来源/LongHash
2020年1月1日,中国首部《中华人民共和国密码法》将正式开始实施,而在这之前一直只有一部2007年4月23日公布的《商用密码产品使用管理规定》和《境外组织和个人在华使用密码产品管理办法》。
由于很多人对于所谓的“密码”和“密码法”的概念仅仅停留在登陆手机和网站输入的密码,因此有很多人错误解读为,《密码法》是让党和政府来管每个人的密码。实际上,这是对《密码法》中密码概念的完全误解。
中国国家密码管理局局长李兆宗说:“密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分,也是一部技术性、专业性较强的专门法律。”密码法中的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务,主要功能是为了加密保护和安全认证。这与日常生活一般人用在电子邮件、社交媒体、手机上使用的“密码”不同。因此,这里的“密码”主要是指“密码技术”和提供的“加密/解密服务”。
在线密码管理平台LastPass遭集体诉讼,被指控因数据泄露致超5万美元的比特币被盗:1月5日消息,一位被称为John Doe的未透露姓名的原告代表其他类似情况的原告在美国马萨诸塞州地方法院向在线密码管理平台LastPass提起集体诉讼,指控LastPass的数据泄露导致价值约5.3万美元的比特币被盗,原告声称他于2022年7月开始累积BTC,并根据LastPass最佳实践的建议使用密码生成器将主密码更新为12个字符以上,然而在2022年感恩节周末或前后,原告的比特币使用他存储在被告LastPass的私钥被盗。
此前消息,去年12月LastPass披露称,未经授权的一方获得了对第三方云存储服务的访问权限,LastPass使用该服务存储其生产数据的存档备份。[2023/1/5 10:23:08]
很多人把这次《密码法》和最近中国政府倡导的区块链技术联系在一起。众所周知,区块链技术是完全基于密码学技术,其核心技术使用了大量的传统的加密技术。因此,有理由相信,如果政府要完全掌控未来区块链技术的发展,首先就要完全掌控密码学技术,并且严格管理密码技术的使用。必须说,《密码法》的确对与区块链技术的发展有相当的关系,但是如果仅仅把《密码法》的理解停留在区块链,就未免把该方案的格局局限在太小的地方。
Mano 首席技术官:Web3 的额外部分是对等发现层、密码学和共识协议:金色财经现场报道,在Coinlive举办的峰会上,题为“塑造新加坡数字资产类别的未来”的圆桌讨论邀请了 Cobo 首席运营官 Lily Z. King、新加坡管理大学 (SMU) 经济学助理教授(实践) Goh Jing Rong、Immin Mano Thanabalan 首席技术官、德国创业亚洲 Yitch,区块链协会 (BAS) 合作伙伴总监 Yoon KC (Steven)。关于 Web3 是什么以及数字资产在 Web3 生态系统中扮演什么角色的问题,Mano 首先说 Web3 的额外部分是对等发现层、密码学和共识协议,这可能是最有趣的。 YC 澄清应该是 Web3 而不是 Web 3.0。
Lily 补充说,EWeb3 有望成为一个更加开放的互联网,让所有用户都能从中受益。 Jing Rong 列出了下一代互联网的三个定义,使用新闻技术来改进当前的网络,并专注于去中心化,即控制权被分配给生态系统中的多方。最后一个给出答案的 Yitch 解释说,归根结底,数字资产只是数字,除非你可以创造现实世界的效用。其他问题,如数字资产的机构采用、法规等,引起了小组成员的不同回应。[2022/12/22 22:00:54]
区块链作为一种新兴的技术,的确会大力依靠加解/解密技术,但这些技术都是已经使用了很久的技术,并且都是完全公开的技术,所以限制和管控这些技术本身是没有太大的意义。其次,密码技术目前已经非常广泛应用在我们生产和生活中,几乎所有的通信和商业行为都会主动或者被动地使用到密码技术,而区块链仅仅是其中极小的一部分。因此,对于《密码法》而言,其覆盖范围远超区块链,而是针对整个国家的通信和经济活动,有着极其重大的意义。
北京丰台:提高加密等数字货币关键密码技术研发,探索数字金融沙盒实验:金色财经报道,北京市丰台区人民政府印发《“十四五”时期丰台区高精尖产业发展规划》,在金融科技(数字金融)方面,支持中国人民银行数字货币研究所加强技术研发投入,稳妥推进数字人民币试点应用场景建设,提高对称、非对称密码算法、认证和加密等数字货币关键密码技术研发能力,支持数字货币及相关底层平台软硬件系统的架构设计和开发。加强区块链等技术发展,研究网络模型、分布式存储、零知识证明、链上链下协同、监管科技等技术,以应用场景开放推动区块链技术在更大规模的商业场景中落地。探索数字金融沙盒实验等业务监管新模式。[2022/2/19 10:02:38]
而为什么在这个时间点出来,的确和中国大规模讨论区块链技术的节点有所吻合,但其实该方案已经酝酿相当长的时间。并且,很有可能与最近全球对于密码技术使用和管理,以及对于通信监控需求的进一步升级有关。事实上,就在最近三年时间里,欧美各国都在广泛的酝酿和推动各类加密和反加密的技术方案,并由此在社会引起了不小的影响。
公告 | Poloniex:并未出现数据泄漏,要求客户重置密码系出于保险考虑:1月3日,Poloniex发布官方声明,更新了有关“数据泄漏”事件的最新进展。Poloniex声称:“本周早些时候,我们向一小群客户(约占我们总客户的1%)发送了电子邮件,要求他们重置密码,以回应一条声称包含‘Poloniex泄露的电子邮件地址和密码’的推文。确认一下,没有来自Poloniex的信息或数据泄露,我们的行动只是对外部威胁的快速反应。我们的首要任务是确保客户的账户安全。因此,我们重置了潜在受影响客户的密码。现在我们可以确认,无论是这份名单,还是其中包含的信息,都不是来自Poloniex。”此外,在声明中,Poloniex还表示该推文的信息列表中,只有不到5%的邮件地址与Poloniex帐户有关。[2020/1/3]
其实目前几乎所有的主流密码学算法都是开源和久经考验的,而从政府层面来看不太可能消灭或者限制技术的传播和使用,更多希望能够从使用方式入手,获得更多的掌控权。长期以来,各国政府由于必须考虑到个人隐私和商业隐私的必要性,以及由于反恐和反犯罪行为以及国家安全的巨大诉求,导致政府只能寻找一条中间路线来平衡来自两边的巨大压力。
现场 | 密码学专家杨光:实现高TPS需要解决两个问题 可验证计算是有效途径:金色财经现场报道,全球区块链开发者大会 GBDC 2018于香港正式召开。密码学专家杨光表示,今年“双十一”淘宝运算的峰值256000笔, 区块链如果要达到10000万TPS,实现比淘宝4倍的TPS是需要具备诸多条件的。理想条件下带宽无限、传输没有延迟,可以非常快的达成共识。而这种即使如此如果实现百万TPS,还有解决两个问题:一是单个节点的处理能力、二是区块链数据增长较快。密码学专家杨光介绍了可验证计算的方式以解决实现TPS的问题,着重介绍非交互是的可验证计算。[2018/12/16]
很多政府希望能够通过一些不公开的技术手段来获得密码学技术上的主动权,而显然,其中走得最远的绝对不是中国——而是美国。美国在二战后,就已经将密码学技术作为武器进行管理,并且严格限制密码技术的出口,并且由此导致了一系列的民权运动和密码朋克运动的兴起。
根据早期披露出来的资料,早在1990年代,美国国家安全局就尝试生产一种名为快船芯片的手机芯片组,该芯片组通过美国政府内置的后门实现对信息的加解密。美国政府试图让手机制造商采用该芯片组,但没有成功,该计划最终在1996年被取消。
而因为斯诺登事件暴露出来的“棱镜计划”和“Bullrun计划”再次震惊了世界,这是有史以来最大规模的窃听和非法破坏个人隐私行为的事件。根据《纽约时报》的报道,作为Bullrun计划的一部分,NSA每年都会花费2.5亿美元在软件和硬件中插入后门程序。
在“后斯诺登”时代,很多人认为政府为了避免复杂的隐私问题,可能会一定程度地控制或缩小政府的监督权力,但实际情况恰恰相反,以“五眼联盟”为核心的欧美政府以及情报体系谋求通过方案,来“合法”地获得更大的监控权利,让类似”斯诺登“行为的监控变得正常化和合法化。
这里需要再简单介绍一下五眼联盟,这是一个语言以讲英语为主的国家的情报联盟,在英美协定下组成的国际情报分享团体,成员包括澳大利亚、加拿大、新西兰、英国和美国五国。五眼联盟的历史可以追溯到第二次世界大战时,同盟国发布的大西洋宪章。因此只要有一个国家能够实现监控方案的突破,也就能够马上和其它国家贡献它的情报。
2014年,在英国议会经过仅一天的辩论,“数据保留和调查权力法”就被立法成为英国法律,该法案被斯诺登称为“西方民主史上最极端的监控“,并为之后的法案通过铺平了道路。
2016年11月29日,英国上议院签署通过了一项名为《调查权力法案》的大规模综合监视法案。该法案新法案将互联网公司与传统电信公司一同分类为“通信服务提供商”,为各种监控活动提供辅助——从收集电话记录,到侵入用户手机提取和保存批量用户数据。互联网服务提供商将被要求保留客户12个月的浏览历史记录。该法案还允许政府创建专门信息搜集所,以收集各种来源的可搜索个人数据。IPA可以被视为将英国官员已经在秘密进行的多种类型数据监控的章程化。
该法案被民间称为《窥视者宪章》,并且受到来自各方面的激烈抨击和抗议。从2014年开始,就有众多社团和各界人士尝试通过各种手段废除这两个法案,而后经过民间和政府的反复拉锯战后,在2018年初,英国法院判决DRIPA不符合欧盟法律,废除了DRIPA,并且要求缩小IPA的范围,
欧洲法院要求,政府职能出于打击重大刑事犯罪的目的,在特定时间对相关目标进行监控,且除了最紧急的情况之外,监控必须取得法院的许可。
而同样身为五眼联盟其一的澳大利亚,就在大约一年前通过了备受争议的“反加密法”,规定从业者必须协助官方取得加密内容。虽然被外界称为“反加密法”,但实际上这是对澳洲《1997年电信法案》的修正案。它允许执法机关提出“技术援助请求”,企业提供“自愿”的协助,或者提供自身网络服务的技术细节;还可以提出“技术援助通知”,强制要求企业提供协助,例如必须协助查看特定的加密通信内容,如果拒绝则会被罚款;还可以利用“技术能力通知”,要求企业专门提供接口以协助执法机构取得嫌犯的通讯内容,不然也会被处罚。
简单的说,就是该法案要求互联网服务提供商能够根据政府的要求,提供接口或者后门,让政府解密所有相关通讯内容。此外,该方案还提供一个广泛的保密条款,假设企业中有人对外谈及政府命令,最高可以被以5年以上的刑罚。
尽管支持该法案的议员们提到,该方案主要锁定触及严重犯罪的嫌疑人和犯罪份子,主要包括类似于严重性犯罪者、*****犯罪者或者是恐怖分子和极端严重的刑事犯罪,但还是被很多人质疑,认为难保最终不会像美国“棱镜”计划用在其它所有人的身上。因此有来自科技界和安全社区的很多人持强烈反对态度,但最终还是没有能够阻止方案的通过。
从英国的《窥视者宪章》到澳洲的《反加密法》的通过可以看出,“五眼联盟”一直在不懈努力的尝试获得更大的监控权利,并尝试通过后门和解密来尝试掌握更多的掌控权。因此,笔者认为这才是中国《密码法》出台的大背景,如果中国希望未来在全球情报系统中不落后,甚至掌控主动权,就不可能不在密码技术领域立法,并且针对各类可能影响国家安全的潜在威胁及时进行反应。
从二战的历史就可以知道,密码的攻防战对于双方来说至关重要。一直有评论认为,二战就因为图灵在解密上的重大贡献使得二战提前两年结束,也挽救了至少百万人的生命。也许这种说法有夸张之处,但至少说明了密码技术对于全球格局的重要性。区块链技术的出现本身就说明密码学的应用又到了一个新的阶段,而各国对于密码学技术密集出台各类法案,说明对于密码技术的攻防战也进入到前所未有的重视程度。中国《密码法》的出台,表明中国政府正式加入这场没有硝烟的战场,而这场战争可能才刚刚开始。
LongHash,用数据读懂区块链。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。