1.1 商用密碼的概念

密碼是指使用特定變換，對信息等進行加密保護或安全認證的產品、技術和服務。其中加密保護是指使用數學變換，將原來可讀的信息變成不能識別的符號序列；安全認證是指使用數學變換，確認信息是否被篡改、是否來自可靠信息源以及確認行為是否真實。密碼的加密保護功能用于保證信息的機密性，密碼的安全認證功能用于實現信息的真實性、數據的完整性和行為的不可否認性。從功能上看，密碼技術主要包括加密保護技術和安全認證技術。從內容上看，密碼技術主要包括密碼算法、密鑰管理和密碼協議。密碼算法的設計與分析是密碼技術的核心內容。密鑰必須嚴格保護，現代密碼學認為一切秘密寓于密鑰之中，密碼算法是可以公開的，密鑰則必須絕對保密，這樣才能確保信息的安全。密鑰參與密碼的“運算”，并對密碼的“運算”起特定的控制作用。密碼協議是密碼應用的交互規則，是通信雙方約定好的一些傳遞信息的方法和過程。

密碼分為核心密碼、普通密碼和商用密碼。

核心密碼、普通密碼用于保護國家秘密信息，核心密碼保護信息的最高密級為絕密級，普通密碼保護信息的最高密級為機密級。核心密碼、普通密碼屬于國家秘密。密碼管理部門依照《密碼法》和有關法律、行政法規、國家有關規定對核心密碼、普通密碼實行嚴格統一管理。

商用密碼是指對不涉及國家秘密內容的信息進行加密保護或者安全認證。公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。

經過20多年的建設，我國已建立起以一部行政法規加多部專項管理規定（即“1+N”）為主要內容的現行商用密碼法規體系，其中，“一部行政法規”是指1999年國務院頒布施行的《商用密碼管理條例》；“多部專項管理規定”是指國家密碼管理局和相關部委制定頒布的部門規章和規范性文件。例如，國家密碼管理局制定頒布的《商用密碼科研管理規定》《商用密碼產品生產管理規定》《商用密碼產品銷售管理規定》《商用密碼產品使用管理規定》《境外組織和個人在華使用密碼產品管理辦法》《電子認證服務密碼管理辦法》《信息安全等級保護商用密碼管理辦法》《含有密碼技術的信息產品政府采購規定》等。

《商用密碼管理條例》規定，商用密碼適用范圍為不涉及國家秘密，又需要用密碼加以保護的信息。商用密碼的作用是對信息進行加密保護和安全認證。商用密碼包含商用密碼技術和商用密碼產品，也就是說，商用密碼是商用密碼技術和商用密碼產品的總稱。商用密碼技術是指能夠實現商用密碼算法的加密、解密和認證等功能的技術，包括密碼算法編程技術以及密碼算法芯片、加密卡等的實現技術。商用密碼技術是商用密碼的核心，國家將商用密碼技術列入國家秘密，任何單位和個人都有責任和義務保護商用密碼技術的秘密。

近十年來，國家密碼管理局發布了祖沖之序列密碼算法、SM2橢圓曲線公鑰密碼算法、SM3密碼雜湊算法、SM4分組密碼算法和SM9標識密碼算法等商用密碼系列（SM系列）算法，構成了包含序列密碼算法、對稱密碼算法、非對稱密碼算法、密碼雜湊算法和標識密碼算法等在內的完整、自主國產密碼算法體系。SM系列算法的應用為促進商用密碼發展、保障我國信息安全發揮了巨大作用。