从入门到精通:密评科普系列(一)什么是商用密码

admin 2022年5月7日08:50:35安全闲碎 安全百科评论11 views1735字阅读5分47秒阅读模式

本系列指导思想:当我们要理解一个复杂问题,不妨将它拆解成一个个微小问题单元。


向上滑动阅览目录

从入门到精通:密评科普系列

一、什么是商用密码

1、从理解“密码”开始

2、从“密码”到“商用密码”

3、密码算法的三大类别

4、商用密码的四大特性

二、什么是密评

1、评估对象

2、评估内容

3、评估标准

4、评估流程

三、为什么要做密评

1、密评发展史

2、商密市场现状

3、密评必做的六个原因

4、不做密评的后果

四、密评实施方案

五、过密评之要点、难点、得分点

1、要点

2、难点

3、得分点

六、关于密评的常见问题

1、运营单位怎么判定是否需要开展密评?

2、不做密评或测评结果不合规有什么影响?

3、等保中的密码要求有哪些(以等保三级系统为例)




一、什么是商用密码


1、从理解“密码”开始


密码定义:《密码法》第二条:本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务


密码分类:核心密码、普通密码和商用密码


密码组成:密码算法、密钥管理和密码协议。


■ 密码算法:实现密码对信息进行“明”“密”变换、产生认证“标签“的一种特定规则。不同的密码算法实现不同的变换规则。算法是密码的关键,算法的强度决定了破译的难度。


■ 密钥管理:根据安全策略,对密钥的产生、分发、存储、更新、归档、撤销、备份、恢复和销毁等密钥全生命周期的管理。算法是可以公开的,一切秘密寓于密钥之中,密钥的保密是重中之重。


■ 密码协议:两个或两个以上参与者使用密码算法,为达到加密保护或安全认证目的而约定的交互规则。密码应用遵循的交互规则,不安全的密码协议会导致系统存在从“旁路”或“后门”窃取信息的风险。



日常生活中的密码:password,pass“通行” word“暗号”,严格说来应该翻译成口令,是用来验证用户身份和权限的,比如我们解锁手机、登陆微博账号。


计算机术语中的密码:Cryptography,通过各种数学方法和机制实现数据的明文和密文相互转化,达到加密保护、安全认证的目的,例如RSA。




2、从“密码”到“商用密码”


商用密码的定义:对不涉及国家秘密内容的信息进行加密保护或者安全认证,所使用的密码技术和密码产品。


商用密码的核心:商用密码技术,国家将其列为国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。

从入门到精通:密评科普系列(一)什么是商用密码


国外的密码算法:DES、3DES、AES、SHA1、SHA2、SHA3、DSA、RSA、RC4等


高危密码算法:MD5、DES、RSA1024以下、SSH1.0、SSL3.0以下、SHA1等




3、密码算法的三大类别


密码算法通常可分为三大类:对称密码算法、非对称密码算法、密码杂凑算法。


(1)对称密码算法:在加密与解密时使用相同的密钥,两个过程是“对称”的。

常见对称密码算法:SM1、SM4、SM7ZUC、DES、3DES、AES、RC4

从入门到精通:密评科普系列(一)什么是商用密码


(2)非对称密码算法:加密和解密使用不同的密钥。其中加密的密钥可以公开,称为公钥;解密的密钥需要保密,称为私钥。公私钥成对出现,公钥推倒出私钥在理论上不可行。

常见非对称密码算法:SM2、SM9、RSA、ECDSA、 Elgamal


从入门到精通:密评科普系列(一)什么是商用密码


(3)密码杂凑算法:将任意长度的二进制值映射为较短的固定长度的二进制值。

常见:SM3、MD5、 SHA1、 SHA2 、SHA3、

密码杂凑算法具备三大特性:

■ 单向性:为一个给定的输出找出能映射到该输出的一个输入在计算上是困难

■ 弱抗碰撞性:为一个给定的输入找出能映射到同一个输出的另一个输入在计算上是困难的的

■ 强抗碰撞性:要发现不同的输入映射到同一输出在计算上是困难的



4、商用密码的四大特性


真实性:防假冒

已授权用户可以正常访问使用

未授权用户禁止访问

完整性:防篡改

保证信息不被未经允许的授权改动

机密性:防泄漏

已授权用户可以正常查看

未授权用户无法查看

不可否认性:抗抵赖

用户不可否认之前针对资源的任何操作,包括访问、修改、删除等


■ 本章小结

1、商用密码和日常生活中的密码不一样,它是一种技术、产品或服务。

2、商用密码最重要的是商密技术,其核心是商密算法。

3、商密的四大特性分别对应四个功能:防假冒、防篡改、防泄漏、抗抵赖。









从入门到精通:密评科普系列(一)什么是商用密码从入门到精通:密评科普系列(一)什么是商用密码

↑↑↑长按图片识别二维码关註↑↑↑



原文始发于微信公众号(全栈网络空间安全):从入门到精通:密评科普系列(一)什么是商用密码

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月7日08:50:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  从入门到精通:密评科普系列(一)什么是商用密码 http://cn-sec.com/archives/982780.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: