国密算法+国际算法=双算法SSL证书

国密算法+国际算法=双算法SSL证书

一、国密算法缘起

原创性密码学算法是信息安全保障的基石,在我国是由国家密码管理局来负责进行密码法规的起草与解释,密码算法标准的制定与实施指导。金融行业中常用的对称加密,非对称加密等算法,国际上有DES,AES,RSA。国密也有对应的SM4,SM2算法。2010年12月17日,SM2算法发布;2012年3月21日,SM2,SM3,SM4国密算法作为国家标准获批发布。

标题日期
国家密码管理局关于发布《SM2椭圆曲线公钥密码算法》公告(国密局公告第21号)2010-12-17
国家密码管理局关于发布《祖冲之序列密码算法》等6项密码行业标准公告(国密局公告第23号)2012-03-21
《信息系统密码应用测评要求》等5项 密码应用与安全性评估指导性文件发布2020-12-16
国家密码管理局公告(第43号)《信息系统密码应用测评要求》等以国家标准形式发布2021-10-19
国密算法重要时间节点

于此同时,在国密算法发布之初,银行等国家重要的行业基础设施,就已经开始了国密试点以及国密的改造工作。而国密算法的应用,涉及到方方面面。客户密码保存,用到密码算法,关键信息摘要,用到密码算法,数字签名,用到密码算法,通道传输,也用到密码算法。所以,如果一个完整的系统,要在所有的密码算法应用方面应用国密算法,是一件非常浩大的工程。比如,你现在正在浏览的这个网站,其HTTPS通道的建立,如果要应用国密算法,就是一件非常麻烦的事情。

二、HTTPS通道的国密算法应用

为什么说HTTPS通道建立如果要应用国密算法是一件非常麻烦的事情呢?因为如果是内部系统的两端之间,要应用国密算法,只要两个系统协商完,两个开发团队做改造就好了,再复杂些,比如中国银联的联网联合收单转接网络要进行国密改造,其改造数量约等于银行的数量再乘以一个比较小的系数,因为一家银行可能有不止一个系统要改造,但这种复杂度依然是可以接受的,因为数量可控。但是网站的HTTPS通道的国密改造非常麻烦呢?因为HTTPS通道,是客户的浏览器与服务器之间的通讯,所以不光服务器端要改造,关键是浏览器,而浏览器属于客户方设备,如果客户方设备不支持,你改完又咋样?至于所有客户浏览器都升级一遍,这个难度在互联网上有多大,不言而喻了。

但这个事情,也不是没有解决方法,方法就是双算法证书。HTTPS通道的建立中的一个关键,是网站的SSL证书,平常证书的申请,其加密算法都是国际算法,RSA。而要面对几乎无法全面升级的浏览器,需要有同时支持RSA+SM2国密算法的SSL证书。这样的SSL证书,面对已经支持国密的浏览器时,使用的国密算法,而面对未升级过的浏览器,则使用的是国际算法。算是比较优雅的解决了以上问题。

目前双算法SSL证书的供应商,CFCA和天威诚信都有成熟方案。

CFCA SSL证书:国产国际双算法,应用切换自适应

天威诚信 SSL证书:国密国际双算法