隱藏復(fù)雜技術(shù)，讓密碼“輕松落地”

張佳星

“全球約6300個(gè)平臺提供勒索軟件交易，2016—2017年期間勒索軟件銷售增長25倍?！薄?017年度網(wǎng)絡(luò)空間安全報(bào)告》近期發(fā)布，勒索病毒的出現(xiàn)和黑市傳播，使得網(wǎng)絡(luò)空間安全暴露出“危如累卵”的局面。

繼2017年《網(wǎng)絡(luò)安全法》實(shí)施以來，《中華人民共和國密碼法（草案征求意見稿）》也開啟立法程序，旨在通過制度建設(shè)應(yīng)對外有病毒“覬覦”、內(nèi)有加密“隱憂”的狀況?！拔磥恚P(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)依規(guī)使用中國自己的密碼算法?！北本捠W(wǎng)絡(luò)技術(shù)有限公司CEO白小勇說，以境外密碼體系為基礎(chǔ)的行業(yè)應(yīng)用均需要升級。

面對法規(guī)的即將落地，有人在等“事到臨頭”，而有人卻已先人一步?！白隼瓌?dòng)者，而不是被推著走。”1月29日，煉石網(wǎng)絡(luò)首席營銷官岑義濤對記者說，創(chuàng)新者就是要順勢而為，走在前面。

網(wǎng)路“裸奔”危險(xiǎn)重重，加密研究必須領(lǐng)先

據(jù)報(bào)道，中國的銀行業(yè)核心領(lǐng)域長期以來都是沿用SHA-1（美國國家安全局設(shè)計(jì)）、RSA（美國公司設(shè)計(jì)）等密碼算法體系。盡管政府部門一直在積極推動(dòng)試點(diǎn)示范，效果卻并不明顯，“長且阻”“難推進(jìn)”的局面一直存在。

而早在《中華人民共和國密碼法（草案征求意見稿）》出臺的前兩年，煉石網(wǎng)絡(luò)的密碼團(tuán)隊(duì)就開始對我國的商用密碼（SM）體系進(jìn)行研究。既然要在中國做云計(jì)算安全的“守門員”，就要用中國自己的密碼算法體系做加密。從2015年開始，團(tuán)隊(duì)除了研究應(yīng)用很多的境外密碼體系，也對國家密碼管理局公布的SM2、SM3、SM4等一系列密碼算法深度鉆研、進(jìn)行技術(shù)儲備。

當(dāng)時(shí)，中國大量的行業(yè)企業(yè)，包括金融、醫(yī)療、電力等，均使用境外密碼技術(shù)，煉石網(wǎng)絡(luò)的研發(fā)團(tuán)隊(duì)仍然堅(jiān)定要做服務(wù)于中國密碼算法產(chǎn)業(yè)化的技術(shù)儲備。團(tuán)隊(duì)中有一位數(shù)學(xué)博士，他始終相信“在中國搞加密，不做SM是不行的”。這位博士正是主持設(shè)計(jì)了SM3的中國科學(xué)院院士王小云的學(xué)生。

“當(dāng)時(shí)數(shù)據(jù)上‘云很火，但是數(shù)據(jù)的擁有者并不放心直接放在云上，因?yàn)楦菊瓶夭涣嗽品?wù)商會(huì)對這些數(shù)據(jù)做什么，”岑義濤回憶，“因此我們想讓信息在傳輸?shù)皆频穆飞暇捅患用埽脩糇约簱碛薪饷艿蔫€匙，那就不怕泄密了。”

直到2017年4月，《密碼法》（征求意見稿）發(fā)布，團(tuán)隊(duì)的選擇遇上了政府制度的東風(fēng)?！耙坏┓赏ㄟ^，我國關(guān)鍵信息基礎(chǔ)設(shè)施中的相關(guān)信息，在網(wǎng)路上不加密的‘裸奔是不被允許的，也不應(yīng)繼續(xù)以境外密碼體系為基礎(chǔ)進(jìn)行加密?！卑仔∮抡f，而應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求使用密碼進(jìn)行保護(hù)，同步規(guī)劃、同步建設(shè)、同步運(yùn)行密碼保障系統(tǒng)。

填補(bǔ)產(chǎn)業(yè)鏈環(huán)節(jié)，銜接密碼與應(yīng)用的鴻溝

“沒有強(qiáng)制力，主動(dòng)性不強(qiáng)僅僅是一個(gè)方面?！贬x濤說，中國密碼國產(chǎn)化“長且阻”的另一個(gè)原因還在于密碼學(xué)相對艱深，中國開發(fā)的密碼產(chǎn)品懸在半空，落地困難。

“我們發(fā)現(xiàn)國產(chǎn)的密碼產(chǎn)品設(shè)計(jì)并不友好，提供的算法接口不夠用、支持的開發(fā)語言也不夠多，讓應(yīng)用開發(fā)者很為難?！卑仔∮赂杏X到，要銜接密碼與應(yīng)用之間的“鴻溝”，產(chǎn)業(yè)鏈條上可能需要補(bǔ)上一環(huán)。

“大量的已建應(yīng)用系統(tǒng)很難通過改造來升級商用密碼?！卑仔∮抡f，密碼算法技術(shù)是信息世界的基礎(chǔ)設(shè)施，底層架構(gòu)的更迭門檻很高。“數(shù)學(xué)專業(yè)起碼要是博士畢業(yè)，在這個(gè)基礎(chǔ)上，還要精通各個(gè)場景，所以讓所有行業(yè)都具備這樣高水平的專業(yè)密碼算法人才、推進(jìn)有效更迭并不現(xiàn)實(shí)?！?/p>

煉石網(wǎng)絡(luò)于是開始了“煉石補(bǔ)天”的征程，將艱深的密碼算法通過“封裝”的方式，隱藏底層，以幫助其融進(jìn)不同的應(yīng)用場景中。

如何讓不懂密碼技術(shù)的應(yīng)用開發(fā)人員更方便、更安全地使用密碼？

需要把很多密碼的底層復(fù)雜技術(shù)“藏起來”，屏蔽底層實(shí)現(xiàn)，讓開發(fā)者可以靈活選擇底層硬件。煉石提出三層封裝技術(shù)，即在傳統(tǒng)的算法層和資源抽象層之上，進(jìn)一步面向業(yè)務(wù)人員和業(yè)務(wù)場景進(jìn)行“業(yè)務(wù)封裝”，把不同的安全服務(wù)提供給應(yīng)用開發(fā)人員直接調(diào)用。

比英特爾快近30%，不讓“大佬”用專利“卡脖子”

“他們是第一個(gè)在中國研發(fā)出這樣的技術(shù)，并且得到了快速的轉(zhuǎn)化?！?60企業(yè)安全集團(tuán)總裁吳云坤評價(jià)，之所以能夠落地，煉石網(wǎng)絡(luò)除了解決“易用”的問題之外，還讓商用密碼變得更高效。

事實(shí)上，由于我國商用密碼在安全性上的要求，計(jì)算更復(fù)雜，使得在性能方面，用戶如果用原來境外密碼算法加解密數(shù)據(jù)時(shí)處理每個(gè)字節(jié)需要2個(gè)CPU時(shí)鐘周期，而我國的商用密碼產(chǎn)品目前普遍在十幾個(gè)CPU時(shí)鐘周期。

“提速加解密”，這是產(chǎn)品能夠獲得市場的關(guān)鍵，也是技術(shù)能夠轉(zhuǎn)化應(yīng)用的關(guān)鍵，“例如文檔加密后會(huì)更安全，但是如果你要看個(gè)加密文檔，解密會(huì)拖延1分鐘，就有可能讓你因?yàn)檫@1分鐘而棄用它?！贬x濤說，安全性的增強(qiáng)不能以降低應(yīng)用的效率為代價(jià)。

為此，2016年下半年，團(tuán)隊(duì)開始著手研究基于中國商用密碼的算法提速?！拔覀兿攘私饬艘幌掠袥]有人做過，卻發(fā)現(xiàn)跨國公司英特爾也很早就意識到了這一點(diǎn)，并在中國布局了專利?！贬x濤回憶說，聽到這個(gè)消息時(shí)，他們是崩潰的。如果真被跨國大佬“卡住脖子”，中國密碼國產(chǎn)化將需要巨額的專利使用費(fèi)。

“但仔細(xì)研究后，我們發(fā)現(xiàn)英特爾的算法加速實(shí)現(xiàn)模式和我們的實(shí)現(xiàn)模式是有細(xì)微差異的。這樣的差異，有可能會(huì)幫我們繞過英特爾的專利?！贬x濤說，隨著技術(shù)實(shí)現(xiàn)代碼化，并進(jìn)行多次測試，煉石團(tuán)隊(duì)發(fā)現(xiàn)，他們不僅繞過了英特爾布局的專利，還在算法執(zhí)行效率上高出近30%。這意味著，英特爾布局的專利無效了。

馬不停蹄地，煉石網(wǎng)絡(luò)申請了PCT（專利合作協(xié)定）專利，布局在美國、日本、中國等國家。

“我們正在和金融設(shè)備制造商合作，將國密SM又快又好地用于金融業(yè)?！贬x濤說。

隨著“區(qū)塊鏈”技術(shù)的名噪一時(shí)，密碼技術(shù)越來越被人們熟知。除了幫助關(guān)鍵信息基礎(chǔ)設(shè)施依規(guī)升級外，煉石網(wǎng)絡(luò)還將中國商用密碼融入到新領(lǐng)域的底層架構(gòu)中。白小勇介紹，“我們跟合作伙伴眾享比特一起把商用密碼升級替換到區(qū)塊鏈技術(shù)里，讓新事物在進(jìn)入我國的初期就能夠做好信息安全工作，而不是先發(fā)展再彌補(bǔ)短板?！?/p>

（本文轉(zhuǎn)自《科技日報(bào)》）