正好让你开开眼:
商用密码管理条例
(1999年10月7日中华人民共和国国务院令第273号发布 自发布之日起施行)
原文参见:商用密码管理条例_行政法规库_中国政府网
虽然是 1999 年发布的,但确实是现行法规。2020 年国家密码管理局曾经就新版《商用密码管理条例》征求意见,但至今未发布新版条例:关于《商用密码管理条例(修订草案征求意见稿)》公开征求意见的通知_国家密码管理局
来看什么叫商用密码:
第二条 本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。
第七条 商用密码产品由国家密码管理机构指定的单位生产。未经指定,任何单位或者个人不得生产商用密码产品。
tor 显然符合这个定义,然后来看对使用商用密码的限制:
第十四条 任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。
第二十一条 有下列行为之一的,由国家密码管理机构根据不同情况分别会同公安、国家安全机关给予警告,责令立即改正:
(省略部分字段)
使用自行研制的或者境外生产的密码产品,转让商用密码产品,或者不到国家密码管理机构指定的单位维修商用密码产品,情节严重的,由国家密码管理机构根据不同情况分别会同公安、国家安全机关没收其密码产品。
第二十四条 境外组织或者个人未经批准,擅自使用密码产品或者含有密码技术的设备的,由国家密码管理机构会同公安机关给予警告,责令改正,可以并处没收密码产品或者含有密码技术的设备。
管死你了没有?
更进一步,根据他这个标准,任何含有 OpenSSL 的产品都可以算违规(基本包含了所有现代电子产品)。
甚至,你用自创的密码藏一个 I Love You 给你女朋友,也是违规的。
- 感谢知友指出,之前引用的二十四条是针对「境外组织或者个人」,我又新增引用了二十一条,二十一条未限制主体。
- 根据知友反馈,2020年开始实施的密码法对密码使用有了一定程度的解禁:
中华人民共和国密码法
(2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过 )
第二十八条 国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。
大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
但 tor 究竟是属于「涉及国家安全、社会公共利益」,还是属于「大众消费类产品」,我想这里未必是没有争议的。(热知识:tor 由美国军方开发)
编辑于 2022-08-10 09:00・IP 属地北京