操作系统密码模块要求&检测认证

1.概述

        在操作系统政府采购需求标准（2023年版）中明确提出了桌面操作系统采购需求标准、服务器操作系统政府采购需求标准，明确提出操作系统密码算法支持，包括密码算法实现、随机数生成、内置数字证书、密码协议实现，并且操作系统密码算法支持要通过商用密码检测机构检测并经商用密码认证机构认证合格。

2.操作系统密码要求

        对于标准中的密码算法支持进行分解来看：

2.1密码算法实现

        操作系统密码算法实现符合GM/T 0002、GM /T 0003和GM/T 0004规定的密码算法运算；由此可见操作系统应当把SM2算法、SM3算法、SM4算法作为标准配置，操作系统具备了对称算法、非对称算法和杂凑算法。

2.2随机数实现

        随机数质量符合GM/T 0005《随机性检测规范》或GB/T 32915《信息安全技术二元序列随机性检测方法》；

        由本条要求可以判断，真随机数生成是操作系统的必备功能，对于随机数的生成无非硬件实现和软件实现，标准中并未对操作系统随机数实现的方式提出要求，随机数的实现要结合商用密码检测机构的检测要求；

2.3数字证书要求

        操作系统内置国家电子认证根CA的根证书；

        对于本条规范要求的理解，作者认为不能通过字面来理解，国家电子认证根CA的根证书用于向下级运营CA机构提供根证书签发，作者认为操作系统只需要内置运营CA签发的可溯源、可验证的CA证书即可。证书的作用包括身份鉴别、密钥协商等。

2.4协议要求

        操作系统支持符合GB/T 38636-2020的TLCP协议。

3.操作系统密码功能

        对于操作系统内生具备的密码实现，在操作系统的安全功能中有所体现，标准中指出，操作系统应该提供基于分区的用户数据加密功能，保护用户存储区数据安全、操作系统提供浏览器符合国家密码管理要求的商用密码算法、支持国家电子认证根CA签发的符合相关要求的CA机构证书、支持符合GB/T 38636-2020的TLCP协议等；身份鉴别服务，支持口令加密算法配置，账户口令进行加密后以不可逆的密文形式保存等等。

4.商用产品认证证书（商用密码产品检测认证）

        对于操作系统的密码密码算法实现和密码功能，需通过商用密码检测机构检测并经商用密码认证机构认证合格。通过检测认证还需匹配其他标准规范，包括GM/T 0028密码模块检测规范，以及其他算法和协议检测规范，作者具有丰富的商用密码产品检测认证咨询和辅导服务经验，如有需要请添加微信，微信号：GM_T0028