其他
对限制进口“安全强度高于256 位加密算法的加密技术”规定的分析
2021年商务部《中国禁止进口限制进口技术目录》(征求公众意见稿)的限制进口部分“软件和信息技术服务业”增加一类——技术名称:数据加密技术控制要点:高于256 位加密的加密软件 2021年8月,公众号文章【寰球密码简报(第25期)丨对限制进口高于256位加密的加密软件相关问题的分析】对此进行了解读分析。2021年11月正式版本(“《目录》”)发布后,其表述变成:技术名称:数据加密技术控制要点:安全强度高于256 位加密算法的加密技术 在维持之前整体解读有效的前提下,公众号补充解读如下: 1、《目录》将此前公众号解读认为不够严谨的加密“软件”,扩展到了所有的加密“技术”。由于技术需要相应的软硬件“载体”,因此事实上正式版本的《目录》监管范围涵盖了加密技术的各种软硬件实现形式。 不过,由于《目录》限定在限制进口而非出口领域,故不能认为这里的技术包括,或可以参照适用《出口管制法》《网络数据安全管理条例》(征求意见稿)规定而包括“技术资料”或“管制数据”,以及技术资料的“数据”形式。 2、《目录》将通过密钥位数定量监管的方式调整为加密(安全)强度的实质判定。这一变化会导致某些情况下可能存在的密钥位数未高于256位,但实质比对后监管机构会认为其安全强度高于256位,从而“等同”适用限制进口。 当然也会存在另外一种情况,即尽管密钥位数高于256位,但安全强度不高于256位,从而不限制进口。例如按照NIST的可比较的说法,1024位的RSA安全强度(BS)可能仅相当于80位2TDEA。512位的ECC安全强度尽管相当于(仍未高于)256位的AES,但其安全强度已经相当于15360位的RSA。 公众号朴素理解认为,这里笼统的256位似乎仍不够严谨:其指向的是对称加密算法,还是包括非对称等所有密码算法。事实上由于算法设计和用途差异,安全强度不能简单和完全的通过密钥位数直接比对得出,因此如何基于个案,在进口中实质性认定安全强度,这对监管机构的执法能力提出了更高要求。
(图片来源网络,侵删)
本文作者:研究员 原浩
对《互联网诊疗监管细则(征求意见稿)》的建议 立法保护个人信息应强化技术在执法中的作用 法条与算法的互动——以“充分的必要性”对算法可能产生的障碍和风险为例 密码技术在《个人信息保护法》中的基石地位和实现 隐私计算工具的《个人信息保护法》评价(二)——密码家族(beta) 隐私计算工具的《个人信息保护法》评价(一)——差分隐私 更新丨《个人信息保护法(草案)》二审稿的“删除不能”新规是否减轻了企业合规义务? Flash,做错了什么?——从《网络安全法》看Flash停更导致的安全问题(下篇) Flash,做错了什么?——从《网络安全法》看Flash停更导致的安全问题(上篇) 企业如何因应《个人信息保护法(草案)》规定的“删除不能” 个人信息保护法(草案)对企业合规的趋势影响(中上):GDPR不只是背景 个人信息保护法(草案)对企业合规的趋势影响(上) 观点 | 商密条例修订草案第九条诌议 深评 | 网络安全审查的理论和制度证成 快评 |《网络安全审查办法》及其合规导向变化
“苏州信息安全法学所”