【前沿报道】

瑞士最大的银行——瑞士联合银行（UBS）正积极开展区块链技术试验。目前，该银行正借助ZKsync测试用于数字黄金交易的区块链，目标是提升散户投资者参与数字黄金投资时的安全性、可扩展性与可访问性，推动散户数字黄金投资的现代化进程。

瑞士联合银行管理着超5.7万亿美元的资产，其已在以太坊第2层（L2）网络ZKsync Validium上，完成了部分黄金投资产品“UBS Key4 Gold”的概念验证。通过运用ZKsync技术，瑞银集团旨在解决面向零售客户的产品在全球扩张过程中，所面临的可扩展性、隐私保护以及互操作性等方面的问题。

ZKsync 的发明者亚历克斯・格鲁乔夫斯基（Alex Gluchowski）指出，这一基于区块链的概念验证项目，充分展现了瑞银 “持续探索区块链技术，以优化金融产品的不懈努力”。该项目最初构建于瑞银自有的 “UBS Gold Network” 之上，这是一个连接了金库、流动性提供商与分销商的许可区块链。依托链下数据存储技术，在 ZKsyncValidium 上运行相关解决方案，不仅能够增强隐私保护、提升互操作性，还可实现更高的交易吞吐量。此次区块链试点项目，是在瑞银于 2024 年 11 月 1 日推出以太坊代币化基金近三个月后正式启动的。当时推出该基金，主要目的在于将以太坊融入传统金融的核心范畴。

（ZKsyncUBS区块链试点公告。来源：ZKsync）

2024 年 12 月 12 日，ZKsync 发布了2025 年路线图，其中制定了一系列宏伟目标。按照规划，ZKsync 计划将交易处理速度提升至每秒 10,000 笔（TPS），同时把交易费用降低至 0.0001 美元。它借助零知识证明（ZK-proofs）技术，对以太坊主网的可扩展性、安全性和隐私性进行优化。一旦这些目标得以实现，ZKsync 技术对开发者的吸引力将大幅提升。

该路线图涵盖的内容十分丰富，包括简化开发者体验（如字节码 EVM 等效、LLVM 工具、Vs Code 调试器等）、打造类似 Web2 的用户体验、提升安全性（去中心化排序和证明）、推出功能强大的网页和移动智能钱包 SDK、加强隐私保护（私人 validium），以及连接公私链（实现快速跨链转移和方法调用的原生互操作性）等。

Inco 创始人雷米・盖伊（Remi Gai）认为，隐私保护技术能够推动机构接纳区块链。在金融领域，由于区块链具有透明性，许多机构一直对进入该领域有所顾虑。若能提供类似 Web2 的体验，有望吸引更多机构参与其中，进而带来更多的流动性、用例、大型参与者以及资金。例如完全同态加密这样的机密计算技术，可在不解密数据的情况下对加密数据进行计算。随着技术的不断发展，这类技术或许能够为加密领域解锁下一个万亿美元级别的资本。

信息来源：

美国国家标准与技术研究院（NIST）提议，将 AES 加密算法的块大小和密钥大小统一标准化为 256 位。当前，AES 采用的是Rijndael分组密码家族，其块大小为 128 位，加密密钥长度则有 128 位、192 位或 256 几种选择。NIST 认为，随着需要处理大量数据的应用程序不断增多，对这些数据密集型应用的需求日益增长，因此增加块大小很有必要。此外，加大加密密钥长度能够为加密系统提供量子安全保障，只要密钥长度大于量子计算机能够分解和破解的位数，就能维持加密安全性。NIST打算在未来一年，制定 Rijndael - 256 的标准草案。Rijndael - 256 是一种 AES 变体，其块大小和密钥大小均为 256 位。在 2025 年 6 月 25 日之前，NIST 将向公众征求对该计划的意见，特别关注 256 位块大小的安全分析，以及在有硬件支持 AES 的环境下，其性能和效率等方面的情况。

自谷歌推出 Willow 量子芯片后，量子计算机对银行、加密货币、军事情报等领域所采用的现代加密标准构成的破解威胁，便备受各界关注。Willow 芯片具备 105 个物理量子比特，能够在短短五分钟内解决某些特定计算问题，而传统二进制计算机若要完成同样的计算任务，却需耗费 10 亿年之久。然而，就目前情况来看，量子计算机在设计方面存在一定局限，比如用于纠错的量子比特数量，这一因素限制了其对现代加密标准的破解能力。

以太坊联合创始人维塔利克・布特林（Vitalik Buterin）于 2024 年 10 月 29 日在其发布的博客文章中提出，计划借助账户抽象技术，使以太坊具备量子抗性，并将这一举措纳入网络路线图。不过，他同时指出，真正能够对加密造成实质性风险的量子计算机，或许还需历经几十年才会问世。

在 2024 年 11 月，新加坡金融管理局（MAS）与法国央行（BDF）共同完成了一项后量子密码学测试。在此次测试中，他们运用后量子计算技术，对微软 Outlook 电子邮件进行数字签名，以此确保邮件的安全性。此外，也有人提出基于哈希的抗量子解决方案，旨在为依赖椭圆曲线数字签名算法（ECDSA）的系统提供量子安全保障。但 Blockstream 的联合创始人兼首席执行官亚当・贝克（Adam Back）却认为，这些基于哈希的方案可能永远不会被实际采用，并且他还提到，在后量子研究领域，直至量子霸权到来前的这几十年间，仍会持续不断地发展。

信息来源：

尽管密码依旧是保障用户账户、防止未经授权访问的首要防线，但创建强密码以及保护密码的方法，也处于持续发展演变之中。例如，美国国家标准与技术研究院（NIST）如今给出的密码建议里，相较于密码复杂性，更侧重于强调密码长度。然而，密码哈希处理始终是关键中的关键，容不得丝毫妥协。即使密码长度够长且安全性颇高，也必须进行哈希处理。只有这样，一旦发生数据泄露，密码才不致完全暴露。而且要始终牢记，密码绝不能以明文形式存储。

现代密码破解技术：

恶意行为者破解哈希密码时，常用的方法包括暴力攻击、密码字典攻击、混合攻击以及掩码攻击。

暴力攻击是指恶意行为者借助特定工具，通过不计其数的试错方式，逐一尝试各种可能的密码组合，以此来破解哈希密码。密码字典攻击则是从预先准备好的密码字典里挑选单词，逐个尝试，期望能够匹配到正确的密码。混合攻击综合了暴力攻击和字典攻击的手段，既利用字典中的词汇，又结合暴力尝试的方式，试图突破哈希密码的防线。掩码攻击是基于已知的密码模式，对可能的密码进行筛选和限制，从而减少尝试的次数，提高破解效率。

哈希算法：抵御破解的机制与面临的挑战

哈希算法在众多安全场景中应用广泛，尽管并非坚不可摧，但相较于明文存储密码，安全性已有显著提升。其设计基于特定原理，使得破解密码需投入大量时间与资源，这对攻击者形成强大威慑，促使他们转而寻找更易下手的目标。

黑客破解哈希算法：可能性与时间差异

哈希算法作为单向函数，黑客若想破解哈希密码，只能依靠暴力技术。他们通常借助 GPU 等特殊硬件，搭配 Hashcat 等破解软件，大规模实施暴力攻击。然而，破解所需时间因哈希算法类型、密码长度及字符组合的不同而差异巨大。

以 MD5 算法为例，它曾被视作具备工业强度的哈希算法，但如今已暴露出安全漏洞，安全性大不如前。使用 MD5 加密的 13 位及更短数字密码，利用现有的 GPU 和破解软件可瞬间攻破；而由数字、大小写字母及符号组成的 11 位密码，却需耗费 26500 年才能破解。

SHA256 算法属于安全哈希算法 2（SHA - 2）系列，性能强大且安全性高。当使用长且复杂的密码时，几乎难以通过暴力破解。但若是 9 位仅由数字或小写字母组成的 SHA256 哈希密码，仍可被瞬间破解。bcrypt 算法采用加盐技术与成本因子，对字典攻击和暴力攻击具有很强的抵御能力。由数字、大小写字母及符号组成的 8 位 bcrypt 哈希密码，黑客破解大约需要 27154 年；但 8 位以下仅由数字或小写字母组成的 bcrypt 密码，却极易被破解。

黑客绕过哈希算法的手段

无论采用何种哈希算法，短而简单的密码始终是常见的薄弱环节。此外，密码重用问题十分严峻，攻击者往往更倾向于从暗网获取泄露的凭证和密码列表，而非花费精力去破解由现代哈希算法保护的长且复杂的密码。

信息来源：

【商密故事】 

1984 年，彼时还是麻省理工学院年轻教授的沙菲・戈德瓦塞尔（Shafi Goldwasser），在密码学领域提出了一个极具开创性的新观点：能够在不泄露任何信息的前提下，证明某件事是真实的。这一理念为如今广泛应用的诸多密码学技术奠定了基础框架，也最终让她荣获了被誉为 “诺贝尔加密奖” 的图灵奖。30 多年过去了，如今身为一家初创公司创始人的她，致力于将这项期待已久的加密方法推向大众视野。谈及这项技术，她表示：“到了某个阶段，很明显，这个理论，也就是相关数学原理，已经足够成熟有效。”

这种方法名为同态加密，其背后蕴含的部分理念，是要将加密技术应用到越来越多对加密有迫切需求的领域，而这样的领域不胜枚举。在过去几年里，数据隐私已然成为全球关注的焦点议题。像 Facebook 和 Equifax 等知名企业曝出的备受瞩目的丑闻与数据泄露事件，极大地提升了消费者和企业的隐私保护意识。欧盟、美国加利福尼亚州以及佛蒙特州相继出台新的隐私法规，赋予公民更多对自身数据的掌控权利。然而，企业并不会因此停止数据收集行为，事实上，数据收集量反而有增无减。

更为关键的是，企业常常会将收集到的数据与第三方共享。这些第三方可能会对数据进行分析，或者利用数据来优化客户体验，这就意味着企业不得不放弃对自身所拥有数据的控制权。然而，人们对于掌控自己数据的意愿愈发强烈，再加上对监管的担忧以及公众的不满情绪，促使企业想方设法确保私人数据真正做到隐私不泄露。企业之所以收集如此大量的数据，主要原因在于能够从中探寻规律模式。这些模式为实现个性化体验的算法提供支撑，大到互联网上追踪用户的烦人的广告投放，小到依据运动数据计算保险费用，都离不开这些模式。

分析数据所获得的见解，才是数据真正的价值所在。许多企业并非关注个体数据本身，而是看重从数据汇总中提取的见解。这就是为什么众多企业宣称通过对大型数据集进行匿名化处理来保护用户隐私，他们既能继续挖掘数据模式，又能在一定程度上安抚公众对隐私问题的担忧（尽管大多数匿名化的数据依然具有独特性，极易被识别）。

然而，由戈德瓦塞尔（Goldwasser）创立的初创公司 Duality，许下了一个更具重大意义的承诺：无需对加密数据进行解密，便可直接展开分析。基于戈德瓦塞尔与其同样身为加密研究人员的几位联合创始人所取得的突破性成果，该公司的技术有望为数据隐私问题提供切实有效的解决方案。借助这项技术，企业能够在数据始终维持加密状态的情况下，依旧从中挖掘出有价值的模式。同态加密背后的数学原理颇为复杂，不过，该公司首席执行官兼联合创始人阿隆・考夫曼（Alon Kaufman）用了一个简单的比喻来阐释其工作原理。他解释道，不妨想象一下，你将数据置于一个盒子里以作保护，而你是唯一持有钥匙的人。运用同态加密技术，你可以把这个盒子交给其他人，他们能够闭着眼睛把手伸进盒子里。这个人可以在盒子里的数字间随意操作，但始终看不到这些数字。考夫曼表示：“这意味着进行数学运算的主体永远看不到数据本身，也看不到运算答案，却能够运用运算结果。这正是企业所期望的。他们并非想要获取原始数据，而是想知晓其中的见解，比如他们是否该给你提供这项交易。”  

（图片：Alon Kaufman博士）

尽管同态加密背后的理念在学术界已存在数十年，且被视为密码学的 “圣杯” 之一，但直到近期，这项技术才发展到足够优良且高效，得以在商业环境中具备实用性与可扩展性。（要知道，与对未加密数据的计算相比，早期的同态加密系统速度慢了一万亿倍。）Duality 的首款产品专门面向企业，助力企业与第三方共享数据。如此一来，第三方能够在云端处理原始数据，却无需实际获取这些数据。出于隐私考量，该公司自然不会透露客户信息，但考夫曼（Kaufman）表示，他们的数据科学家正在研发适用于医疗保健、保险及银行领域的算法。

Duality的技术还能为诸如 Ancestry 这类公司提供帮助。这些公司因数据隐私处理方式，与监管机构产生了矛盾。借助该技术，这些公司能够在云端处理数据，或者与第三方分享分析结果——这已是常见操作——同时确保原始数据的绝对私密性。举例来说，假设有一款依据个人基因组数据提供饮食建议的应用程序。用户或许想要获取应用程序给出的见解，但并不愿与应用背后的公司分享自身数据。毕竟，谁也不清楚公司里哪些人可能接触到这些数据，又或者公司会将数据分享给哪些第三方。考夫曼解释道，运用同态加密技术，用户可以对遗传数据进行加密，将其锁在一个类似 “盒子” 的环境中。“你把这个‘盒子’寄给分析提供商，但无需把密钥交给他们。他们对‘盒子’里的数据进行分析，然后将结果反馈给你。反馈回来的结果依旧是加密状态，你拿出自己的密钥，打开‘盒子’，获取答案。”

去年，Duality 获得了美国国立卫生研究院（National Institutes of Health）的资助，用于将其隐私保护技术应用于基因组学研究。哈佛医学院丹娜-法伯癌症研究所（Dana - Farber Cancer Institute）的助理教授萨沙・古谢夫（Sasha Gusev）专注于全基因组关联研究（GWAS），该研究通过大量遗传数据探寻与各类疾病相关的变异。古谢夫表示，数据隐私在学术界正成为日益严峻的挑战，研究人员了解企业界频发的数据违规事件，希望确保此类情况不会在自己的研究对象身上发生。正因这些安全与隐私问题，许多研究人员即便面对其他学者，也不愿分享敏感的健康数据。

不过，Duality 的技术并不能解决每天都在发生的猖獗的数据违规问题。即便所有公司都采用同态加密技术，他们仍可能利用用户数据向用户投放令人厌烦的广告，将用户评定为 “有风险”，甚至影响用户的投票。要解决这些问题，依旧需要监管部门介入，确保公司的行为安全且对消费者有益。但正如考夫曼所言，技术既是造成数据安全问题的根源，同时也为解决这一问题提供了契机。

信息来源：

2025 年 1 月 24 日，国家密码管理局发布第51 号公告，公布的《国家密码管理局关于废止、宣布失效部分行政规范性文件的决定》。

废止的 4 件行政规范性文件：

国家密码管理委员会办公室公告第一号。

关于印发《含有密码技术的信息产品政府采购规定》的通知（国密局联〔2008〕1 号）。

国家密码管理局关于调整 “国家密码管理局行政审批事项公开目录” 的通知（国密局字〔2017〕344 号）。

商用密码产品生产管理规定（国家密码管理局公告第 5 号公布，国家密码管理局公告第 32 号修正）。

宣布失效的 4 件行政规范性文件：

国家密码管理局公告第 26 号。

国家密码管理局关于做好商用密码产品生产单位审批等 4 项行政许可取消后相关管理政策衔接工作的通知（国密局字〔2017〕336 号）。

国家密码管理局关于进一步加强商用密码产品管理工作的通知（国密局字〔2018〕419 号）。

国家密码管理局市场监管总局关于调整商用密码产品管理方式的公告（国家密码管理局、国家市场监督管理总局公告第 39号）。

2025 年 2 月 5 日，C114 通信网消息，商用密码标准研究院发布《关于开展新一代商用密码算法征集活动的公告》，将面向全球开展新一代公钥密码算法、密码杂凑算法、分组密码算法征集活动。

2025 年 2 月 14 日，网易手机网消息，第二十七届“中国国际高新技术成果交易会・商用密码展”将于 2025 年 11 月 14 日 - 16 日在深圳国际会展中心举办，主题围绕 “科技创新” 和 “商用密码的安全与发展”。

2025 年 2 月 14 日，网易手机网消息，深圳作为中国的经济特区和创新城市，积极响应国家政策，制定了一系列促进商用密码产业发展的政策措施，包括制定地方标准、加强立法保护、建设保护基地、推动示范应用、强化人才支撑等。

南方电网申请商用密码相关专利

2025 年 2 月 13 日，搜狐网消息，南方电网调峰调频发电有限公司检修试验分公司申请 “一种基于国家商用密码算法的网络安全通信系统及方法” 的专利，公开号为 CN119402175A，利用国家商用密码 SM2 和 SM3 算法构建安全通信系统。

西安长盛信安申请商用密码相关专利

2025 年 1 月 22 日金融界消息，国家知识产权局信息显示，西安长盛信安信息技术有限公司申请一项名为“一种基于国产商用密码算法的硬件密码模块及其实现方法”的专利，公开号CN119276463 A。该发明通过多层加密和多因素认证，显著增强了密钥管理的安全性。

联系人：

朱莉欣（13201421966 微信同号） 

杨超（18682962515）

报道网站链接：

法治时代网：

https://fzsd124.com/index/index/mob_show/id/149302.html

法治聚焦网：

https://fazhijujiao.com/html/shehui/514.html

人民法治网：

https://rmfzw.org.cn/xinwen/2887.html