国密证书全生态应用保障我国关键信息基础设施安全

网友投稿 649 2022-05-30

国密证书全生态应用保障我国关键信息基础设施安全

第七届互联网安全大会(ISC 2019)于8月19日—20日在北京雁栖湖国际会展中心顺利召开,本届大会以“应对网络战、共建大生态、同筑大安全”为主题,吸引了网络安全行业知名企业、专家、学者、政府及主管单位领导莅临现场,聚焦新形势下中国网络安全行业的发展。作为我国电子认证行业在国产密码数字证书应用的创新者和推动者,沃通CA携国密证书全生态应用产品和解决方案亮相本届ISC大会。沃通CTO王高华先生出席大会并受邀在“关键信息基础设施保护分论坛”发表演讲《国密证书全生态应用研究与实践》,现场分享国密算法和国密证书应用于网站HTTPS加密、电子邮件加密、PDF文件签名加密等领域的应用研究成果和实践经验,获得与会专家和安全从业者的热烈关注与认可。同时,沃通展位现场演示国密证书的各种产品应用也吸引了众多与会人员关注和咨询。

加快国密算法应用普及的迫切性

由于国际形势的变幻带来国家层面网络安全攻击与对抗趋势加剧,网络安全问题不仅关系到国计民生、社会发展,而且影响到国家的安全和主权。国产密码技术的应用是实现国家网络安全自主可控的重要基础,在我国网络信息安全的各环节采用国产密码技术加密数据,对应对目前的网络安全形势具有重要的战略意义。我国出台多项法规通知,要求以金融领域为主要示范行业,并在电子政务、教育、社保、交通、通信、能源、税收、公共安全、国防工业等各个关键信息基础设施广泛使用符合国家标准的国产密码算法和国产密码产品。

但目前全球主流应用环境不支持国密算法体系,我国也尚未形成支持国密算法的基础软件应用生态,导致国产密码技术的应用受到极大阻碍。以被广泛用于保护关键信息基础设施的HTTPS加密应用为例,虽然我国自主研发的SM2国产密码算法体系在安全性能上优于RSA国际算法体系,具备替代RSA算法的性能条件,但浏览器、服务器软件、操作系统等相关应用生态都不支持国密算法和国密证书,即使国内CA早就有能力签发国密SSL证书,但由于整个生态都不支持而无法实现国密算法HTTPS加密。因此,目前我国所有关键信息基础设施的通信安全仍然依赖于国外RSA SSL证书,如果国际局势变化造成RSA 证书吊销或“断供”等情况,将对我国关键信息基础设施安全造成毁灭性的打击。加快国密算法的应用普及,建立基于国密算法的“备胎”方案迫在眉睫。

王高华先生的演讲爆出了目前我国关键信息基础设施的安全防护的三个巨大安全隐患:第一,已经广泛应用的RSA SSL证书有可能像关键芯片一样“断供”,则我国关键信息基础设施将有可能瘫痪;第二,被关键信息基础设施部门广泛使用的电子邮件客户端软件Outlook会上传用户的所有邮件到微软服务器上用于分析用户邮件并提供各种特色服务,这是一个一直无人知晓的微软官网的隐私声明中写得明明白白的安全隐患;第三,目前被广泛使用的电子签名服务不仅存在弱签名算法的安全隐患,而且由于未采用国密证书签名而导致电子签署的文件的法律效力受到质疑。同时,演讲也给出了解决这三个巨大安全的隐患的基于国密算法和国密证书的解决方案。

沃通CA国密算法创新应用研究和实践

推动国密算法应用于HTTPS加密、电子邮件加密、PDF文件签名加密等领域,首先必须建立一个完整的国密生态支持体系实现国密算法全生态支持,并解决国密算法在全球主流应用环境中的兼容性问题,兼顾国密合规性及全球通用性,才能真正达到实用的水平。沃通CA致力于国密算法的技术研究和创新应用,已经推出成熟的国密证书全生态应用解决方案,自主研发基于国密算法的全生态应用产品,并创新性地设计了“SM2/RSA双证书”应用模式,解决应用环境兼容性问题,使得基于国密算法的HTTPS加密、电子邮件加密、PDF文件签名加密达到了可以大规模应用的水平。

(1) 网站HTTPS SM2加密应用实践

沃通CA提供基于国密算法的国密SSL证书,并研发支持国密算法的密信浏览器、服务器软件国密支持模块等国密应用产品,从而建立起完整的国密SSL证书全生态支持体系,确保国密算法HTTPS加密的全生态无缝应用。沃通CA还推出了“SM2/RSA双证书”服务,在国密SSL支持模块或国密SSL网关上同时部署SM2/RSA双SSL证书,由国密支持模块自动识别浏览器是否支持国密算法,自适应兼容密信浏览器、360浏览器等支持国密算法的浏览器,以及Chrome、火狐、IE、Safari等全球主流浏览器。

网站部署沃通SM2/RSA双证书方案不仅实现国密合规和全球通用,同时为网站提供无缝切换的国密算法“备胎”方案。无论RSA证书出现任何问题,服务器端无需做任何配置修改,只需用户端使用国密浏览器(密信浏览器、360浏览器),就能无缝切换使用国密算法HTTPS加密访问网站,在极端情况下也能确保网站系统的可用性和数据传输的安全性。

(2) 电子邮件SM2签名加密应用实践

密信邮件客户端遵循S/MIME国际标准和国密标准,采用数字证书签名加密邮件,确保电子邮件内容机密性、完整性以及发件方身份真实性和行为不可否认。密信邮件客户端同时支持SM2证书和RSA证书,自适应选择密码算法签名加密邮件,与使用国密证书的通信方,优先采用国密算法加密邮件;与仅使用RSA证书的通信方,自动采用RSA算法加密邮件。实现国密算法电子邮件加密,并自动兼容RSA证书和仅支持RSA算法的邮件客户端。

此外,密信邮件客户端与密信开放平台、全球公钥库、密钥管理系统(KMS)、CA证书签发系统等重要应用系统相结合,实现全自动配置证书、全自动加密邮件,解决了传统邮件客户端申请配置证书流程繁琐等问题,支持灵活的实施部署,满足客户不同场景下的应用需求,为政府机构、公共服务机构、金融机构或企业客户提供邮件全自动全加密解决方案,有效帮助政府、企业、个人保护电子邮件机密信息安全。

(3) PDF/OFD文档SM2签名加密应用实践

在电子发票、电子营业执照、电子合同等应用场景中,我国普遍采用不受Adobe信任的PDF签名证书以及非常不安全的1024位RSA算法、SHA-1签名算法实现数字签名,已签名文件在Adobe阅读器中显示“签名有问题”,脆弱的加密算法和签名算法也已经证实存在被破解的风险,既不符合国密算法签名应用合规要求,也不受Adobe阅读器信任。

沃通CA首推SM2/RSA双证书、双签名、双时间戳的PDF/OFD文档签名加密应用方案,采用Adobe信任的RSA证书确保已签名文件在Adobe系列阅读器中自动验签,解决Adobe “签名有问题”的警告;SM2国密证书确保已签名文件在支持国密算法的PDF阅读器(密信阅读器)中自动验签,确保已签名文件国密合规。此外,该方案还支持Adobe LTV(长效验证有效),支持仅提交待签名原文摘要(HASH)而无需用户提交原文从而保护用户隐私信息安全,并提供客户端我签、API接入签、本地签、云端签等灵活部署模式。沃通CA是国密局和工信部许可和Adobe全球信任认证的权威电子认证服务机构,提供的数字签名符合《电子签名法》 等法规要求,具有与手写签字和盖章同等的法律效力,可应用于数字签署电子合同、电子发票、电子营业执照、电子保单等各种数字签名应用场景。

沃通CA在HTTPS加密、电子邮件加密、PDF文件签名加密等方面的国密算法应用研究与实践,能有效地推动国密算法和国密证书在保障我国关键信息基础设施安全方面得到广泛应用。期待通过本届ISC大会的交流分享,越来越多的安全厂商和行业客户加入国密证书全面应用行列,共建国密应用“大生态”,共筑安全可信、自主可控的网络信息安全大环境。

网络安全 安全

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:关于代码评审(CodeReview)那些不得不说的事儿
下一篇:微信小程序使用GoEasy实现websocket实时通讯
相关文章