La "nouvelle réglementation" relative aux mots de passe commerciaux a été examinée et approuvée afin de construire un "pare-feu" pour l'Internet des objets. Le 24 mai 2023, le projet officiel de la version révisée de 2023 du "Règlement sur la gestion de la cryptographie commerciale" (ci-après dénommé le "Règlement") a été publié sur le site web du gouvernement populaire central de la République populaire de Chine. Le texte intégral du Règlement a été révisé et adopté lors de la 4e réunion exécutive du Conseil d'État le 14 avril 2023. Il est annoncé par la présente et entrera en vigueur le 1er juillet 2023.
Le "Règlement" vise à normaliser l'application et la gestion du cryptage commercial, à encourager et à promouvoir le développement de l'industrie du cryptage commercial, à assurer la sécurité des réseaux et de l'information, à sauvegarder la sécurité nationale et les intérêts publics sociaux, et à protéger les droits et intérêts légitimes des citoyens, des personnes morales et d'autres organisations.
Les initiés du secteur estiment qu'avec l'importance croissante de la sécurité des données, le marché de l'industrie du chiffrement de mon pays s'est progressivement développé et que le taux de croissance moyen de ces dernières années a été plus élevé que le taux de croissance mondial. Selon les statistiques des instituts de recherche compétents, la taille globale du marché du chiffrement commercial de mon pays devrait atteindre 98,585 milliards de yuans en 2023, soit une augmentation de 39,32% d'une année sur l'autre.
Trois changements majeurs
Dès 1999, notre pays a promulgué et mis en vigueur le "Règlement sur la gestion des mots de passe commerciaux" ; en 2019, le "Règlement sur la gestion des mots de passe commerciaux" ne pouvant plus s'adapter aux exigences de développement de l'époque, notre pays a remodelé structurellement le système de gestion des mots de passe commerciaux, promulguant ainsi le "Règlement sur la gestion des mots de passe commerciaux". Loi sur la cryptozoologie de la République populaire de Chine ("Loi sur la cryptozoologie").
Le 10 août 2020, avec la "Loi sur la cryptographie de la République populaire de Chine" comme loi supérieure, l'Administration nationale de la cryptographie a publié le "Règlement sur la gestion de la cryptographie commerciale (projet révisé pour commentaires)", qui a révisé le "Règlement sur la gestion de la cryptographie commerciale" de 1999, entièrement révisé.
Certains experts du secteur estiment que l'annonce officielle du règlement permettra de normaliser davantage le marché des applications de mots de passe et entraînera les changements importants suivants :
1. Exhorter les entreprises de plates-formes à assumer leurs responsabilités en matière de protection des mots de passe conformément à la loi
Le "Règlement" met en œuvre les exigences de gestion de la "Loi sur la cryptozoologie". Outre les exigences relatives aux applications de cryptographie elles-mêmes, il propose également des exigences pertinentes en matière d'essais et de certification, de certification électronique, de gestion des importations et des exportations, etc.
2. Les mots de passe commerciaux passent progressivement de "recommandés" à "obligatoires"
Les "règlements" stipulent clairement que les infrastructures d'information critiques non confidentielles, les réseaux dont le niveau de protection de la sécurité du réseau est égal ou supérieur à 3, les systèmes d'information du gouvernement national et d'autres réseaux et systèmes d'information doivent "assurer eux-mêmes la sécurité des applications de cryptographie commerciale ou confier cette tâche à des institutions commerciales de test de la cryptographie". Évaluation de la sexualité".
Pour les infrastructures d'information critiques non confidentielles, les règlements stipulent que les opérateurs doivent utiliser des mots de passe commerciaux pour la protection, effectuer des évaluations de la sécurité des applications de mots de passe commerciaux, utiliser des technologies de cryptage commerciales répertoriées dans le catalogue d'orientation des technologies de cryptage, et acheter des produits et services de réseau. Examen de la sécurité nationale et autres obligations.
3. Les "examens secrets" deviennent un indicateur permettant de mesurer le degré de construction des mots de passe.
Le Règlement précise également que les réseaux et les systèmes d'information énumérés au paragraphe précédent doivent faire l'objet d'une évaluation de la sécurité de l'application de chiffrement commercial (c'est-à-dire d'une "évaluation secrète") avant de pouvoir être mis en service. Après la mise en service, l'évaluation doit être effectuée au moins une fois par an et les résultats de l'évaluation doivent être communiqués au district local. S'inscrire auprès du service municipal de gestion des mots de passe.
Construire un "pare-feu" pour l'internet des objets
Après plus de dix ans de développement, l'industrie de l'internet des objets de mon pays a atteint près de 3 000 milliards de yuans et a été largement utilisée dans divers domaines tels que la fabrication industrielle et les moyens de subsistance sociaux. Alors que des centaines de milliards d'appareils IoT sont connectés au réseau, les menaces de sécurité auxquelles l'IoT est confronté deviennent de plus en plus importantes, et les mots de passe IoT font l'objet d'une attention de plus en plus grande.
Les experts du secteur estiment que les principaux risques de sécurité des réseaux IdO se concentrent sur six aspects :
1. Dispositifs IdO
Un attaquant peut exploiter la faiblesse du mécanisme d'identification pour déployer malicieusement le même modèle ou cloner un appareil similaire et accéder au système pour mener des attaques.
2. Passerelle de sécurité
Étant donné que les terminaux IoT peuvent collecter et traiter une grande quantité de données sensibles, si la passerelle de sécurité ne crypte pas la transmission des données, des problèmes tels que le vol de données peuvent facilement se produire.
3. Sécurité sans fil
L'internet des objets comporte un grand nombre de nœuds et la transmission des données utilise des signaux de radiofréquence sans fil. Il existe des risques tels que les attaquants peuvent provoquer une interruption de la communication en transmettant des signaux d'interférence, ou détourner, écouter et altérer les données pendant la transmission des signaux.
4. transmission des données
La couche transport est confrontée à des problèmes de sécurité tels que l'authentification inter-réseaux dans des réseaux hétérogènes. En outre, les paquets de données transmis sur l'internet des objets ne sont ni cryptés ni signés, et sont sujets à des problèmes tels que l'écoute clandestine, la falsification, la contrefaçon et le refus de l'expéditeur.
5. Plate-forme commerciale
En raison de la grande variété de types de dispositifs d'accès et de leurs capacités variables, il existe des risques de sécurité tels que la falsification d'identité et l'accès non autorisé.
6. Terminal IoT
Les attaquants peuvent utiliser des équipements de collecte d'informations pour détecter et collecter toutes les fuites d'informations liées à des données confidentielles. Il existe également des attaques par dysfonctionnement dans lesquelles les attaquants utilisent des techniques destructives ou non destructives pour perturber le système de cryptage de la puce afin d'obtenir la clé. En outre, les formulaires logiciels sont plus susceptibles de provoquer des fuites de données sensibles.
Les mots de passe commerciaux sont nécessaires dans l'internet des objets pour protéger les quatre points suivants :
1. Authentification de l'identité
Établir une infrastructure PKI/CA basée sur des algorithmes industriels pour délivrer des certificats à chaque appareil et à chaque nuage dans le scénario de l'internet des objets. En identifiant l'appareil et en le liant au certificat, chaque appareil peut être enregistré, de sorte qu'au cours de la phase d'authentification de l'identité, grâce à l'identité bidirectionnelle, l'appareil ne peut pas être usurpé, et le service en nuage l'intercepte également.
2. transmission des données
Grâce à l'utilisation combinée de SM2 et SM4, les paquets de données transmis sont signés et cryptés dans la liaison de transmission où le canal sécurisé SSL n'est pas établi, ce qui garantit également la sécurité et la fiabilité des données.
3. échange de données
Des mécanismes de cryptage point à point et de bout en bout peuvent être adoptés pour assurer la sécurité de la couche transport, et des protocoles tels que SSL/TLS et IPSec peuvent également être utilisés pour fournir des fonctions de cryptage et d'authentification des communications afin de garantir la sécurité de la transmission et de l'échange entre les parties communicantes.
4. Sécurité des terminaux
Grâce à l'algorithme cryptographique à seuil SM2, plus léger, mis en œuvre dans un logiciel pur, les processus de signature et de vérification de la signature sont calculés séparément sur le terminal et le serveur, puis fusionnés.
Dans l'ensemble, la technologie de la cryptographie joue un rôle fondamental dans les domaines émergents tels que l'informatique en nuage, le big data, l'internet des objets et l'intelligence artificielle. Les secrets commerciaux sont un moyen important de protéger la sécurité des données. L'émergence des domaines émergents a également créé de nouveaux espaces de marché.