上一篇中我們介紹了密評中的合規密碼組件的第一部分:密碼算法,本篇繼續介紹第二部分:密碼技術。
密碼技術:
密碼技術是指使用特定變換對數據等進行加密保護或者安全認證的技術。
1)從功能上看,密碼技術主要包括加密保護技術和安全認證技術。其中加密保護是指使用特定變換,把原來可讀的信息變成不能識別的符號序列,通俗來講就是信息加密,主要用於保證信息的機密性;安全認證是指使用特定變換,確認信息是否被篡改、是否來自可靠信息源以及確認行為是否真實等,主要用於實現信息的真實性、數據的完整性和行為的不可否認性。密碼技術實現的功能解決的正好是0054標準中的密碼功能要求的機密性、完整性、真實性和不可否認性。
2)從內容上看,密碼技術主要包括密碼算法、密鑰管理和密碼協議。
密碼算法就是上一篇我們介紹的。
密鑰管理是根據安全策略,對密鑰的產生、分發、存儲、使用、更新、歸檔、撤銷、備份、恢復和銷燬等進行全生命週期的管理。密鑰是密碼安全的根本,需要進行嚴格管理,在0054標準中將密鑰管理專門作為一個章節提出了相關要求,可見其重要性。
密碼協議是指兩個或兩個以上參與者使用密碼算法,為達到加密保護或安全認證目的而約定的交互規則。密碼協議是將密碼算法等應用於具體使用環境的重要密碼技術。
密碼技術有哪些:
下面列舉一些常用的密碼技術:
數字證書:數字證書是指CA機構發行的一種電子文檔,含有用戶的身份信息以及公鑰。我國採用雙證書、雙密鑰體系,包括加密證書(密鑰)和簽名證書(密鑰),加密證書(密鑰)主要用於數據加解密或密鑰協商等,簽名證書(密鑰)主要用於數據簽名或身份認證等。
身份認證:證實主體的真實身份與其所聲稱的身份是否相符的過程,和密碼相關的身份認證主要包括基於動態口令、標識和數字證書的身份認證。
數據加解密:包括傳輸數據加解密和存儲數據加解密,針對數據的加解密,一般使用非對稱密碼算法進行對稱密鑰的密鑰協商或者分發,利用對稱密碼算法對實際數據進行加解密。對於用戶口令的存儲保護,也可以使用雜湊算法進行“加密”保護。
數據完整性保護:包括信息摘錄技術和數字簽名技術,能夠防止數據被非法篡改,其中信息摘錄主要通過雜湊算法實現,數字簽名主要通過非對稱密碼算法實現。
網絡和通訊安全:保障信息在傳輸形式中實現的可用性、完整性、可靠性以及具有較大的機密性。密碼主要用來實現完整性和機密性。
何為合規的密碼技術:
信息系統中使用的密碼技術應遵循密碼相關國家標準和行業標準。
由於密碼技術主要包括密碼算法、密鑰管理和密碼協議等,因此密碼技術要合規:
首先,密碼技術中使用的密碼算法應該是合規的密碼算法。
其次,在密碼算法中,密鑰是控制密碼變換的關鍵參數,對於密鑰的管理要符合0054標準中密鑰管理的要求。
最後,密碼技術中涉及的標準密碼協議應符合國內相關密碼標準,如果是自定義的密碼協議,設計要安全合理,同時遵循相關密碼標準。
比如:
針對數字證書,我們要遵循《GM/T 0015-2012 基於SM2密碼算法的數字證書格式規範》。
針對數據加解密和數據完整性保護,我們要遵循《GM/T 0010-2012 SM2 密碼算法加密簽名消息語法規範》。
針對網絡和通訊安全,我們要遵循《GM/T 0022-2014 IPSec VPN 技術規範》和《GM/T 0024-2014 SSL VPN 技術規範》。
閱讀更多 海泰方圓 的文章
