近期,国家在密码领域又有了新动作!6月25日上午,《中华人民共和国密码法(草案)》(以下简称“《密码法》草案”)提请十三届全国人大常委会第十一次会议审议,国家密码管理局局长李兆宗特就提请审议密码法事宜做出专项说明。在密码法出台倒计时之际,我们应该注意哪些安全升级的注意事项。
国家密码管理局局长李兆宗
01
一图看懂密码法的前世今生
02
一图看懂密码法的体例
03
重点解读e连看
(1)国家对密码实行分类管理,密码分三类
《密码法》草案共五章四十四条,其中提出了密码分类保护的原则要求:核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级;核心密码、普通密码属于国家秘密,由密码管理部门依法实行严格统一管理。商用密码用于保护不属于国家秘密的信息;公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。
(2)特定商用密码实行进口许可和出口管制
(3)商用密码产品未经认证,后果严重
《密码法》草案同时指出建立商用密码检测认证制度,并鼓励从业单位自愿接受商用密码检测认证。但是对列入网络关键设备和网络安全专用产品目录的商用密码产品、用于网络关键设备和网络安全专用产品的商用密码服务实行强制性检测认证。用于网络关键设备和网络安全专用产品的商用密码服务,应当由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
违反上述条款规定,销售或者提供未经安全认证、安全检测或者安全认证不合格、安全检测不符合要求的商用密码产品或者服务的,由市场监督管理部门责令改正或者停止违法行为,给予警告,没收违法产品和违法所得;违法所得十万元以上的,可以并处违法所得一倍以上三倍以下罚款;没有违法所得或者违法所得不足十万元的,可以并处三万元以上十万元以下罚款。
04新规定对电子签名影响几何
作为商用密码应用常见、典型的应用场景之一,目前电子签名主要通过数字签名技术实现,应用了大量密码学算法和技术原理,包括市面上常见的散列算法MD5、SHA1/SHA256,对称加密算法AES,非对称加密算法DSA、RSA、ECC,以及我国自主研发的SM系列商用密码算法。
可以预见,《密码法》审议通过后,电子签名势必要列入网络关键设备和网络安全专用产品目录,由商用密码认证、检测机构认证合格或者检测符合要求后,方可销售或者提供。我国目前只有国家商用密码检测中心等数家国家密码管理局指定的商用密码产品检测机构。
这也就意味着,无论是在法律衔接还是《密码法》的具体实施过程中,国家密码管理局都将起到至关重要的作用。国家密码管理局认可的电子签名产品,才是合法、合规的。不具备密码学资质的电子签名公司,不仅存在合法经营的风险,而且其生成的电子合同及电子证据很可能无法获得司法体系的认可。
放眼市面上所有的电子签名产品,e签宝是目前唯一一家取得《商用密码产品型号证书》的互联网电子签名平台,也是国家密码行业标准化技术委员会和可靠产业联盟成员单位,技术获国家与政府认可。同时e签宝还是浙江省政府“最多跑一次”政务服务改革指定电子签名供应商,为全国“互联网+电子政务”提供了示范样本。
