网上支付与结算的 加密一节.ppt

网上支付与结算 --加密技术及相关 经济管理学院 电子商务 王松 副教授 概况（一） 概况（二） 政府对国内使用密码技术的控制情况 政府对本国进口密码技术和设备的控制情况。 政府对本国开发的密码技术和设备出口的控制情况。 负责制定密码技术的使用、出口、进口政策的政府部门或机构的情况。 1.少数国家对国内使用密码进行控制　 许多国家对本国居民使用密码没有任何限制，而极少数国家却实行表面上不是强制性的控制。如China（中国）, Israel（以色列）, Pakistan（巴基斯坦）, Russia（俄罗斯）, Singapore（新加坡）, Tunisia（突尼斯）, Vietnam（越南）, and Venezuela（委内瑞拉）。 许多明确拒绝控制的国家也意识到了当今电子商务中电子信息及工业间谍威胁的重要性，纷纷采纳了OECD的关于密码政策指导原则，支持无限制使用密码。如Canada（加拿大）, Ireland（爱尔兰）, and Finland（芬兰） 。 还有一些国家放弃了以前对国内使用密码的限制，如法国于1999.1宣布可自由使用加密。比利时于1997.12在有关法律中取消了限制使用密码的条款。 2.对密钥托管/密钥恢复不再支持 随着许多国家对国内使用密码的放开，政府也拒绝使用密钥托管/密钥恢复。很少有国家支持这种政策。 美国政府对许多国家和国际组织，如OECD，施加压力，让他们采纳密钥托管，但OECD成员国没有屈服，呼吁自由使用密码和尊重个人隐私。 国际政策的变化直接影响到各国国内密码政策的走向。法国和台湾以前都是支持密钥托管的，现在也放弃了。 2.对密钥托管/密钥恢复不再支持 美国密钥托管政策的支持者仅有为数不多的几个国家。 Spain在1998年的电信法案中推行密钥托管，但迄今还没有实现。 UK在电子商务法案中强制使用密钥托管，国内反对呼声太大而夭折。 美国的出口控制政策一度坚持密钥托管，但在1998年已有所放松。到1999年，其出口控制政策中没有直接涉及密钥托管，但却出台了CESA（Cyberspace Electronic Security Act），变相地要求密钥托管，痴心不改。 出口控制的作用 出口控制政策是各国政府限制加密产品发展的强有力手段。 出口控制降低了自由获得加密产品的可能性，特别是从美国的公司。 出口控制不利于制定国际通用的加密标准，而且造成不同程序间的互操作性很差。 加密政策的国际动向 在过去的几年中，国际组织对加密政策的发展起着至关重要的作用。如：OECD、EU、G-7/G-8、欧洲议会、WA（ Wassenaar Agreement，瓦瑟纳协定） 美国在UK的支持下，获得了一些国际支持。特别是那些关注法律执行和军事/情报问题的国家，反对者主要是德国和北欧国家。 注： 1996年，美国就游说OECD采纳其密钥托管，以期EES成为国际标准。但遭到日本、北欧等国的强烈反对，只有法国、英国支持。 1997年3月，OECD公布了其密码政策的指导原则，其主旨是政府应鼓励使用密码来保护个人及商业利益，考虑到个人隐私、法律执行、国家安全及技术发展的需要，应制定平衡的密码政策。 1.OECD密码政策的八个指导原则(一) 为增强使用信息和通讯系统的信心，密码方法应当是可信赖的。 密码方法的开发应适应个人、公司、政府的不同需求。 密码方法的标准、准则、协议的开发和颁布应在国家或国际范围内进行。 个人的基本隐私权，如通信秘密、个人数据保护，应在国家的密码政策及密码技术的实现和使用中得到尊重。　 2.OECD密码政策的八个指导原则(二) 在法律许可范围内，用户可以自由选择密码方法。 国家的密码政策应允许依法存取加密数据的明文或密钥，但这个政策应最大程度上不妨碍本指导原则中其它原则。 无论是采取立法或合约的形式，应明确提供密码服务或持有、存取密钥的个人或团体的责任。 政府在密码政策的制定中应协调各方面的关系，避免以密码政策的名义妨碍正常贸易或滥用法律。 3.EU的密码政策 EU在抑制加密限制方面起了关键作用，它要求成员国向EU会报告各国密码产品生产、使用、进口和买卖情况，并积极寻求取消EU以外国家商用加密产品的控制。 1997年10月，EU委员会第13司公布了一份报告，称限制使用加密将妨碍守法的公司和居民保护自己不受罪犯侵害，密钥托管也不能阻止犯罪分子使用这些技术。 4.美国的密码政策（一） 美国政府宣布了其密码产品出口控制条例。尽管这些政策远未落实，但却表明美国政府多年来对强加密的敌视态度正在转变。 任何密钥长度的硬件、软件加密产品，只要经过一个“one-time technical review”无需许可证即可出口。 密钥长度不超过64比特的密码产品不受任何限制