數據加解密是信息安全核心

清華同方電腦總工程師劉鋒

從技術層面講，信息數據安全的核心是加密算法，也就是數據加解密。

數據加解密會涉及兩方面問題。一是算法問題，一般來說，算法是不可能永久保密的。只要有足夠多的樣本，技術人員就能分析出正在使用中的算法。所以，現在普遍使用的都是公開算法。目前比較通用的有銀行業廣泛應用的SA算法、電子商務簽名業務領域廣泛應用的RC算法及ECC算法。上述這些算法都屬于數學意義上非常強的加密算法。

二是密鑰問題。如果說算法是公開的，那么接下來很多系統安全性問題就會體現在密鑰方面。從理論上說，最佳的密鑰安全解決方案是通過另外一種信息安全保護方式傳遞密鑰。比如，甲給乙發一封加密郵件時，并不通過網絡方式傳遞，而是通過快遞或派人攜帶包含密鑰的介質送達。在這種情況下，信息傳遞的速度和成本就成為了考量因素。目前業內普遍使用的是混合方案，即數字證書體系。

什么是數字證書體系呢？舉例說，就是國際上一家被所有人都認可的機構，通過一級級的代理為每個人簽發證書。簽發時，該機構會給簽發對象兩把密鑰，公鑰和私鑰。其中，公鑰是公開的，私鑰需自己保管。信息傳遞雙方通信時，發起方先用公鑰加密數據，而后進行傳遞；收取方收到信息后用私鑰解鎖數據。

不難看出，這兩把密鑰的特點在于用公鑰加密的信息只能用私鑰解鎖，而用私鑰加密的信息只能用公鑰解鎖。只要收取方能用自己的私鑰解密信息，就能確定這部分信息是發起方傳給自己的，而非傳給別人的。這個過程實際上是數據傳遞雙方互相確認對方身份并順利傳輸數據的過程。在操作實踐中，這段初始的數據信息一般都是非敏感信息。當身份確認后，雙方才會進行真正有價值的信息傳遞。

需要說明的是，為了保證數據安全，信息傳遞雙方每次通信過程所使用的具體密碼都是不同的。這是因為數據傳遞過程中所使用的AS算法是一個強度相對較弱的雙向算法。這種算法的特點是由同一個密碼加密和解密，如果固定使用，很容易出現安全漏洞。目前大部分用戶所使用的數字證書體系都是國際通行的國外標準，因此，在涉及政府部門、國防等領域的數據傳遞時，信息安全就存在隱患。如果數字證書的初始申請和傳遞過程都已被記錄和竊取，無論是公鑰還是私鑰都無法保證數據的絕對安全。這就決定了我國必須力推自主的密碼算法，建立自己的身份和數字認證證書體系，確保密碼算法的實施本身及信息傳遞途徑、信息加密本身安全。（梁爽）