密码学是一门既古老又年轻的学科。几千年来,无论国内外,密码技术主要用于军事、政治和外交的保密通信。
随着计算机系统开始大量处理信息的处理、存储,并通过公共通信设施和计算机网络进行传输和交换信息,网络和信息系统对信息的保密性、信息来源的可靠性、数据的完整性和行为的不可否认性需求越来越迫切。密码技术的应用已经不再局限于军事、政治和外交领域,它的商用价值和社会价值越来越得到重视。
那密码技术的含义什么?到底什么是密码技术?
密码技术一般分为密码算法、密钥管理和密码协议。更详尽地说,密码技术可以包括密码编码、实现、协议、安全防护、分析破译,以及密钥的产生、分发、传递、使用、销毁等。
我们怎么使用密码技术来保证网络空间的安全呢?下面将围绕密码算法、密钥管理、密码协议这三个基础概念来阐述密码技术。
密码算法
在现代密码学理论中,算法是密码技术的核心。密码算法是实现密码对信息进行明文和密文之间的变换或者步骤。主要包括对称密码算法、非对称密码算法、杂凑算法和随机数生成算法。加密算法实现明文到密文的变换;解密算法实现从密文到明文的变换;杂凑算法实现任意长消息压缩为固定长摘要的功能。
根据Kerchhoffs原理,即使除密钥外的整个系统的一切都是公开的,这个密码体制也必须是安全的。尤其是即使攻击者知道系统的加密算法和机密解密算法,系统也必须是安全的。所以,密钥是算法中最重要的数据、最重要的参数,其他数据和参数都是可以公开的。
密钥管理
密钥管理是指根据安全策略,对密钥的产生、分发、存储、更新、归档、撤销、备份、恢复和销毁等密钥全生命周期的管理。在一次一密的通信中,掌握了密钥,就可以把密文恢复成明文。在数字签名过程中,签名人只有牢牢掌握自己的私钥,才能确保签名不能被伪造。
密码协议
保证信息的安全不能单纯依靠密码算法,还需要通过密码协议在实体之间分配密钥或者其他秘密信息,以及进行实体之间的鉴别等。密码协议是指两个或者两个以上参与者使用密码算法,为达到加密保护或者安全认证目的而约定的交互规则。最典型的密码协议有IPSec协议、SSL协议、实体鉴别协议。
实现密码应用一般采用以下基础工具:对称密码算法、非对称密码算法、杂凑函数、消息认证码、数字签名、随机数发生器等,这6个工具被称作密码学家的工具箱。使用这些工具可以应对信息安全所面临的威胁。
密码技术要保证信息安全、发挥支撑网络安全的作用,必须合规、有效、正确地使用密码,并且使用安全、自主、可控的密码。在实际应用中,由于各种原因,个别用户以及密码应用厂商、信息系统开发商有可能弃用、乱用、误用密码技术,导致应用信息系统的安全性得不到有效保障,甚至一些不合规、不安全的密码产品和解决方案还会遭受攻击者的入侵和破坏,造成比不用密码技术更严重的安全问题。因此需要针对各类密码技术安全应用的法律、标准、评估条例等做技术标准支撑,《密码法》第二十二条规定:国家建立和完善商用密码标准体系。商用密码标准化是实现商用密码技术自主创新、促进商用密码产业发展、构建商用密码应用体系的重要支撑。《密码法》明确商用密码标准体系包括商用密码国家标准、行业标准、团体标准和企业标准。
