【博評】張中一:中國密碼法簡評

2020-01-09 14:22:33

前言

自從中華人民共和國密碼法(中國密碼法)更新以來在中華民國或繁體字使用的範圍內,多方對此法律多有想像,最後往往淪為選戰的操作。作為密碼學界的邊緣人,區塊鏈領域的從業者,希望透過本文來讓社會各方瞭解這部法的重點、不合理之處,以及相較之下我國(中華民國)可借鏡之處。

摘要

中國密碼法是一部專門領域的法,用國安的觀點來規範密碼學(編按:cryptography,香港的叫法應該是加密傳送,當中包括解密與數位認證)領域的產品、服務、從業者、服務使用者相關的法律規範,並且深入民間要求全民對密碼學領域的產品、服務、使用準則有概念,建立起全民的資安防護觀念。這部法令並沒有說,國家替你保管密碼。從法條本身來看,中國密碼法與區塊鏈本身關連有限,不是區塊鏈領域從業者需要關心的重點。中國密碼法在設計上,有所缺失充滿典型中國官方想要控制一切的特色,在某些地方不切實際。但中國密碼法對中國密碼學發展的系統化管理,對於中國企圖透過一帶一路建立起獨立美國之外新秩序則可能有相對影響,值得觀察。相較中國積極從國安領域讓全民對密碼與資安有所觀念,我國缺乏相關法令的準備,實乃萬幸。因為讓充滿意識形態或立法品質粗糙的政府訂定密碼專門法令,恐怕治絲益棼。反而搞得國安漏洞百出。

介紹Enigma Machine如何操作的片段。

編按:如果讀者還是搞不清cryptography和一般所講密碼的分別,可以看看電影"解碼遊戲"。當中所講的Enigma Machine其實就是人類第一種自動加密及解密訊息的儀器(左圖),而盟軍為破解這種編碼,又因而製作了被稱為初代超級電腦的Bomba(右圖)。(網絡圖片)

中國密碼法簡介

在密碼學快速演進、駭客無所不在侵入企業、民生基礎建設、軍事設備乃至竊取個人資料的今天,各國基於國安考量,對於密碼學以及密碼應用有相關的立法。請各位不要以為中國的密碼法特別嚴厲,各位可以瞭解一下澳洲的密碼相關立法,那可是強迫企業有義務協助執法機構來破解密碼,也強迫個人有義務要交出用密碼保護的資料的。因此各界應冷靜看待中國密碼法對個人以及公務上的影響,而不是受到部分網路農場文的影響,用情緒化的方式面對中國密碼法而損及自身權益。

中國密碼法,規範的是跟密碼學(cryptography)領域的產品、服務、從業者、服務使用者相關的法律規範,並且深入民間要求全民對密碼學領域的產品、服務、使用準則有概念(第2、10、12條)。整部法律,並未提即要民眾將系統的密碼(password)交出,因此外界所傳為謠言

中國密碼法將密碼學相關產品分為三類:核心密碼、普通密碼、與商用密碼。其中普通密碼很容易讓一般人被名字所誤導。普通密碼一點都不普通,核心密碼與普通密碼都是公務系統用的密碼。其中由核心密碼等級保護的密碼直接歸類在絕密級、由普通密碼保護的則歸類在機密級。兩者都由法律規定,由國家實施嚴格管理。(第7條)。兩者都由法律規定,由國家實施嚴格管理。

編按:其中一種用到加密技術的經濟系統 / 交易平台,就是我們所講,可保證交易雙方安全性,不會被監視甚至被國家或國際組織制裁的比特幣(Bitcoin)。(網絡圖片)

 

與民眾生活較為相關的則是商用密碼。商用密碼,與隸屬公務的核心密碼及普通密碼有所不同,作為民用的商用密碼擁有開放的特性,同時特別立法保障了外國廠商在中國的權利。法律明訂,不得強制要求國外廠商進行技轉(第21條),也不允許政府逼商用密碼業者交出原始碼(第31條)。但針對商用密碼其實還有分兩級:「涉及國家安全、公眾利益、或國際義務」與「大眾消費品」。前者在進出口上受到管制,後者則不受管制(第28條)。同時中國密碼法也鼓勵了,密碼防護與資安的認證與管理,讓企業界在使用商用密碼時可以有可靠的檢測機構(第25條)。值得注意的是,當企業要使用例如加密通信的設備時,必須使用經過中國官方認證的產品,換句話說中國分公司要與總公司之間建立VPN連線,必須要使用經過中國官方認證的產品(第26條)。此點是我國在中國有建立商業活動並必須使用VPN者,應特別注意。

中國密碼法亦對密碼學領域的服務提供者有行業自律規範,但因為我國相關服務從業者較少,因此在此處先不論。唯一值得注意的是,中國密碼法明訂,禁止販售入侵用的密碼工具(第21條)。

而整個中國密碼法第四章則是駭客攻擊竊取他人信息等提出了法律罰則。但主要的規範還是著重於規範核心密碼與普通密碼的使用,對於商用密碼的使用規範較給予相對較大的自由度。

中國密碼法缺陷

中國密碼法規定雖然看起來體系完整、設計先進,但在本質上就是非常中國政府思維,一切都要讓國家握在手上。在中國這樣的國家裡,當然不可能允許核心密碼與普通密碼使用開源的方式來實作(第15條)。在此架構下,其實非常有可能發生中國密碼法發生了設計缺陷,被外國駭客發現,但中國密碼單位卻一無所知的狀態。同時因為從法令上強制了發現問題時的回應機制(第17條),因此萬一通報機制的末端被把持時,整個回報體系反而會失靈。

中國密碼法對區塊鏈業者的影響

單就法條論,中國密碼法對區塊鏈從業者影響可能很小,然而中國之區塊鏈應用與世界上大部分國家不同,中國是由官方鼓勵將區塊鏈業者納管,並在國家鼓勵下進行發展的。中國政府在政策上鼓勵區塊鏈業者把節點設在中國官方或中國官方所控制的組織內。因此中國政府很有可能把區塊鏈視為基礎信息設施。那麼就很有可能落入中國密碼法的規定,在加解密工具上必須使用中國官方所規定的解決方案,同時必須接受相關的檢查(第27條)。

考量到中國對於區塊鏈發展的獨特發展,我國業者幾乎不可能在中國發展區塊鏈,事實上全世界業者要在中國發展區塊鏈都有困難。因此中國密碼法對我國業者的影響可以無視。

一帶一路的新興市場,亦是中國區塊鏈想"進駐"的地方。這對於中國擴展海外市場及在該區新興經濟體中取得優勢,也十分重要。(網絡圖片)

 

我國的現況、廠商應注意事項與相關參考資料

從國家發展的角度來看中國密碼法的發展,真正的影響是以中國密碼法建立的框架,搭配中國一帶一路的推動。中國將具備能力建立一個不受美國管制的密碼學應用生態系。如同中國政府積極推動區塊鏈應用,企圖發展一個在美國控制之外的網際網路來建構資金鏈、資訊鏈、貿易鏈、供應鏈。中國透過密碼學的技術能力、產業優勢、外交能力所產生的世界秩序變化影響,則是我們必須密切注意的。

對我國廠商來說目前最應注意的是,在中國密碼法規範下所使用的VPN產品必須要選擇通過中國密碼標準的產品,對於我國廠商的資安還有機密保護是否造成影響值得關注。

中國建立自己的區塊鏈規格,亦有助避開大型情報組織的監控。圖為美國國家安全局(NSA)眾多收集全球國家與私人通訊計劃的簡介。事實上美國本身還有很多針對硬件、軟件或互聯網平台的情報收集計劃。(網絡圖片)

 

另外很值得慶幸的是我國對於密碼相關法律尚未有任何規定。否則以我國歷來立法品質,我們可能做出一個貽笑國際、嚴重阻礙產業發展的密碼法。請各位想像一下,當國家要求密碼學相關領域的從業者都必須要登記註冊,相關人員也要註冊。你使用國際標準的密碼學產品例如幫中國客戶代工的網通設備要輸出到中國,結果國家立法跟你說不行,因為加密強度太高。你會不會覺得莫名其妙?如果國家立了法,因為有人檢舉你可能觸犯反滲透法,所以你必須要把自己臉書所有帳號密碼交給警方讓警方把你的臉書、LINE還有Paktor看一遍,你願意嗎?密碼相關的法令建立,需要產官學研還有隱私保護團體大家一起坐下來談,需要時間,需要經驗。我國作為網通為主的重要代工國,密碼法令訂壞了會有很大的後遺症。然而以我國現下看到中國杯弓蛇影的態度,匆促定出來的密碼法令絕對是弊大於利。因此沒有相關密碼法令實在是國家之福。

世界各國對於密碼學應用的規定越來越多部分甚至開始影響到旅行者的權利,例如過海關時手機是否要交出去供海關檢查等。使用VPN工具等,也有影響。因此長年在不同國家旅行或在多國有業務的民眾也應注意各國對相關法令的規範。對於密碼學相關產品在各國法令的限制,有網站做了相關整理,各位在旅行或經商時可以參考。

【博評】邱世卿:加密貨幣新形勢 一種戰略考慮?

【博評】邱世卿:加密貨幣新形勢 一種戰略考慮?

現時各種發生的加密貨幣。左上角的即是我們所說的比特幣(網絡圖片)     中國與俄羅斯最近都在釋放出訊...

作者為區塊證科技董事長,投稿文章不代表本報立場。

發佈於 博評
By 2020-01-09

手機分享本文: