国密SSL证书详解与应用
国密SSL证书这一两年热度很高。
站在云计算服务商的角度,这两年蓝队云给很多政企单位国密SSL证书的服务。大形势下,政府单位、事业单位、国企、金融等这些特殊的行业基本上都在用国密SSL证书了。蓝队云将根据自身对国密SSL证书的了解和相关的服务经验,给大家搞懂国密SSL证书。
什么是国密SSL证书?
大家都知道SSL证书是实现网站加密传输的重要工具。
国密SSL证书是满足我国国密合规的SSL证书产品,遵循国家标准技术规范并参考国际标准,支持SM2/SM3/SM4国产密码算法和国密安全协议,兼容360浏览器、红莲花浏览器等主要国密浏览器。采用自主可控密码技术保护数据机密性、完整性,防止数据在传输过程中被窃取或篡改,确保通信主体身份真实性。
国密SSL证书采用国密算法
国产密码算法是提升国家密码安全和数据安全的关键技术,是保障我国网络安全自主可控的重要基础。为保障重要经济系统密码应用安全,也为了从根本上摆脱对国外密码技术和产品的依赖,国产密码算法的替代与应用已势在必行。
国密算法是国家密码管理局制定的自主可控的国产算法,包括SM1、SM2、SM3 、SM4、SM7、SM9、祖冲之密码算法(ZUC)等。在金融领域目前主要使用公开的SM2、SM3、SM4三种商用密码算法,分别为非对称加密算法、哈希算法和对称加密算法。
目前我国主要使用公开的SM2、SM3、SM4作为商用密码算法。
SM2是基于椭圆曲线的公钥密码算法,包括用于数字签名的SM2-1、用于密钥交换的SM2-2和用于公钥密码的SM2-3。SM3是能够计算出256比特散列值的单向散列函数,主要用于数字签名和消息认证码。SM4是属于对称密码的一种分组密码算法,分组长度和密钥长度均为128比特。
国密算法从SM1-SM4分别实现了对称、非对称、摘要等算法功能,目前已普遍应用于日常工作生活中的各个方面,如工作中使用的VPN,金融业务中的资金流转、刷卡支付,以及门禁设施、身份认证等。
国密SSL证书的全证书链都是采用国密SM2算法,如下左图所示为零信浏览器查看国密SSL证书的证书信息,签名算法是国密SM3_SM2。
国密SSL证书和普通SSL证书的区别
①加密算法不同
传统SSL证书通常是RSA算法(2048位),它是目前最有影响力和最常用的公钥加密算法,能抵抗已知的绝大多数密码攻击。但是随着密码技术的飞速发展,证实了1024位RSA算法存在着被攻击的风险,现已升级到2048位RSA算法。
现阶段的国密SM2证书采用的是ECC算法(256位),由国家密码管理局于2010年12月发布,是我国自主设计的公钥密码算法,在椭圆曲线密码理论基础进行改进而来,其加密强度比RSA算法(2048位)更高。
②浏览器兼容性
普通SSL证书兼容所有主流浏览器,而国产SSL证书尚在起步阶段,仅兼容360、密信、红莲花等主要的国密浏览器。而快云公司结合SSL证书实际应用场景,对SSL证书所采用的是SM2+RSA双证书模式,在国密浏览器访问采用国密SSL数据传输加密模式,普通浏览器下采用标准SSL证书的加密模式访问。
③安全性能不同
虽然RSA算法在目前的SSL证书市场中依然占据着主流地位,但是随着计算机技术的发展,加上对因子分解的改进,对低位数的密钥攻击已成为可能。
目前基于ECC算法的SM2算法普遍采用256位密钥长度,它的单位安全强度相对较高,在工程应用中比较难以实现,破译或求解难度基本上是指数级的。因此,ECC算法可以用较少的计算能力提供比RSA算法更高的安全强度,而所需的密钥长度却远比RSA算法低。
④传输速度不同
在通讯过程中,更长的密钥意味着必须来回发送更多的数据以验证连接。256位的 SM2 算法相对于2048位的RSA 算法(国密算法在设计时,RSA2048是主流签名算法,所以这里暂不讨论ECDSA等算法),可以传输更少的数据,也就意味着更少的传输时间。经国外有关权威机构测试,在Web服务器中采用SM2算法,Web服务器新建并发处理响应时间比RSA算法快十几倍。
使用国密SSL证书的必要性
①政策要求
近年来,国家陆续颁布了《网络安全法》《密码法》《关键信息基础设施安全保护条例》/《商用密码管理条例》等重要法规来推进国密SSL证书的应用。政府部门、事业单位、大型国有企业、金融银行等重要行业实施相关政策要求。
②密改密评要求
2023年7月1日起,修订后的《商用密码管理条例》(以下简称《条例》)正式施行。《条例》重点规定了要促进商用密码科技创新和标准化建设,鼓励支持商用密码科技成果转化和产业化应用。随着《条例》的公布,国产密码算法的应用再次被提上日程,国密SSL证书助力我国的重要领域完成国密升级改造。
③解决国密应用难题
利用国密算法SSL证书可以帮助我国的重要政企职能部门解决现有从客户端到服务器端应用国产密码算法的障碍。
④拥有自主可控权
传统SSL证书主要依赖于国外CA机构,一旦国外证书品牌对我国执行断供、吊销,我国各类重要领域的网站或信息管理系统,将面临大规模访问故障和巨大的数据安全泄露风险。而国密SSL证书由国内机构签发,采用自主可控的加密算法,无需担心被国外断供的风险。俄乌冲突爆发后,大量俄政府、银行等重要网站的SSL证书被吊销,这给我国互联网安全特别是关键信息基础设施安全敲响了警钟。
⑤提升政企的公信力
启用可信CA机构颁发的国密SSL证书,可以对关键基础设施等重要职能部门敏感信息进行加密,能最大化保障信息安全和网站公信力。
国密SSL证书的使用
由于国密SSL证书只能兼容国密浏览器,可以通过采用SM2/RSA双证书模式解决浏览器兼容性。目前使用国密证书的相关单位,基本上全部采用了双证书模式。
当在国密SSL网关上部署了SM2/RSA双证书后,服务器软件自动识别浏览器。当用户使用国密浏览器访问时,采用国密算法SM2加密;使用其他不支持国密的浏览器访问时,则自动采用RSA算法加密,自适应兼容所有浏览器,有效解决浏览器兼容问题。
国密SSL证书正应用于我国政府单位、国有企业、关键基础设施行业等重要单位及行业中。这些行业使用国密SSL证书,不仅能够提升网络信息系统的安全性,同时满足我国网络安全和密码应用的各项法规要求。
国密SSL证书在网络安全等级保护和关键基础设施保护中发挥着至关重要的作用。它不仅满足了网络安全通信设计的技术要求,还可在商用密码评估和密码改造中助力密码应用合规。
- [ ]
- 2011年,国密局50号文件《关于做好公钥密码算法升级工作的通知》,要求新投入运行并使用公钥密码的信息系统,应使用SM2椭圆曲线密码算法;2012年以来,国家密码管理局以《中华人民共和国密码行业标准》的方式,陆续公布了SM2/SM3/SM4等密码算法标准及其应用规范,ZUC和SM2/SM3/SM9算法已成为国际标准。
- 2018年,国务院办公厅36号文件《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》要求,在金融银行、电子政务、教育、交通运输、民生保障等关键领域全面推进自主可控密码技术的应用,
- 2020年1月1日《密码法》正式施行,以及2021年3月《信息安全技术 信息系统密码应用基本要求》(GB/T39786-2021)的发布,推动我国密码合规应用进入快速发展阶段,国密改造业务在政府、金融等领域加速落地。
- GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》将于2023年5月1日正式实施,强化了关键信息基础设施中密码技术的应用和管理要求。
国密SSL证书支持SM2/SM3/SM4国产密码算法和国密安全协议,兼容360浏览器、沃通国密浏览器、红莲花浏览器、 赢达信浏览器、零信浏览器等主要国密浏览器,兼容安恒WAF等支持国密算法的网络安全产品;采用自主可控密码技术保护数据机密性、完整性,防止数据在传输过程中被窃取或篡改,并确保通信主体身份真实性。
扫一扫
522
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
