商用密码对于网络空间中的身份鉴别、安全认证、信息加密、完整性保护和抗抵赖性等需求具有不可替代的重要作用,可以实现信息的机密性、真实性、数据的完整性和行为的不可否认性。商用密码技术是保障网络与信息安全最有效、最可靠、最经济的手段。
信息的机密性是指保证信息不被泄漏给非授权的个人、计算机等实体的性质。
信息是网络空间中最有价值的资产,信息泄漏会给国家、社会、行业、团体和个人带来巨大的危害和影响。同时,信息的机密性是网络与信息安全的主要属性之一。
商用密码技术可以方便快捷地实现对信息机密性的保护,利用加密算法对电子文件进行加密,攻击者即使截取了密文也无法破译从密文中获取有用信息。
信息的真实性是指保证信息来源可靠、没有被伪造和篡改的性质。
信息的真实性也是网络与信息安全的主要属性之一。如何鉴别信息的合法性?如何确认真实的身份信息?如何防止冒充、伪造?这些都是网络与信息安全领域非常重要的任务,它们直接影响着社会秩序、生产生活秩序的各个方面。
商用密码中的安全认证技术正是为解决信息的真实性等问题而出现的,包括数字签名、身份鉴别协议等。这些技术的基本思想是:合法的人都有各自的「秘密信息」。用这个「秘密信息」对公开信息进行处理,得到相应的「印章」,用它来证明公开信息的真实性。而不掌握相应「秘密信息」的非法用户无法伪造「印章」。
信息的完整性是指数据没有受到非授权的篡改或破坏的性质。
信息时代具有空前数量的数据、信息、文件等,各行各业都存在大量的公开传输、存储的数据。如何保证这些数据在传输、存储过程中不被篡改是极具挑战性的任务,特别是维护大量资料库、文件库时,这一任务更为艰巨。
商用密码杂凑算法通过数学处理过程,从文件中计算出唯一标识这个文件的特征信息,称为摘要。文件内容的细微变化都会产生不同的摘要。只要在电子文件后面附上一个这样简短的摘要,就可以鉴别文件的完整性。因为不同的文件拥有不同的摘要,一旦文件被篡改,摘要也就不同了。要想检查某个文件是否被修改了,只需使用杂凑算法计算出一个新的摘要,将这个新的摘要与原来附带的摘要进行比对,如果两个摘要一样,就说明这个文件没有被改动,反之则证明已被修改。对于大量的电子文件的保护任务而言,杂凑算法是一种非常便捷、可靠的安全手段。
不可否认性也称抗抵赖性,是指一个已经发生的操作行为无法被否认的性质。
在现实生活中发生的行为会留下证据或「蛛丝马迹」,可作为抗抵赖的凭据。例如:合同签署后,如果一方否认已签署过合同,他的签字可以防止其抵赖;监控录像可以记录犯罪嫌疑人留下的影像等。但在网络上已生效的电子合同、电子声明等如何防止抵赖?这是实现网络与信息安全的重要任务之一。
基于公钥密码算法的数字签名技术,可有效解决行为的不可否认性问题。用户一旦签署了数字签名,就不能抵赖、不可否认。对解决网络上的纠纷、电子商务的纠纷等问题,数字签名是必不可少的工具。
近年来,商用密码在维护国家安全、促进经济社会发展、保护人民群众利益中发挥着不可替代的重要作用。