目前全球可信证书:服务器SSL证书,代码签名证书,客户端证书,都是RSA算法。国密SM2 算法一直应用不起来,目前只有客户端证书使用SM2 算法,为什么?因为浏览器,PDF阅读器,邮件客户端这些软件只信任RSA证书。某CA 曾2016年受到商业制裁,其中有一个理由就是签发了2张国密SM2 SSL证书,所以在RSA 生态圈,我们企业和国家没有任何话语权。怎么办呢?我们要建立国密SM2 可信生态圈。
政策支持:
《中华人民共和国密码法》
《金融和重要领域密码应用与创新发展工作规划(2018-2022年) 》以及相关法规文件均要求我国金融和重要领域密码应用采用SM2国产密码算法体系。在2019年5月发布的《GBT-22239 (2019) 信息安全技术-网络安全等级保护基本要求》中,明确指出应采用密码技术保证重要数据在传输过程中的保密性。
2018 年国发27号文件,要求应用符合国家要求的密码技术产品加强身份认证和数据保护。
国家关于金融和重要领域密码应用的重要文件,提出密码是保障网络安全的核心和基础支撑。
●密改密评要求
2020年12月国家密码管理局发布《信息系统密码应用测评要求》等5项密码应用与安全性评估指导性文件,对于信息系统通过密码应用保障信息系统及相关信息安全做出了较为详细的规定。
网络和通信安全
文件明确指出要采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性。(第一级到第三级) ;采用密码技术对通信实体进行双向身份鉴别,保证通信实体身份的真实性。(第四级)
通信数据完整性
文件明确规定信息系统应采用密码技术保证通信过程中数据的完整性。(第一级到第四级)
网络边界访问控制信息的完整性
文件要求信息系统采用密码技术保证网络边界访问控制信息的完整性。(第一级到第四级)
●浏览器相关政策要求
2018年7月起,谷歌发布的Chrome68开始,所有未加密的网站都会在地址栏.上明确标记为“NotSecure'(不安全)。Google很早就已经开始进行大力推广,现在各大服务器已经推出支持SSL证书的版本,并且申请SSL证书已经变成一件很容易的事情。
●国内互联网公司对SSL证书的推广
微信公众号和小程序强制要求调用方式为https,百度搜索对https的链接开始优先收录。
欧美国家为何强制要求全站https加密?为何每一个政府网站都使用HTTPS
政府网站中承载着大量的重要信息。公民期望政府网站安全可靠和可信赖。公民期望他们在.gov网站上看到的内容是官方的,他们期望他们提交给政府网站的任何信息被安全地只发送给政府,特别是如果他们提交的是个人机密信息 。
根据Netcraft统计数据,我国SSL证书部署量仅占全球的0.83%, 排名第22位,而我国网站数量已经成为全球第一位!国密SSL证书部署刻不容缓。
根据国外ECC加密算法性能研究报告:采用ECC算法,Web服务器响应时间比RSA快十几倍!
由于SM2算法比ECC做了优化,同时我们的服务器网关采用了性能比Apache和IIS更好的Ngnix服务器,经测试,比Apache和IIS RSA 2048证书快20倍以上。
SM2加密强度比RSA 3072还要强!
解决方案
1)采用SSL加密传输,确保用户客户端与服务器之间传送的数据都经过加密处理,第三方非法*听窃**者无法获取数据的明文信息;
2)利用证书技术和可信的第三方认证,可以让客户端和服务器相互识别对方的身份,用户通过简单直观的信息并可确信所访问网站的真实性;
3)保证信息的完整性,可以避免服务器和客户端之间的信息受到破坏,确保要传输的信息全部到达目的地,防止各种外部广告植入。
全浏览器支持
陕西CA采用双证书模式,为每个部署国密SM2 SSL证书网站再配置一张全球信任的RSA SSL证书,同时服务器端国密支持模块自适应加密算法,优先选国密算法加密
2021年陕西CA成为国内首批将SM2根证书内置入360安全浏览器和统信UOS操作系统信创根证书库中的数字信任服务厂商;
陕西CA国密根证书同时获得奇安信可行浏览器、麒麟软件、统信软件联合信任。
国密安全认证网关是由陕西CA自主研发的软硬件一体机,能够自动完成国密SSL证书自适应安装、CA身份认证、负载均衡等功能。该设备具有操作简单,密钥存储安全,应用对
接方便,扩展性强等特性。