当前位置:文档之家 › 基于国密算法、数字证书的安全问题理解

基于国密算法、数字证书的安全问题理解

  • 格式:docx
  • 大小:413.71 KB
  • 文档页数:3

下载文档原格式

  / 6
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

基于国密算法、数字证书的安全问题理解

1. 国密算法发展背景

随着金融安全上升到国家安全高度,近年来国家有关机关和监管机构站在国家安全和长远战略的高度提出了推动国密算法应用实施、加强行业安全可控的要求。摆脱对国外技术和产品的过度依赖,建设行业网络安全环境,增强我国行业信息系统的“安全可控”能力显得尤为必要和迫切。

密码算法是保障信息安全的核心技术,尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA-1、RSA等国际通用的密码算法体系及相关标准,为从根本上摆脱对国外密码技术和产品的过度依赖。2010年底,国家密码管理局公布了我国自主研制的“椭圆曲线公钥密码算法”(SM2算法)。为保障重要经济系统密码应用安全,国家密码管理局于2011年发布了《关于做好公钥密码算法升级工作的通知》,要求“自2011年3月1日期,在建和拟建公钥密码基础设施电子认证系统和密钥管理系统应使用SM2算法。自2011年7月1日起,投入运行并使用公钥密码的信息系统,应使用SM2算法。”

2. 国密算法

安全的本质是算法和安全系统

保证安全最根本的方法是基础软件和基础硬件都是自己控制,目前我国无法短期国产化的情况下,数据加密是最好的方式。如果加密算法以及实现都是外国提供的,安全性从何说起,所以我国国家密码局发布了自主可控的国密算法

国密算法:为了保障商用密码的安全性,国家商用密码管理办公室制定了一系列密码标准,包括SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法(ZUC)那等等。

其中SM1、SM4、SM7、祖冲之密码(ZUC)是对称算法;SM2、SM9是非对称算法;SM3是哈希算法。

目前SM1、SM7算法不公开,调用该算法时,需要通过加密芯片的接口进行调用

3. 国密算法的现状

虽然在SSL VPN、数字证书认证系统、密钥管理系统、金融数据加密机、签名验签服务器、智能密码钥匙、智能IC卡、PCI密码卡等产品上改造完毕,但是目前的信息系统整体架构中还有操作系统、数据库、中间件、浏览器、网络设备、负载均衡设备、芯片等软硬件,由于复杂的原因无法完全把密码模块升级为国产密码模块,导致整个信息系统还存在安全薄弱环节。

4. 浏览器与SSL证书

SSL证书的作用就是传输加密

如果网站安装了SSL证书,就启用了https访问,那么你的访问就更加安全了。

原因是什么呢?

比如,你登陆微博,如果没有安装ssl证书,那么你提交的账号和密码就是明文的,连md5解密都不需要。

不影响你登录,不影响你访问,但是攻击者就是知道了你的账号和密码,而且是明文的。而且攻击者做的仅仅是监听你的路由器包就可以了。

有人就觉得奇怪了,现在的网站密码不都是md5 16位或者32位加密吗?

没错,加密的是数据库里保存的密码

通过加密因子把你的明文密码加密后和数据库碰撞,匹配上就登陆成功了。

但是监听你的路由网关,你发出去的账号密码是明文的呀,除了监听路由网关、攻击者还可以监听数据中心的网站服务器入口。

如果网站安装了证书,那么就启用了https访问,那么本地提交的账号密码已经加密了,而且是256位以上加密。这种加密基本不可逆,所以攻击者监听你的网关路由,监听网站的服务器都没有用,证书的安全性体现在这里。

SSL证书可以使用免费的,也可以自己搭建证书服务器。比如以前的12306抢票网站就是自己搭建证书服务器,坚持了这么多年,有利有弊。

自己搭建的证书服务器,证书不会被主流浏览器厂商承认,也不会把我们的证书加入到他们的根证书名单中,所以打开12306的时候,浏览器都会提示,这个证书有问题。

为什么私有证书会有问题?

因为,如果你的服务器被黑客攻击了,拿到了服务器权限,那就可以生成无限的证书,甚至可以在证书中植入木马。

所以要让浏览器信任你的证书,你得有能力,有资格证明你的证书服务器安全级别达到最高,即99.999%不被黑客入侵。

所以能签发证书的机构证书很少,但是不乏一些安全厂商,比如赛门铁克,但实际上赛门铁克证书服务器被攻击过。

5. 统一身份认证

统一身份认证就是判断一个用户是否为合法用户的过程。

最简单的身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的用户的用户名和口令一致,来判断用户信息是否正确。

复杂一些的身份认证方式采用一些较为复杂的算法和协议,需要用户出示更多的信息(如私钥)来证实自己的身份。

所以平平无奇的12306自然没人叼他,直接给不信任。

那么为什么12306要自建证书服务器,而不使用认证的证书机构的服务器呢?因为这些证书机构基本都是美国的。

你知道12306每天的流水多少亿?关键铁道部是国家机构,使用境外的证书风

险也特别高。

所以干脆自建证书服务器,至于安全级别,我们不从得知。

不过自去年开始,12306更换了证书。证书颁发机构是DigiCert,DigiCert 是全球领先的数字证书提供商,于2017 年收购Symantec 数字证书业务。DigiCert 是美国公司,所以这脸打的。华为也是其代理商之一。

即使使用境外证书,也不会立即就完蛋,这就是垄断。

在IP v4时代,我们国家没有域名根服务器,我们受制于人。

在IP v6时代,我们国家有1台跟服务器,不再受制于人。

我也相信,在不远的未来,我们国家也会有自己的根证书,并全球授信。

6. 统一身份认证与授权控制

统一身份认证与授权控制是相互联系的,授权控制指的是一旦用户的身份通过认证后,确定哪些资源该用户可以访问及可进行何种操作。

在一个数字化的工作体系中,应该有一个统一的身份认证系统供个应用系统使用,但权限控制由个应用系统自己管理。

7. Windows Xp能使用ie10以上浏览器吗?

不可以,最高只bai能用IE8,可以使用firefox或者chrome。

相关主题