国产密码算法：锻造信息安全之盾

         随着商业银行信息化的快速发展，以网上银行为代表的基于Internet和其他各类网络的应用系统迅速普及。由于个人金融信息具有高度的敏感性，因此，这些信息在网络上的传输和在本地的存储均应采取相应的加密措施。

　　人民银行发布的《关于银行业金融机构做好个人金融信息保护工作的通知》对个人金融信息进行了定义及分类，并对保护个人金融信息的安全提出了明确的要求。那么商业银行怎样才能保护好个人金融信息安全呢？采用国产密码算法应是一个不错的选择。

　　信息加密安全更有保障

　　加密算法是对明文的文件或数据经过一定的运算处理将其变为不可读的密文的过程。加密算法可以分为对称加密算法、非对称加密算法和摘要算法三类：对称加密算法是指加密和解密使用相同密钥的加密算法，常见的有DES、3DES、AES等；非对称加密算法是指加密和解密使用不同密钥的加密算法，也称为公私钥加密算法，常见的有RSA、ECC等；摘要算法特别的地方在于它是一种单向算法，用户可以通过Hash算法对目标信息生成一段特定长度的唯一值，却不能通过这个Hash值重新获得目标信息，常见的有MD5、SHA等。
　　由于信息安全是国家安全的关键环节，为确保密码算法的自主可控，降低敏感信息泄露和信息系统遭受攻击的风险，国家密码管理局制定并发布了国产加密算法及相关密码行业标准。目前，我国自主研发的常用的国产密码算法有以下几种：
SM1算法。该算法是由国家密码管理局编制的一种商用密码分组标准对称算法，分组长度和密钥长度均为128位，算法的安全保密强度及相关软硬件实现性能与AES算法相当，目前该算法尚未公开，仅以IP核的形式存在于芯片中。
SM2算法。该算法是一种基于ECC算法的非对称密钥算法，其加密强度为256位，其安全性与目前使用的RSA1024相比具有明显的优势。
SM3算法。该算法也叫密码杂凑算法，属于哈希（摘要）算法的一种，杂凑值为256位，和SM2算法一起被公布。
SM4算法。该算法为对称加密算法，随WAPI标准一起被公布，其加密强度为128位。

　　密码监管体制逐步完善

　　为了满足社会各界对商用密码及加密算法的广泛需求，1993年我国确定发展商用密码，之所以称其为“商用密码”，主要是为了区别于党、政、军所使用的密码，将其定位于“对不涉及国家秘密内容的信息进行加密保护或安全认证”。1996年我国决定大力发展商用密码，并确定了“统一领导，集中管理，定点研制，专控经营，满足使用”的商用密码管理原则。自确定商用密码发展战略以来，我国不断建立健全商用密码监管体制，完善商用密码技术支撑体系和法律法规体系。经过十多年的努力，商用密码的监管要求逐步完善，目前，作为商用密码管理依据的法规主要包括：一部法律，一部行政法规，九个专项管理规定。
“一部法律”是指《电子签名法》；“一部行政法规”是指《商用密码管理条例》；“九个专项管理规定”是指《商用密码科研管理规定》、《商用密码产品生产管理规定》、《商用密码产品销售管理规定》、《商用密码产品使用管理规定》、《境外组织和个人在华使用密码产品管理办法》、《商用密码行政处罚实施办法（试行）》、《电子认证服务密码管理办法》、《信息安全等级保护商用密码管理办法》、《含有密码技术的信息产品政府采购规定》。
　　密码算法相关标准规范也是国家密码管理部门对密码依法实施管理的主要依据，目前由国家密码管理局组织制定并发布的密码相关标准规范共七个，分别是：《证书认证系统密码及其相关安全技术规范》、《数字证书认证系统密码协议规范》、《数字证书认证系统检测规范》、《证书认证密钥管理系统检测规范》、《可信计算密码支撑平台功能与接口规范》、《IPSec VPN技术规范》、《SSL VPN技术规范》等。
　　为了使商用密码的管理更加契合银行业的实际情况，公安部与人民银行联合发布的《金融机构计算机信息系统安全保护工作暂行规定》，财政部、证监会、审计署、银监会、保监会五部委联合发布的《企业内部控制基本规范》和《企业内部控制应用指引》，以及银监会发布的《商业银行信息科技风险管理指引》均对商业银行的商用密码及加密算法的使用管理提出了相应的监管要求。

　　信息安全保护任重道远

　　当前，国际上用于Internet网络信息传输、身份认证和数字签名的最主流的密码算法是RSA算法，这套密码算法主要由美国研发。然而，随着密码技术和计算技术的发展，使用1024位密钥的RSA算法（简称RSA1024）面临严重的安全威胁。根据国际著名研究机构的报告，RSA1024算法只应使用至2010年，据权威部门判断，一些国家已经具备了破解RSA1024的能力。据人民银行不完全统计，全国性银行业金融机构有一定数量的应用系统使用RSA1024算法。RSA1024算法如果遭到破解，通过拦截交易数据，可以假冒用户伪造交易，盗取银行客户信息或资金，安全隐患较大。
       2010年底，国家密码管理局公布了我国自主研制的“椭圆曲线公钥密码算法”（SM2算法）。为保障重要经济系统密码应用安全，国家密码管理局于2011年发布了《关于做好公钥密码算法升级工作的通知》，要求“自2011年3月1日期，在建和拟建公钥密码基础设施电子认证系统和密钥管理系统应使用SM2算法。自2011年7月1日起，投入运行并使用公钥密码的信息系统，应使用SM2算法。”近期，人民银行组织召开多次专题会议讨论研究金融领域国产加密算法升级改造的相关工作。
       在当前形势下，为了避免个人金融信息泄露，商业银行应高度重视国产加密算法的升级改造工作，不仅要成立专门的工作小组开展相关预研工作，认真研究国产密码算法的原理及实现方法，而且要根据上级主管部门的国产加密算法升级改造的总体思路，制定相应的升级改造方案，并逐步落实。