含泪入坑 GMSSL

已于 2022-10-01 18:23:31 修改
阅读量5.5k 收藏 16
点赞数 3
分类专栏: linux 文章标签: gmssl 商密
于 2022-09-23 23:52:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alading2009/article/details/127019827
版权

个人博客

最近一次去理发,天桥底下手艺最好的发型师老张告诉我:不能再剪了,你的发量本来就不多。

是的,最近在搞商密(实情也可能是被商密搞),在存量系统里搞到头秃实属正常,不过这次不谈这个,写篇博客缓一缓。

首先是一点点基础 😉

在通用密码学领域,主要有 3 种技术:

  • 对称加密(Symmetric),使用一个密钥(一串很大的数字)将明文处理为密文,加密和解密使用同一个密钥,典型算法如 DES、三重 DES、AES。由于 DES、三重 DES、AES 都属于分组密码算法,只能加密固定长度的明文(DES 64 bit,AES 128 bit),而现实中经常需要处理超出分组长度的明文,因此必须进行迭代处理,一般有 6 种迭代模式可以选择:ECB(电子密码本模式)、CBC(密码分组链接模式)、CFB(密文反馈模式)、OFB(输出反馈模式)、CTR(计数器模式)、GCM(GMAC+CTR),此处不展开。一般不建议使用纯切块的 ECB 模式。
  • 非对称加密(Asymmetric),同样是将明文处理为密文,加密和解密使用不同的密钥,两个密钥是基于数学上的大数分解得到唯一成对的两个数字,一个作为公钥,一个作为私钥,使用公钥加密后的密文只有对应的私钥才能解密,典型算法如 RSA。
  • 单向散列(又称哈希),通过一个散列算法从明文得到散列值,但不能通过算法从散列值反向计算出明文(除非用哈希碰撞),典型算法如 MD5、SHA1、SHA224、SHA256、SHA384、SHA512、SHA3。散列值是明文的指纹。在学哈希表的时候大多数人就接触过,Java 里每个对象也有 hashCode 方法。另外,很多人会将哈希处理称为加密,这种说法显然是不正确的。

以上的技术,一般会用在哪里呢?

典型的应用领域为 TLS 层实现——可谓是集密码学技术之大成。我们日常访问各种网站时,可以留心一下浏览器地址栏最左边是否出现了一个🔒图标,有的话就用到了该技术。

在 TLS 层实现中,灵活地结合了非对称加密、对称加密、单向散列技术,可以简单地认为是通过非对称加密传递了对称密钥,然后使用对称密钥来加密传输数据,兼顾了安全性和处理效率。

还记得下面这张图吗?来自前面的一篇博文,出现在建立 HTTPS 连接过程中。我们来看看红框中的第 6 条记录—— TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • ECDHE 指密钥交换采用 ECDHE 方式进行;
  • RSA 指身份认证采用 RSA 公钥密码算法;
  • AES 指传输数据时采用 AES 算法加密;
  • 128 指 AES 算法中用到的对称密钥长度为 128 位;
  • CBC 指迭代方式为 CBC 模式;
  • SHA256 指 MAC 或 PRF 算法的加密基元为 SHA256。

如果我们看第一条 TLS_RSA_WITH_AES_128_CBC_SHA256,则密钥交换和身份认证都是采用 RSA 公钥密码算法。

另一个比较火的应用领域就是区块链了,这个此处也不展开了。

为了对标国际通用密码学算法,国内搞出了 SM 系列算法,常用的包括 SM1/SM2/SM3/SM4/SM9。

  • SM1 为分组密码算法,算法细节目前未公开,由有资质的厂商用硬件来实现——也就是没有软实现,主要通过加密卡的形式提供服务。
  • SM2(GB/T 32918-2016)为公钥密码算法(也称非对称加密算法),可以部分替代 RSA。
  • SM3(GB/T 32905-2016)为密码哈希算法,可以代替 MD5/SHA1/SHA256。
  • SM4(GB/T 32907-2016)为分组密码算法,可以代替 AES/DES。
  • SM9 为基于身份的密码算法,用于 SSL VPN,可以建立类似 PKI/CA 的身份体系。

接下来可以动手了

一般国际通用的算法,openssl 项目里都有实现,操作系统安装了 openssl,各种上层应用就可以使用这些通用密码学算法。为了推广 SM 算法,类似的实现不可或缺。北大的关志研究员在 github 上开源了一个比较活跃的项目—Gmssl,一个类似 OpenSSL 的商密算法工具。看项目首页的介绍,现在已经搞到 3.0 版本了。

下载 GMSSL-3.0.0 项目到 Fedora Workstation 36 ,编译需要一些依赖,刚装的白板系统里没有,先装上

sudo dnf install cmake g++

编译安装步骤比较简单

# 进入 src 目录
mkdir build
cd build
cmake ..
make 
make test
sudo make install

执行 gmssl 可以试试各种商密算法功能。

[1] 报错 "CMAKE_CXX_COMPILER-NOTFOUND",应安装 g++

[2] 运行 gmssl,提示找不到 libgmssl.so.3,执行:sudo cp /usr/local/lib/libgmssl.so.3 /usr/lib/ && sudo ldconfig

[3] 编译提示找不到 CMakeLists.txt,在 /build 下执行:cmake build -S ../..

夜读春秋
关注
  • 3
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
GMSSL-通信
qq_36577699的博客
04-12 621
GmSSL这个库的问题很多,发现许多库和它都不能正常通信,都需要修改代码,不是修改客户端就是修改服务端,而且这个开源项目基本处于不维护的状态,如果准备集成的GM通信的,优先选择。最近再做国密通信的项目开发,以为国密也就简单的集成一个库就可以完事了,没想到能有这么多。理论上客户端和服务端的证书应该是俩套,也可以直接客户端和服务器用一样的证书,我这里直接用了一套,大家可以自行测试俩套的。这里就不提供证书生成的过程了,网上生成的教程很多,GMSSL需要五个证书。1、经过最近几天的测试,发现。
含泪奔跑的少年阅读练习及答案_.pdf
12-18
含泪奔跑的少年阅读练习及答案_.pdf
GMSSL接口使用总结
萧剑轻歌的博客
11-12 2528
RSA相关 AES相关 证书相关 PEM格式证书 -> X509 * 读取PEM文件 FILE* fp; X509* cacert = X509_new(); if (!(fp = fopen("CACERT", "r"))) { printf("Error reading CA cert file\n"); return CERT_FAIL; } if (!(cacert = PEM_read_X509(fp, NULL, NULL, NULL))) { printf("Error
GMSSL双证书认证C/S(Linux版)
小敢心的博客
08-05 2715
一、下载与安装GMSSL 二、生成证书文件 三、认证通信 对于新手小白,不知道怎么GMSSL学习的可以看。首先需要明白什么是 gmssl,以及怎么初步使用它,初步搞懂双证书以及认证过程,下面我给几个链接方便大家快速找到合适的学习内容(也是我挑选过的了)。 非对称加密算法(双证书需要涉及到) 常用对称、非对称、摘要加密算法介绍 国密SSL协议之双证书体系 GMSSL官方文档 环境:Ubuntu18.0.4 一、下载与安装GMSSL 到这里通过前面几篇文章,我们会对GMSSL有一个初步的了解了,下面直接上手
gmssl基础命令介绍
最新发布
qq_34322136的博客
06-21 229
ChatGPT 命令: help:打印此帮助信息 version:打印版本信息 rand:生成随机字节 sm2keygen:生成SM2密钥对 sm2sign:生成SM2签名 sm2verify:验证SM2签名 sm2encrypt:使用SM2公钥加密 sm2decrypt:使用SM2私钥解密 sm3:生成SM3哈希 sm3hmac:生成SM3 HMAC标签 sm3_pbkdf2:使用PBKDF2算法将密码哈希成密钥 sm3xmss_keygen:生成SM3-XMSS密钥对 sm4_ecb:使用SM4 E
在Linux下安装GmSSL
热门推荐
百里杨的博客
01-08 1万+
在Linux下安装GmSSL一、关于GmSSL二、解决与系统OpenSSL冲突的问题三、GmSSL源码准备四、编译与安装GmSSL1、解压并进目录2、编译选项3、编译4、安装5、配置环境变量 一、关于GmSSL GmSSL是一个开源的密码工具箱,支持SM2/SM3/SM4/SM9/ZUC等国密(国家商用密码)算法、SM2国密数字证书及基于SM2证书的SSL/TLS安全通信协议,支持国密硬件密码设备,提供符合国密规范的编程接口与命令行工具,可以用于构建PKI/CA、安全通信、数据加密等符合国密标准的安全应
GmSSL-3.0.0国密支持的验证笔记
yjkhtddx的专栏
08-01 1245
github上的tag只有3.0.0和3.1.1两个版本。
在Centos8上如何安装GMSSL3.0
qq_40914472的博客
04-06 582
echo /usr/local/gzgmssllib/lib > /etc/ld.so.conf.d/gmssl.conf (编译出来的动态库需要指定路径)以上命令将编译和安装GMSSL库和工具。GMSSL将安装到系统默认的路径’/usr/local/gzgmssllib。GMSSL依赖于一些其他软件包,您需要在安装GMSSL之前安装这些软件包。在安装GMSSL之前,请先更新CentOS软件包,以确保系统是最新的。如果GMSSL已正确安装,将显示当前GMSSL的版本信息。编译和安装GMSSL
Python实现AES算法和国密SM4算法
牧羊人的方向
10-07 3412
本文主要介绍使用AES加密算法的Python实现和shell脚本实现、SM4国密算法的Python实现。Python使用pycryptodome实现AES加解密、使用GmSSL实现SM4加解密算法;Shell脚本使用openssl实现AES加解密
openssl gmssl SM2 公私钥生成 签名验签加密解密命令
择一事终一生
10-19 9282
国密SM2 OpenSSL EVP接口例子 使用openssl的EVP接口使用sm2算法加解密等操作 生成密钥 gmssl ecparam -genkey -name sm2p256v1 -text -out sm2.key 生成公钥 gmssl ec -in sm2.key -pubout -out pk.pem 创建测试文件 echo "jasonruan" >> readme.txt 签名 gmssl dgst -sm3 -sign sm2.key -out sm2.sig readm.
含泪奔跑的人最坚强.doc
03-11
文档标题“含泪奔跑的人最坚强.doc”虽然看似与IT技术无关,但其核心思想——坚韧不拔的精神,实际上在IT行业中同样具有重要的意义。在IT这个快速变化、竞争激烈的领域,开发者、工程师、项目经理等都需要具备这种...
gmssl测试sm2加解密、签名、随机数
12-22
gmssl测试代码基础上修改,实现sm2加解密调用、sm2签名调用和验证、符合国标的随机数生成方式调用
libgmssl.so
06-15
64位ubuntu下编译的GmSSL Java Wrapper需要的libgmssl.so,测试可用。
java面试题,含泪总结,详细全面
02-06
在 Java 面试中,理解基础概念和深细节至关重要。以下是一些常见的 Java 面试题及其详细解释: 1. **JDK 和 JRE 的区别** - JDK(Java Development Kit)是 Java 开发工具包,包含了 JRE(Java 运行环境),以及...
含泪整理如何设置构建环境 (LinuxUbuntu)
10-21
本人刚接触ardupilot,本文介绍如何在 Linux/Ubuntu 机器上设置构建环境。耗时三天,每天晚上搞到12:30终于成功搞定,期间遇到各种问题,如vpn节点不稳定,网速超时,版本号不符,重新装载冲突等问题,现在将构建...
含泪总结分布式书上所有考点.docx
06-27
分布式系统是现代信息技术领域的重要组成部分,特别是在大数据和云计算的背景下,掌握分布式系统的基本概念和特性至关重要。本篇文章将深解析分布式系统的定义、特点、关键目标,以及与集中式系统的区别,同时探讨...
gmssl编译安装过程,避免与服务器已安装的openssl冲突
chhlilt专栏
03-23 2662
1、登录服务器,从Git上把源码拿下来: git clonegit://github.com/guanzhi/GmSSL.git $ git clone git://github.com/guanzhi/GmSSL.git 正克隆到 'GmSSL'... remote: Enumerating objects: 2, done. remote: Counting objects: 100%...
so 对XXX未定义的引用
无左无右的博客
05-18 1774
make all -j1 CXX/LD -o .build_release/tools/create_label_map.bin .build_release/lib/libcaffe-nv.so:对‘caffe::BlockingQueue<cv::Mat>::peek()’未定义的引用 .build_release/lib/libcaffe-nv.so:对‘caffe::Bloc...
"JDK和JRE的区别以及==和equals的区别
"Java面试题大全,含泪总结,详细全面,包括JDK和JRE的区别,==和equals的区别等。首先,JDK和JRE的区别在于JDK是Java开发工具包,提供了Java的开发环境和运行环境,包括编译器和调试工具;而JRE是Java运行环境,为...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值