数据加解密是信息安全核心
清华同方电脑总工程师刘锋
从技术层面讲,信息数据安全的核心是加密算法,也就是数据加解密。
数据加解密会涉及两方面问题。一是算法问题,一般来说,算法是不可能永久保密的。只要有足够多的样本,技术人员就能分析出正在使用中的算法。所以,现在普遍使用的都是公开算法。目前比较通用的有银行业广泛应用的SA算法、电子商务签名业务领域广泛应用的RC算法及ECC算法。上述这些算法都属于数学意义上非常强的加密算法。
二是密钥问题。如果说算法是公开的,那么接下来很多系统安全性问题就会体现在密钥方面。从理论上说,最佳的密钥安全解决方案是通过另外一种信息安全保护方式传递密钥。比如,甲给乙发一封加密邮件时,并不通过网络方式传递,而是通过快递或派人携带包含密钥的介质送达。在这种情况下,信息传递的速度和成本就成为了考量因素。目前业内普遍使用的是混合方案,即数字证书体系。
什么是数字证书体系呢?举例说,就是国际上一家被所有人都认可的机构,通过一级级的代理为每个人签发证书。签发时,该机构会给签发对象两把密钥,公钥和私钥。其中,公钥是公开的,私钥需自己保管。信息传递双方通信时,发起方先用公钥加密数据,而后进行传递;收取方收到信息后用私钥解锁数据。
不难看出,这两把密钥的特点在于用公钥加密的信息只能用私钥解锁,而用私钥加密的信息只能用公钥解锁。只要收取方能用自己的私钥解密信息,就能确定这部分信息是发起方传给自己的,而非传给别人的。这个过程实际上是数据传递双方互相确认对方身份并顺利传输数据的过程。在操作实践中,这段初始的数据信息一般都是非敏感信息。当身份确认后,双方才会进行真正有价值的信息传递。
需要说明的是,为了保证数据安全,信息传递双方每次通信过程所使用的具体密码都是不同的。这是因为数据传递过程中所使用的AS算法是一个强度相对较弱的双向算法。这种算法的特点是由同一个密码加密和解密,如果固定使用,很容易出现安全漏洞。目前大部分用户所使用的数字证书体系都是国际通行的国外标准,因此,在涉及政府部门、国防等领域的数据传递时,信息安全就存在隐患。如果数字证书的初始申请和传递过程都已被记录和窃取,无论是公钥还是私钥都无法保证数据的绝对安全。这就决定了我国必须力推自主的密码算法,建立自己的身份和数字认证证书体系,确保密码算法的实施本身及信息传递途径、信息加密本身安全。(梁爽)
责任编辑:
点击排行
欢迎订阅中国政府采购报
我国政府采购领域第一份“中”字头的专业报纸——《中国政府采购报》已于2010年5月7日正式创刊!
《中国政府采购报》由中国财经报社主办,作为财政部指定的政府采购信息发布媒体,服务政府采购改革,支持政府采购事业,推动政府采购发展是国家和时代赋予《中国政府采购报》的重大使命。
《中国政府采购报》的前身是伴随我国政府采购事业一路同行12年的《中国财经报?政府采购周刊》。《中国政府采购报》以专业的水准、丰富的资讯、及时的报道、权威的影响,与您一起把握和感受中国政府采购发展事业的脉搏与动向。
《中国政府采购报》为国际流行对开大报,精美彩色印刷;每周二、周五出版,每期8个版,全年订价276元,每月定价23元,每季定价69元。零售每份3元。可以破月、破季订阅。 可以破月、破季订阅。
欢迎订阅《中国政府采购报》!
订阅方式:邮局订阅(请到当地邮局直接订阅)