐户的个人信息,以及自称为世界上最安全的多合一RuneScape机器人提供商EpicBot上约80万个用户帐户的数据。 被盗信息包括注册的电子邮件地址、密码、双因素身份验证密钥、助记词和钱包哈希。GateHub官方表示,钱包哈希没有被访问。(cointelegraph)[2019/11/20]
而因为斯诺登事件暴露出来的“棱镜计划”和“ Bullrun 计划”再次震惊了世界,这是有史以来最大规模的窃听和非法破坏个人隐私行为的事件。根据《纽约时报》的报道,作为 Bullrun 计划的一部分,NSA 每年都会花费 2.5 亿美元在软件和硬件中插入后门程序。
在“后斯诺登”时代,很多人认为政府为了避免复杂的隐私问题,可能会一定程度地控制或缩小政府的监督权力,但实际情况恰恰相反,以“五眼联盟”为核心的欧美政府以及情报体系谋求通过方案,来“合法”地获得更大的监控权利,让类似”斯诺登“行为的监控变得正常化和合法化。
动态 | Facebook 约 2 至 6 亿用户的密码以未加密的形式存储:网络信息安全博客 Krebs on Security 援引匿名的 Facebook 高级职员称,Facebook 正在调查 2012 年是否将 2 至 6 亿包括账户密码等用户信息存储在未加密的文档中,而 Facebook 的 2 万余名员工均有权限查看。《华尔街日报》报道称,Facebook 表示公司员工以外的人无法看到此文档,目前没有员工曾泄露或者是恶意使用这些数据。此外,Facebook 表示将提醒这类用户查看他们的账户状态。[2019/3/22]
这里需要再简单介绍一下五眼联盟( Five Eyes Intelligence Network,缩写为 FVEY ),这是一个语言以讲英语为主的国家的情报联盟,在英美协定下组成的国际情报分享团体,成员包括澳大利亚、加拿大、新西兰、英国和美国五国。五眼联盟的历史可以追溯到第二次世界大战时,同盟国发布的大西洋宪章。因此只要有一个国家能够实现监控方案的突破,也就能够马上和其它国家贡献它的情报。
2014 年,在英国议会经过仅一天的辩论,“ 数据保留和调查权力法 ( Data Retention and Investigation Powers Act,DRIPA )”就被立法成为英国法律,该法案被斯诺登称为“西方民主史上最极端的监控“,并为之后的法案通过铺平了道路。
2016 年 11 月 29 日,英国上议院签署通过了一项名为《调查权力法案(Investigatory Powers Act, 简称IPA)》( https://www.gov.uk/government/collections/investigatory-powers-bill )的大规模综合监视法案。该法案新法案将互联网公司与传统电信公司一同分类为“通信服务提供商”,为各种监控活动提供辅助——从收集电话记录,到侵入用户手机提取和保存批量用户数据。互联网服务提供商将被要求保留客户 12 个月的浏览历史记录。该法案还允许政府创建专门信息搜集所,以收集各种来源的可搜索个人数据。IPA 可以被视为将英国官员已经在秘密进行的多种类型数据监控的章程化。
该法案被民间称为《窥视者宪章(Snoopers Charter)》,并且受到来自各方面的激烈抨击和抗议。从 2014 年开始,就有众多社团和各界人士尝试通过各种手段废除这两个法案,而后经过民间和政府的反复拉锯战后,在 2018 年初,英国法院判决 DRIPA 不符合欧盟法律,废除了 DRIPA ,并且要求缩小 IPA 的范围,
欧洲法院要求,政府职能出于打击重大刑事犯罪的目的,在特定时间对相关目标进行监控,且除了最紧急的情况之外,监控必须取得法院的许可。
而同样身为五眼联盟其一的澳大利亚,就在大约一年前(2018 年 12 月 6日)通过了备受争议的“反加密法”,规定从业者必须协助官方取得加密内容。虽然被外界称为“反加密法”,但实际上这是对澳洲《 1997 年电信法案》的修正案。它允许执法机关提出“技术援助请求(Technical Assistance Request,TAR)”,企业提供“自愿”的协助,或者提供自身网络服务的技术细节;还可以提出“技术援助通知(Technical Assistance Notice,TAN)”,强制要求企业提供协助,例如必须协助查看特定的加密通信内容,如果拒绝则会被罚款;还可以利用“技术能力通知(Technical Capability Notice,TCN)”,要求企业专门提供接口以协助执法机构取得嫌犯的通讯内容,不然也会被处罚。
简单的说,就是该法案要求互联网服务提供商能够根据政府的要求,提供接口或者后门,让政府解密所有相关通讯内容。此外,该方案还提供一个广泛的保密条款,假设企业中有人对外谈及政府命令,最高可以被以 5 年以上的刑罚。
尽管支持该法案的议员们提到,该方案主要锁定触及严重犯罪的嫌疑人和犯罪份子,主要包括类似于严重性犯罪者、犯罪者或者是恐怖分子和极端严重的刑事犯罪,但还是被很多人质疑,认为难保最终不会像美国“棱镜”计划用在其它所有人的身上。因此有来自科技界和安全社区的很多人持强烈反对态度,但最终还是没有能够阻止方案的通过。
从英国的《窥视者宪章》到澳洲的《反加密法》的通过可以看出,“五眼联盟”一直在不懈努力的尝试获得更大的监控权利,并尝试通过后门和解密来尝试掌握更多的掌控权。因此,笔者认为这才是中国《密码法》出台的大背景,如果中国希望未来在全球情报系统中不落后,甚至掌控主动权,就不可能不在密码技术领域立法,并且针对各类可能影响国家安全的潜在威胁及时进行反应。
从二战的历史就可以知道,密码的攻防战对于双方来说至关重要。一直有评论认为,二战就因为图灵在解密上的重大贡献使得二战提前两年结束,也挽救了至少百万人的生命。也许这种说法有夸张之处,但至少说明了密码技术对于全球格局的重要性。区块链技术的出现本身就说明密码学的应用又到了一个新的阶段,而各国对于密码学技术密集出台各类法案,说明对于密码技术的攻防战也进入到前所未有的重视程度。中国《密码法》的出台,表明中国政府正式加入这场没有硝烟的战场,而这场战争可能才刚刚开始。
LongHash,用数据读懂区块链。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。