数据加解密是信息安全核心

清华同方电脑总工程师刘锋

从技术层面讲，信息数据安全的核心是加密算法，也就是数据加解密。

数据加解密会涉及两方面问题。一是算法问题，一般来说，算法是不可能永久保密的。只要有足够多的样本，技术人员就能分析出正在使用中的算法。所以，现在普遍使用的都是公开算法。目前比较通用的有银行业广泛应用的SA算法、电子商务签名业务领域广泛应用的RC算法及ECC算法。上述这些算法都属于数学意义上非常强的加密算法。

二是密钥问题。如果说算法是公开的，那么接下来很多系统安全性问题就会体现在密钥方面。从理论上说，最佳的密钥安全解决方案是通过另外一种信息安全保护方式传递密钥。比如，甲给乙发一封加密邮件时，并不通过网络方式传递，而是通过快递或派人携带包含密钥的介质送达。在这种情况下，信息传递的速度和成本就成为了考量因素。目前业内普遍使用的是混合方案，即数字证书体系。

什么是数字证书体系呢？举例说，就是国际上一家被所有人都认可的机构，通过一级级的代理为每个人签发证书。签发时，该机构会给签发对象两把密钥，公钥和私钥。其中，公钥是公开的，私钥需自己保管。信息传递双方通信时，发起方先用公钥加密数据，而后进行传递；收取方收到信息后用私钥解锁数据。

不难看出，这两把密钥的特点在于用公钥加密的信息只能用私钥解锁，而用私钥加密的信息只能用公钥解锁。只要收取方能用自己的私钥解密信息，就能确定这部分信息是发起方传给自己的，而非传给别人的。这个过程实际上是数据传递双方互相确认对方身份并顺利传输数据的过程。在操作实践中，这段初始的数据信息一般都是非敏感信息。当身份确认后，双方才会进行真正有价值的信息传递。

需要说明的是，为了保证数据安全，信息传递双方每次通信过程所使用的具体密码都是不同的。这是因为数据传递过程中所使用的AS算法是一个强度相对较弱的双向算法。这种算法的特点是由同一个密码加密和解密，如果固定使用，很容易出现安全漏洞。目前大部分用户所使用的数字证书体系都是国际通行的国外标准，因此，在涉及政府部门、国防等领域的数据传递时，信息安全就存在隐患。如果数字证书的初始申请和传递过程都已被记录和窃取，无论是公钥还是私钥都无法保证数据的绝对安全。这就决定了我国必须力推自主的密码算法，建立自己的身份和数字认证证书体系，确保密码算法的实施本身及信息传递途径、信息加密本身安全。（梁爽）