ryanzzzzz的博客

若输入长度L比特的消息，首先在消息末尾填充比特"1"，然后填充k个"0"，k满足L+k+1=448 mod 512的最小非负整数，最后填充64位的二进制串（L的二进制表示）。（1）token的生成算法为SM3，算法的输入包括2个部分：hmac_key||counter，其中hmac_key无法掌握，counter可自由选择。（3）运行修改后SM3杂凑算法，输入为counter，输出即为token。（1）已掌握counter（7501E6EA），长度4字节。（5）0xAA * 4，长度4字节。

随机数k = '0E548BCA4F4EBB616BBD2FBB670E8B0289CD1B7DA7893751A9EA5ECAF93DB649'H。），这里介绍如何通过隐式证书机制实现签名验签及加密解密。基于ICA解压缩获得WA=(Xwa，Ywa)基于ICA解压缩获得WA=(Xwa，Ywa)在能够解析隐式证书实例的基础上（（5）隐式证书机制签名验签过程。（6）隐式证书机制加密解密过程。输出：c1||c3||c2。按照SM2解密算法即可。KGC证书(Ppub)KGC证书(Ppub)比较r'是否与r相同。

00 - SEQUENCE不存在扩展项，不启用OPTIONAL（也就是无signature）），这里将介绍具体隐式证书COER编码实例。（4）隐式证书COER编码实例。了解COER编码机制后（

7）b6编码为0x020450，0x02是长度表示2个八位，0x0450是具体内容，0x04表示未使用的位数，0x50是具体内容（变长）。1）b是B类型的参数，是一个序列(SEQUENCE)，不存在扩展标记(...)，不存在 OPTIONAL或者 DEFAULT标记的选项，所以不需要对前导项进行编码。2）b1编码为0x03414243，0x03是长度表示3个八位，0x414243是具体内容（变长）。4）b3编码为0x03414243，0x03是长度表示3个八位，0x414243是具体内容（变长）。

4）KGC验证隐式证书申请合法性，生成 ToBeSignedCertificate 中从id开始 encryptionKey 的部分。6）KGC将WA作为隐式证书中 verifyKeyIndicator 的数据，生成完整的隐式证书。前面对非显式证书公钥机制（无证书和隐式证书）的密钥生成过程进行了描述（2）KGC使用系统公钥Ppub向CA申请一张证书（标准证书申请流程）。--隐式证书，无需CA签名，使用声明公钥验证（即公钥还原数据）（2）隐式证书生成过程（简要）（1）隐式证书ASN.1模板。

输入：M - msg内容，IDA - 用户标识，WA - 声明公钥，Ppub - KGC主公钥，SM2椭圆曲线参数，dA - 用户私钥。输入：M - msg内容，IDA - 用户标识，WA - 声明公钥，Ppub - KGC主公钥，SM2椭圆曲线参数，签名值（r，s）其中UA是用户部分公钥，IDA是用户标识，Xpub和Ypub则是KGC的主公钥Ppub，从而使PA同时具备用户和KGC的特征。输入：M - msg内容，IDA - 用户标识，WA - 声明公钥，Ppub - KGC主公钥，SM2椭圆曲线参数。

到这里，我们看到协同签名其实就是客户端和服务器共同构造随机数K=(k1+k2*d1)，私钥d=（d1*d2-1）的SM2签名，但客户端和客户端各自只掌握其中一部分信息。然后分析s的具体结构，可以看到与SM2签名算法也是一致的，可以理解为随机数K=(k1+k2*d1)，私钥d=（d1*d2-1）。在客户端 d1 * P2 - G = d1 * d2 * G - G = （d1*d2-1）G。在服务端 d2 * P1 - G = d2 * d1 * G - G = （d1*d2-1）G。

其中'7365637265744b657970737764417573657241'对应的就是'secretKeypswdAuserA'，注意其中'secretKey'是服务器和用户之间的共享密钥，由服务器程序自动附加到用户的输入信息开头。'9800000000000000'共8个字节，对应的是填充前内容的bit长度，例如这里长度是152bits，对应的小端16进制8字节就是'9800000000000000'。攻击方的目标是在不知道userB的口令和hash签名的情况下，成功身份鉴别。

使用ASN1文件查看器打开Seal.esl文件，如图选择SEQUECE结构中的OCTET STRING，右键选择save item content as file将内容保存为seal.cer，完成印章人数字证书导出。进入signs/sign_n(0...)目录中，可以看到文件Seal.esl（印章）和SignedValue.data（签章）两个文件，印章人数字证书和签章人数字证书分别位于其中。：OFD 文件结构化良好，支持文档的分层、书签、目录等功能，方便文档的导航和管理。（2）签章人数字证书。

椭圆曲线点加（x1，y1）+（x2，y2）椭圆曲线点减（x1，y1）-（x2，y2）椭圆曲线倍点k*（x1，y1）

生成用户私钥Da和公钥Pa，其中Da=（tA+d'A)mod N，Pa可以直接用Da计算出来，当然也可以使用标准中的公式Pa=WA+[lambda]Ppub得到。#计算Ha=Hash_SM3(ENTLa||IDa||a||b||x_G||y_G||x_pub||y_pub)#计算lambda=Hash_SM3(x_WA||y_WA||Ha) mod N。#计算tA=（w+lambda*ms）mod N。#计算WA=[w]G+Ua。

（1）对于N不小于1024比特的情况，有限时间内因数分解N是很困难的。很明显，这里N只有64比特，只需用大数因数分解工具在几秒钟内就能完成。（2）下面着手计算私钥d，由RSA算法原理可知d * e = 1 mod (p-1)(q-1)明文plaintext= ciphertext^d mod N，计算过程如下。计算得到 d = 65CC1802BEA493DD。已知如下RSA密文和公钥信息，要求解密得到明文。（3）到现在已经具备私钥d，解密密文就迎刃而解。故plaintext就是‘123456’。

OBJECT IDENTIFIER：responseType，这里值为1.3.6.1.5.5.7.48.1.1（OCSP），含义如下。ENUMERATED：reponseStatus响应状态，这里为0（successful）。OCTET STRING：response，是basicOCSPResponse对象的DER编码，具体定义如下。可以看到第一个SEQUENCE对应是ResponseData，逐层定义为。因此，可以将OCTET STRING这部分内容截取出来，再单独分析。

口令密文：SHA256（账号,口令）VdFn7wdBO4Y2Ut+C7w+1jQxcThmB/osyI5OCMpaGTS4=（5）系统比较SHA256（存储口令密文,随机数）与鉴别数是否相同。（2）系统向密码服务请求随机数、对随机数的签名和对应数字证书。随机数：KSO+hOFs1q5SkEnx8bvp6w==（3）系统向用户发送随机数、对随机数的签名和对应数字证书。随机数：KSO+hOFs1q5SkEnx8bvp6w==口令：********（Sf@94R0#）完整性保护字段：MAC或签名（略）

按照GB/T 39786中物理和环境安全对应等级的密码应用基本要求和实际环境的具体需求，对信息系统所在的机房等重要区域、电子门禁记录数据和视频监控记录数据进行密码应用设计，包括选择的密码技术和标准、采用的密码设备、密码设备的部署位置和方式、密码设备的使用和管理等内容。按照GB/T 39786中设备和计算安全对应等级的密码应用基本要求和实际环境的具体需求，对需要保护的对象进行密码应用设计，包括选择的密码技术和标准，设计必要的数据结构、采用的密码设备或模块、密码设备的部署位置和方式、密码设备的使用和管理内容。

按照GB/T 39786中物理和环境安全对应等级的密码应用基本要求和实际环境的具体需求，对信息系统所在的机房等重要区域、电子门禁记录数据和视频监控记录数据进行密码应用设计，包括选择的密码技术和标准、采用的密码设备、密码设备的部署位置和方式、密码设备的使用和管理等内容。按照GB/T 39786中设备和计算安全对应等级的密码应用基本要求和实际环境的具体需求，对需要保护的对象进行密码应用设计，包括选择的密码技术和标准，设计必要的数据结构、采用的密码设备或模块、密码设备的部署位置和方式、密码设备的使用和管理内容。

发送方使用私钥对JSON数据进行签名，接收方使用发送方的公钥验证签名的有效性。HTTPS使用SSL/TLS协议对通信数据进行加密，确保数据在传输过程中被加密，并且只有发送方和接收方能够解密和读取传输的数据。JWE是使用JSON方式来表示数据加密的数据结构，JWE由JOSE头部、JWE密钥密文、JWE初始向量、JWE额外可鉴别数据、JWE密文和JWE鉴别标识组成。消息数据的JSON序列化有两种形式，通用JSON序列化和扁平JSON序列化，前者可以包含一个签名对象组，后者只能表示一个JWS签名对象。

公共公钥P，P = （d1*d2-1）*G，从计算过程看协同签名实际私钥其实就是（d1*d2-1），但这个私钥无法被客户端或服务端完全掌握，客户端只知道d1，服务端只知道d2。（8）服务端发送R2_和R2到客户端，客户端验证R2是否等于d1*R2_，若相同则继续否则错误退出。签名过程参数t，t =（s_+K2）/d2 mod n （其中S_从客户端发送过来）（11）服务端将t发送给客户端，客户端计算得到s，从而得到最后的签名（r,s）签名过程参数s_，s_ = （K1+r）/d1 mod n。

网络安全等级保护相关标准参考《GB/T 22239-2019 网络安全等级保护基本要求》和《GB/T 28448-2019 网络安全等级保护测评要求》密码应用安全性相关标准参考《GB/T 39786-2021 信息系统密码应用基本要求》和《GM/T 0115-2021 信息系统密码应用测评要求》1系统管理1.1对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作信息审计 -运维安全管理系统（堡垒机）1.2通过系统管理员对系统的资源和运行进行配置、控制和管理，

6.1可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在应用程序的所有执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心，并进行动态关联。16.7应在数据采集、传输、存储、处理、交换及销毁等各个环节，支持对数据进行分类分级处置，最高等级数据的相关保护措施不低于第三/四级安全要求，安全保护策略在各环节保持一致。16.32采集、处理、使用、转让、共享、披露个人信息应在个人信息处理的授权同意范围内，并保留操作审计记录。

基于基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证并在应用程序的所有执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将并将验证结果形成审计记录送至安全管理中心，并进行动态关联感知。10.1工业控制系统与企业其他系统之间部署访问控制设备，配置访问控制策略，禁止任何穿越边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。-IPS入侵保护系统、抗APT攻击系统、抗DDoS攻击系统、网络回溯系统、威胁情报检测系统。

3.1对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证并在应用程序的所有执行环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管理中心，并进行动态关联感知。7.3涉及实时控制和数据传输的工业控制系统，应使用独立的网络设备组网，在物理层面上实现与其他数据网及外部公共信息网的安全隔离。4.5应提供对虚拟资源的主体和客体设置安全标记的能力，保证云服务客户可以依据安全标记和强制访问控制规则确定主体对客体的访问。

机房自动消防系统，注意灭火剂应满足机房火灾特点选择气体灭火如气溶胶、SDE、INERGEN（烟烙尽）、FM-200（七氟丙烷）、CO2（二氧化碳）等。-NVR和国密音视频加密系统客户端和服务端（视频记录数据存储完整性保护，《GM/T 0028-2014密码模块安全技术规范》）14.2室外控制设备应远离强电磁干扰、强热源等环境，如无法避免应及时做好应急处置及检修，保证设备正常运行。13.4关键感知节点设备应具有可供长时间工作的电力供应（关键网关节点设备应具有持久稳定的电力供应能力）

选择Unicode字符集的编码方式，其中【窄】指的UTF-8编码方式，也就是一个字符编码占1-4个字节（所以兼容ASCII编码），【宽】指的UTF-16编码方式，一个字符占2或4个字节。如下图，【分组列表】区域查找指的是在最上方的数据包列表区域查找；【分组详情】区域查找指的是在中间的数据包具体内容区域查找；【分组字节流】区域查找则是最下方的字节流区域查找。【十六进制值】如果选择这个规则，则查找的区域只能是分组字节流，匹配包含有目标hex字节的分组数据流。（1）选择查找目标区域（也就是在哪里去匹配特征值）

wireshark也正是因为可以读取该日志文件中的TLS密钥，从而能够还原http应用层数据内容。这里sys.log日志文件的内容示例如下。https网络包传输过程中经SSL/TSL加密后，在协议分析工具中（如wireshark）对于应用层http内容数据无法分析。wireshark软件界面中，【编辑】-【首选项】-【protocol】-【TLS】页中配置TLS密钥日志文件目录。当wireshark包解析时会调用日志文件中密钥信息，计算获得会话密钥完成基于tls协议的数据包解析，如下。

这里私钥文件中包含公钥及私钥具体信息，可以看到私钥为8E28......4E23共32字节长度，公钥为9B33......6A05共64字节。命令：openssl ecparam -outform pem -out sm2PriKey.pem -name sm2 -genkey。命令：openssl ec -in sm2PriKey.pem -pubout -out sm2PubKey.pem。命令：openssl ec -in sm2PriKey.pem -text。

89 - 1字节，标识后续0x89=137=3+1+128+2+3字节内容。3081 - 公钥标签头，81表示紧跟后续1个字节标识公钥长度。8181 - 标识后面的模式n的长度为0x81 = 129字节。028181 - 3字节，标识后续为0x81 = 129字节。0203010001 - 这里和公钥相同，也就是e的取值。010001 - RSA公钥（n，e）中的e取值。0203 - 2字节，标识e的长度为3字节。3082 - 标签头，后面接2字节标识长度。00 - 1字节，内容固定为0x00。

RDP连接建立过程，在Connection Initiation后，RDP客户端和服务端将进行双方基础配置信息交换，也就是basic settings exchange阶段。在此阶段，将包含两条消息Client MCS Connect Initial PDU和Server MCS Connect Response PDU，示例如下。GCC Conference Create Response数据。GCC Conference Create Request数据。

它提供了在网络中建立和管理RDP会话的功能，是RDP协议栈中的关键组成部分。比如，X.224协议可以与其他安全协议结合使用，如SSL（Secure Sockets Layer）或TLS（Transport Layer Security），以提供传输层的数据加密和身份验证机制。Connetction Initiation是RDP连接的第一个阶段，具体包含两个消息RDP Negotiation Request和RDP Negotiation Response，下面结合协议数据包详细分析。

（4）资源共享和远程应用程序：通过RDP协议，用户不仅可以访问远程计算机的桌面，还可以共享远程计算机上的文件、打印机和其他资源。RDP协议是一种强大而实用的远程访问协议，它提供了可视化桌面访问、安全的数据传输、多用户支持以及资源共享等特点，广泛应用于远程办公、技术支持和服务器管理等领域。（1）可视化桌面访问：RDP协议允许用户通过网络远程访问和操作远程计算机的桌面，就像在本地计算机上一样。（2）可靠且安全的传输：RDP协议使用可靠的TCP/IP协议来传输桌面、键盘、鼠标和其他设备的数据。

（5）n = FFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFF7203DF6B21C6052B53BBF40939D54123，（具体见GMT 0003.5-2012 SM2 椭圆曲线公钥密码算法第5部分：参数定义）以上两次SM2签名过程中随机数k相同，在对手获得两次签名结果Sig1和Sig2的情况下，能否计算出私钥d？待签名消息M = 1234567890AB1234567890AB。待签名消息M = 12345678901234567890。一、构造如下SM2签名算法过程1。

SSL 握手协议（身份鉴别，安全参数协商）（注意以下*标识消息只在双向身份鉴别时出现）用响应方加密证书中的公钥加密临时对称密钥Ski，再用Ski加密Ni和IDi。用发起方加密证书中的公钥加密临时对称密钥Skr，再用Skr加密Nr和IDr。使用客户端的签名私钥签名，服务端收到本消息后使用客户端签名证书验签。响应方使用消息中一起发送过来的签名证书对该签名进行验签。使用服务端签名私钥对双方随机数和服务端加密证书进行签名。签名证书，也有加密证书的参与。签名证书，也有加密证书的参与。附上签名以供身份鉴别使用。

这里要注意的是【主机验证】和【身份验证】的区别，主机验证是客户端确认所访问的服务端是目标访问对象，比如从从客户端A(192.168.3.1)连接到服务端B(192.168.3.133)上，需要验证服务端B是真实的。可以看到EdDSA public key字段中的内容与HEX编码的公钥信息标黄部分完全一致，所以服务端公钥就是在此消息中完成发送给客户端的。后续，在客户端将不再出现之前的提示，而是获得到从服务端B发来的公钥后与保持在本地的的公钥指纹进行比对，如果一致则验证成功。打开more info可以看到。

《商用密码应用安全性评估量化评估规则》（2023版）已于2023年7月发布，将在8月1日正式执行。相比较2021版，新版本有多处内容更新，具体包括5处微调和5处较大更新。

密评方案编制的目标是完成测评准备活动中获取的信息系统相关资料整理，为现场测评活动提供最基本的文档和指导方案。按照《GM-T 0116-2021 信息系统密码应用测评过程指南》标准，密评方案编制包括5项关键任务，简要汇总如下表。

以下遵循GMT 0022-2014 IPSec VPN 技术规范。IPsec提供两种封装协议AH（鉴别头，Authentication Header）和ESP（封装安全载荷，Encapsulation Security Payload）。AH可以提供无连接的完整性、数据源鉴别和抗重发攻击服务。因为AH不提供机密性服务，故AH不运行单独使用，应与ESP嵌套使用。ESP可以提供机密性、数据源鉴别、无连接的完整性、抗重放攻击服务和有限信息流量保护。

对于分组密码来说，扩散（密钥和明文每一位影响密文许多位，利用线性变换来达成）和扰乱/混淆（明文和密文关系错综复杂，利用非线性的替代变换来达成）是影响密码算法安全的主要因素。显然，其他条件相同的情况下，唯密文攻击是难度最大，选择文本攻击的难度最小。（1）差分能量分析（DPA）：通过统计方法和纠错技术对密码设备功耗的变化进行分析，提取密钥有关信息。（4）字典攻击：有可能的密钥或口令组成字典，遍历字典中的所有条目以猜测密钥或口令。（1）差分攻击：分析特定明文差异对相应的密文差分的影响，获得可能性最大的密钥。

HTTPS 在HTTP 的基础下加入SSL，HTTPS 的安全基础是 SSL，https协议的实现主要是在浏览器和应用服务器之间，具体实现方式五花八门，比如基于Apache、Tomcat、Ngnix、websphere之类的webserver配置https，甚至可以使用python等语言实现https服务器；在安全性上，ssl v**大于https，这是因为ssl v**对客户端的身份鉴别（支持多种认证方式），同时V**作为密码产品检测认证，具备安全等级，合规性更强，安全需求满足更有保障。

如下具体是授权gmcp用户可以使用sudo方式从网络中的任何主机（第一个ALL）登录，以root用户的身份去执行tcpdump命令（这里需要写tcpdump命令的完整路径，查看命令的完整路径可以使用which方法）所以一般来说，可以使用普通用户登录，在需要相关操作权限时则采用sudo方式。比如还是以tcpdump抓包为例，直接在gmcp用户下使用tcpdump命令，系统会提示无权限抓包。配置完成保存后，使用gmcp用户sudo tcpdump命令，提示输入gmcp口令，tcpdump开始正常运行抓包。

用默认tcpdump命令抓包意义不大，我们需要借助命令参数过滤目标数据包，且保存下来供分析（一般在Linux主机不方便详细分析tcpdump抓取的数据包，采取的方式是把抓包保存后放到windows主机上使用wireshark分析）（3）使用tcpdump tcp port 或者 tcpdump udp port指定端口，比如tcpdump tcp port 23抓telnet报文，或者tcpdump tcp port 22抓ssh报文。后续用tcpdump抓包使用的是ens160网络接口。