《開講啦》科普：http和https，差的可不止一個「s」

熟悉又陌生的「守護者」——密碼

演講者：王小雲

1、口令和密碼是有區別的，在許多大家感受不到的時候，都是密碼在背後默默地為大家服務。

說起密碼，我想大家都非常熟悉。首先我想說明一點：口令和密碼有什麼區別？那麼提起口令，好多朋友可能會說我有很多口令，我的手機有口令，我登錄計算機有口令，查找我的郵箱的時候也要登錄口令，我的銀行卡也有口令…那麼大家就認為口令是密碼嗎？我給大家說明一下，在我們所有的這些口令裡面，有的是密碼，有的不是密碼。如果輸入口令以後，不經過任意地處理，直接送到伺服器驗證你是否是合法的用戶，那麼這個時候的口令，它一定不是密碼。如果輸入的口令，經過一個密碼的運算，運算出另外一個結果，那麼這個結果再輸送到伺服器里去比對的時候，它也可以驗證你是否是合法的用戶，那麼這個時候的口令就變成了密碼。

所以說，我們的密碼是在背後默默地為大家服務的，大家很多時候是感受不出來的。大家回想一下，以前我們的銀行卡是磁條卡，磁條卡時代很多磁條卡都沒有密碼的，這裡邊實際上就是一個簡單的口令。但我們今天大家可以看看你口袋的銀行卡，它是一個晶元，這個晶元就是一個密碼晶元。所以，當我們以前的功能化的簡單磁條卡變成密碼晶元的時候，我們的密碼技術就發生了作用，保障你的交易。

2、密碼從何而來？從傳統密碼到現代密碼，密碼技術無處不在。

信息化時代，意味著密碼技術無處不在。我們的密碼防禦體系布局在國家的重要領域，所以，我們一定要把密碼技術做好，這樣我們才是安全的。那麼我們的密碼到底是怎麼來的呢？首先，我給大家介紹一個非常經典的傳統密碼——凱撒密碼。它是公元前196年凱撒設計的密碼，是凱撒跟他的將領進行軍事情報通訊的時候使用的一種密碼。這個密碼是非常簡單的一個字母的替換，它是怎麼替換的呢？比如說A，A往後移三個字母變成了D，那麼B往後移三個位置變成E， C就變成F,就是一個非常簡單的密碼的替換。如果我有一個單詞SUN，那麼我怎麼編這個密碼呢？S變成V，U就變成X，N就變成Q。這樣一來，如果你發現VXQ，你不知道是SUN的意思。不過有一點大家知道，如果我知道這個加密的規則，就知道這個密碼其實就是字母往後移了幾個位置而已。但是以前傳統密碼大家不知道它怎樣來加密的，所以破解不了。但是如果知道了加密規則，就很容易破解。那麼我們現代密碼到底是什麼呢？

在計算機網路通信里有很多信息安全系統，首先大家要知道這個安全系統是一個密碼系統，那麼我們有這麼多個密碼系統，有郵箱的密碼系統，有4G手機的密碼系統，有POS機刷銀行卡的密碼系統。可以說密碼系統無處不在，跟我們的生活有關，跟我們的軍事有關，跟我們國家安全有關。在這兒我告訴大家三點，大家知道這三個密碼演算法就行了。第一種加密演算法就是傳統密碼。比如我有一個消息，自己有一份文件是一封軍事情報，我不想讓別人看見，那我需要加密，這是加密演算法。那麼還有一種演算法，大家知道你為什麼能登錄計算機系統，是因為伺服器知道你的合法身份，所以讓你登錄了。這就是身份認證的一個系統，比如你在網上跟一個人通信，你和愛麗絲通信一定是要有愛麗絲的簽名，你才能確認她的身份，否則有可能是一個假冒的愛麗絲在跟你進行通信。第三種，如果有一個朋友發給我一個信息，雖然我很信任這個朋友，但是我害怕這個信息是被別人篡改過。比如說這個朋友告訴我：我給你轉了十萬塊錢。萬一有人改成了：我給你轉了一萬塊錢，那怎麼辦，這個差距太大了是不是。所以說要檢測這份消息是否被別人篡改過，這叫完整性檢測。如果你到銀行辦業務，現在非常安全的一種業務U盾。我估計好多人都見過U盾，因為這是咱們國家國產的演算法，是一個很好的東西，為什麼呢？你以前設置的口令很短，別人很可能猜出來，但是你的U盾裡面可能放了一個很長的密鑰，你所有的輸進去的交易信息，都經過加密和簽名以後再通過U盾輸送出去，所以它是比較安全的。所以大家記得到銀行更新銀行卡，設置U盾，這就是下代密碼的安全性。

3、不論是個人還是國家的信息，都需要密碼系統的保障，密碼技術更是實現國家安全的一個支撐技術。

到底我們國家做了哪些密碼的保障呢？我們的金融、銀行，包含個人業務，國家的清算、國家系統的維護等都需要密碼系統。你的二代身份證、護照，我們現在的護照裡邊已經有了密碼晶元，也有密碼技術。當然我們軍事安全肯定是要使用密碼的，軍事通信是最高級別的密碼，我們的外交也需要密碼，我們國家的政務網需要密碼，還有我們國家的電網…...可以想像一下，萬一發生社會不安定的因素，一個城市沒電了是怎樣的一個現象？還有很多方面都需要密碼系統的保障，所以說，密碼技術是實現國家安全的一個支撐技術，並不是說給你縫縫補補就可以了。

大家知道分解因子數域篩法的奠基人：Arjen Lenstra，是非常有名的密碼學家和數學家。他給我提了一個問題，他說：王教授，你能不能給我找一種碰撞？我說我的碰撞攻擊好像沒有這麼大的威力。那麼他給我寫出這個問題以後，我想了一星期，給了他的一個基本的框架，他們就沿著這個框架做了一個什麼工作呢？做了三年數字證書的偽造，就是2009年十大黑客技術之一，排名第一。那麼，數字證書的偽造有什麼危害呢？

大家知道如果你的身份證是假的，你能夠幹啥？如果你犯法了，那麼大家就認為誰犯法了？是其他人犯法了，而不是你對不對。那如果是你的護照是假的呢？我們的數字證書是假的，那就相當於很多密碼系統都是假的了，是不是，它就沒有安全可言。大家老是在上網的時候不知道怎麼突然就來了一個病毒，這個病毒是幹啥的？光知道有一個病毒，不知道病毒是怎樣產生的。

微軟的windows操作系統經常讓你升級是不是？那麼你是不是就升級了呢？但是你想想，你在升級的時候到底是不是windows操作系統？是不是微軟研製的正版的升級系統，還是黑客給你一個帶病毒的升級系統呢？如果這是黑客給你的，他有可能在裡邊放上一個病毒，那在升級的時候你的電腦就安裝了一個病毒，這個病毒就會偷你的東西。就相當於有人偷了你家的鑰匙，你上班的時候他拿著你家的鑰匙開門拿東西，鎖上就走了。然後等過了一段時間，你又出遠門了、旅遊了，又有人拿著你的鑰匙，又進你家裡偷東西。SHA-1破解以後，美國標準技術局發布了一系列的文件，他們就宣布了2016年必須撤除SHA-1。所以我們的密碼技術是實現網路安全的一個支撐技術。

2014年，習近平總書記提出：沒有網路安全就沒有國家安全。這是一個非常具有科學判斷力的結論。我們的大數據、雲計算、人工智慧、無人機，比如說無人機沒有密碼系統，黑客採集你的無人機的通信信號，控制你的無人機，讓它去撞擊一個人，那麼這個人就有生命危險。但如果控制它去撞擊一個核設施，大家想想這是怎樣的危險？如果是去撞擊一個大水庫，那又是怎樣的危險？這是非常可怕的事情。還有我們的自動駕駛汽車，我們國家的衛星通信，世界上的衛星通信，它都是需要密碼系統來保障的。

4、怎樣上網才能更安全？我們不僅要增強個人隱私保護的防範意識，更應建立安全意識，樹立總體國家安全觀，使我們個人和國家的利益得到更好的保障。

我給大家再講一點關於個人上網的經驗。大家都知道上網打開瀏覽器，打開一個網站是「http」對不對？有沒有「S」？沒有「S」。那麼「http」就是沒有密碼系統的文件傳輸。也就是說這個網站它沒有提供很多的密碼技術，原則上來講它是不太安全的網站，它就會產生釣魚網站。那就會導致你上網購物的時候，很可能打開的這個購物網站是一個黑客的、假的網站，那麼你的錢就有可能轉到黑客那去了。現在我們打開的比如說百度，你就會發現什麼？「https」，「https」意思是這裡邊是有認證功能、加密功能的，那麼它就比以前要安全多了。我舉個例子，如果你在百度裡邊發現了工商銀行的官方網站，那麼這時候你下載工商銀行的官方網站，它就是比較可信的，因為百度裡邊有密碼技術，很大程度上已經排除了假的網站。實際上，今天有好多運營商已經在為我們保駕護航，大家在網購的時候，在打開網站的時候，可以自己判斷、了解一下，這樣對你的隱私保護能夠起到一定的防範作用。

我們國家已經產生了一系列的國產密碼演算法，絕對不比國際上的密碼演算法安全性差，推廣非常快。我給大家幾個數據：我們國家的電網已經覆蓋了6億用戶，我們的高速公路聯網已經到了4億用戶，還有我們的銀行卡，我們的U盾已經到了10億，我們國家的數字證書公司就已經達到38家，我們一半的計算機網路通信，都得到現在密碼技術的保障。

每個人都有夢想，對於我們做密碼研究的人來說，密碼就是我們的夢想。我們永遠不忘初心，以我們國家現在的研究的能力，一定能夠做好整個國家的密碼保障工作，使我們的網路更安全、更健康，人民的生活更幸福！我今天的演講就到這兒，謝謝大家。

轉載自公眾號：CCTV1開講啦