背景介紹

? ? ? 隨著金融安全上升到國家安全高度，近年來國家有關機關和監(jiān)管機構站在國家安全和長遠戰(zhàn)略的高度提出了推動國密算法應用實施、加強行業(yè)安全可控的要求。擺脫對國外技術和產(chǎn)品的過度依賴，建設行業(yè)網(wǎng)絡安全環(huán)境，增強我國行業(yè)信息系統(tǒng)的“安全可控”能力顯得尤為必要和迫切。

? ? ? 密碼算法是保障信息安全的核心技術，尤其是最關鍵的銀行業(yè)核心領域長期以來都是沿用3DES、SHA-1、RSA等國際通用的密碼算法體系及相關標準，為從根本上擺脫對國外密碼技術和產(chǎn)品的過度依賴。2010年底，國家密碼管理局公布了我國自主研制的“橢圓曲線公鑰密碼算法”（SM2算法）。為保障重要經(jīng)濟系統(tǒng)密碼應用安全，國家密碼管理局于2011年發(fā)布了《關于做好公鑰密碼算法升級工作的通知》，要求“自2011年3月1日期，在建和擬建公鑰密碼基礎設施電子認證系統(tǒng)和密鑰管理系統(tǒng)應使用SM2算法。自2011年7月1日起，投入運行并使用公鑰密碼的信息系統(tǒng)，應使用SM2算法?！?/p>

國產(chǎn)密碼算法介紹

? ? ? 國產(chǎn)密碼算法（國密算法）是指國家密碼局認定的國產(chǎn)商用密碼算法，在金融領域目前主要使用公開的SM2、SM3、SM4三類算法，分別是非對稱算法、哈希算法和對稱算法。

? ? ? SM2算法：SM2橢圓曲線公鑰密碼算法是我國自主設計的公鑰密碼算法，包括SM2-1橢圓曲線數(shù)字簽名算法，SM2-2橢圓曲線密鑰交換協(xié)議，SM2-3橢圓曲線公鑰加密算法，分別用于實現(xiàn)數(shù)字簽名密鑰協(xié)商和數(shù)據(jù)加密等功能。SM2算法與RSA算法不同的是，SM2算法是基于橢圓曲線上點群離散對數(shù)難題，相對于RSA算法，256位的SM2密碼強度已經(jīng)比2048位的RSA密碼強度要高。

? ? ? SM3算法：SM3雜湊算法是我國自主設計的密碼雜湊算法，適用于商用密碼應用中的數(shù)字簽名和驗證消息認證碼的生成與驗證以及隨機數(shù)的生成，可滿足多種密碼應用的安全需求。為了保證雜湊算法的安全性，其產(chǎn)生的雜湊值的長度不應太短，例如MD5輸出128比特雜湊值，輸出長度太短，影響其安全性SHA-1算法的輸出長度為160比特，SM3算法的輸出長度為256比特，因此SM3算法的安全性要高于MD5算法和SHA-1算法。

? ? ?SM4算法：SM4分組密碼算法是我國自主設計的分組對稱密碼算法，用于實現(xiàn)數(shù)據(jù)的加密/解密運算，以保證數(shù)據(jù)和信息的機密性。要保證一個對稱密碼算法的安全性的基本條件是其具備足夠的密鑰長度，SM4算法與AES算法具有相同的密鑰長度分組長度128比特，因此在安全性上高于3DES算法。

面臨的機遇和挑戰(zhàn)

1、推廣情況說明

? ? ?國家在金融領域啟動國產(chǎn)密碼算法試點工作以來，國家發(fā)改委啟動了金融領域安全IC卡及密碼關鍵產(chǎn)品專項支持工作，積極推動產(chǎn)業(yè)鏈發(fā)展。目前支持國密算法的軟硬件密碼產(chǎn)品共699項，包括SSL網(wǎng)關、數(shù)字證書認證系統(tǒng)、密鑰管理系統(tǒng)、金融數(shù)據(jù)加密機、簽名驗簽服務器、智能密碼鑰匙、智能IC卡、PCI密碼卡等多種類型，目前已初步形成形式多樣、功能互補的產(chǎn)品鏈，并保持著持續(xù)增長的勢頭。

2、數(shù)字認證系統(tǒng)（CA）的升級改造情況

? ? ? 2015年2月國家商業(yè)密碼管理辦公室發(fā)布公告稱：根據(jù)要求全國第三方電子認證服務機構針對電子認證服務系統(tǒng)和密鑰管理系統(tǒng)公鑰算法進行了升級改造完畢已經(jīng)全面支持國產(chǎn)算法，同時各認證服務機構正在積極推動國產(chǎn)算法的應用服務改造，淘汰有安全風險以及低強度的密碼算法和產(chǎn)品。北京天威誠信作為最早成立的第三方電子認證服務機構也最早按照國密的要求完成了電子認證服務系統(tǒng)的升級改造，并且同步開始對服務類型的證書應用進行升級改造，目前已經(jīng)累計完成150余個企業(yè)的應用升級工作，使得企業(yè)信息系統(tǒng)的安全性得到了極大的提升，也為我們帶來了相應的經(jīng)濟效益。

3、挑戰(zhàn)和機遇

? ? ? 雖然在SSL VPN、數(shù)字證書認證系統(tǒng)、密鑰管理系統(tǒng)、金融數(shù)據(jù)加密機、簽名驗簽服務器、智能密碼鑰匙、智能IC卡、PCI密碼卡等產(chǎn)品上改造完畢，但是目前的信息系統(tǒng)整體架構中還有操作系統(tǒng)、數(shù)據(jù)庫、中間件、瀏覽器、網(wǎng)絡設備、負載均衡設備、芯片等軟硬件，由于復雜的原因無法完全把密碼模塊升級為國產(chǎn)密碼模塊，導致整個信息系統(tǒng)還存在安全薄弱環(huán)節(jié)。

? ? ? 作為電子認證機構這個國產(chǎn)密碼算法排頭兵來說，由于密碼服務是信息化安全建設的基礎服務，密碼的國產(chǎn)化改造和推廣就成為我們重要的歷史使命。為了普及和推廣國產(chǎn)密碼我們可以：一方面是產(chǎn)品升級改造，對于國外的產(chǎn)品，通過國產(chǎn)算法的標準出海戰(zhàn)略，讓國產(chǎn)算法成為國際標準從而國外的產(chǎn)品也就能夠支持；對于國產(chǎn)的產(chǎn)品，加快國產(chǎn)算法模塊的改造和應用，真正讓國產(chǎn)算法為信息系統(tǒng)的安全自主可控；另一方面是應用的宣傳和推廣，國產(chǎn)算法雖然在安全圈里面是眾所周知的事情，但是在其它領域根本就沒有聽說。所以對于從業(yè)者來說，就要不斷對用戶灌輸使用國產(chǎn)密碼算法以及盡快升級到國產(chǎn)算法的思想。只有從以上這兩個方面入手并且持之以恒，相信國家提出的信息安全領域的自主可控戰(zhàn)略最終就會實現(xiàn)。