上一篇中我们介绍了密评中的合规密码组件的第一部分:密码算法,本篇继续介绍第二部分:密码技术。
密码技术:
密码技术是指使用特定变换对数据等进行加密保护或者安全认证的技术。
1)从功能上看,密码技术主要包括加密保护技术和安全认证技术。其中加密保护是指使用特定变换,把原来可读的信息变成不能识别的符号序列,通俗来讲就是信息加密,主要用于保证信息的机密性;安全认证是指使用特定变换,确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实等,主要用于实现信息的真实性、数据的完整性和行为的不可否认性。密码技术实现的功能解决的正好是0054标准中的密码功能要求的机密性、完整性、真实性和不可否认性。
2)从内容上看,密码技术主要包括密码算法、密钥管理和密码协议。
密码算法就是上一篇我们介绍的。
密钥管理是根据安全策略,对密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等进行全生命周期的管理。密钥是密码安全的根本,需要进行严格管理,在0054标准中将密钥管理专门作为一个章节提出了相关要求,可见其重要性。
密码协议是指两个或两个以上参与者使用密码算法,为达到加密保护或安全认证目的而约定的交互规则。密码协议是将密码算法等应用于具体使用环境的重要密码技术。
密码技术有哪些:
下面列举一些常用的密码技术:
数字证书:数字证书是指CA机构发行的一种电子文档,含有用户的身份信息以及公钥。我国采用双证书、双密钥体系,包括加密证书(密钥)和签名证书(密钥),加密证书(密钥)主要用于数据加解密或密钥协商等,签名证书(密钥)主要用于数据签名或身份认证等。
身份认证:证实主体的真实身份与其所声称的身份是否相符的过程,和密码相关的身份认证主要包括基于动态口令、标识和数字证书的身份认证。
数据加解密:包括传输数据加解密和存储数据加解密,针对数据的加解密,一般使用非对称密码算法进行对称密钥的密钥协商或者分发,利用对称密码算法对实际数据进行加解密。对于用户口令的存储保护,也可以使用杂凑算法进行“加密”保护。
数据完整性保护:包括信息摘录技术和数字签名技术,能够防止数据被非法篡改,其中信息摘录主要通过杂凑算法实现,数字签名主要通过非对称密码算法实现。
网络和通讯安全:保障信息在传输形式中实现的可用性、完整性、可靠性以及具有较大的机密性。密码主要用来实现完整性和机密性。
何为合规的密码技术:
信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。
由于密码技术主要包括密码算法、密钥管理和密码协议等,因此密码技术要合规:
首先,密码技术中使用的密码算法应该是合规的密码算法。
其次,在密码算法中,密钥是控制密码变换的关键参数,对于密钥的管理要符合0054标准中密钥管理的要求。
最后,密码技术中涉及的标准密码协议应符合国内相关密码标准,如果是自定义的密码协议,设计要安全合理,同时遵循相关密码标准。
比如:
针对数字证书,我们要遵循《GM/T 0015-2012 基于SM2密码算法的数字证书格式规范》。
针对数据加解密和数据完整性保护,我们要遵循《GM/T 0010-2012 SM2 密码算法加密签名消息语法规范》。
针对网络和通讯安全,我们要遵循《GM/T 0022-2014 IPSec VPN 技术规范》和《GM/T 0024-2014 SSL VPN 技术规范》。
閱讀更多 海泰方圓 的文章
