国密双秘钥体系

最新推荐文章于 2025-05-19 09:20:15 发布
最新推荐文章于 2025-05-19 09:20:15 发布
阅读量1.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/shenshaojun/article/details/114576162

国密双秘钥体系的“双”体现在,申请人是有两个证书的,一个是用于认证的证书,一个是用于加密的证书。

1、用于认证的证书的生成:用户自行生成一对公私钥,其中自己保留私钥用于签名,公钥发送给CA机构,请CA来对其签名,生成该用户的签名证书。

2、用于加密的证书的生成:该证书由CA机构从其自身KMC中为用户获取一对公私钥,同时,自己备份这对公私钥。然后,CA将公钥进行签名生成加密证书,CA使用该用户的签名证书将加密私钥、加密证书等进行加密后,返回给用户。

注意:1、CA有用户用于加解密的公私钥对,因此CA是可以解密用户密文的。

2、CA没有用于签名的用户私钥备份,用户签名私钥丢失不能再生,但由于签名证书是公开的,因此其之前签名过的东西依然有效。

往USBKey里面导入证书专题:概念介绍、执行逻辑
CHYabc123456hh的博客
11-24 2859
往USBKey里面导入证书专题:概念介绍、执行逻辑
手把手教你玩转SM3国密算法:从入门到应用实战指南
skyksksksksks的博客
03-06 1005
SM3就像数据世界的"指纹识别",虽不如SM2/SM4那样直观,却是构建信任体系的基石。在互联网时代,数据安全就像你家的防盗门——没有它,你的隐私随时可能被撬开。而SM3国密算法就是中自主研发的"防盗门锁芯",用于保护数据完整性、防篡改。家大力推广密码算法,SM3与SM2、SM4共同构成我商用密码体系"三剑客",广泛应用于金融、政务等领域。需要额外提供钥(比如一串密码),只有知道钥的人才能生成正确的MAC值。SM3会生成一个唯一的"指纹码",对方用同样的算法计算后比对,就能发现是否被修改。
信而泰测试方案,助力客户全面解析国密SSL特性
XINERTEL的博客
05-09 2128
国密SSL产生背景 随着互联网技术的兴盛和网络应用的普及,网络安全问题日益突出,大量的数据在网络上传递并遭受攻击和威胁,数据的安全性受到越来越多人的重视,因此产生了多种安全协议和相关规范。SSL协议就是在这种背景下由Netscape提出的,其中SSLv3.0自1996提出并得到大规模应用成为了业界标准,在2015年才被弃用。1999年,IETF收纳了SSLv3.0并以此为基础提出TLS规范,版本已由TLS1.0发展到如今的TLS3.0,是被应用最广泛的安全协议之一。 安全协议的核心和基础就是密码算法,为
国密SM2证书示例
06-21
包含证书私钥文件,供研究
什么是国密家商用密码
最新发布
鹿鸣天涯
05-19 504
密码管理局发布了一系列国密算法的标准规范,如《GM/T 0002-2012 SM4分组密码算法》、《GM/T 0003-2012 SM2椭圆曲线公钥密码算法》等,为国密算法的实施提供了技术依据。SM1:分组密码算法,分组长度为128位,钥长度为128位,采用电子密码本(ECB)、密码分组链接(CBC)、密码反馈(CFB)和输出反馈(OFB)等工作模式。定义:国密是由密码管理局制定和推广的一系列密码算法、协议和标准,旨在满足内信息安全需求,减少对密码技术的依赖。
国密SSL协议之证书体系
热门推荐
gmssl的博客
09-10 1万+
1 背景 国密SSL协议使用证书体系。本文描述了国密证书体系的组成和差别,并描述了在U盾里面的使用情况。 2 国密SSL证书 国密SSL协议使用证书体系,分别称为签名证书加密证书,服务器和用户持有两对SM2独立的钥对。其中加密证书和签名证书主要的区别就是钥用法(KeyUsage)不一样(当然对应的钥等也不一样),使用相同的DN。钥用法具体是: 签名证书:Digital Signature, Non-Repudiation (c0) 加密证书:Key Encipherm..
网络安全笔记3——密码体制
polarday的博客
08-04 3598
公钥密码体制、RSA、Diffie-Hellman、ElGamal、ECC(椭圆曲线)、SM2
秘钥对验
dianhong0944的博客
08-23 228
192.168.200.113 : [root@173-16-16-1 ~]# useradd maoqing[root@173-16-16-1 ~]# passwd maoqing //设置密码123更改用户 maoqing 的密码 。新的 密码:无效的密码密码少于 8 个字符重新输入新的 密码:passwd:所有的身份验令牌已经成功更新。 [root@173-16-...
密码算法RSA解析与短钥实现
Apollon_krj的博客
07-16 8732
单钥钥算法,由于其加密的速度相对来说比较快,所以常用来对文本文件加密(如TEA、DES等),而钥算法(如RSA)由于其加密钥不同并且采用暴力破解的方式也比较低效(基本不可能被破解),低效的原因通常不是符合加解钥对的空间有多大,而是正确的一对钥其钥空间难以确定。但是其加密速度也比较低,所以常用来加密单钥钥算法的加密秘钥,这样即所谓混合加密。混合密码系统的基本结构如下图所述(
[密码学实战]Java实现国密(SM2)钥协商详解:原理、代码与实践(十二)
曼岛_的博客
02-28 1760
[密码学实战]Java实现国密(SM2)钥协商详解:原理、代码与实践
奇妙的安全旅行之国密算法
ForTheDevelopers的博客
02-03 1325
hi,大家好,我是开发者FTD。今天我们来介绍一下我们密码局制定的加密算法 — 国密算法。 为什么要制定国密算法? 密码算法是保障信息安全的核心技术,尤其是我最关键的银行业核心领域长期以来都是沿用MD5、3DES、SHA-256、RSA等这些际通用的密码算法体系及相关标准。 随着金融安全上升到安全高度,近年来家有关机关和监管机构站在安全和长远战略的高度提出了推动国密算法应用实施、加强行业安全可控的要求。摆脱对外技术和产品的过度依赖,建设行业网络安全环境,增强我行业信息系统的“安全可控”
国密SM2证书签发工具
02-01
Gmssl 2.0 Windows编译可执行版本,可用来签发SM2测试证书,内有签发根证书说明。
关于钥管理系统的设计与安全性洞察分析
weixin_38037403的博客
05-06 1981
钥管理系统作为数字信任体系的核心组件,对保障数据安全和系统安全起到关键作用。通过合理的分层设计、硬件信任根的引入以及完善的功能模块,系统能够在钥全生命周期内提供强大的安全保障。面对熵源、侧信道、跨域等挑战,运用QRNG、秘共享、区块链和可信执行环境等新技术,将极大增强系统的健壮性。未来,随着量子通信、密码服务化等新模式的兴起,钥管理系统也将继续演进,以满足更高水平的信息安全需求。只有持续创新和规范化建设,才能确保钥管理系统始终为数字经济和网络安全提供可靠的底层支撑。
PKI体系证书数字信封图文描述支持国密算法
alongshow的专栏
03-05 1369
国密技术规范中的“证书”,你知道多少?
好习惯成就伟大
10-22 1万+
​​相信了解国密应用的朋友都听说过证书。那么这个证书到底是怎么回事呢?但我们今天说的证书是指家商用密码体系中的证书加密证书+签名证书),而不是站点部署自适应的证书(SM2算法证书+RSA算法证书),先跟童鞋们讲清楚,以免混淆。好的,今天我们就详细来聊一聊。 什么是证书? 首先我们来明确一下证书到底指的是什么,先来看密码管理局颁布的《GMT0024-2014 SSL VPN 技术规范》(以下称“技术规范”)中有关于证书的描述。在5.2.2章节里就说明了服务端证书的性质和作
两个秘钥库,彼此授信对面的证书.
玩高雅的大神のブログ
03-21 261
两个秘钥库,彼此授信对面的证书. 1、如果是服务端秘钥库要与客户端秘钥库不一致.则分别生成客户端服务端证书. keytool -genkey -alias client -keyalg RSA -keystore client.jks keytool -genkey -alias server -keyalg RSA -keystore server.jks 2、分别生成...
国密证书签发及国密数据信封解析
Followcuit的博客
11-24 1万+
国密证书的签发,及国密数字信封解析 产生签名钥对 gmssl ecparam -genkey -name sm2p256v1 -text -out server_sign.key 产生p10签名请求 gmssl req -new -key server_sign.key -out sign_pub_key_csr.req 3.得到第三方国密ca签发的证书国密p7数据信封 sign.p7b、encrypt.p7b、private.data 这里面最关键是提取private.data中的加
构建钥对验ssh--------实例
weixin_42480196的博客
08-16 283
注:做实验前确保系统中安装好了(建议使用yum安装) openssh-5.3p1-94.el6.x86_64 openssh-clients-5.3p1-94.el6.x86_64 软件包 1、首先为两台需要验的机器添加hadoop用户 第一台 [root@dhcp ~]# useradd hadoop && echo "123" | passwd --stdin hadoop ...
项目组使用的PKI技术采用钥、证书机制,请简述证书的生成过程。...
weixin_35753291的博客
01-12 655
证书的生成过程包括以下步骤: 首先,用户需要生成一对公钥和私钥。这对钥是非常重要的,私钥用于签名和加密,而公钥用于验签名和解。 用户将公钥发送给证书颁发机构 (CA),请求颁发证书。 CA收到公钥后,会验该公钥的真实性和有效性。如果通过了验,CA会签发一个数字证书,其中包括了用户的公钥和一些其他的信息,如用户名和证书有效期。 数字证书签发完成后,CA会用自己的私钥对该证书进...
libcurl 国密ssl 向认
06-04
如果你想在 libcurl 中使用 gmSSL 进行向认,可以按照以下步骤进行操作: 1. 生成服务器证书私钥。可以使用 OpenSSL 工具生成证书私钥。例如: ``` openssl req -newkey rsa:2048 -nodes -keyout server.key -out server.csr openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ``` 2. 生成客户端证书私钥。可以使用 OpenSSL 工具生成证书私钥。例如: ``` openssl req -newkey rsa:2048 -nodes -keyout client.key -out client.csr openssl x509 -req -days 365 -in client.csr -signkey client.key -out client.crt ``` 3. 将服务器证书私钥放到服务器端,将客户端证书私钥放到客户端。 4. 在服务器端,启动一个 HTTPS 服务器,并加载服务器证书私钥。可以使用 OpenSSL 或其他 HTTP 服务器软件来实现。在这里,我们假设你已经启动了一个名为 `example.com` 的 HTTPS 服务器,并将服务器证书私钥保存在 `server.crt` 和 `server.key` 文件中。 5. 在客户端,使用 libcurl 发起 HTTPS 请求,并加载客户端证书私钥。可以使用以下代码来实现: ``` #include <curl/curl.h> #include <openssl/gmssl.h> int main() { CURL *curl; CURLcode res; curl_global_init(CURL_GLOBAL_DEFAULT); curl = curl_easy_init(); if (curl) { curl_easy_setopt(curl, CURLOPT_URL, "https://example.com"); curl_easy_setopt(curl, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1_2); curl_easy_setopt(curl, CURLOPT_SSL_CIPHER_LIST, "ECDHE-ECDSA-AES128-GCM-SHA256"); curl_easy_setopt(curl, CURLOPT_CAINFO, "ca-bundle.crt"); curl_easy_setopt(curl, CURLOPT_SSLCERT, "client.crt"); curl_easy_setopt(curl, CURLOPT_SSLKEY, "client.key"); res = curl_easy_perform(curl); curl_easy_cleanup(curl); } curl_global_cleanup(); return 0; } ``` 在上面的示例代码中,我们使用了 `CURLOPT_SSLCERT` 和 `CURLOPT_SSLKEY` 选项来加载客户端证书私钥。需要注意的是,客户端证书需要是 PEM 格式,并且需要包含完整的证书链。 同时,我们还设置了 `CURLOPT_CAINFO` 选项来加载根证书。如果根证书不在系统的默认位置,需要将其保存为 PEM 格式,并指定其路径。 需要注意的是,向认需要在服务器端和客户端都进行配置,才能实现向认的效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值