隐藏复杂技术 让密码安全轻松“落地”

科技日报 2018-02-01 作者:张佳星

  

  本报记者 张佳星

  “全球约6300个平台提供勒索软件交易,2016—2017年期间勒索软件销售增长25倍。”《2017年度网络空间安全报告》日前发布,勒索病毒的出现和黑市传播,使得网络空间安全暴露出“危如累卵”的局面。

  继2017年《网络安全法》实施以来,《中华人民共和国密码法(草案征求意见稿)》也开启立法程序,旨在通过制度建设应对外有病毒“觊觎”、内有加密“隐忧”的状况。“未来,关键信息基础设施应依规使用中国自己的密码算法,”北京炼石网络技术有限公司CEO白小勇说,以境外密码体系为基础的行业应用均需要升级。

  面对法规的即将落地,有人在等“事到临头”,而有人却已先人一步。“做拉动者,而不是被推着走,”1月29日,炼石网络首席营销官岑义涛对科技日报记者说,创新者就是要顺势而为走在前面。

  网路“裸奔”危险重重 加密研究必须领先

  新华网此前报道,中国的银行业核心领域长期以来都是沿用SHA-1(美国国家安全局设计)、RSA(美国公司设计)等密码算法体系。尽管政府部门一直在积极推动试点示范,效果却并不明显,“长且阻”“难推进”的局面一直存在。

  而早在《中华人民共和国密码法(草案征求意见稿)》出台的之前两年,炼石网络的密码团队就开始对我国的商用密码(SM)体系进行研究。既然要在中国做云计算安全的“守门员”,就要用中国自己的密码算法体系做加密,从2015年开始,团队除了研究应用很多的境外密码体系,也对国家密码管理局公布的SM2、SM3、SM4等一系列密码算法深度钻研、进行技术储备。

  当时,中国大量的行业企业,包括金融、医疗、电力等,均使用境外密码技术,炼石网络的研发团队仍然坚定要做服务于中国密码算法产业化的技术储备。团队中有一位数学博士,他始终相信“在中国搞加密,不做SM是不行的”。这位博士正是主持设计了SM3的中国科学院院士王小云的学生。

  “当时数据上‘云’很火,但是数据的拥有者并不放心直接放在云上,因为根本掌控不了云服务商会对这些数据做什么,”岑义涛回忆,“因此我们想让信息在传输到云的路上就被加密,用户自己拥有解密的钥匙,那就不怕泄密了。”

  直到2017年4月,《密码法》(征求意见稿)发布,团队的选择遇上了政府制度的东风。“一旦法律通过,我国关键信息基础设施中的相关信息,在网路上不加密的‘裸奔’是不被允许的,也不应继续以境外密码体系为基础进行加密,”白小勇说,而应当依照法律、法规的规定和密码相关国家标准的强制性要求使用密码进行保护,同步规划、同步建设、同步运行密码保障系统。

  填补产业链环节 衔接密码与应用的鸿沟

  “没有强制力,主动性不强仅仅是一个方面,”岑义涛说,中国密码国产化“长且阻”的另一个原因还在于密码学相对艰深,中国开发的密码产品悬在半空,落地困难。

  “我们发现国产的密码产品设计并不友好,提供的算法接口不够用、支持的开发语言也不够多,让应用开发者很为难。”白小勇感觉到,要衔接密码与应用之间的“鸿沟”,产业链条上可能需要补上一环。

  “大量的已建应用系统很难通过改造来升级商用密码。”白小勇说,密码算法技术是信息世界的基础设施,底层架构的更迭门槛很高。“数学专业起码要是博士毕业,在这个基础上,还要精通各个场景,所以让所有行业都具备这样高水平的专业密码算法人才、推进有效更迭并不现实。”

  炼石网络于是开始了“炼石补天”的征程,将艰深的密码算法通过“封装”的方式,隐藏底层,以帮助其融进不同的应用场景中。

  如何让不懂密码技术的应用开发人员更方便、更安全地使用密码?

  需要把很多密码的底层复杂技术“藏起来”,屏蔽底层实现,让开发者可以灵活选择底层硬件。炼石提出三层封装技术,即在传统的算法层和资源抽象层之上,进一步面向业务人员和业务场景进行“业务封装”,把不同的安全服务提供给应用开发人员直接调用。

  比英特尔快近30% 不让“大佬”用专利“卡脖子”

  “他们是第一个在中国研发出这样的技术,并且得到了快速的转化。”360企业安全集团总裁吴云坤评价,之所以能够落地,炼石网络除了解决“易用”的问题之外,还让商用密码变得更高效。

  事实上,由于我国商用密码在安全性上的要求,计算更复杂,使得在性能方面,用户如果用原来境外密码算法加解密数据时处理每个字节需要2个CPU时钟周期,而我国的商用密码产品目前普遍在10几个CPU时钟周期。

  “提速加解密”,这是产品能够获得市场的关键、也是技术能够转化应用的关键。“例如文档加密后会更安全,但是如果你要看个加密文档,解密会拖延1分钟,就有可能让你因为这1分钟而弃用它,”岑义涛说,安全性的增强不能以降低应用的效率为代价。

  为此,2016年下半年,团队开始着手研究基于中国商用密码的算法提速。“我们先了解了一下有没有人做过,却发现跨国公司英特尔也很早就意识到了这一点,并在中国布局了专利。”岑义涛回忆,听到这个消息时,是崩溃的。如果真被跨国大佬“卡住脖子”,中国密码国产化将需要巨额的专利使用费。

  “但仔细研究后,我们发现英特尔的算法加速实现模式和我们的实现模式是有细微差异的。这样的差异,有可能会帮我们绕过英特尔的专利。”岑义涛说,随着技术实现代码化,并进行多次测试,炼石团队发现,他们不仅绕过了英特尔布局的专利,还在算法执行效率上高出近30%。这意味着,英特尔布局的专利无效了。

  马不停蹄地,炼石网络申请了PCT(专利合作协定)专利,布局在美国、日本、中国等国家。

  “我们正在和金融设备制造商合作,将国密SM又快又好地用于金融业。”岑义涛说。

  随着“区块链”技术的名噪一时,密码技术越来越被人们熟知。除了帮助关键信息基础设施依规升级外,炼石网络还将中国商用密码融入到新领域的底层架构中。白小勇介绍,“我们跟合作伙伴众享比特一起把商用密码升级替换到区块链技术里,让新事物在进入我国的初期就能够做好信息安全工作,而不是先发展再弥补短板。”

责任编辑:杨茗

科普中国APP 科普中国微信 科普中国微博
科技日报
是中国科协为深入推进科普信息化建设而塑造的全新品牌,旨在以科普内容建设为重点,充分依托现有的传播渠道和平台,使科普信息化建设与传统科普深度融合,以公众关注度作为项目精准评估的标准,提升国家科普公共服务水平。

猜你喜欢