国科云提供域名管理、域名锁、智能解析、DDI、IPv6转换、SSL证书等一站式域名解决方案,并形成以云解析、云监控、云盾、云服务器为核心的云计算产品服务体系。
分类: 网络与安全
2022-12-07 17:41:32
SSL证书能够有效提升网站数据传输的安全性,已成为政府企业网站提升数据安全的标配。而国密SSL证书由于加密算法不同,安全等级更高,逐渐受到越来越多用户的信赖和认可。那么国密SSL证书有哪些特点,它和传统SSL证书的区别是什么呢?本文中科三方针对国密算法和国密证书做下简单介绍。
什么是国密算法?
为保障国家密码应用安全,2011年国家密码管理局发布《关于做好公钥密码算法升级工作的通知》,要求自2011年3月1日起在建和拟建公钥密码基础设施电子认证系统和密钥管理系统应使用国密算法。《金融和重要领域密码应用与创新发展工作规划(2018-2022年) 》以及相关法规文件也要求我国金融和重要领域密码应用采用SM2国产密码算法体系。
国密算法是指国家密码管理局认定的一系列国产密码算法,包括SM1-SM9以及ZUC等。其中SM1、SM4、SM5、SM6、SM7、SM8、ZUC等属于对称密码,SM2、SM9等属于公钥密码,SM3属于单向散列函数。目前我国主要使用公开的SM2、SM3、SM4作为商用密码。
SM2是基于椭圆曲线的公钥密码算法,包括用于数字签名的SM2-1、用于密钥交换的SM2-2和用于公钥密码的SM2-3。SM3是能够计算出256比特的散列值的单向散列函数,主要用于数字签名和消息认证码。SM4是属于对称密码的一种分组密码算法,分组长度和密钥长度均为128比特。
国密算法从SM1-SM4分别实现了对称、非对称、摘要等算法功能,目前已普遍应用于日常工作生活中的各个方面,如工作中使用的VPN,金融业务中的资金流转、刷卡支付,以及门禁设施、身份认证等。
什么是国密SSL证书?
国密SSL证书是遵循国家标准技术规范并参考国际标准,采用我国自主研发的SM2公钥算法体系,支持SM2、SM3、SM4等国产密码算法及国密SSL安全协议的数字证书。国密SSL证书采用自主可控的密码技术,能够满足政府机构、事业单位、大型国企、金融银行等重点领域用户对HTTPS协议国产化改造和国密算法应用的合规需求。
国密SSL证书与传统SSL证书的区别?
1.加密算法不同
传统SSL证书通常采用RSA算法,RSA是目前应用{BANNED}最佳为普遍的加密算法,能够抵御绝大多数的网络攻击,但随着密码技术的飞速发展,已逐渐证实1024位的RSA算法仍然存在被攻破的风险,因此目前很多SSL证书已将RSA算法升级到2048位。
而现阶段的国密SSL证书采用由我国自主设计的SM2公钥密码算法,这种算法基于椭圆曲线密码理论改进而来,其加密强度比RSA算法更高。
2.安全性能不同
虽然RSA算法目前仍是SSL证书的主流算法,但随着计算机能力的提升以及对因子分解技术的改进,对低位数RSA密钥攻击已成为可能。
而SM2算法普遍采用256位密钥长度,它的单位安全强度比传统RSA算法高很多,其破译难度呈指数级上升。因此SM2算法可以使用更少的计算能力提供比RSA算法更高的安全强度,而其所需的密钥长度远比RSA更低。根据目前的研究,160位的SM2加密安全性相当于1024位RSA加密,210位SM2加密安全性相当于2048位RSA加密。
3.传输速度不同
在通信过程中,更长的密钥意味着必须收发更多的数据来验证连接。SM2算法采用更短的密钥长度,只需要使用更少的网络负载和计算能力,可以大大减少SSL握手时间,缩短网站响应时间。
经国外有关权威机构测试,在Web服务器中采用SM2算法,服务器新建并发处理响应时间比RSA算法快十几倍。
4.拥有自主可控权
传统SSL证书主要依赖于国外CA机构,一旦国外证书品牌对我国执行断供、吊销,我国各类重要领域的网站或信息管理系统,将面临大规模访问故障和巨大的数据安全泄露风险。而国密SSL证书由国内机构签发,采用自主可控加密算法,无需担心被国外断供的风险。
今年俄乌冲突爆发,大量俄政府和银行等重要网站的SSL证书被吊销,这给我国互联网安全特别是关键信息基础设施安全敲响了警钟。网络安全是国家安全的重要一环,实现网络安全技术的全面自主可控至关重要,其中关键是密码技术的国产化。国密SSL证书采用自主可控的数据加密技术,保护互联网中重要信息流转的数据安全,对提升我国网络信息安全与自主可控水平,具有重要战略意义。