暗網潛航——《密碼法》只監管「加密演算法」

  整個華語圈再度關注中國剛於一月一日正式實施《密碼法》,有網民質疑當局或藉此法強行取得用戶「Password」及加密資料,但作為一個古典密碼學家,希望從專業角度解釋今次誤會。

  「Password」這個詞語的中文正式名稱,應該是「口令」或「通關字符」,可以追溯至秦朝的「虎符令牌」,只用於認證身份用途。在學術上及法例上,密碼常指「為了保護內容秘密,而特別制定的一組編碼方法」,亦即「加密演算法」(Cryptography algorithms)。

  台灣今年也通過《中華民國政府機關密碼統合辦法》,第一章就指明「密碼:指利用演算法或其他方法,對資訊進行保護、隱匿或安全認證之技術或作為。」與中國《密碼法》所指「本法所稱密碼、是指採用特定變換方法對信息進行加密保護、安全認證的技術、產品和服務。」定義上如出一轍,可見法例規管的是加密方法。

  為何國家要立法管制呢?原因是編制密碼的方法,在軍事、國防及社會安全有極重大意義,例如電子交易合約、數據安全及身份認證等都用到密碼;軍事利用密碼保障通訊秘密,避免情報外洩更為重要。歷史上,由凱撒大帝被殺,到二戰日軍將領山本五十六被行刺,都是因為加密方法被破解而發生。

  所以國家會將加密方法分為軍用和民用,軍用密碼列為國家機密,民用則再細分為不同等級管理。法規不但管制算式,甚至連加密用的設備,以及密碼學家本身,也會被定義為戰略物資!電影《烈血追風》(WINDTALKERS)描述,二戰時一旦美軍密碼翻譯員有被俘風險,隨行軍官可即場槍殺,避免加密算法被日軍獲得。

  《密碼法》管制加密方法及相關產品設備,這是每個國家都有的國安法例。事實上,中國《密碼法》中第八條明確指出,「商用密碼用於保護不屬於國家秘密的信息。」國家鼓勵發展商用密碼,促進產業發展,並在二十一條中表明「行政機關及其工作人員不得利用行政手段強制(外商)轉讓商用密碼技術。」換言之,現時網絡上常常使用的RSA及AES等商用加密法,將不會受新法例影響,大家毋須因內地實施新法而過度擔憂。

  法律實際上管制的是「加密演算法」(Cryptography)而非「Password」,最後我想考一考大家一個問題:「摩斯密碼」和二戰日軍的暗號「虎、虎、虎」,請問哪一個是「加密法」,哪一個是「口令」呢?

TOZ聯合創辦人

龐博文


hd