一、前言
等级测评中,相信很多测评师在内的人都不是很了解数据的完整性和数据的保密性,因此本文将结合商密测评角度浅淡数据的完整性和保密性的理解和测评。如有错误,欢迎指正。
二、定义
2.1完整性
通俗的来说就是数据不被篡改和非授权访问。目前完整性主要是通过哈希算法来实现。
国密算法中,能够提供数据完整性的算法主要是:SM3。
国际算法中,能够提供数据完整性的算法主要是:MD5、SHA256、SHA512。
2.2保密性
通俗的来说就是数据不能是明文,目前保密性主要是通过加密算法来实现。
国密算法中,能够提供数据保密性的算法主要是:SM1和SM2,少数使用祖冲之,无线局域网中使用SM4。
国际算法中,能够提供数据保密性的算法主要是:DES、3DES、RSA、AES、ECC等。
三、数据的完整性测评
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等;
测评理解:重点有3个,1校验技术或密码技术;2传输过程中的完整性;3包括不仅限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
先一个个来看,1校验技术其实很好理解,就是类似TCP协议的CRC校验码或者海明校验码等,这是协议层面的,如果按照这要求利街,那么这条指标基本全部符合,所以目前测评难点不是在这里,而是在密码技术如何实现完整性,这里是一个容易弄混的的知识点,可能大部分人有疑惑,密码技术不是i用来加密的吗,怎么能用来保证完整性呢?其实在商用密码中,密码算法分为加密算法和哈希算法两大类,其中哈希算法常见是MD5和SHA系列,哈希算法也属于密码算法,所以通过密码技术完全可以实现完整性校验,
2传输过程中的完整性,传输过程中的完整性主要通过协议来实现,比如TLS、SSH协议,通过MAC(消息校验码)来实现整个数据报文的完整性和加密性,