含泪入坑 GMSSL

已于 2022-10-01 18:23:31 修改
阅读量5.4k 收藏 16
点赞数 3
分类专栏: linux 文章标签: gmssl 商密
于 2022-09-23 23:52:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alading2009/article/details/127019827
版权

个人博客

最近一次去理发,天桥底下手艺最好的发型师老张告诉我:不能再剪了,你的发量本来就不多。

是的,最近在搞商密(实情也可能是被商密搞),在存量系统里搞到头秃实属正常,不过这次不谈这个,写篇博客缓一缓。

首先是一点点基础 😉

在通用密码学领域,主要有 3 种技术:

  • 对称加密(Symmetric),使用一个密钥(一串很大的数字)将明文处理为密文,加密和解密使用同一个密钥,典型算法如 DES、三重 DES、AES。由于 DES、三重 DES、AES 都属于分组密码算法,只能加密固定长度的明文(DES 64 bit,AES 128 bit),而现实中经常需要处理超出分组长度的明文,因此必须进行迭代处理,一般有 6 种迭代模式可以选择:ECB(电子密码本模式)、CBC(密码分组链接模式)、CFB(密文反馈模式)、OFB(输出反馈模式)、CTR(计数器模式)、GCM(GMAC+CTR),此处不展开。一般不建议使用纯切块的 ECB 模式。
  • 非对称加密(Asymmetric),同样是将明文处理为密文,加密和解密使用不同的密钥,两个密钥是基于数学上的大数分解得到唯一成对的两个数字,一个作为公钥,一个作为私钥,使用公钥加密后的密文只有对应的私钥才能解密,典型算法如 RSA。
  • 单向散列(又称哈希),通过一个散列算法从明文得到散列值,但不能通过算法从散列值反向计算出明文(除非用哈希碰撞),典型算法如 MD5、SHA1、SHA224、SHA256、SHA384、SHA512、SHA3。散列值是明文的指纹。在学哈希表的时候大多数人就接触过,Java 里每个对象也有 hashCode 方法。另外,很多人会将哈希处理称为加密,这种说法显然是不正确的。

以上的技术,一般会用在哪里呢?

典型的应用领域为 TLS 层实现——可谓是集密码学技术之大成。我们日常访问各种网站时,可以留心一下浏览器地址栏最左边是否出现了一个🔒图标,有的话就用到了该技术。

在 TLS 层实现中,灵活地结合了非对称加密、对称加密、单向散列技术,可以简单地认为是通过非对称加密传递了对称密钥,然后使用对称密钥来加密传输数据,兼顾了安全性和处理效率。

还记得下面这张图吗?来自前面的一篇博文,出现在建立 HTTPS 连接过程中。我们来看看红框中的第 6 条记录—— TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • ECDHE 指密钥交换采用 ECDHE 方式进行;
  • RSA 指身份认证采用 RSA 公钥密码算法;
  • AES 指传输数据时采用 AES 算法加密;
  • 128 指 AES 算法中用到的对称密钥长度为 128 位;
  • CBC 指迭代方式为 CBC 模式;
  • SHA256 指 MAC 或 PRF 算法的加密基元为 SHA256。

如果我们看第一条 TLS_RSA_WITH_AES_128_CBC_SHA256,则密钥交换和身份认证都是采用 RSA 公钥密码算法。

另一个比较火的应用领域就是区块链了,这个此处也不展开了。

为了对标国际通用密码学算法,国内搞出了 SM 系列算法,常用的包括 SM1/SM2/SM3/SM4/SM9。

  • SM1 为分组密码算法,算法细节目前未公开,由有资质的厂商用硬件来实现——也就是没有软实现,主要通过加密卡的形式提供服务。
  • SM2(GB/T 32918-2016)为公钥密码算法(也称非对称加密算法),可以部分替代 RSA。
  • SM3(GB/T 32905-2016)为密码哈希算法,可以代替 MD5/SHA1/SHA256。
  • SM4(GB/T 32907-2016)为分组密码算法,可以代替 AES/DES。
  • SM9 为基于身份的密码算法,用于 SSL VPN,可以建立类似 PKI/CA 的身份体系。

接下来可以动手了

一般国际通用的算法,openssl 项目里都有实现,操作系统安装了 openssl,各种上层应用就可以使用这些通用密码学算法。为了推广 SM 算法,类似的实现不可或缺。北大的关志研究员在 github 上开源了一个比较活跃的项目—Gmssl,一个类似 OpenSSL 的商密算法工具。看项目首页的介绍,现在已经搞到 3.0 版本了。

下载 GMSSL-3.0.0 项目到 Fedora Workstation 36 ,编译需要一些依赖,刚装的白板系统里没有,先装上

sudo dnf install cmake g++

编译安装步骤比较简单

# 进入 src 目录
mkdir build
cd build
cmake ..
make 
make test
sudo make install

执行 gmssl 可以试试各种商密算法功能。

[1] 报错 "CMAKE_CXX_COMPILER-NOTFOUND",应安装 g++

[2] 运行 gmssl,提示找不到 libgmssl.so.3,执行:sudo cp /usr/local/lib/libgmssl.so.3 /usr/lib/ && sudo ldconfig

[3] 编译提示找不到 CMakeLists.txt,在 /build 下执行:cmake build -S ../..

夜读春秋
关注
  • 3
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
java面试题,含泪总结,详细全面
02-06
java面试题,含泪总结,详细全面
含泪奔跑的少年阅读练习及答案_.pdf
12-18
含泪奔跑的少年阅读练习及答案_.pdf
国密gmssl是一套支持国密算法的开源密码库
genli2774的博客
01-16 493
gmssl可以用于构建和测试支持国密算法的应用和产品,如国密证书、数据加密、身份认证、电子签名等。它提供了底层国密算法实现,方便开发者集成到各类应用中,比如服务器、浏览器、物联网设备等。gmssl由中国的密码学家张亚勤创建,代码托管并维护在Github上,采用社区开发模式。总体来说,这是支持国密标准比较完整和活跃的国产开源密码库。相比主流的国际通用算法如RSA、AES等,国密算法的安全性能达到或超过国际一流水平。国密(全称国家商用密码)是一系列商用密码标准,用来保障中国的信息安全。
在Linux下安装GmSSL
热门推荐
百里杨的博客
01-08 1万+
在Linux下安装GmSSL一、关于GmSSL二、解决与系统OpenSSL冲突的问题三、GmSSL源码准备四、编译与安装GmSSL1、解压并进入目录2、编译选项3、编译4、安装5、配置环境变量 一、关于GmSSL GmSSL是一个开源的密码工具箱,支持SM2/SM3/SM4/SM9/ZUC等国密(国家商用密码)算法、SM2国密数字证书及基于SM2证书的SSL/TLS安全通信协议,支持国密硬件密码设备,提供符合国密规范的编程接口与命令行工具,可以用于构建PKI/CA、安全通信、数据加密等符合国密标准的安全应
GmSSL - GmSSL的编译、安装和命令行基本指令
最新发布
小工匠
02-02 2385
Java - 一文读懂SM1、SM2、SM3、SM4等国密算法Java - OpenSSL与国密OpenSSLJava - 数字签名与数字证书下载源代码(zip): https://github.com/guanzhi/GmSSL/archive/master.zip解压缩至当前工作目录 编译与安装 Linux平台 安装之后可以执行gmssl命令行工具检查是否成功 SM4加密解密 SM3摘要 SM2签名及验签 SM2加密及解密 生成SM2根证书rootcakey.pem及CA证书cak
含泪奔跑的人最坚强.doc
03-11
含泪奔跑的人最坚强.doc
java调用Gmssl国密接口实例
03-31
java调用Gmssl中国密接口进行对称与非对称加解密等运算,动态so库进行接口jni方式调用,采取接口形式对外暴露,方便对接系统调用相关java接口进行相关运算操作。
详解gmssl和tls1.2握手流程分析及接口实现
qq_36472340的博客
04-07 2727
通过阅读openssl源码具体分析ssl握手中的报文交互流程,包括发送和处理每个报文所做的主要事情。同时分析ssl协议中的一些主要问题,包括tls和gmssl的区别、单向认证和双向认证、两种会话复用方式对比,调用openssl接口实现ssl客户端和服务端之间的通信。本篇文章梳理了tls1.2和gmssl的具体握手流程和算法实现,只进行了宏观层面的大致分析,openssl当中还有许多的细节需要在后续文章中继续分析。
python模块gmssl,SM国密算法
局外人LZ的博客
12-11 2002
gmssl 是一个用于处理国密算法的 Python 模块,它提供了对国密算法的支持,包括对称加密、非对称加密、散列函数和数字签名等,仅列出了其中两个较为完善的第三方库,需要注意的是,SM1 和 SM7 算法不公开,目前大多库仅实现了 SM2、SM3、SM4 三种密算法。
GmSSL制作国密算法自签证书和 HTTPS 配置
jingzhiz 专属移动笔记
10-09 4516
GmSSL 是一个开源(遵循 BSD 协议)的密码工具箱,支持 SM2 / SM3 / SM4 / SM9 / ZUC 等国密(国家商用密码)算法、SM2 国密数字证书及基于 SM2 证书的 SSL / TLS 安全通信协议,支持国密硬件密码设备,提供符合国密规范的编程接口与命令行工具,可以用于构建 PKI / CA 、安全通信、数据加密等符合国密标准的安全应用。GmSSL 项目是 OpenSS...
完整的认识GmSSL和(WIN+Linux)安装编译的操作流程
Sinder小德的博客
04-18 4622
超完整的认识GmSSL和(WIN+Linux)安装编译教程,和相关环境部署的操作流程.
含泪整理如何设置构建环境 (LinuxUbuntu)
10-21
本人刚接触ardupilot,本文介绍如何在 Linux/Ubuntu 机器上设置构建环境。耗时三天,每天晚上搞到12:30终于成功搞定,期间遇到各种问题,如vpn节点不稳定,网速超时,版本号不符,重新装载冲突等问题,现在将构建环境的过程分享,希望各位少走弯路。 如果您使用的是基于 debian 的系统(例如 Ubuntu 或 Mint),我们提供了一个脚本来为您完成。从 ardupilot 目录 :
含泪总结分布式书上所有考点.docx
06-27
在学习大数据时分布式系统是必修课程,我们考研也是必考内容,也为了期末考试在此含泪总结所有考点和知识点,自己感觉总结后脑海中挺清晰的,所以希望对学习这门课的大家也有所帮助。
山东大学软件工程应用与实践——GMSSL开源库(一) ——WINDOWS下GMSSL的安装与编译的超详细保姆级攻略
m0_51588039的博客
09-29 2392
2021SC@SDUSC GMSSL简介 GmSSL是一个开源的密码工具箱,支持SM2/SM3/SM4/SM9/ZUC等国密(国家商用密码)算法、SM2国密数字证书及基于SM2证书的SSL/TLS安全通信协议,支持国密硬件密码设备,提供符合国密规范的编程接口与命令行工具,可以用于构建PKI/CA、安全通信、数据加密等符合国密标准的安全应用。GmSSL项目是OpenSSL项目的分支,并与OpenSSL保持接口兼容。因此GmSSL可以替代应用中的OpenSSL组件,并使应用自动具备基于国密的安全能力。GmSSL
基于GMSSL的常用算法特点总结以及源代码分享
qq_41949110的博客
07-09 1308
本文主要有两部分,第一部分是主要是总结一些算法的特点, 第二部分是源代码,主要是基于GMSSL库的正确性测试和性能测试
gmssl 国密ssl流程测试
viqjeee的博客
03-24 4748
gmssl 国密ssl流程测试前言一 gmssl ssl流程测试 单证书单向认证二 gmssl ssl 流程 单证书 双向认证三 gmssl gmtls 流程 双证书 单向认证四 gmssl gmtls 流程 双证书 双向认证总结 前言 普通ssl/TLS中使用的是单证书,而国密ssl(gmtls)要求的是双证书,即加密证书+签名证书。 gmssl中保留了openssl中ssl、tls的流程,同时也实现了gmtls的流程。 本章将使用gmssl命令行工具,对ssl和gmtls的流程进行测试。
GMSSL双证书认证C/S(Linux版)
小敢心的博客
08-05 2608
一、下载与安装GMSSL 二、生成证书文件 三、认证通信 对于新手小白,不知道怎么入坑GMSSL学习的可以看。首先需要明白什么是 gmssl,以及怎么初步使用它,初步搞懂双证书以及认证过程,下面我给几个链接方便大家快速找到合适的学习内容(也是我挑选过的了)。 非对称加密算法(双证书需要涉及到) 常用对称、非对称、摘要加密算法介绍 国密SSL协议之双证书体系 GMSSL官方文档 环境:Ubuntu18.0.4 一、下载与安装GMSSL 到这里通过前面几篇文章,我们会对GMSSL有一个初步的了解了,下面直接上手
国密 GmSSL 版本及安装
salahi的专栏
05-05 2999
官网地址:关于GmSSL Github:https://github.com/guanzhi/GmSSL/ GmSSL版本分为: gmbrowser-v0.1 master 2.0+ develop 3.0+ 当前github默认是develop 3.0版本。 官网地址文档貌似是2.0的文档,我们选择2.0来安装 参考快速上手 wget https://github.com/guanzhi/GmSSL/archive/master.zip unzip GmSSL-master.zip ..
华为ensp常用命令大全
09-05
华为eNSP常用命令大全包括但不限于以下几个命令: 1. 进入特权模式: ``` <Huawei> system-view ``` 2. 修改设备名称: ``` [Huawei sysname <设备名称> ``` 3. 恢复设备名称为默认值: ``` [Huawei undo sysname ``` 4. 进入特定视图: ``` [Huawei <视图名称> ``` 5. 配置虚拟终端线路: ``` [Huawei user-interface vty 0 <线路号> ``` 请注意,这只是一部分华为eNSP常用命令的示例,实际上还有很多其他命令可以用于网络设备的配置和管理。您可以参考华为eNSP的官方文档或相关学习资料获取更全面的命令列表和详细说明。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [格雅Get 华为eNSP常用命令.docx](https://download.csdn.net/download/xxpr_ybgg/85632455)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [华为ensp常用操作命令 网络人凭经验含泪总结](https://blog.csdn.net/xiaobai729/article/details/123783178)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值