下图是我们在去年10月报道的消息。其中的文章您可以在这里看到:《NSA 的阴云笼罩国际加密 — — 网络安全标准化会议在中国举行令人五味杂陈》。
中国人大在去年10月26日颁布了 “期待已久” 的密码法,已经于2020年1月1日生效。可以在这里找到该法律的正式文本。
中国设计的这个系统试图追求一个具有挑战性的目标,即:使网络仅对不良行为者来说不透明,但对共产党政府来说,完全透明。
密码术是将用于实现这些目标的关键技术。必须使用密码术来保护在网络上传输和存储的信息的机密性,但是密码的使用给政府带来了一个难题:对公众隐藏信息的加密技术也可以用于对政府本身隐藏信息。
在这种情况下,中国政府面临的一个问题是,如何在仍保持对网络系统全面监视的同时,要求进行加密。
于是就有了这么一个法律。该法律将加密分为三类:核心,普通和商用。
核心和普通旨在用于传输和存储共产党国家机密的系统。商用加密旨在用于商业和私人用途。该法律规定,它欢迎外国的商业加密提供商。
也就是说可以在中国销售外国加密系统,但前提是:该系统已通过尚未被准确描述的认证系统的批准和认证。
该法律称,加密的使用应遵守《网络安全法》和相关MLPS 2.0法规的规定。共产党的国家密码管理局(SCA)有权监督和检查密码系统的实施和使用。
这三类系统忽略了通常实现加密的方式。
最重要的密码系统不是商业系统。大多数系统都基于 Gnu Privacy Guard 系统。这是一个完全开源的系统。您可以在此处下载源代码。
提供GPG系统的组织的整体重点是允许公司和个人向政府隐瞒信息,无法想象提供GPG系统的组织会与中国政府合作以获取对其产品的审查和认证。
不止是中国,与任何政府合作都会违反该原则。
这导致了新法律下的第一个问题。大多数密码系统是开源的可免费下载。中国政府和普通用户一样可自由检查用于实施GPG和相关开源系统的源代码。
因此,真正的问题是:中国政府是否允许在中国运营的公司和个人使用GPG和相关系统,鉴于这些系统绝不会提交给中国政府进行审查和批准?
如果答案是否定的,那么关于外国加密系统的整套规定将完全没有意义。如果答案是肯定的,则“商用”一词完全没有意义。
这将导致最重要的问题。
密码术不是秘密。最重要的算法是公开的,任何人都可以使用。各国政府确切地知道算法是如何工作的,因为政府一直是大多数算法的发明者。
因此中国的《网络安全法》对加密产品的关注实际上只是虚晃。
密码学的关键不是对密码学算法的保护;至关重要的是保护允许解密加密消息或数据的密钥。
中国的《密码法》对解密问题没有任何规定,对密码和其他防止解密的密钥的保护也没有任何规定。其最终计划是通过将所有密码和解密密钥交到共产党政府的手中来打破所有形式的端到端加密。
换句话说,对公众不透明、但对政府完全透明。
《密码法》第31条规定了由国家密码管理局及其地方机构实施的政府检查和控制系统。
该系统为国家密码管理局及其本地代理提供了对这个密码系统和该系统保护的数据的完全访问权限。
这些系统还受到根据《网络安全法》和此处还有此处所述的 “网络安全等级保护制度” MLPS 2.0实施的MPS监督和控制系统的约束。
这就是为什么我们说,在全球反加密的战争中没人能干得过美国,但是中国除外。在这里看到下面图中那篇文章《美国可能禁止无法被破解的端到端加密通信》。
因此,国家密码管理局(共产党政府的办公室)和MPS都将具有对加密服务器的完全访问权限,包括对解密密钥和密码的完全访问权限。
一旦实现此法律,端到端加密就会消失。有关加密工作原理的说明请参见《幽灵用户和开裆裤》。
因此,最终,邀请外国加密技术的提供者和用户只是给粗心者挖的陷阱。
数据在网络上越过中国边界后,100%可供中国政府使用。密码术可能会很好地阻止公众的访问,但是,所有这些数据对于中国政府来说都是完全透明的。
不仅对中国公民来说非常危险,而且该法律也给美国和其他国家在中国依赖端到端加密的实体带来了重大问题。
在该法律形成的新审查系统之下,端到端加密在中国将不再存在,因此对美国出口管制的这种豁免将不再有效。随着美国扩大受出口管制的技术范围,外国公司面临的风险将越来越大。
许多美国实体将密码学视为逃避中国《网络安全法》的措施,但这已经行不通了,因为中国政府不允许这样做。
中国政府完全知道自己在做什么。中国政府已经建立了一个制度,使其能够实现完全透明的监视。
没有解决方案。
无处可藏。
附:关于为什么加密是我们的生命线,请参见 “为自由而战” 系列: