浅谈商用密码应用安全性评估 (密评)
linux认证等级
商用密码应用安全性评估,是对采用商用密码技术、产品和服务集成建设的网络和信息系统中,密码应用的合规性、正确性、有效性进行评估的过程。密评是其简称。
密评工作在法律法规中有明确规定。《中华人民共和国密码法》规定,要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,并且自行或者委托商用密码检测机构开展商用密码应用安全性评估。此外,商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。
为规范密评工作,XXX制定印发了《商用密码应用安全性评估管理办法(试行)》、《商用密码应用安全性测评机构管理办法(试行)》、《商用密码应用安全性测评机构能力评审实施细则(试行)》等管理文件。其中,《商用密码应用安全性评估管理办法(试行)》规定,在重要领域网络与信息系统投入运行后,责任单位应当委托测评机构定期开展商用密码
应用安全性评估。如果评估未通过,责任单位应当限期整改并重新组织评估。此外,关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次,测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。对其他信息系统则要定期开展检查和抽查。
在参考标准方面,《中华人民共和国密码法》、《商用密码应用安全性评估管理办法(试行)》、《信息安全等级保护商用密码管理办法》都是必须遵守的参考标准。这些标准的实施,有助于提高商用密码应用的安全性和有效性,保障关键信息基础设施的安全运行。
信息安全等级保护商用密码技术实施要求》、《信息安全等级保护商用密码技术要求》、《信息系统密码测评要求》以及GM/T0054-2018《信息系统密码应用基本要求》是商用密码领域的重要规范和标准。
商用密码是密码工作的重要组成部分,主要用于保护非涉密信息,如通信、金融、税控、社保、能源等领域。商用密码在维护国家安全、促进经济发展以及保护人民众利益中发挥着不可替代的作用。1996年7月,XXX专题研究商用密码,做出了大力发展商用密码和加强对商用密码管理的决定。
根据1999年10月7日国务院发布实施的《商用密码管理条例》第一章第二条规定,商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。这个定义明确了商用密码的使用范围和作用,商用密码可以用于任何非涉密信息领域,需要用密码进行保护的信息都可以使用商用密码。
金融行业常见的国密算法包括SM2、SM3、SM4等。其中,SM2算法是基于椭圆曲线离散对数问题的公钥密码算法。由于椭圆曲线上离散对数问题的困难性要高于一般乘法上的离散对数问题的困难性,且椭圆曲线所基于的域的运算位数要远小于传统离散对数的运算位数,因此,椭圆曲线密码体制比原有的密码体制更具优越性。SM2算法于2010年年底由XXX发布,于2012年成为密码行业标准,于2016年转化为国家标准。SM2数字签名算法于2017年被ISO采纳,成为国际标准ISO/IEC-3的一部分。相比RSA算法,SM2算法具有更高的安全性,256比特的SM2算法密码强度已超过RSA-2048.
b、SM2算法的私钥长度为256比特,相比之下,RSA算法通常需要至少2048比特,甚至更长(如3072比特)。因此,SM2算法的密钥长度较短。
c、RSA私钥生成需要使用两个随机产生的大素数,并使用素数判定算法,这使得生成过程
复杂且速度较慢。相比之下,SM2私钥的生成只需要生成一个256比特的随机数,因此生成过程简单,安全风险相对较小。
d、在相同安全强度下,SM2算法在使用私钥签名时速度远超RSA算法。
2、SM3密码杂凑算法是中国商用密码杂凑算法标准,适用于数字签名、验证消息认证码和随机数生成。SM3算法通过填充、扩展和迭代压缩等步骤,生成长度为256比特的杂凑值。SM3算法与SHA-256在结构上相似,但SM3算法增加了多种新设计技术,在安全性和效率上具有优势。在保障安全性的前提下,SM3算法的综合性能指标与SHA-256相当。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。