SSL證書能夠有效提升網站數據傳輸的安全性,已成為政府企業網站提升數據安全的標配。而國密SSL證書由于加密算法不同,安全等級更高,逐漸受到越來越多用戶的信賴和認可。那么國密SSL證書有哪些特點,它和傳統SSL證書的區別是什么呢?本文中科三方針對國密算法和國密證書做下簡單介紹。
什么是國密算法?
為保障國家密碼應用安全,2011年國家密碼管理局發布《關于做好公鑰密碼算法升級工作的通知》,要求自2011年3月1日起在建和擬建公鑰密碼基礎設施電子認證系統和密鑰管理系統應使用國密算法。《金融和重要領域密碼應用與創新發展工作規劃(2018-2022年) 》以及相關法規文件也要求我國金融和重要領域密碼應用采用SM2國產密碼算法體系。
國密算法是指國家密碼管理局認定的一系列國產密碼算法,包括SM1-SM9以及ZUC等。其中SM1、SM4、SM5、SM6、SM7、SM8、ZUC等屬于對稱密碼,SM2、SM9等屬于公鑰密碼,SM3屬于單向散列函數。目前我國主要使用公開的SM2、SM3、SM4作為商用密碼。
SM2是基于橢圓曲線的公鑰密碼算法,包括用于數字簽名的SM2-1、用于密鑰交換的SM2-2和用于公鑰密碼的SM2-3。SM3是能夠計算出256比特的散列值的單向散列函數,主要用于數字簽名和消息認證碼。SM4是屬于對稱密碼的一種分組密碼算法,分組長度和密鑰長度均為128比特。
國密算法從SM1-SM4分別實現了對稱、非對稱、摘要等算法功能,目前已普遍應用于日常工作生活中的各個方面,如工作中使用的VPN,金融業務中的資金流轉、刷卡支付,以及門禁設施、身份認證等。
什么是國密SSL證書?
國密SSL證書是遵循國家標準技術規范并參考國際標準,采用我國自主研發的SM2公鑰算法體系,支持SM2、SM3、SM4等國產密碼算法及國密SSL安全協議的數字證書。國密SSL證書采用自主可控的密碼技術,能夠滿足政府機構、事業單位、大型國企、金融銀行等重點領域用戶對HTTPS協議國產化改造和國密算法應用的合規需求。
國密SSL證書與傳統SSL證書的區別?
1.加密算法不同
傳統SSL證書通常采用RSA算法,RSA是目前應用最為普遍的加密算法,能夠抵御絕大多數的網絡攻擊,但隨著密碼技術的飛速發展,已逐漸證實1024位的RSA算法仍然存在被攻破的風險,因此目前很多SSL證書已將RSA算法升級到2048位。
而現階段的國密SSL證書采用由我國自主設計的SM2公鑰密碼算法,這種算法基于橢圓曲線密碼理論改進而來,其加密強度比RSA算法更高。
2.安全性能不同
雖然RSA算法目前仍是SSL證書的主流算法,但隨著計算機能力的提升以及對因子分解技術的改進,對低位數RSA密鑰攻擊已成為可能。
而SM2算法普遍采用256位密鑰長度,它的單位安全強度比傳統RSA算法高很多,其破譯難度呈指數級上升。因此SM2算法可以使用更少的計算能力提供比RSA算法更高的安全強度,而其所需的密鑰長度遠比RSA更低。根據目前的研究,160位的SM2加密安全性相當于1024位RSA加密,210位SM2加密安全性相當于2048位RSA加密。
3.傳輸速度不同
在通信過程中,更長的密鑰意味著必須收發更多的數據來驗證連接。SM2算法采用更短的密鑰長度,只需要使用更少的網絡負載和計算能力,可以大大減少SSL握手時間,縮短網站響應時間。
經國外有關權威機構測試,在Web服務器中采用SM2算法,服務器新建并發處理響應時間比RSA算法快十幾倍。
4.擁有自主可控權
傳統SSL證書主要依賴于國外CA機構,一旦國外證書品牌對我國執行斷供、吊銷,我國各類重要領域的網站或信息管理系統,將面臨大規模訪問故障和巨大的數據安全泄露風險。而國密SSL證書由國內機構簽發,采用自主可控加密算法,無需擔心被國外斷供的風險。
今年俄烏沖突爆發,大量俄政府和銀行等重要網站的SSL證書被吊銷,這給我國互聯網安全特別是關鍵信息基礎設施安全敲響了警鐘。網絡安全是國家安全的重要一環,實現網絡安全技術的全面自主可控至關重要,其中關鍵是密碼技術的國產化。國密SSL證書采用自主可控的數據加密技術,保護互聯網中重要信息流轉的數據安全,對提升我國網絡信息安全與自主可控水平,具有重要戰略意義。
