- 博客(42)
- 收藏
- 关注
RSS订阅原创 密评:依据标准
GB/T 35275-2017《信息安全技术 SM2密码算法加密签名消息语法规范》GB/T 35291-2017《信息安全技术 智能密码钥匙应用接口规范》GB/T 38556-2020《信息安全技术 动态口令密码应用技术规范》GB/T 38540-2020《信息安全技术 安全电子签章密码技术规范》GB/T 35276-2017《信息安全技术 SM2密码算法使用规范》GB/T 38635-2020 《信息安全技术 SM9标识密码算法》;GB/T 38625-2020 《信息安全技术 密码模块安全检测要求》
2024-11-12 14:20:08
663
原创 CCAA:产品认证基础5(产品认证过程与关键技术)
GB/T 27065对认证机构提出了公正性要求,资源能力要求和一致运作的认证实施过程要求。在认证实施的流程上,与产品认证过程相关的关键技术有:产品描述的确定、认证单元的划分、客观和代表性试验样品的选取、工厂检查边界的确定、工厂专业类别的划分、客观和代表性检查样本的选取、产品认证标志的设计、证后监督的方案管理认证变更的方案管理、证书状态的管理、认证记录的可追溯性要求等,贯穿于以上各关键技术乃至整个产品认证活动始终的核心技术是综合评估认证风险与成本并提出相应措施。
2024-11-12 14:12:39
1223
1
原创 CCAA:产品认证基础4(产品认证机构的要求及管理)
学习要点*认证机构的法律要求*认证文件和认证标志的使用要求* 影响公正性风险的识别*信息保密性管理*认证机构的资源要求*产品认证的典型过程。
2024-11-07 10:36:14
1319
原创 CCAA:产品认证基础3(产品认证方案)
随着认证认可活动的深人发展,认证机构如何制订认证方案不仅影响认证的有效性,而且影响认证的成本和风险。这类产品认证方案包含认证机构对组织的质量管理体系及产品是否符合规定要求的两个方面的评定。
2024-10-25 15:06:14
1539
原创 CCAA:产品认证基础2(产品认证概述)
学习要点*产品认证的基本概念*产品认证的发展历史*产品认证的作用、意义、目标*产品认证分类*产品认证原则*产品认证的特性与其他认证的关联性*产品认证的相关法律法规。
2024-10-23 09:21:42
1542
2
原创 CCAA:产品认证基础1(产品质量与符合性评价)
质量符合性评价,通常是相关领域具备资质的机构,也可以是企业内部质量符合性管理组织。证明符合性的方法包括。
2024-10-22 10:13:38
1514
原创 CCAA:认证通用基础 15(合格评定相关法律法规)
【第二条】在中华人民共和国境内,建立计量基准器具、计量标准器具,进行计量检定,制造、修理、销售、 使用计量器具,必须遵守本法。【第四条】 国务院计量行政部门对全国计量工作实施统一监督管理。县级以上地方人民政府计量行政部门对 本行政区域内的计量工作实施监督管理。【第五条】 国务院计量行政部门负责建立各种计量基准器具,作为统一全国量值的最高依据。【第六条】 县级以上地方人民政府计量行政部门根据本地区的需要,建立社会公用计量标准器具,经上级人民政府计量行政部门主持考核合格后使用。
2024-07-25 14:32:19
1770
原创 CCAA:认证通用基础 14(了解认证人员能力要求、审核员能力要求、认证人员相关注册与管理要求)
(1)什么是能力?能力是指能够顺利完成某些活动所必须具备的个性心理特征。即能力是直接影响活动效率,使活动得以顺利进行的心理特征。(2)认证机构的重要资源是从事认证活动的认证人员。认证活动的主体是具有能力的认证人员。为确保审核的有效性,从事合格评定活动的认证机构会制定专门的程序,对认证人员的选聘、培训、使用、能力评价和考核进行全过程管理。
2024-07-25 11:12:41
1428
原创 CCAA:认证通用基础 13(理解和掌握审核阶段的划分、典型的审核流程与认证流程及其相关性与区别、审核启动阶段包括的活动、审核准备阶段包括的活动、审核活动实施阶段包括的活动、审核报告的编制和分发等)
审核活动是指每一项具体审核工作的开展过程GB/T 19011《管理体系审核指南》标准中将典型的审核活动划分为6个阶段。对于与认证有关的第三方审核,还应遵守ISO/IEC17021-1:2015《合格评定 管理体系审核与认证机 构的要求 第1部分:要求》的规定。
2024-07-25 10:13:08
2850
原创 CCAA:认证通用基础 12(理解和掌握审核技术的基本概念、审核关键技术的核心内容、审核的基本方法)
(1)技术是人类改造自然的过程中形成的一种体系化的工具、方法和手段的总和。(2)技术是人类为满足自身的需求和愿望,遵循自然规律,在长期利用和改造自然的过程中积累起来的知识、经验、技巧和手段,是人们从现实到达或者说实现)理想目的的操作方法,包括相关的理论知识、操作经验及技巧。(3)技术的主要特点。
2024-07-11 10:49:49
1299
原创 CCAA:认证通用基础 11(认证方案的概念、审核方案与审核计划的基本概念、审核方案的建立、审核方案的实施、评审和改进、审核方案的管理)
认证活动需要关注公信力 和 有效性两个重要方面。审核方案管理是认证管理的重要部分,贯穿认证活动的始终。为确保审核过程及评价结果,满足要求,认证机构应针对每一个具体认证项目的审核过程进行策划按照策划的结果组织实施,根据实施结果加以改进。
2024-07-02 17:28:59
1742
原创 CCAA:认证通用基础 10(审核的概念、审核有关的术语、审核的特征、审核原则)
审核是认证过程中最基本的活动,是审核方案的重要组成部分,其实施效果直接影响到审核方案的意图和审核目标的达成。在认证认可领域依据相应标准开展的各类认证活动中均存在审核过程的实施。审核是认证全过程的关键活动也是审核技术具体实施的重要环节。本课程所阐述的有关审核的概念内涵审核技术及其实践,不仅仅局限于管理体系审核,还覆盖产品认证和服务认证过程中所涉及的各类现场的审核活动。
2024-07-02 13:46:11
1529
原创 CCAA:认证通用基础 9(认可的概念)
第三节 认可机构1.认可机构的相关定义认可机构是实施认可的权威机构。认可机构的权力通常来源于政府。认可机构应是经注册的法律实体。认可证书是认可机构颁发的,供认可的合格评定机构使用的,表明所确定的活动范围已被认可的一份或一组正式文件。认可机构徽标是认可机构用来识别自己的徽标。认可标识是认可机构颁发的,供认可的合格评定机构使用的,表示其获得认可资格的标志。认证机构认可是正式表明认证机构具备实施特定合格评定工作能力的第三方证明。
2024-06-28 09:39:39
1241
原创 CCAA:认证通用基础 8(检验检测相关的基本概念)
(1)检验检验是对产品、过程、服务或安装的审查,或对其设计的审查,并确定其与特定要求的符合性,或在专业判断的基础上确定其与通用要求的符合性。注 1:对过程的检验可以包括对人员、设施、技术和方法的检查。注 2:在合格评定活动中,检验有时也称为检查或审查。注 3:ISO 17020之前版本的标准中曾经将从事合格评定检验的机构称为检查机构。注 4:例如,在商品进出口、特种设备、交通运输、建设工程、信息安全、节能与环保、公共服务等 领域都存在检验的活动。(2)检测。
2024-06-26 16:13:43
1090
原创 CCAA:认证通用基础 7(认证的基本概念)
(1)认证:与产品、过程、体系或人员有关的第三方证明。①”产品,过程,体系或人员”是认证的对象,认证是对“产品、过程、体系或人员“作出的证明。②“证明”是复核与”产品、过程、体系或人员”有关的评价结果所做出决定的说明,目的是证实规定要求已得到满足。“规定要求“指与认证对象有关的法律法规、标准和技术规范要求,是明确的需求和期望。在认证活动中,它们是复核认证对象是否合格的判定准则,是作出认证决定的依据。③“第三方”,引入第三方的目的是为了确保公平公正。第三方独立于第一方和第二方。
2024-06-26 14:34:58
1373
原创 CCAA:认证通用基础 6(合格评定技术(17项)的特征及内涵,能够在认领过程中使用)
可以采用一系列的技术和方法实现合格评定目的在合格评定的实施过程中选择的合格评定技术和方法,可以提高合格评定的可信性。
2024-06-25 10:14:52
1356
原创 CCAA:认证通用基础 4(合格评定技术的概念)
不同的用户群体需要根据其实施何种合格评定活动选择与其自身需求最相关的文件。这些工具在使用中是相互补充和支持的。
2024-06-20 10:22:55
993
原创 CCAA:认证通用基础 3(国家质量基础设施(NQI))的相关概念
国家质量基础设施(NQI,NationalQualityInfrastructure):国家标准、计量认证认可、检验检测等所需的质量体制框架的统称,包括等质量基础设施与交通、邮电、供水供电、商业服务、文化教育、医疗卫生等基础设施一样,是国家发展质量的基石,是提高人民福祉的保障手段,是综合国力和国际竞争力的体现。在国家治理体系建设、促进经济转型升级、推动科技创新、保障和改善民生、参与国际竞争,以及保障国家核心利益等方面发挥着重要的基础性作用。
2024-06-18 14:35:50
1161
原创 CCAA:认证通用基础 2(与合格评定有关的术语与定义)
(1)输出过程的结果。注:组织的输出是产品还是服务,取决于其主要特性,如:画廊销售的一幅画是产品,而接受委托 绘画则是服务。在零售店购买的汉堡是产品,而在饭店里接受订餐并提供汉堡则是服务的一部分。(2)产品在组织和顾客之间未发生任何交易的情况下,组织产生的输出。注1:在供方和顾客之间未发生任何必要交易的情况下,可以实现产品的生产。但是,当产品交付给顾客时,通常包含服务因素注 2:通常,产品的主要特征是有形的。注 3:硬件是有形的,其量具有计数的特性(如:轮胎)。
2024-06-17 16:29:33
1385
原创 CCAA:认证通用基础 1(合格评定基本概念与知识)
合格评定“定义:“对与产品、过程、体系、人员或机构有关的规定要求得到满足的证明。理解要点(1)性质:满足的证明(第一方、第二方、第三方)(2)对象:产品、过程、体系、人员或机构。(3)规定要求:可以是供方和采购方的规定、标准、政府法规等。(4)活动:认证、认可、检验、检测、校准、自我声明等。
2024-06-17 10:33:48
2473
转载 分组密码算法的工作模式
因为当前的SM4算法的软件实现优化主要是通过SIMD指令并行处理多个分组来达到速度提升的,而这一优化策略无法应用于CBC模式当中,目前即使是优化过的SM4软件实现,在大多数计算环境中CBC模式下能够处理的数据量不超过100MB,而CTR模式等可以兼容分组并行处理的工作模式,则甚至可以达到600MB/s以上的处理速度(单线程下),因此SM4-CCM模式中,CBC-MAC的计算会成为整个算法甚至整个业务场景的性能瓶颈。综上,笔者推荐在CBC,CFB,OFB以及CTR模式中,优先选用CTR模式。
2024-06-04 09:45:37
996
原创 能力验证:TLCP协议
2024年5月28日,国家密码管理局官方网站发布《关于对通过商用密码检测机构(商用密码应用安全性评估业务)资质申请材料审查的机构名单进行公示的通知》,按照《商用密码管理条例》、《商用密码检测机构管理办法》有关规定,国家密码管理局组织对新一批商用密码检测机构(商用密码应用安全性评估业务)资质申请材料进行了审查,现将通过材料审查的19家机构名单予以公示。公示期间,任何机构及个人均可通过申请机构所在地省、自治区、直辖市密码管理部门向我局实名提出书面意见。
2024-05-30 17:33:12
1892
4
原创 能力验证:ISPec 协议
2024年5月28日,国家密码管理局官方网站发布《关于对通过商用密码检测机构(商用密码应用安全性评估业务)资质申请材料审查的机构名单进行公示的通知》,按照《商用密码管理条例》、《商用密码检测机构管理办法》有关规定,国家密码管理局组织对新一批商用密码检测机构(商用密码应用安全性评估业务)资质申请材料进行了审查,现将通过材料审查的19家机构名单予以公示。公示期间,任何机构及个人均可通过申请机构所在地省、自治区、直辖市密码管理部门向我局实名提出书面意见。
2024-05-29 17:18:55
2037
4
转载 PKCS规范
共9个:C_CreateObject、C_CopyObject、C_DestroyObject、C_GetObjectSize、C_GetAttributeValue、C_SetAttributeValue、C_FindObjectslnit、C_FindObjects、C_FindObjectsFinal;共6个:C_VerifyInit、C_Verify、C_VerifyUpdate、C_VerifyFinal、C_VeriryRecoverInit、C_VerifyRecover;
2024-05-11 16:00:58
1033
1
原创 密评:典型的商用密码产品测评
通过VPN技术提供的安全功能,用户可以实现在外部对企业内网资源的安全访问。主流的VPN产品包括IPSec VPN网关和SSLVPN安全网关以及安全认证网关。由于IPSec VPN和SSL VPN各自不同的技术特点,在实际部署中,IPSec VPN产品通常部署于站到站模式和端到站的模式,端到端的场景并不多见。其中,端到站、站到站之间的IPSec VPN通信需采用隧道模式,而端到端之间的IPSec VPN通信可以采用隧道模式或者传输模式。SSL VPN产品则更多地用于端到站的应用场景。
2024-04-22 17:48:04
4517
1
原创 密评:能力验证
随着商用密码应用安全性评估的快速发展,越来越多的密码从业人员参与其中,并先后取得了商用密码应用安全性评估从业人员的资格证书,为我国网络空间和信息安全奠定了坚实的基础。自2020年1月1日,《中华人民共和国密码法》正式实施以来,以法律的名义勾勒出了“以密码技术为核心、多种技术交叉融合的网络空间新安全体制”的清晰蓝图。其中商用密码应用安全性评估试点机构(简称“测评机构”)更是向着更好,更快的方向发展。从先前的(2020年7月30日)国家密码管理局公告(第40号)公布的24家测评机构试点目录,到后来的。
2024-04-08 14:38:26
2508
1
原创 《商用密码认证目录》(第一批、第二批)
GM/T 0078《密码随机数生成模块设计指南》GM/T 0105《软件随机数发生器设计指南》GM/T 0111 《区块链密码应用技术要求》GM/T 0028《密码模块安全技术要求》GM/T 0028《密码模块安全技术要求》GM/T 0103《随机数发生器总体框架》GM/T 0028《密码模块安全技术要求》GM/T 0103《随机数发生器总体框架》GM/T 0028《密码模块安全技术要求》GM/T 0028《密码模块安全技术要求》GM/T 0028《密码模块安全技术要求》
2024-01-11 09:42:31
1209
2
原创 密评:安全问题及整改建议
建议部署包或者是安装包提供商使用合规的密码技术或密码算法对重要可执行程序进行完整性保护和真实性验证,使用商用密码认证机构认证合格的密码产品或遵循密码相关国家标准、行业标准的密码技术、密码算法,对重要可执行程序完整性、真实性进行保护。(如:部署具有商用密码产品认证证书且符合GB/T 37092-2018《信息安全技术 密码模块安全要求》二级及以上密码模块要求的服务器密码机,采用SM2数字签名技术进行完整性和真实性保护。安全问题及整改建议(三级系统)通信过程中重要数据的机密性。具备密码应用安全管理制度。
2023-09-18 11:31:42
1736
原创 维吉尼亚密码原理及事例
①从题目中知道 明文为:ifeelgood 密钥k=hello。补充密钥k和明文字母格式对齐:hellohell。③然后根据上面图找到相互对应交叉的字母,即密文。
2023-05-15 13:52:32
952
1
原创 Playfair密码的基本原理及事例
若明文字母在矩阵中不同行不同列,则取其同行且与同组另一字母同列的字母为密文(eg: hs被加密为BP,ea被加密为IM或JM)若明文字母在矩阵中同行,则循环取其右边下一个字母为密文(矩阵最右边的下一个是最左边的第一个)(eg: ar被加密为RM)若明文字母在矩阵中同列,则循环取其下边下一个字母为密文(矩阵最下边的下一个是最上边的第一个)(eg: mu被加密为CM),方法是按从左到右、从上到下顺序,填入关键词的字母(去除重复字母)后,将字母表其作余字母填入。若分组到最后一组时只有一个字母,则补充字母z。
2023-05-15 10:48:52
9686
3
原创 密评:TLS协议与密码算法的关系
SHA_384:同时使用SHA _384做一个HMAC,有时候是密钥派生、有时候是完整性保护、 有的时候还会是做了一个SHA的签名。AES_256_GCM:加密的时候用AES_256_GCM的方式进行一个机密性和完整性的保护。ECDSA:对数据报文进行ECDSA的签名。P384:底层使用的一个椭圆曲线。ECDHE:临时密钥协商。
2023-05-10 16:27:42
1070
原创 密评:TCPdump抓包教程以及修改SSH协议算法套件
网卡冲突:tcpdump -w /(路径)/234.cap -e host 192.168.x.x and port 22 and tcp。在最后一行添加参数:MACs hmac-sha2-256,hmac-sha2-256-etm@openssh.com。输入以下命令:完成后将数据包从服务器拷出(如有条件,准备两个账号,主机A抓包时,主机B远程连接)输入命令: ifconfig 查看本机地址:192.168.X.X。输入命令: ssh -2 (此处截图)输入命令: /etc/
2023-05-10 15:51:49
2068
原创 密评:网络和通信层面
取证材料:wireshark抓取政务外网IPSec与IPSec VPN之间的通信信道之间的数据流量包截图、IPSec VPN配置文件截图、IPSec VPN商用密码产品认证证书、流量导出的数字证书截图、数字证书的有效性验证截图、证书的颁发者合规性证明截图等。取证材料:wireshark抓取互联网VPN与运维SSL VPN之间的运维通信信道之间的数据流量包截图、SSL VPN配置文件截图、SSL VPN商用密码产品认证证书、流量导出的数字证书截图、数字证书的有效性验证截图、证书的颁发者合规性证明截图等。
2023-05-09 14:55:27
6964
3
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人