密码知识科普(精简版)
-
没有密码安全,就没有网络安全;没有网络安全,就没有国家安全。
目录
一、我国商用密码发展历程
-
商用密码——专有名词,特指用于保护不涉及国家秘密信息的密码。
-
密码是网络安全的核心技术与基础支撑。
-
我国自主知识产权密码算法——ZUC算法(用于实现新一代宽带无线移动通信系统——‘3GPP’的无线信道加密和完整性保护)、SM2、SM3、SM4、SM9。其中SM由”商“、”密“二字拼音开头构成。
二、密码是什么
-
”密码“——日常所说的账户密码、银行卡密码、开机密码等,在密码领域被称为”口令“(Password),是一种简单、初级的身份认证手段,口令不等同于密码。
-
严格来说,密码 是指 使用特定变换对数据等进行加密保护或者安全认证的物项和技术。
-
加密保护:使用特定变换,使原本可读信息变为不能识别的符号序列;
-
安全认证:使用特定变换,确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实等;
-
物项:实现加密保护或安全认证功能的设备与系统;
-
技术:物项实现加密保护或安全认证功能的方法或手段;
-
1.网络安全与密码
-
网络空间的违法犯罪活动
-
盗取商业机密
-
窥探个人隐私
-
发布虚假信息
-
劫掠财富资源
-
.......
-
-
网络空间所需保障
-
(身份的)真实性——保证消息来源可靠、没有被伪造或篡改的性质
-
(内容的)机密性——保证信息不被泄露给非授权的个人、计算机等实体的性质
-
(内容的)完整性——数据没有受到非授权的篡改或破坏的性质
-
(行为的)抗抵赖性——也称 不可否认性,指 已经发生的操作行为无法否认的性质
密码所实现的功能
-
身份认证
-
授权管理
-
责任认定
-
2.密码标准是什么
-
密码标准一般由各国或国际组织颁布。
-
世界各国都是指定专业机构对密码进行测评评估,并以国家标准的形式颁布实施。
-
目的是保证本国公民或组织使用的密码具有足够的强度,有效抵御非法攻击。
-
密码标准是动态的,会随着计算速度等相关破译技术的进步,不断修订密码安全强度指标,保证以小成本获得可靠信息安全保护。
-
密码标准:
-
国际标准
-
国家标准
-
国标
-
标准编号
-
实施时间
-
-
行业标准
-
3.密码算法与密钥
-
密码算法(数学变换)——基于数学理论,经过安全性测度、抗攻击测试和可用性验证,使其具有良好的可用性和安全性。
-
密钥(变换过程中的主要参数)配合密码算法使用。算法一般是公开的,密钥需要严密保护——加密信息具有可回溯性。
-
密钥 从生成、使用 直至 销毁,必须进行全生命周期的保护。
4.SM4分组密码算法
-
一种对称密码算法
-
明文:未加密的数据或解密还原后的数据;
-
加密:将任意长度的明文,分成固定长度的若干组,然后在密钥的控制下逐组进行加密运算,生成密文。
-
解密:将密文分成固定长度的若干组,然后使用相同的密钥进行逐组解密运算,还原出明文。
-
加密后的电子信息可用来 进行安全传输、密态存储。
信息传输前需要建立加密通信,实时传递密钥。
5.SM2公钥密码算法
-
一种非对称密码算法——加密和解密使用不同密钥的密码算法。SM2的密钥长度为256比特。
-
我国使用了双证书机制,每个用户同时拥有签名证书和加密证书
-
签名证书及其对应的签名密钥对,用于签名和验签;
-
加密证书与其对应的加密密钥对,用于加密和解密;
其中,私钥私管,公钥可公开
-
-
传递对称密钥——密码实际应用流程:
-
发方实时生成一组随机数,然后使用方的加密公钥通过SM2算法对这组随机数加密后,发送给收方;
-
收方用加密私钥解密后,获得这组随机数;
-
收发双方共同使用这组随机数作为密钥,通过SM4算法建立起加密通信。
-
-
身份鉴别
-
随机数:一种数据序列,其产生不可预测,其序列没有周期性。
-
数字签名:确认被签名数据的完整性、签名者的真实性和签名行为的不可否认性。
-
单项身份鉴别——密码实际应用流程
-
发方实时生成一组随机数,发送给收方;
-
收方收到后,使用自己的签名私钥通过SM2算法对这个随机数进行加密运算,得到的计算结果即数字签名,将数字签名发送给发方;
-
发方通过在第三方电子认证服务机构得到的收方公钥,对数字签名进行验证,检查包含在数字签名中的随机数与自己发送的随机数是否相符,相符则表明收方通过身份鉴别。
-
-
双向身份鉴别
-
双方都需要产生随机数
-
使用保障机制——电子认证服务
-
-
6.SM3密码杂凑算法
-
主要用于电子文档的完整性验证,验证原始电子文档是否被篡改。
-
密码杂凑算法——也叫 哈希函数(Hash),可以将任意长度的电子文档,经过计算提取出固定长度(256比特)的杂凑值。对原始电子文档进行任何修改都会使再次计算的杂凑值与原本不一致。
-
SM3特性:
-
不可变更性
-
唯一性
-
不可逆性
-
-
应用:
-
完整性验证
-
电子签名——保管好私钥,保证不被盗用作电子签名
-
签名过程:
-
用SM3算法计算出电子文档的杂凑值;
-
签名方用签名私钥,通过SM2算法对杂凑值进行加密;
-
将加密后的杂凑值(签名值)与电子文档合并保存。
-
-
电子签名验证过程:
-
对电子文档用SM3算法计算出杂凑值;
-
用电子签名方的公钥通过SM2算法,结合第一步产生的杂凑值对签名进行验证;
-
验证通过,说明签名是真实有效的。
-
-
-
7.SM9标识密码算法
-
基于双线性对、基于身份标识的公钥密码算法。
-
把用户的身份标识(手机号码、电子邮箱地址、QQ号等)用来生成用户的公、私钥对,用于数据加密、密钥交换、电子签名及身份鉴别等。
-
SM9算法中,用户的公钥由身份标识直接运算生成。
8.祖冲之密码算法
-
简称ZUC,属于序列密码算法。
-
主要用于4G语音、图像、视频、数据等传输过程的实时加密保护,并可以对传输的内容进行完整性验证。
-
序列密码算法:将明文逐比特/字符运算的一种对称密码算法,也称”流密码“。
-
优点:
-
可以有效消除重复明文信息的关联度;
-
可以有效防止误码扩散;
-
-
9.电子认证服务
-
依据《电子签名法》设立,专门从事电子认证服务的独立机构。
-
电子认证服务机构(CA)——对数字证书进行全生命周期管理的实体,提供数字证书颁发、用户数字证书查询、时间戳等服务。
-
数字证书——用户身份信息和SM2公钥的载体。
10.标准时间与时间戳服务
-
标准时间服务——为时间戳服务提供统一、可靠的时间来源。
-
时间戳——电子认证机构基于标准时间源,提供可信的时间证明。
-
加盖过程:用户把电子文档的杂凑值提交给电子认证服务机构,电子认证服务机构对杂凑值注明年、月、日、时、分、秒等时间信息,并签名返还给用户。
-
三、密码能做甚
1.信息的真实性——SM2、SM9
-
身份鉴别
-
设备认证
-
信息认证
2.信息的机密性——SM4、ZUC
-
加密传输
-
加密存储
3.数据的完整性——SM2、SM3
-
完整性校验
4.行为的抗抵赖性——SM2、SM3、时间戳
-
责任认定
四、密码怎么用
1.基础信息网络密码应用
| 分类 | 密码应用 | 密码算法 |
|---|---|---|
| 条件接收 | 1.保护广播、电视等广播内容不被非法接收; 2.保护网络资源不被假冒、盗用 | SM2、SM4 |
| 安全认证 | 1.保护中继基站、主机设备等网络资源不被非法假冒; 2.保护设备资源只有经过授权人员操作使用 | SM2、SM3 |
| 信息加密 | 保护网络传输、设备存储的信息不被泄露 | ZUC、SM4 |
| 信道加密 | 建立安全信道,保护传输信息不被泄露,保护不遭受电磁信息叠加破坏 | SM2、SM4 |
| 区域门禁 | 保护节目播放、信号发射、控制枢纽等核心区域 | SM2 |
2.重要信息系统密码应用
| 分类 | 密码应用 | 密码算法 |
|---|---|---|
| 安全认证 | 1.人员鉴别,防止假冒当事人骗取非法利益;2.设备认证,防止假冒设备截获信息,从事非法活动;3.网站认证,防止发布虚假信息,从事非法活动 | SM2、SM3 |
| 信息加密 | 1.保护企业商用秘密;2.保护公民个人隐私不被泄露 | SM2、SM4 |
| 完整性验证 | 1.防止文档信息被增、删、改;2.防止伪造信息;3.防御延迟、重放、组合等非法攻击 | SM2、SM3 |
| 授权管理 | 1.防止内部人员越权违规操作;2.防止非授权人员非法获悉、盗取信息 | SM2 |
| 电子签名 | 责任认定,防止否认、抵赖 | SM2、SM3 |
| 时间戳 | 责任认定,证明操作时间 | SM2 |
3.重要工业控制系统密码应用
| 分类 | 密码应用 | 密码算法 |
|---|---|---|
| 安全认证 | 1.人员鉴别,防止假冒人员操作控制系统;2.设备认证,防止非法设备骗取控制权;3.信息认证,防止虚假信息 | SM2、SM3 |
| 信息加密 | 保护调度指令等重要信息的传输安全 | SM4 |
| 完整性验证 | 1.防止篡改调度控制、生产数据等;2.防止伪造控制信息;3.防止延迟、重放、组合等非法攻击 | SM2、SM3 |
| 授权管理 | 1.防止内部人员越权违规操作;2.防止非授权人员非法获悉、盗取信息 | SM2 |
| 电子签名 | 责任认定,防止否认、抵赖 | SM2、SM3 |
| 时间戳 | 责任认定,证明操作时间 | SM2 |
4.面向社会服务的政务信息系统密码应用
| 分类 | 密码应用 | 密码算法 |
|---|---|---|
| 安全认证 | 1.身份鉴别,防止假冒当事人、机构骗取非法利益;2.设备认证,防止非法设备盗取信息;3.信息认证,防止虚假信息 | SM2、SM9、SM3 |
| 信息加密 | 保护文档信息安全存储、传输 | SM4 |
| 完整性验证 | 1.防止文档信息被非法增添、删除、篡改;2.防止伪造信息;3.防止延迟、重放、组合等非法攻击 | SM2、SM3 |
| 授权管理 | 1.防止内部人员越权违规操作;2.防止非授权人员非法获悉、盗取信息 | SM2 |
| 电子签名 | 责任认定,防止否认、抵赖 | SM2、SM3 |
| 时间戳 | 责任认定,证明操作时间 | SM2 |
五、密码怎么管
1.依法管理密码——《商用密码管理条例》
涉及到密码应用系统的:
-
设计
-
开发
-
集成
-
使用
-
运维外包
2.商用密码应用安全性评估审查
评估审查考虑的因素:
-
相关攻防技术的新发展
-
密码应用系统扩容、升级改造,以及业务调整、新业务加载等,给原系统带来了哪些新变化、新风险
-
重新作出一个防范安全风险的密码应对安排
3.项目立项
立项形式审查要点:
-
规划建设方案是否同步规划了密码应用
-
密码应用建设单位是否具有国家密码管理机构授予的商用密码相关许可资质,且资质有效
-
使用的是否是国家密码管理机构批准使用的密码产品(包括密码算法)
4.密码论证
方案论证形式审查要点:
-
规划建设方案是否按照要求规划了密码应用
-
是否按照要求进行了密码应用安全性评估,且通过评估
-
密码应用建设单位是否具有国家密码管理机构授予的商用密码相关许可资质,且资质有效
-
使用的是否是国家密码管理机构批准使用的密码产品(包括密码算法、产品型号等)
5.招标评标
项目评标形式审查要点:
-
规划建设方案是否按照要求规划了密码应用
-
是否按照要求进行了密码应用安全性评估,且通过评估
-
密码应用建设单位是否具有国家密码管理机构授予的商用密码相关许可资质,且资质有效
-
使用的是否是国家密码管理机构批准使用的密码产品(包括密码算法、产品型号等)
391
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
