2021年商务部《中国禁止进口限制进口技术目录》(征求公众意见稿)的限制进口部分“软件和信息技术服务业”增加一类——
技术名称:数据加密技术
控制要点:高于256 位加密的加密软件
2021年8月,公众号文章【寰球密码简报(第25期)丨对限制进口高于256位加密的加密软件相关问题的分析】对此进行了解读分析。2021年11月正式版本(“《目录》”)发布后,其表述变成:
技术名称:数据加密技术
控制要点:安全强度高于256 位加密算法的加密技术
在维持之前整体解读有效的前提下,公众号补充解读如下:
1、《目录》将此前公众号解读认为不够严谨的加密“软件”,扩展到了所有的加密“技术”。由于技术需要相应的软硬件“载体”,因此事实上正式版本的《目录》监管范围涵盖了加密技术的各种软硬件实现形式。
不过,由于《目录》限定在限制进口而非出口领域,故不能认为这里的技术包括,或可以参照适用《出口管制法》《网络数据安全管理条例》(征求意见稿)规定而包括“技术资料”或“管制数据”,以及技术资料的“数据”形式。
2、《目录》将通过密钥位数定量监管的方式调整为加密(安全)强度的实质判定。这一变化会导致某些情况下可能存在的密钥位数未高于256位,但实质比对后监管机构会认为其安全强度高于256位,从而“等同”适用限制进口。
当然也会存在另外一种情况,即尽管密钥位数高于256位,但安全强度不高于256位,从而不限制进口。例如按照NIST的可比较的说法,1024位的RSA安全强度(BS)可能仅相当于80位2TDEA。512位的ECC安全强度尽管相当于(仍未高于)256位的AES,但其安全强度已经相当于15360位的RSA。
公众号朴素理解认为,这里笼统的256位似乎仍不够严谨:其指向的是对称加密算法,还是包括非对称等所有密码算法。事实上由于算法设计和用途差异,安全强度不能简单和完全的通过密钥位数直接比对得出,因此如何基于个案,在进口中实质性认定安全强度,这对监管机构的执法能力提出了更高要求。
编辑:陈十九
审核:商密君
征文启事
点击购买《2020-2021中国商用密码产业发展报告》
来源: 苏州信息安全法学所
注:内容均来源于互联网,版权归作者所有,如有侵权,请联系告知,我们将尽快处理。
原文始发于微信公众号(商密君):对限制进口“安全强度高于256 位加密算法的加密技术”规定的分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论