欧盟网络与信息安全局(ENISA)于2024年8月发布《密码产品与服务市场分析报告》(Cryptographic Products and Services Market Analysis)。报告基于欧盟《网络安全法》(EU Cybersecurity Act)框架,全面分析了欧盟密码产品与服务市场动态,探讨其应用现状、发展趋势和威胁挑战,为欧盟未来密码政策法律制定提供了重要参考依据。本期简报根据报告内容,对欧盟密码产品服务市场体系进行梳理,并结合相关密码政策实践,针对我国密码产业发展提出建议。
01 欧盟密码市场现状
(一)市场规模与结构
报告显示,欧盟密码市场在全球占据重要地位,其产品和服务涵盖三大核心领域:硬件产品、软件产品和密码即服务(CaaS)。
报告列举的硬件产品包括硬件安全模块(HSM)、智能卡和高级加密标准(AES)处理器;软件产品如密码算法库(如Botan)、数字签名工具和网络安全协议(如TLS和IPSec)等;密码即服务(CaaS)立足于云服务,近年来逐渐兴起,为企业和政府提供可扩展的加密解决方案。
(二)市场参与者分析
密码市场涉及多方利益相关者,包括需求方、供给方、研究机构和监管机构。需求方主要为公共部门和私人企业,广泛使用密码技术保护敏感数据和确保服务安全;供给方包括密码硬件与软件开发商、测试与认证机构以及云服务提供商;研究机构负责开发新一代密码技术,如隐私增强型密码(PEC);监管机构通过制定标准和政策促进密码技术的合规性和市场化。
(三)密码产品应用模式
密码应用模式体现了供需双方的互动。需求方主要关注数据保护、身份验证和交易安全,在关键基础设施(如金融和医疗领域),密码成为保护系统免受网络攻击的重要手段;供给方则专注于提供高效、安全的密码解决方案,支持用户部署加密硬件、软件和云服务,在开发密码产品时注重用户友好性、安全性和技术创新的多方诉求与平衡。
02 市场趋势与挑战
(一)发展趋势
密码市场的发展受到多种因素驱动。首先,欧盟《网络安全法》等法规的实施推动了密码技术的普及。其次,数字身份的广泛应用增加了对安全验证和数据加密的需求。此外,物联网和人工智能等新兴技术的快速发展为密码技术创造了新的应用场景。
未来,密码即服务预计将在云计算和物联网领域实现显著增长。同时,更多的企业将采用基于开源组件的安全解决方案,从而降低开发成本并提高安全性。
(二)面临的挑战
1.技术部署难度
密码技术的复杂性和对专业知识的高要求,使得技术部署成为许多企业面临的难题。随着物联网设备和异构操作环境的普及,不同系统之间的密码技术集成难度增大,在资源有限的嵌入式系统中部署密码尤为如此。此外,网络攻击的快速演变要求部署更加灵活和实时更新的密码解决方案,进一步增加了技术部署的复杂性。
2.互操作性不足
标准化不足导致的互操作性问题是当前密码市场发展的主要挑战之一。由于欧盟各国制定的密码标准不尽相同,密码产品受限于兼容性要求,部分密码算法或硬件模块仅满足特定地区的合规要求,难以在其他市场推广。
3.量子威胁
报告认为量子密码技术预计将在未来2-3年内逐步扩大其应用范围,尤其是在高安全性需求的领域,如金融服务和政府通信。量子技术的突破可能重塑密码市场格局。因此,企业和研究机构需密切关注量子计算的发展,部署后量子密码(PQC)研究,以确保未来的安全性。
03 政策与标准化建议
(一)统一政策框架
监管合规是市场的主要驱动力,特别是在数字身份应用和物联网领域,合规要求是推动密码产品创新的核心。欧盟《网络安全法》为密码技术的应用与认证提供了重要的法律基础,但由于成员国间在政策执行和技术标准上的差异性,跨国企业面临着不同市场的合规复杂性,可能影响密码产品的市场推广。因此,报告建议欧盟层面建立更统一的密码政策,增强市场整体一致性。
(二)推进标准化与认证
标准化和认证是密码技术市场发展的基石。标准化促进了不同产品间的互操作性,如TLS、S/MIME和IPSec等协议已广泛应用于数据传输和电子邮件保护。认证机制确保密码产品的安全性和合规性,例如《欧盟网络安全认证框架》(ECSMAF)为密码产品和服务提供了统一的认证标准。
报告建议,在欧盟层面建立统一的轻量级密码库,促进开放源代码组件的使用;同时支持物联网密码集成,为供应商提供物联网设备集成开源密码组件的技术指导,以此提高设备的安全性和标准化。
(三)促进技术创新
面对量子威胁,后量子加密技术、量子密钥分发等新兴密码产品和服务领域备受关注,先进技术和协议是未来产品开发的重中之重。报告指出,政策制定者应关注隐私增强型密码(PEC)研究,同时支持后量子技术的研发与创新,以应对未来隐私和合规的需求。
(四)成员国实践经验
欧盟各成员国在密码技术的应用与推广方面采取了各具特色的实践策略,为欧盟监管政策制定提供了重要经验。例如:
1.法国:通过《数字经济信任法》加强密码设备的供应和进出口管控,确保密码技术的安全性和合规性。
2.德国:联邦信息安全局(BSI)针对密码产品(如硬件模块和加密库)制定了详细的技术规范和认证指南。
3.西班牙:国家密码中心(CCN)发布了密码算法批准清单和参数化设计指南,用于提升密码技术的安全标准。
这些实践经验表明,在政策推动与技术创新之间实现平衡,是促进密码市场可持续发展的重要路径。同时,成员国间的经验共享与协同有助于进一步提升欧盟在全球密码市场的影响力。
04 对我国密码市场的启示
欧盟密码市场发展实践为我国提供了重要经验借鉴和启示,以下几方面尤为重要:
(一)立足标准化与认证体系
欧盟通过统一政策框架和认证体系推动密码技术在各成员国的协调应用,《网络安全法》和ECSMAF明确了密码产品的安全要求,降低了市场进入门槛,增强了企业间产品的互操作性与用户信任感。我国可以参考欧盟经验,在完善现有《密码法》配套法规基础上,进一步细化充实、整理清理密码产品的技术标准和认证要求。同时,应建立全国统一的密码产品与服务认证体系,解决当前市场中标准认证、互认等问题,为企业参与国际竞争提供更坚实的合规支撑。
(二)关注量子安全与轻量级加密
报告中明确提到,量子计算的快速发展对传统加密技术构成威胁,推动了后量子密码(PQC)研究。与此同时,轻量级加密技术也因物联网设备的广泛应用成为重要方向。考虑到欧盟一些企业(如英飞凌)等在密码产业的长期深耕和超前谋划,我国亦应提前布局相关新兴领域,鼓励和支持研究机构、企业长期抗量子密码算法、量子密钥分发管理、轻量级密码(如车路协同)、消费类数字产品服务的端到端加密等前沿研发,确保关键信息基础设施、重要数据等行业、领域的长期安全和繁荣,为数字化转型建设和跨境数字贸易提供高效、持续的加密解决方案。
(三)深化国际合作
我国应加强与欧盟等发达国家、地区的交流与合作,避免和消减对各方政策、法律的误判,在求同存异和命运共同体的观念下,在前沿技术开发、标准化认证以及市场开拓方面建立长效合作机制。此外,应基于安全、互认等原则,推动国产密码算法参与国际标准化进程,在国际标准制定方面争取更多话语权的同时,吸收国外先进的密码技术理念和工程方法,为我国密码产品开拓更多的国际市场,为境内外资企业提供开放与公平的营商环境,建立长期发展的良好信心预期。
05 结语
欧盟《密码产品与服务市场分析》报告展现了密码在网络安全和数字经济中的重要性,强调政策和技术标准对市场发展的推动作用。通过量子安全加密和隐私增强技术等前沿领域的突破,欧盟有望继续跟进,并在某些领域能够引领全球密码市场的发展方向。我国密码产业应从中吸取经验,注重技术与政策的双轮驱动,在标准化、技术创新和国际合作领域积极进取、同心协力,构建更加完善和具备国际竞争力的密码产业生态体系。(祝媛)
(审核:原浩 朱莉欣 马宁)
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
