《密碼法》新年上路，幾家歡樂幾家愁？

                                作者：徐令予

新年來臨之際，網上瘋傳一條奇聞：“中國《密碼法》將於2020年1月1日上路：密碼將由國家統一管理，用意為保護信息安全。”這是一個徹頭徹尾的謊言，《密碼法》中的“密碼”與網民上網使用的“密碼”南轅北轍，此“密碼”非彼“密碼”矣。

密碼學在英文中對應的是Cryptography，該詞源於希臘語kryptós“隱藏的”，和gráphein“書寫”兩詞的組合，在早期指的是一種掩蓋文字真實內容的密寫技術，現代密碼學則是對信息進行加密保護、安全認證的一整套的技術和協議。密碼學中的密碼代表的是一個過程，它更像是一個動詞而不是一個名詞。Cryptography的中文譯成“加密解密係統”更為正確一些。

客戶用來登錄的是Password，俗稱密碼，其實它的正確譯名應是口令。口令與指紋、虹膜、人臉等都是身份識別的信息，它們是需要密碼係統加以保護的重要信息。

個人用來登錄的是口令而不是密碼，密碼係統是一種用於保護口令等各種敏感信息的加密解密的技術手段和協議，前者是被保護的客體而後者是保護前者的一整套技術手段，它們是完全不同的兩種概念。中文是一種優美動人的文字係統，但常有詞不達意的欠缺。

2020年1月1日起將要正式施行的是《中華人民共和國密碼法》。該法的第二條明確指出：　

第二條　本法所稱密碼，是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務。

看仔細了，《密碼法》第二條說得很清楚，它管的是加密解密的技術、產品和服務，與個人登錄用的口令是風馬牛不相及。新誕生的密碼法不僅與統一管理“網絡密碼”毫無關係，即使對“密碼技術”也不是要一統天下。《密碼法》明確了密碼分類管理的原則，規定核心密碼、普通密碼用於保護國家秘密信息，由密碼管理部門實行嚴格統一管理。但是在商用密碼管理方麵，充分體現了簡政放權的改革要求，大幅削減行政許可事項，進一步放寬市場準入，切實為商用密碼從業單位鬆綁減負。詳見《密碼法》第二十一條。

商用密碼就是用來保護千萬網民的口令及相關敏感信息的，根據密碼法，政府對於商用密碼的總的原則是“放”而不是“收”，其目的是通過有序的市場競爭，讓商用密碼在優勝劣汰、去蕪存菁的過程中不斷提升產品的質量和競爭力。所以新的密碼法的宗旨就是為了更可靠、更有效地保護全體網民們的隱私和通信安全。

重要的事情需要反複強調：《密碼法》中的“密碼”是指采用特定變換的方法對信息等進行加密保護、安全認證的技術、產品和服務，它與用戶上網登錄的所謂“密碼”（其實是口令！）完全無關。

另外，許多網民對密碼技術還存在著這樣兩種誤解：一是覺得密碼技術與已無關，二是認為有了密碼技術就天下無賊可以高枕無憂了。其實這兩個觀點都是錯的。

長久以來人們都把密碼與軍事、外交聯係在一起，印象中密碼的使用者如果不是躲在陰暗角落的間諜特務就是捍衛國家安全的孤膽英雄。事實上，今天每個你我普通人都離不開密碼，密碼技術已經飛入平常百姓家。當你在網上購物，當你用手機通話或收發微信，所有信息都在開放共享的網絡上傳輸，現代通訊技術使得信息的傳輸變得方便、迅速和高效的同時它也使信息很容易被黑客截獲，沒有密碼技術保護在網上使用信用卡，在無線網上通話將會是難以想象的。可以毫不誇張地說，密碼技術是信息時代-後工業時代的保護神，密碼技術對於政府、軍隊和大眾生活，已是不可須臾離者也，它像空氣一樣，人們一刻也少不了它，但卻常常為人們所忽視。

大多數人認為密碼係統是高大上的技術，與己無關。卻不知密碼係統就在每個人的手機、電腦和各種智能設備裏，它們就是捍衛信息安全的無名英雄。密碼係統在互聯網上是通過互聯網傳輸層的安全協議(TLS)執行的。TLS為互聯網上密鑰的產生和分發、數據傳輸的加密和解密、用戶的身份認證及電子簽名等製定統一的標準和算法。商用密碼開發商根據TLS的標準開發出相應的軟件包和程序庫，並預裝在手機和電腦裏。網頁瀏覽、微信、電子郵件等應用程序在處理數據傳輸時都會自動調用這些具有統一標準的軟件包和程序庫，以確保互聯網上數據在傳輸過程中的保密性、真實性、完整性、和可用性。有關密碼技術與互聯網安全的更多詳情可閱讀拙文：TLS1.3將為互聯網安全築起新的長城

互聯網時代必須高度重視密碼技術，但是如果認為有了密碼技術互聯網就天下太平則更是大錯特錯。先不說密碼技術本身也存在一些安全隱患，即使密碼技術是無條件絕對安全，它也隻能保證信息在傳輸過程中的安全性，即所謂的信道安全性。但是信息在用戶和服務器的兩端的設備上（手機、平板、電腦等等）都是以明文形式存在的，而這些設備又都是與互聯網相通的，網上黑客可以利用這些設備的軟硬件漏洞入侵並取得各種敏感信息，包括用戶的帳戶、口令，加密解密的密鑰。

今日信息係統的安全確實麵臨一係列嚴峻的挑戰，但如果把這些挑戰按危急嚴重程度羅列出來的話，密碼安全問題根本進不了前三甲。隨著信息的電子化和網絡化，密鑰的產生和管理全部是由電子計算機完成的，相比計算機硬件和操作係統存在的嚴重安全隱患，密碼係統的問題真是小巫見大巫了。千萬不要以為有了密碼法就可以天下太平了。有關信息係統總體安全的詳細分析可閱讀拙文：信息係統安全的短板究竟在哪裏？

《密碼法》是部好法，因為它必將對密碼事業發展產生重大而深遠的影響，因為它必將給千萬網民帶來更安全的網絡環境。但是一部好法不一定會人人叫好，它也許會觸動某些利益集團的蛋糕，我估計量子通信工程某些組織者可能會坐立不安了。詳情請閱拙文：密碼法頒布之日，即為量子通信工程下台之時。

《密碼法》 伴著新年的腳步聲越走越近，衷心希望它會給互聯網安全帶來新氣象，也祝福在新的一年裏中國網民們在網上更安全、更快樂。