La "Ley de Criptozoología" fue implementada oficialmente el 65438 de junio + 1 de octubre de 2020. ¿Qué impacto tendrá en nuestras vidas? ¿Resolverá el problema de la filtración de contraseñas?
Puede leer la "Ley de Criptozoología de la República Popular China" (en adelante, la "Ley de Criptozoología") en el sitio web de la Administración Estatal de Criptozoología.
Resume el problema en unas pocas frases. La "Ley de Contraseñas" implementada en enero de 2020 estipula principalmente la definición, gestión y uso de contraseñas. El impacto de la Ley de Criptozoología en nuestras vidas se esconde principalmente detrás de escena: los servicios criptográficos utilizados en la vida diaria tienen una base legal.
En cuanto al tema específico de la "fuga de contraseñas", la "Ley de Contraseñas" no puede resolver técnicamente el problema de la filtración de contraseñas, pero puede explicar legalmente que "robar información cifrada de otras personas" es un acto ilegal. y está prohibido participar en violaciones de contraseñas.
(Artículo 12 del Código)
Ninguna organización o individuo podrá robar información cifrada de otras personas o invadir ilegalmente los sistemas protegidos con contraseña de otras personas.
Ninguna organización o individuo podrá utilizar contraseñas para participar en actividades ilegales y delictivas que pongan en peligro la seguridad nacional, los intereses sociales y los derechos e intereses legítimos de otros. Esto hace que la solución al "problema de fuga de contraseñas" sea legal.
Resumen de una imagen 2065 438+09 19 El 26 de octubre, después de que la 14.ª reunión del Comité Permanente del 13.º Congreso Nacional del Pueblo votara a favor de aprobar la "Ley de Criptozoología", la agencia de noticias Xinhua "China promulga una criptografía ley" Una imagen en "Mejora integral de la legalización del trabajo criptográfico" explica claramente las funciones y disposiciones principales de la "Ley de criptozoología".
En la noche del 30 de febrero de 2019, "Focus Interview" transmitirá un programa especial de criptografía: "Seguridad de guardia, las contraseñas están a tu alrededor". Este programa explica las leyes de la criptografía de forma precisa y clara.
Los amigos en la computadora pueden ver el video a través de este enlace: "Entrevista de enfoque" 20191230 La contraseña de seguridad está a tu lado. Los amigos que tengan teléfonos móviles pueden ver el vídeo a través de este enlace: Programa especial de criptografía "Entrevista de enfoque" - "Seguridad de guardia, las contraseñas están a tu alrededor". Permítanme explicarlo con un poco de detalle: después de la aprobación de la ley de criptografía, las cuentas oficiales de WeChat y otros canales publicaron muchas interpretaciones sobre la ley de criptografía. Entre las muchas interpretaciones, personalmente creo que el artículo "The Way of Release Management" publicado por TMT Legal Forum 201911004 es relativamente claro. Por supuesto, al participar y escuchar los foros académicos correspondientes, también puede aprender las leyes de la criptografía con más detalle y obtener una comprensión más profunda de ellas.
El siguiente contenido se basa principalmente en la conferencia impartida por el Profesor Ma, Director del Centro de Investigación sobre Derecho de Seguridad de la Información de Suzhou de la Universidad de Angola, en la 10ª Conferencia sobre Derecho de Seguridad de la Información de China sobre "Las tareas, principios y principales Contenidos de la criptografía en la era inteligente "La forma de gestión de versiones".
Como se mencionó anteriormente, el profesor Ma señaló que las leyes de la criptografía resuelven principalmente las siguientes cuatro preguntas:
¿Qué es una contraseña? Se refiere a tecnologías, productos y servicios que utilizan métodos de transformación específicos para cifrar, proteger y autenticar información. Quién conservará la contraseña: China * * * Productor, Departamento Nacional de Gestión de Contraseñas. Cómo gestionar contraseñas: Varios sistemas de gestión. Cómo utilizar contraseñas: diferentes escenarios requieren el uso de diferentes niveles de contraseñas. Estas cuatro cuestiones se analizan brevemente a continuación.
1. ¿Qué es una contraseña? Definición de contraseña.
(Artículo 2 del Código de Ley)
La criptozoología mencionada en esta ley se refiere a tecnologías, productos y servicios que utilizan métodos de conversión específicos para cifrar, proteger y autenticar información. Hablando de "contraseña", la mayoría de los amigos pueden pensar en la "contraseña" para iniciar sesión en WeChat, QQ, correo electrónico, etc. De hecho, estas son "contraseñas" que se encuentran a menudo en la vida diaria, pero estas "contraseñas" son sólo "contraseñas" para ingresar a dispositivos o software personales y son un medio de autenticación de identidad. De hecho, "criptografía" se refiere a tecnologías, productos y servicios que pueden proteger la información mediante cifrado y autenticación de seguridad, lo que debe lograrse mediante el uso de métodos de transformación específicos. Sin embargo, el proceso de autenticación y gestión de "contraseñas" generalmente implica tecnologías criptográficas como el hash y el cifrado. Por lo tanto, tecnologías y servicios como la autenticación, el uso y la gestión de "contraseñas" pertenecen a las contraseñas en las leyes de criptografía.
Aquí surge una pregunta muy interesante: ¿El reconocimiento facial, el reconocimiento de iris y otra información biométrica son “contraseñas”? La opinión actual es que, aunque la información biométrica puede lograr una autenticación segura, la información biométrica no utiliza un "método de conversión específico" y, por lo tanto, no pertenece a la "contraseña". Pero no se preocupe, aunque la información biométrica en sí misma no es una contraseña, el uso y la gestión de la información biométrica requiere tecnología criptográfica, por lo que existe una fuerte correlación entre la información biométrica y la criptografía.
Tenga en cuenta que la información biométrica también requiere la denominada codificación y otras tecnologías para convertir la información en datos. Este proceso de conversión no pertenece a un "método de conversión específico". La comprensión de la gente sobre "qué es una contraseña" también se está profundizando gradualmente. La definición de contraseñas comerciales figura en el "Reglamento de gestión de contraseñas comerciales" que entró en vigor el 7 de octubre de 1999:
Contraseñas comerciales y contraseñas utilizadas para servicios de cifrado o autenticación de seguridad de información que no involucre al estado. secretos tecnología y productos.
Después de comparar estas dos definiciones, encontraremos que el concepto de "servicio" se ha añadido a la ley de criptografía.
1. ¿Qué es una contraseña? Clasificación de contraseñas.
(Artículo 6 del Código de Ley)
El Estado realiza una gestión clasificada de las contraseñas.
Las contraseñas se dividen en contraseñas principales, contraseñas ordinarias y contraseñas comerciales.
(Artículo 7 del Código)
Las contraseñas básicas y las contraseñas ordinarias se utilizan para proteger la información secreta de estado. El nivel de confidencialidad más alto para la información protegida por contraseñas centrales es ultrasecreto, y el nivel de confidencialidad más alto para la información protegida por contraseñas comunes es confidencial.
Las contraseñas principales y las contraseñas de uso común son secretos de estado. El departamento de gestión de criptografía implementará una gestión unificada estricta de las contraseñas centrales y las contraseñas generales de acuerdo con esta Ley, las leyes pertinentes, los reglamentos administrativos y los reglamentos nacionales pertinentes.
(Artículo 8 del Código)
Las contraseñas comerciales se utilizan para proteger información que no es secreto de estado.
Los ciudadanos, personas jurídicas y otras organizaciones pueden solicitar contraseñas comerciales para proteger la seguridad de la red y la información de acuerdo con la ley. Si conoce el conocimiento correspondiente sobre el nivel de clasificación de los secretos de estado, sabrá que los secretos de estado se dividen en tres niveles: alto secreto, secreto y secreto. Después de indicar el nivel, también se debe indicar el tiempo del nivel de clasificación. Por ejemplo, los exámenes de ingreso a la universidad de ciertos años estarán marcados como "alto secreto, hasta que se abran", lo que significa que antes de que comience el examen, los exámenes de ingreso a la universidad son información de alto secreto.
Por supuesto, algunos exámenes de ingreso a la universidad están marcados como "Alto secreto, antes de abrir el sello, tiempo de desclasificación: XX: XX, XX, XX". El contenido interesante aquí es que si una pandilla de tramposos en el examen de ingreso a la universidad es atacada y la pandilla ve y filtra información ultrasecreta del país antes del momento de descifrado, entonces habrá un delito más. ...
La "Ley de Criptografía" estipula que las contraseñas básicas y las contraseñas ordinarias se utilizan para proteger la información secreta de estado. El nivel de confidencialidad más alto para la información protegida por contraseñas centrales es ultrasecreto, y el nivel de confidencialidad más alto para la información protegida por contraseñas comunes es confidencial. Esto aclara qué tipo de secretos de estado deben protegerse y con qué nivel de contraseña. Al mismo tiempo, la "Ley de Criptomonedas" estipula que los ciudadanos, personas jurídicas y otras organizaciones pueden utilizar legalmente contraseñas comerciales. Sin duda, esto establece una base legal para la promoción y el uso del cifrado comercial, especialmente el cifrado comercial nacional.
2. Quién gestionará la contraseña: China * * * Productor, Departamento Nacional de Gestión de Contraseñas.
(Artículo 4 del Código de Ley)
Adherirse al liderazgo del Partido Comunista de China en materia de criptografía. El Organismo Central de Trabajo Criptográfico proporciona un liderazgo unificado para el trabajo criptográfico nacional, formula principios y políticas importantes para el trabajo criptográfico nacional, coordina las principales cuestiones criptográficas nacionales y el trabajo importante, y promueve la construcción de un estado de derecho criptográfico nacional.
(Artículo 5 del Código de Ley)
El Departamento Nacional de Gestión del Cifrado es responsable de gestionar el trabajo nacional de cifrado. Los departamentos locales de administración de contraseñas a nivel de condado o superior son responsables de la administración de contraseñas dentro de sus respectivas regiones administrativas.
Las agencias y unidades estatales involucradas en trabajos de criptografía serán responsables de las labores de criptografía de sus propias agencias, unidades o sistemas dentro del ámbito de sus funciones. El artículo 4 de la "Ley de Criptografía" estipula el sistema de liderazgo para el trabajo de criptografía: el liderazgo del Partido Comunista de China. El artículo 5 de la Ley de Criptozoología establece el sistema de gestión de la criptografía.
Existe un principio interesante en el campo de la seguridad de la información (olvidé dónde se propuso este principio, amigos conocedores pueden ayudar a agregarlo): la seguridad de la información se basa en la tecnología en tres partes y en la gestión en siete partes. Por muy buena que sea la tecnología, su efecto será limitado si no existe un sistema de gestión perfecto.
3. Cómo gestionar las contraseñas: varios sistemas de gestión.
Capítulo 2 de la "Ley Criptográfica": Contraseñas básicas y contraseñas de uso común (Artículos 13 a 20), Capítulo 3 de la "Ley Criptográfica": Contraseñas comerciales (Artículos 21 a 20) Artículo 31) claramente estipula el correspondiente sistema de gestión de contraseñas. Mi comprensión de este aspecto es muy limitada y todavía espero que los expertos profesionales puedan explicarlo.
Como practicante de criptografía, los siguientes puntos son muy importantes:
(Artículo 9 de la "Ley de Criptografía") El estado fomenta y apoya la investigación y aplicación de la criptografía y protege hacerlo de conformidad con la ley. Los derechos de propiedad intelectual en el campo de la criptografía promueven el progreso y la innovación de la criptografía.
El estado fortalece la capacitación y la formación de equipos del personal de criptografía y, de acuerdo con las regulaciones nacionales pertinentes, elogia y recompensa a las organizaciones e individuos que han realizado contribuciones destacadas al trabajo de criptografía. Parece que incluso las mejores contraseñas pueden ganar premios nacionales. ¡Vamos amigos!
(Artículo 21 de la "Ley de Criptozoología") El estado fomenta la investigación y el desarrollo, el intercambio académico, la transformación de logros y la promoción y aplicación de la criptografía comercial, mejora un mercado de criptografía comercial unificado, abierto, competitivo y ordenado. sistema, fomenta y promueve el desarrollo de la industria del cifrado comercial.
Los gobiernos populares en todos los niveles y sus departamentos pertinentes seguirán el principio de no discriminación y tratarán a las unidades de investigación, producción, ventas, servicios, importación y exportación de criptografía comercial, incluidas las empresas con inversión extranjera, por igual de conformidad con la ley (en lo sucesivo denominada unidad de profesionales de criptografía comercial). El Estado fomenta la cooperación comercial en tecnología de cifrado basada en principios voluntarios y reglas comerciales durante el proceso de inversión extranjera. Las agencias administrativas y su personal no podrán utilizar medios administrativos para forzar la transferencia de tecnología de cifrado comercial. El estado fomenta la investigación y el desarrollo, el intercambio académico y la implementación práctica de la criptografía, ¡y la criptografía realmente ha marcado el comienzo de la primavera!
4. Cómo usar contraseñas: Diferentes escenarios requieren el uso de diferentes niveles de contraseñas.
(Artículo 14 del Código)
La información secreta de Estado transmitida a través de comunicaciones por cable e inalámbricas y sistemas de información que almacenen y procesen información secreta de Estado se manejarán de conformidad con las leyes y reglamentos administrativos. y Las regulaciones nacionales pertinentes exigen el uso de contraseñas centrales y contraseñas comunes para la protección y autenticación del cifrado. Los secretos de estado requieren una contraseña central y una protección con contraseña ordinaria.
(Artículo 27 del Código)
Los operadores de infraestructura de información crítica que estén obligados a utilizar protección con contraseña comercial por leyes, reglamentos administrativos y regulaciones nacionales pertinentes deberán utilizar contraseñas comerciales para protección. y realizar evaluaciones de seguridad de aplicaciones comerciales de criptografía por sí mismos o encomendándolas a instituciones comerciales de pruebas de criptografía. La evaluación de la seguridad de las aplicaciones criptográficas comerciales debe estar conectada con la detección y evaluación de la seguridad de la infraestructura de información crítica y el sistema de evaluación del nivel de seguridad de la red para evitar valoraciones y valoraciones repetidas.
Los operadores de infraestructuras de información crítica que adquieran productos y servicios de red que impliquen cifrado comercial que puedan afectar a la seguridad nacional deberán, de conformidad con lo dispuesto en la "Ley de Ciberseguridad de la República Popular China", ponerse en contacto con el Ministerio del Ciberespacio. Asuntos en conjunto con el Departamento Nacional de Gestión de Criptografía y otras revisiones de seguridad nacional organizadas por los departamentos relevantes. Aquí surge una duda muy importante: ¿qué es exactamente "la infraestructura de información crítica que las leyes, los reglamentos administrativos y las regulaciones nacionales pertinentes exigen que esté protegida mediante contraseñas comerciales" y qué es exactamente "el operador de la infraestructura de información crítica compra una red que involucra contraseñas comerciales "Los productos y servicios pueden afectar la seguridad nacional", ambas partes necesitan mayor aclaración. Si cree que puede estar involucrado en la situación correspondiente, debe reservar la tecnología y los servicios de contraseñas comerciales con anticipación.
Trabajo de seguimiento En general, la promulgación de la Ley de Contraseñas legaliza el uso y gestión de contraseñas. Este es definitivamente otro golpe después de la promulgación de la Ley de Seguridad de Redes. Sin embargo, la forma de utilizar la ley del código en circunstancias específicas puede requerir sistemas de apoyo correspondientes y medios de supervisión y aplicación. El trabajo de seguimiento aún está por verse.
Arriba.