什么是商用密码

一、什么是商用密码

1、从理解“密码”开始

密码定义：《密码法》第二条：本法所称密码，是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

密码分类：核心密码、普通密码和商用密码

**密码组成：**密码算法、密钥管理和密码协议。

■ **密码算法：**实现密码对信息进行“明”“密”变换、产生认证“标签“的一种特定规则。不同的密码算法实现不同的变换规则。算法是密码的关键，算法的强度决定了破译的难度。

■ **密钥管理：**根据安全策略，对密钥的产生、分发、存储、更新、归档、撤销、备份、恢复和销毁等密钥全生命周期的管理。算法是可以公开的，一切秘密寓于密钥之中，密钥的保密是重中之重。

■ **密码协议：**两个或两个以上参与者使用密码算法，为达到加密保护或安全认证目的而约定的交互规则。密码应用遵循的交互规则，不安全的密码协议会导致系统存在从“旁路”或“后门”窃取信息的风险。

日常生活中的密码：password，pass“通行”
word“暗号”，严格说来应该翻译成口令，是用来验证用户身份和权限的，比如我们解锁手机、登陆微博账号。

计算机术语中的密码：Cryptography，通过各种数学方法和机制实现数据的明文和密文相互转化，达到加密保护、安全认证的目的，例如RSA。

2、从“密码”到“商用密码”

**商用密码的定义：**对不涉及国家秘密内容的信息进行加密保护或者安全认证，所使用的密码技术和密码产品。

商用密码的核心：商用密码技术，国家将其列为国家秘密，任何单位和个人都有责任和义务保护商用密码技术的秘密。

国外的密码算法：DES、3DES、AES、SHA1、SHA2、SHA3、DSA、RSA、RC4等

高危密码算法：MD5、DES、RSA1024以下、SSH1.0、SSL3.0以下、SHA1等

3、密码算法的三大类别

密码算法通常可分为三大类：对称密码算法、非对称密码算法、密码杂凑算法。

**（1）对称密码算法：**在加密与解密时使用相同的密钥，两个过程是“对称”的。

**常见对称密码算法：**SM1、SM4、SM7、ZUC、DES、3DES、AES、RC4

**（2）非对称密码算法：**加密和解密使用不同的密钥。其中加密的密钥可以公开，称为公钥；解密的密钥需要保密，称为私钥。公私钥成对出现，公钥推倒出私钥在理论上不可行。

常见非对称密码算法：SM2、SM9、RSA、ECDSA、 Elgamal

（3）密码杂凑算法：将任意长度的二进制值映射为较短的固定长度的二进制值。

常见：SM3、MD5、 SHA1、 SHA2 、SHA3、

密码杂凑算法具备三大特性：

■ 单向性：为一个给定的输出找出能映射到该输出的一个输入在计算上是困难

■ 弱抗碰撞性：为一个给定的输入找出能映射到同一个输出的另一个输入在计算上是困难的的

■ 强抗碰撞性：要发现不同的输入映射到同一输出在计算上是困难的

4、商用密码的四大特性

真实性：防假冒

已授权用户可以正常访问使用

未授权用户禁止访问

完整性：防篡改

保证信息不被未经允许的授权改动

机密性：防泄漏

已授权用户可以正常查看

未授权用户无法查看

不可否认性：抗抵赖

用户不可否认之前针对资源的任何操作，包括访问、修改、删除等

■ 本章小结

1、商用密码和日常生活中的密码不一样，它是一种技术、产品或服务。

2、商用密码最重要的是商密技术，其核心是商密算法。

3、商密的四大特性分别对应四个功能：防假冒、防篡改、防泄漏、抗抵赖。