《密码法》草案-解读版

一、前言

《中华人民共和国密码法》草案终于发布了，2014年11月立项，历经2年5个月终于浮出水面了。

国家专门为一项技术立法，其重要性可见一斑。

二、图说

上图只列出了关键部分，细节末梢详见原文，笔者认为其关键点如下：

三、关键点

1、明确了密码的定义

“使用特定变换对数据等信息进行加密保护或者安全认证的物项和技术 ”

密码是一种物项（承载算法、密钥、密文的介质）或者技术。长期以来，多数人认为密码就是在登录系统时所输入的“密码”，其本质上是口令，与密码毫无关系。

2、密码的主要用途

加密：机密性

安全认证：身份识别、完整性、抗抵赖

3、密码分类

核密、普密、商密，其中核密、普密用于涉及国家秘密领域，商密用于非涉及国家秘密领域。这个分类跟之前的执行现状并无差别，核密肯定不会市场化，商密已经市场化，关键是普密，目前是由五家指定机构负责，这个领域是否能够以某种方式开放是后续需要关注的。

4、密码行业的主要角色

主管单位：国家密码管理局

检测认证机构：商用密码产品检测中心等

产品厂商：普密、商密产品厂商

服务厂商：主要指电子认证机构

密码使用者：国家关键基础设施（重点）、政府机构、企业、个人等

5、赋予了国家密码主管部门的监督、执法权

“第二十七条 密码管理部门依法组织开展密码应用、密码安全监督检查和执法 ”

第二十九条 密码管理部门依法履行监督管理职责时，可用行驶以下职权：

（一）进入密码生产、经营、进出口、检测、认证、使用场所实施现场检查；

（二）向密码生产、经营、进出口、检测、认证、使用单位的主要负责人和其他有关人员调查、了解有关情况；

（三）查阅、负责有关合同、票据、账簿以及其他有关资料；

（四）查封、扣押违法从事密码生产、经营、进出口、检测、认证、使用的产品，以及用于违法从事密码生产、经营、进出口、检测、认证的设备、设施；

（五）查封违法从事密码生产、经营、进出口、检测、认证使用的场所；

违法承担的法律责任详见第六章

5、明确了密码服务运营商、提供者在特定情况下提供解密技术支持的义务。

6、与现行商密法规的关系

现行的密码行业法规主要包括：

《商用密码管理条例》

《商用密码产品科研管理规定》

《商用密码产品生产管理规定》

《商用密码产品销售管理规定》

《商用密码产品使用管理规定》

《电子认证服务密码管理办法》

《密码法》是这些管理规定的基本法，以上只是商密、认证机构的管理规定，是基本法的实施方案。

第十一条 国家密码管理部门对销售或者在经营活动中使用的商用密码产品，以及从事商用密码服务的机构实施许可。商用密码产品、服务管理目录由国家密码管理部门制定并公布。

商用密码产品需要检测是肯定无疑的，“从事商用密码服务的机构实施许可”意味着商密双证（生产、销售）很有可能继续保留。

7、静态审查与动态监测相结合

静态审查：

第十八条 国家对关键信息基础设施的密码应用安全性进行分类分级评估，按照国家安全审查的要求对影响或者可能影响国家安全的密码产品、密码相关服务和密码保障系统进行安全审查。

动态监测：

第十九条 密码管理部门和有关部门建立密码安全检测预警、信息通报、重大事项会上和应急处置机制，确保密码安全管理的协同联动和有序高效。

静态审查一直存在，而后者更重要，在生产环境中实时监测密码的使用状况是密码安全落地的关键。

四、商业机会

欢迎与业界同仁共同探讨。

（文章来源：安全KE）

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。