暗网潜航——《密码法》只监管「加密演算法」
庞博文
2020-01-02 04:17 HKT
字体大小
整个华语圈再度关注中国刚于一月一日正式实施《密码法》,有网民质疑当局或借此法强行取得用户「Password」及加密资料,但作为一个古典密码学家,希望从专业角度解释今次误会。
「Password」这个词语的中文正式名称,应该是「口令」或「通关字符」,可以追溯至秦朝的「虎符令牌」,只用于认证身份用途。在学术上及法例上,密码常指「为了保护内容秘密,而特别制定的一组编码方法」,亦即「加密演算法」(Cryptography algorithms)。
台湾今年也通过《中华民国政府机关密码统合办法》,第一章就指明「密码:指利用演算法或其他方法,对资讯进行保护、隐匿或安全认证之技术或作为。」与中国《密码法》所指「本法所称密码、是指采用特定变换方法对信息进行加密保护、安全认证的技术、产品和服务。」定义上如出一辙,可见法例规管的是加密方法。
为何国家要立法管制呢?原因是编制密码的方法,在军事、国防及社会安全有极重大意义,例如电子交易合约、数据安全及身份认证等都用到密码;军事利用密码保障通讯秘密,避免情报外泄更为重要。历史上,由凯撒大帝被杀,到二战日军将领山本五十六被行刺,都是因为加密方法被破解而发生。
所以国家会将加密方法分为军用和民用,军用密码列为国家机密,民用则再细分为不同等级管理。法规不但管制算式,甚至连加密用的设备,以及密码学家本身,也会被定义为战略物资!电影《烈血追风》(WINDTALKERS)描述,二战时一旦美军密码翻译员有被俘风险,随行军官可即场枪杀,避免加密算法被日军获得。
《密码法》管制加密方法及相关产品设备,这是每个国家都有的国安法例。事实上,中国《密码法》中第八条明确指出,「商用密码用于保护不属于国家秘密的信息。」国家鼓励发展商用密码,促进产业发展,并在二十一条中表明「行政机关及其工作人员不得利用行政手段强制(外商)转让商用密码技术。」换言之,现时网络上常常使用的RSA及AES等商用加密法,将不会受新法例影响,大家毋须因内地实施新法而过度担忧。
法律实际上管制的是「加密演算法」(Cryptography)而非「Password」,最后我想考一考大家一个问题:「摩斯密码」和二战日军的暗号「虎、虎、虎」,请问哪一个是「加密法」,哪一个是「口令」呢?
TOZ联合创办人
庞博文
「Password」这个词语的中文正式名称,应该是「口令」或「通关字符」,可以追溯至秦朝的「虎符令牌」,只用于认证身份用途。在学术上及法例上,密码常指「为了保护内容秘密,而特别制定的一组编码方法」,亦即「加密演算法」(Cryptography algorithms)。
台湾今年也通过《中华民国政府机关密码统合办法》,第一章就指明「密码:指利用演算法或其他方法,对资讯进行保护、隐匿或安全认证之技术或作为。」与中国《密码法》所指「本法所称密码、是指采用特定变换方法对信息进行加密保护、安全认证的技术、产品和服务。」定义上如出一辙,可见法例规管的是加密方法。
为何国家要立法管制呢?原因是编制密码的方法,在军事、国防及社会安全有极重大意义,例如电子交易合约、数据安全及身份认证等都用到密码;军事利用密码保障通讯秘密,避免情报外泄更为重要。历史上,由凯撒大帝被杀,到二战日军将领山本五十六被行刺,都是因为加密方法被破解而发生。
所以国家会将加密方法分为军用和民用,军用密码列为国家机密,民用则再细分为不同等级管理。法规不但管制算式,甚至连加密用的设备,以及密码学家本身,也会被定义为战略物资!电影《烈血追风》(WINDTALKERS)描述,二战时一旦美军密码翻译员有被俘风险,随行军官可即场枪杀,避免加密算法被日军获得。
《密码法》管制加密方法及相关产品设备,这是每个国家都有的国安法例。事实上,中国《密码法》中第八条明确指出,「商用密码用于保护不属于国家秘密的信息。」国家鼓励发展商用密码,促进产业发展,并在二十一条中表明「行政机关及其工作人员不得利用行政手段强制(外商)转让商用密码技术。」换言之,现时网络上常常使用的RSA及AES等商用加密法,将不会受新法例影响,大家毋须因内地实施新法而过度担忧。
法律实际上管制的是「加密演算法」(Cryptography)而非「Password」,最后我想考一考大家一个问题:「摩斯密码」和二战日军的暗号「虎、虎、虎」,请问哪一个是「加密法」,哪一个是「口令」呢?
TOZ联合创办人
庞博文
最Hit
