国密双秘钥体系

最新推荐文章于 2025-09-28 16:28:09 发布
原创 最新推荐文章于 2025-09-28 16:28:09 发布 · 1.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

部署运行你感兴趣的模型镜像

国密双秘钥体系的“双”体现在,申请人是有两个证书的,一个是用于认证的证书,一个是用于加密的证书。

1、用于认证的证书的生成:用户自行生成一对公私钥,其中自己保留私钥用于签名,公钥发送给CA机构,请CA来对其签名,生成该用户的签名证书。

2、用于加密的证书的生成:该证书由CA机构从其自身KMC中为用户获取一对公私钥,同时,自己备份这对公私钥。然后,CA将公钥进行签名生成加密证书,CA使用该用户的签名证书将加密私钥、加密证书等进行加密后,返回给用户。

注意:1、CA有用户用于加解密的公私钥对,因此CA是可以解密用户密文的。

2、CA没有用于签名的用户私钥备份,用户签名私钥丢失不能再生,但由于签名证书是公开的,因此其之前签名过的东西依然有效。

您可能感兴趣的与本文相关的镜像

Dify

Dify

AI应用
Agent编排

Dify 是一款开源的大语言模型(LLM)应用开发平台,它结合了 后端即服务(Backend as a Service) 和LLMOps 的理念,让开发者能快速、高效地构建和部署生产级的生成式AI应用。 它提供了包含模型兼容支持、Prompt 编排界面、RAG 引擎、Agent 框架、工作流编排等核心技术栈,并且提供了易用的界面和API,让技术和非技术人员都能参与到AI应用的开发过程中

[密码学实战]Java实现国密(SM2)钥协商详解:原理、代码与实践(十二)
曼岛_的博客
02-28 1980
[密码学实战]Java实现国密(SM2)钥协商详解:原理、代码与实践
阿里云CDN不止于加速:基于https国密算法构建安全数据传输链路
阿里云开发者
05-21 2244
简介: 5月20日,阿里云政企安全加速解决方案正式发布。在发布会中,阿里云技术专家林胜恩从HTTPS的技术概述,国密算法的标准内容以及国密算法在阿里云CDN上的应用情况三个方面,来介绍了阿里云CDN在安全方面的重要实践。网络数据安全得到前所未有的重视 HTTPS成为解决传输安全问题利器 大家都知道,HTTP 本身是明文传输的,没有经过任何安全处理,网站HTTPS解决方案通过在HTTP协议之上引入证书服务,完美解决网站的安全问题。 下图左侧表示Chrome浏览器在HTTPS页面时会显示安全挂锁图标,
【学习笔记】国密、商、普
Taki_UP的博客
08-20 3423
在有线、无线通信中传递家秘信息,以及存储、处理家秘信息的信息系统,应当依照法律、行政法规和家有关规定使用核心密码、普通密码进行加密保护、安全;也可用于各种安全、网上银行、数字签名等。核心密码、普通密码都属于家秘,都用于保护家秘信息,两种密码都由密码管理部门依法实行严格统一管理;可以划分为 7 类:密码算法类、数据加解类、认鉴别类、证书管理类、钥管理类、密码防伪类和综合类。商用密码用于保护不属于家秘的信息,公民、法人和其他组织可以依法使用商用密码保护网络与信息安全
网络安全笔记3——密码体制
polarday的博客
08-04 3746
公钥密码体制、RSA、Diffie-Hellman、ElGamal、ECC(椭圆曲线)、SM2
国密加密整理
最新发布
wangbanmin的专栏
09-28 552
ECC 256位(SM2采用的就是ECC 256位的一种)安全强度比RSA 2048位高,但运算速度快于RSA。CBC:是一种循环模式(链式),前一个分组的文和当前分组的明文操作后再加密,这样做的目的是增强破解难度。ECB:是一种基础的加密方式,文被分割成分组长度相等的块(不足补齐),然后单独一个个加密,一个个输出组成文。CBC模式:1、不容易主动攻击,安全性好于baiECB,适合传输长度长的报文,是SSL、IPSec的标准。该算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。
往USBKey里面导入证书专题:概念介绍、执行逻辑
CHYabc123456hh的博客
11-24 3029
往USBKey里面导入证书专题:概念介绍、执行逻辑
国密(2)-- SM2签名和加密算法介绍
热门推荐
weixin_43408952的博客
05-05 2万+
最详细的SM2签名验签和加解的介绍;
国密SSL协议之证书体系
gmssl的博客
09-10 1万+
1 背景 国密SSL协议使用证书体系。本文描述了国密证书体系的组成和差别,并描述了在U盾里面的使用情况。 2 国密SSL证书 国密SSL协议使用证书体系,分别称为签名证书加密证书,服务器和用户持有两对SM2独立的钥对。其中加密证书和签名证书主要的区别就是钥用法(KeyUsage)不一样(当然对应的钥等也不一样),使用相同的DN。钥用法具体是: 签名证书:Digital Signature, Non-Repudiation (c0) 加密证书:Key Encipherm..
秘钥对验
dianhong0944的博客
08-23 237
192.168.200.113 : [root@173-16-16-1 ~]# useradd maoqing[root@173-16-16-1 ~]# passwd maoqing //设置密码123更改用户 maoqing 的密码 。新的 密码:无效的密码密码少于 8 个字符重新输入新的 密码:passwd:所有的身份验令牌已经成功更新。 [root@173-16-...
手把手教你玩转SM3国密算法:从入门到应用实战指南
skyksksksksks的博客
03-06 1512
SM3就像数据世界的"指纹识别",虽不如SM2/SM4那样直观,却是构建信任体系的基石。在互联网时代,数据安全就像你家的防盗门——没有它,你的隐私随时可能被撬开。而SM3国密算法就是中自主研发的"防盗门锁芯",用于保护数据完整性、防篡改。家大力推广密码算法,SM3与SM2、SM4共同构成我商用密码体系"三剑客",广泛应用于金融、政务等领域。需要额外提供钥(比如一串密码),只有知道钥的人才能生成正确的MAC值。SM3会生成一个唯一的"指纹码",对方用同样的算法计算后比对,就能发现是否被修改。
奇妙的安全旅行之国密算法
ForTheDevelopers的博客
02-03 1382
hi,大家好,我是开发者FTD。今天我们来介绍一下我们密码局制定的加密算法 — 国密算法。 为什么要制定国密算法? 密码算法是保障信息安全的核心技术,尤其是我最关键的银行业核心领域长期以来都是沿用MD5、3DES、SHA-256、RSA等这些际通用的密码算法体系及相关标准。 随着金融安全上升到安全高度,近年来家有关机关和监管机构站在安全和长远战略的高度提出了推动国密算法应用实施、加强行业安全可控的要求。摆脱对外技术和产品的过度依赖,建设行业网络安全环境,增强我行业信息系统的“安全可控”
国密SM2证书示例
06-21
包含证书私钥文件,供研究
国密SM2证书签发工具
02-01
Gmssl 2.0 Windows编译可执行版本,可用来签发SM2测试证书,内有签发根证书说明。
密码算法RSA解析与短钥实现
Apollon_krj的博客
07-16 8972
单钥钥算法,由于其加密的速度相对来说比较快,所以常用来对文本文件加密(如TEA、DES等),而钥算法(如RSA)由于其加密钥不同并且采用暴力破解的方式也比较低效(基本不可能被破解),低效的原因通常不是符合加解钥对的空间有多大,而是正确的一对钥其钥空间难以确定。但是其加密速度也比较低,所以常用来加密单钥钥算法的加密秘钥,这样即所谓混合加密。混合密码系统的基本结构如下图所述(
PKI体系证书数字信封图文描述支持国密算法
alongshow的专栏
03-05 1438
国密技术规范中的“证书”,你知道多少?
好习惯成就伟大
10-22 1万+
​​相信了解国密应用的朋友都听说过证书。那么这个证书到底是怎么回事呢?但我们今天说的证书是指家商用密码体系中的证书加密证书+签名证书),而不是站点部署自适应的证书(SM2算法证书+RSA算法证书),先跟童鞋们讲清楚,以免混淆。好的,今天我们就详细来聊一聊。 什么是证书? 首先我们来明确一下证书到底指的是什么,先来看密码管理局颁布的《GMT0024-2014 SSL VPN 技术规范》(以下称“技术规范”)中有关于证书的描述。在5.2.2章节里就说明了服务端证书的性质和作
两个秘钥库,彼此授信对面的证书.
玩高雅的大神のブログ
03-21 277
两个秘钥库,彼此授信对面的证书. 1、如果是服务端秘钥库要与客户端秘钥库不一致.则分别生成客户端服务端证书. keytool -genkey -alias client -keyalg RSA -keystore client.jks keytool -genkey -alias server -keyalg RSA -keystore server.jks 2、分别生成...
国密证书签发及国密数据信封解析
Followcuit的博客
11-24 1万+
国密证书的签发,及国密数字信封解析 产生签名钥对 gmssl ecparam -genkey -name sm2p256v1 -text -out server_sign.key 产生p10签名请求 gmssl req -new -key server_sign.key -out sign_pub_key_csr.req 3.得到第三方国密ca签发的证书国密p7数据信封 sign.p7b、encrypt.p7b、private.data 这里面最关键是提取private.data中的加
构建钥对验ssh--------实例
weixin_42480196的博客
08-16 305
注:做实验前确保系统中安装好了(建议使用yum安装) openssh-5.3p1-94.el6.x86_64 openssh-clients-5.3p1-94.el6.x86_64 软件包 1、首先为两台需要验的机器添加hadoop用户 第一台 [root@dhcp ~]# useradd hadoop && echo "123" | passwd --stdin hadoop ...
nginx 配置同时实现 rsa 和国密证书
08-22
在 Nginx 中同时支持 RSA 和国密(SM2)证书的配置,主要依赖于 Nginx 的多证书支持能力。Nginx 自 1.11.0 版本起支持多证书配置,允许在同一个 HTTPS 服务中加载多个 SSL 证书链,从而实现对不同客户端的兼容性支持。以下是一个完整的配置示例,展示如何在 `server` 块中同时加载 RSA 和 SM2 证书[^2]。 ### 配置示例 ```nginx server { listen 443 ssl; server_name www.example.com; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECC-SM4-GCM-SM3; # RSA 证书配置 ssl_certificate /usr/local/nginx/certs/rsa.example.com.crt; ssl_certificate_key /usr/local/nginx/certs/rsa.example.com.key; # 国密 SM2 证书配置 ssl_certificate /usr/local/nginx/certs/sm2.example.com.crt; ssl_certificate_key /usr/local/nginx/certs/sm2.example.com.key; ssl_prefer_server_ciphers on; location / { root /usr/share/nginx/html; index index.html; } } ``` ### 配置说明 - **`ssl_certificate` 和 `ssl_certificate_key`**:可以多次使用这两个指令,分别指定 RSA 和 SM2 的证书私钥文件路径。Nginx 会根据客户端支持的算法自动选择合适的证书。 - **`ssl_ciphers`**:配置中包含了支持 RSA 的标准加密套件(如 `ECDHE-RSA-AES128-GCM-SHA256`)以及国密 SM2 支持的加密套件(如 `ECC-SM4-CBC-SM3`),确保不同客户端可以协商到合适的加密方式[^2]。 - **`ssl_protocols`**:根据实际需求配置支持的 TLS 协议版本,推荐至少支持 TLSv1.2 以确保安全性。 ### 注意事项 1. **证书路径**:确保配置中的证书路径正确,并且 Nginx 进程有权限读取这些文件。 2. **私钥格式**:SM2 私钥需为 PEM 格式,并确保其未加密或使用 Nginx 支持的加密方式。 3. **Nginx 版本**:确认使用的 Nginx 版本支持多证书功能(1.11.0 及以上)。 4. **OpenSSL 支持**:若需支持国密 SM2 算法,需使用支持国密算法的 OpenSSL 分支,如 BoringSSL-GM 或国密专用库。 ### 测试与验 完成配置后,使用以下命令检查 Nginx 配置是否正确: ```bash nginx -t ``` 重启 Nginx 服务使配置生效: ```bash systemctl restart nginx ``` 使用不同客户端(支持 RSA 和 SM2 的浏览器或工具)访问服务,验是否能正确协商并建立 HTTPS 连接。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值