必须从发展的角度认识密码技术和数字证书,才能给出客观的评价
1、密码技术的发展:
密码技术的发展是伴随着密码学发展而发展的,密码学是集数学、计算机科学、电子与通信等诸多学科于一身的交叉学科,这也赋予了密码技术的特殊性。密码技术的发展必然遵从一个不断推陈出新、不断迭代更新、甚至不断淘汰的发展过程,“没有最好,只有更好、永无止境”就是密码技术的发展最好的诠释。
我国自古就很重视密码技术的发展,无论在战争年代还是和平年代,我国都没有停止对密码技术的研究,也取得了很多重大的突破,随着安全可靠,自主可控的国家战略要求,密码技术国产化进程持续提速,我国自主研发的SM(国密)系列密码算法达到甚至超过国际同类算法安全效率,随着网络安全战略的贯彻执行,特别是《密码法》的颁布和执行,以国家密码技术为核心的安全体系建设将成为信息安全建设的主旋律,没有之一。
2、数字证书的发展:
数字证书是PKI/CA的输出物,是一种数字身份标示,在网络中用于识别身份,本质上是一种密码技术的应用,是用于进行身份鉴别很好的技术应用手段。鉴于技术应用相对于技术本身更容易受到外界因素的影响,而具备阶段性、局限性和依附性,数字证书在我国的发展就充分体现了作为技术应用的阶段性、局限性和依附性。数字证书源于国外,却在我国经历从“百花齐放、百家争鸣、名利双收”,到现如今诟病较多,甚至是一地鸡毛,其中有太多值得总结和回味的东西。
2.1源于国外
以美国为例,数字证书应用早在1994年就已经在美国进行应用,不过在96年前都是无序的,很多政府部门自建数字证书系统,例如美国邮政服务部门、社会安全部门、美国国防部、能源部、美国商标与知识产权局等。1996后进入了体系管理阶段,并且相关系统都被整合,充分解决无序和体验差的问题,并在内部形成决议,不允许在私自建设数字证书系统,除非特殊用途。
在美国数字证书系统经历了短暂(3年)的无序建设和应用后,很快进入统一的管理体系下进行建设和应用,并逐步作为后台技术支撑系统存在,充分发挥作为一种密码技术应用后台支撑作用,定位清楚(没有被商业化炒作,也没有被大肆神话),后续应用效果良好。
2.2发展于中国
数字证书系统是以构建国家统一信任体系的定位在九十年代进入我国的,政府和各有关部门对数字证书产业的发展给予了高度重视。2001年被列为“十五”863计划信息安全主题重大项目,并于同年10月成立了国家863计划信息安全基础设施研究中心。国家电子政务工程中明确提出了要构建数字证书体系。2004年8月28日,十届全国人大常委会第十一次会议28日表决通过了电子签名法,规定电子签名与手写签名或者盖章具有同等的法律效力。这部法律的诞生极大地推动了我国的PKI建设。
截止目前,获得电子认证服务机构资质近50多家(区域的、个别领域的),各个行业(国安、税务、工商、人社、水利、环保、公安、财政、海关、邮政、质检、金融、民政等等)也相继建设了数字证书系统,部委建设率高达80%。经不完全统计,在我国数字证书系统的建设数量在3000+套左右,共计颁发的数字证书数量在20亿张左右。在数字证书领域聚集了大大小小几百家和数字证书相关企业,数字证书在我国俨然一个行业存在着,蓬勃发展着,市场规模在20亿/年左右。
2.3目前的乱象
虽然一直在争论,但数字证书在我国信息化发展过程中,确实起到了积极作用,无论在技术推动、产业推动、安全保障等层面都做出了不错的贡献。但是随着信息化的深入以及国家治理体系的逐步健全和明确细化,特别是随着政府“放管服”的贯彻执行,以及密码技术特别是密码应用技术的持续发展和多样业务应用场景出现,以前百花齐放、百家争鸣的证书技术,被商业化过分开发机构和企业,以及被过分神化的功能,在新形势下就乱象多多了:
出于非业务需求目的,只建不用,摆设现象严重 过渡放大体系和数字证书作用、过分追求体系化和集成化,浪费严重 算法的升级、政策标准的调整,都对原有体系大动干戈,成本居高 纵向(行业)交织横向(地方)政策,导致选择性混乱,甚至产生对抗 作为一种密码技术应用,被一刀切的强制采用,甚至行政下文 数字证书相关政策和标准不能被最终用户理解,茫然成为常态 各自为政、互联互通困难,一人多证,影响差 电子认证服务收费、介质收费,成本高、摊派性强 放大电子认证服务机构证书的价值,用证书都对,不用证书都不对 过分解读《电子签名法》,用证书就合法,不用证书就不合法 电子证照、电子身份证等业务的发展,将数字证书打回技术应用的本质 。。。。。。