“全球約6300個平臺提供勒索軟件交易,2016—2017年期間勒索軟件銷售增長25倍。”《2017年度網絡空間安全報告》日前發布,勒索病毒的出現和黑市傳播,使得網絡空間安全暴露出“危如累卵”的局面。
繼2017年《網絡安全法》實施以來,《中華人民共和國密碼法(草案征求意見稿)》也開啟立法程序,旨在通過制度建設應對外有病毒“覬覦”、內有加密“隱懮”的狀況。“未來,關鍵信息基礎設施應依規使用中國自己的密碼算法,”北京煉石網絡技術有限公司CEO白小勇說,以境外密碼體系為基礎的行業應用均需要昇級。
面對法規的即將落地,有人在等“事到臨頭”,而有人卻已先人一步。“做拉動者,而不是被推著走,”1月29日,煉石網絡首席營銷官岑義濤對科技日報記者說,創新者就是要順勢而為走在前面。
網路“裸奔”危險重重 加密研究必須領先
新華網此前報道,中國的銀行業核心領域長期以來都是沿用SHA-1(美國國家安全局設計)、RSA(美國公司設計)等密碼算法體系。盡管政府部門一直在積極推動試點示范,效果卻並不明顯,“長且阻”“難推進”的局面一直存在。
而早在《中華人民共和國密碼法(草案征求意見稿)》出臺的之前兩年,煉石網絡的密碼團隊就開始對我國的商用密碼(SM)體系進行研究。既然要在中國做雲計算安全的“守門員”,就要用中國自己的密碼算法體系做加密,從2015年開始,團隊除了研究應用很多的境外密碼體系,也對國家密碼管理局公布的SM2、SM3、SM4等一系列密碼算法深度鑽研、進行技術儲備。
當時,中國大量的行業企業,包括金融、醫療、電力等,均使用境外密碼技術,煉石網絡的研發團隊仍然堅定要做服務於中國密碼算法產業化的技術儲備。團隊中有一位數學博士,他始終相信“在中國搞加密,不做SM是不行的”。這位博士正是主持設計了SM3的中國科學院院士王小雲的學生。
“當時數據上‘雲’很火,但是數據的擁有者並不放心直接放在雲上,因為根本掌控不了雲服務商會對這些數據做什麼,”岑義濤回憶,“因此我們想讓信息在傳輸到雲的路上就被加密,用戶自己擁有解密的鑰匙,那就不怕泄密了。”
直到2017年4月,《密碼法》(征求意見稿)發布,團隊的選擇遇上了政府制度的東風。“一旦法律通過,我國關鍵信息基礎設施中的相關信息,在網路上不加密的‘裸奔’是不被允許的,也不應繼續以境外密碼體系為基礎進行加密,”白小勇說,而應當依照法律、法規的規定和密碼相關國家標准的強制性要求使用密碼進行保護,同步規劃、同步建設、同步運行密碼保障系統。
填補產業鏈環節 銜接密碼與應用的鴻溝
“沒有強制力,主動性不強僅僅是一個方面,”岑義濤說,中國密碼國產化“長且阻”的另一個原因還在於密碼學相對艱深,中國開發的密碼產品懸在半空,落地困難。
“我們發現國產的密碼產品設計並不友好,提供的算法接口不夠用、支持的開發語言也不夠多,讓應用開發者很為難。”白小勇感覺到,要銜接密碼與應用之間的“鴻溝”,產業鏈條上可能需要補上一環。
“大量的已建應用系統很難通過改造來昇級商用密碼。”白小勇說,密碼算法技術是信息世界的基礎設施,底層架構的更迭門檻很高。“數學專業起碼要是博士畢業,在這個基礎上,還要精通各個場景,所以讓所有行業都具備這樣高水平的專業密碼算法人纔、推進有效更迭並不現實。”
煉石網絡於是開始了“煉石補天”的征程,將艱深的密碼算法通過“封裝”的方式,隱藏底層,以幫助其融進不同的應用場景中。
如何讓不懂密碼技術的應用開發人員更方便、更安全地使用密碼?
需要把很多密碼的底層復雜技術“藏起來”,屏蔽底層實現,讓開發者可以靈活選擇底層硬件。煉石提出三層封裝技術,即在傳統的算法層和資源抽象層之上,進一步面向業務人員和業務場景進行“業務封裝”,把不同的安全服務提供給應用開發人員直接調用。
比英特爾快近30% 不讓“大佬”用專利“卡脖子”
“他們是第一個在中國研發出這樣的技術,並且得到了快速的轉化。”360企業安全集團總裁吳雲坤評價,之所以能夠落地,煉石網絡除了解決“易用”的問題之外,還讓商用密碼變得更高效。
事實上,由於我國商用密碼在安全性上的要求,計算更復雜,使得在性能方面,用戶如果用原來境外密碼算法加解密數據時處理每個字節需要2個CPU時鍾周期,而我國的商用密碼產品目前普遍在10幾個CPU時鍾周期。
“提速加解密”,這是產品能夠獲得市場的關鍵、也是技術能夠轉化應用的關鍵。“例如文檔加密後會更安全,但是如果你要看個加密文檔,解密會拖延1分鍾,就有可能讓你因為這1分鍾而棄用它,”岑義濤說,安全性的增強不能以降低應用的效率為代價。
為此,2016年下半年,團隊開始著手研究基於中國商用密碼的算法提速。“我們先了解了一下有沒有人做過,卻發現跨國公司英特爾也很早就意識到了這一點,並在中國布局了專利。”岑義濤回憶,聽到這個消息時,是崩潰的。如果真被跨國大佬“卡住脖子”,中國密碼國產化將需要巨額的專利使用費。
“但仔細研究後,我們發現英特爾的算法加速實現模式和我們的實現模式是有細微差異的。這樣的差異,有可能會幫我們繞過英特爾的專利。”岑義濤說,隨著技術實現代碼化,並進行多次測試,煉石團隊發現,他們不僅繞過了英特爾布局的專利,還在算法執行效率上高出近30%。這意味著,英特爾布局的專利無效了。
馬不停蹄地,煉石網絡申請了PCT(專利合作協定)專利,布局在美國、日本、中國等國家。
“我們正在和金融設備制造商合作,將國密SM又快又好地用於金融業。”岑義濤說。
隨著“區塊鏈”技術的名噪一時,密碼技術越來越被人們熟知。除了幫助關鍵信息基礎設施依規昇級外,煉石網絡還將中國商用密碼融入到新領域的底層架構中。白小勇介紹,“我們跟合作伙伴眾享比特一起把商用密碼昇級替換到區塊鏈技術裡,讓新事物在進入我國的初期就能夠做好信息安全工作,而不是先發展再彌補短板。”