正在閱讀:商密圈大咖齊聚北京 共商國密開源未來發展方向商密圈大咖齊聚北京 共商國密開源未來發展方向

2019-07-31 10:37 出處:其他 作者:佚名 責任編輯:songshipeng

  [PConline 資訊]2019年7月26日,星期五,北京已經連續被驕陽炙烤了一周,最高溫度甚至超過 了40攝氏度。但是相比室外的高溫,商密圈精英們參與“基於國密算法的OpenSSL技術沙龍”的熱情更高,一百多名北京商密協會會員單位代表、企業用戶代表參會。

  本次沙龍由北京市密碼管理局指導,北京商用密碼行業協會主辦,北京江南天安科技有限公司承辦,北京江南天安科技有限公司副總經理李國主持。本次沙龍雲集了北京市密碼局領導、國家偵測中心老師、大專安全專家、業界研發大牛,為參會嘉賓全方位解讀國密開源技術。

  北京市密碼局商密處馮育暉處長首先致開幕詞。馮育暉處長表示,由於SSL協議安全信道能夠保護數據保密性、數據完整性、安全驗證,以及開源的特點,具有優秀的多用途、跨平台性能特點,具有廣泛的適用性。作為當今網路數據加密的主要協議之一,對基於國密算法的SSL開展技術研討是非常必要的,在討論基於國密算法的SSL技術發展趨勢、產品和解決方案的基礎上,規避協議存在的漏洞,保護賬號、網銀和郵箱安全。同時,探索建立產品規范、應用規范等相應標準,推動相關產業發展。相信透過我們的共同努力,會出現更多更好更適用的密碼產品,在智慧城市建設和運行中發揮作用,為網路安全保駕護航。

  接下來,國家商用密碼偵測中心偵測主管燕爽就國密SSL 產品要求與偵測展開了演講。燕爽表示,根據國密局字[2018]419號文的要求,目前SSL VPN產品除了要遵循《SSL VPN技術規范》和《SSL VPN 通訊閘產品規范》以外,還需要遵循《密碼模組安全技術要求》、《密碼模組安全偵測要求》的相關安全要求。SSL VPN產品可以分為服務端產品和用戶端產品兩類,服務端的典型產品是安全通訊閘;用戶端的典型產品是瀏覽器。燕爽從硬體要求、功能要求、安全與管理要求、性能偵測四個方面,介紹了SSL VPN的產品要求和偵測內容與方法。

  北京大學資訊安全實驗室關志副研究員就GMSSL的設計與應用展開了演講。關志簡單介紹了GMSSL的開發背景:20120年國家密碼管理局公開了包括SM2公鑰密碼、SM3哈希算法和SM4分組密碼等商用密碼算法的相關標準之後,有開發者使用互聯網上的零散國密算法代碼片段或自行開發,為軟體的安全性和可靠性帶來了隱患。GMSSL是一個提供了完整國產密密碼的密碼庫,為開源軟體開發者提供了穩定的開發接口和成熟的算法實現,可以促進國產密碼算法在國產開源軟體領域的進一步應用。關志強調,GMSSL是支援國產密碼算法的OpenSSL分支,支援SM1/2/3/4/9 、ZUC、SSF33、OTP等全部國密算法,SM4支援NIST 13種模式中除FF1和TKW之外的11種,國密算法支援抽象的EVP接口,國密算法支援X.509/PKCS#5/PKCS#7/PKCS#8,覆蓋GM/T文本中的測試向量,可以快速實現SM2/4接近4倍的性能提升,不依賴第三方庫,支援國密硬體。

  深圳證券通信有限公司項目負責人郭寧為嘉賓講解了OpenSSL在結算通信系統國密改造中的應用。郭寧表示,中國證券登記結算有限責任公司計劃於2020年底前完成結算通信系統國產商用密碼改造與用戶推廣工作,要求:根據不同業務的實際情況,制定合理的實施方案,確保業務的連續性和穩定性。經過多方選型,深圳證券通信有限公司最終選擇了北京江南天安科技有限公司的TASSL方案,該方案具有以下特點:更契合業務系統目前的結構,不因算法改變而引起結構的較大變化,便於運維和管理人員進行持續化支援;提供的天安密碼服務平台可支援多加密機熱備和負載均衡功能,節約了改造過程中的資源投入;TASSL相容OpenSSL的算法接口,其功能設計和API接口調用方便,利於集成。郭寧強調,江南天安的TASSL方案符合深證通對基本功能、性能、相容性、穩定性的要求:透過了POC測試,集成開發驗證、功能測試、性能測試、相容性測試、穩定性測試;基本驗證了TASSL的解決方案的各個方面;方案符合業務系統國密改造的基本功能、性能、相容性與穩定性需求。

  格爾軟體鄭強博士與嘉賓享分享了CTLS標準化進展與可鑒別加密機制的內容。鄭強表示,目前密標委正在制定DTLCP和TLS的相關標準。 DTLCP,主要研究基於UDP的數據報傳輸層密碼協議。在TLCP的基礎上,引入序列號和滑動窗口、消息分片與重組、消息超時重傳、無狀態Cookie等機制保障基於UDP的應用協議在傳輸層的安全性。同時擬透過預配置密碼套件、預共享密鑰衍生等方式提高本協議在物聯網和流媒體等資源受限或即時環境中的適用性。TLS協議擴展字段技術規范,研究現有國密TLS協議中的必要的擴展字段的技術規范,包括:擴展字段的種類、使用條件、技術定義、伺服器和用戶端的處理方法等內容。鄭強還對後續CTLS+標準化提出了優化建議避免大改動,建議如下一些改動:只支援AEAD,不再支援CBC模式;增加支援流加密模式;密鑰導出函數採用HKDF方式。

  信安世紀汪宗斌總工程師與嘉賓分享了自己對GM/T 0024對TLS的發展的看法。GM/T 0024—2014,參照RFC 4346 The Transport Layer Security(TLS) Protocol 1.1,部分參考了RFC 5246 The Transport Layer Security(TLS) Protocol 1.2,增加了IBC認證模式和密鑰交換模式,定義了自己的密碼套件 0xE0 xx,增加了通訊閘—通訊閘協議,不支援重協商,不支援 RFC 5746,不支援消息擴展,取消了DH密鑰交換方式。汪宗斌在發言中強調,中國SSL標準的優勢:完整的基於SM2/SM3/SM4密碼算法的SSL密碼套件、基於IBC算法的SSL密碼套件、支援“雙證書”體系、融合TLS多個版本安全特性、屏蔽TLS原生的不安全特性、支援通訊閘—通訊閘協議。

  OpenSSL官方團隊成員、亞洲唯一成員,現任螞蟻金服高級技術專家,楊洋為嘉賓介紹了OpenSSL 3.0工作進展。楊洋表示,OpenSSL自1.1.1版本開始支援國密算法,SM2(3.0.0開始增加SM2證書的簽發、吊銷和驗簽等功能)、SM3、SM4,目前還不支援雙證書的國密TLS協議。OpenSSL團隊的一種觀點是可以將國密TLS作為獨立協議進行支援(不和標準TLS協議在統一連接埠混跑),但是也存在反對聲音,比如國密TLS中的一些對象(加密套件、協議版本號)沒有在IANA註冊,並且基於TLS1.1。OpenSSL 3.0.0 的新結構弱化了Engine機制,引入了Provider機制,計劃4.0.0版本拋棄Engine機制,更好地支援各國政府的合規性需求,比如FIPS以及中國的商用密碼偵測。

  螞蟻金服統一接入層高級技術專家張鋒輝就螞蟻金融雲統一接入層試點國產密碼規范進行了重點介紹。基於監管、安全可控、高性能安全服務等原因,螞蟻安全部、系統部、數據技術部聯合設計開發了一款符合國家金融級商密安全等級要求、國密算法自主可控的FPGA國密密碼卡,並在金融雲內部螞蟻統一接入層(AFE)產品Spanner服務上測試驗證。張鋒輝表示,Spanner作為螞蟻金服的統一接入通訊閘(AFE)是落地國密算法的首要戰場,目前支援HTTP1、HTTP2、SPDY、MMTP、MQTT等多種通用和自研的應用層協議接入,同時處理全網SSL加解密通信。國密密碼卡(FPGA H/W)的算法固件(SMx F/W)由螞蟻自主實現,其上的密管功能(KM H/W)實現符合螞蟻安全體系所要求的一系列密鑰維護及管理功能(私鑰、主密鑰等)。

  海泰方圓王鵬技術總監為嘉賓介紹了OpenSSL與國密算法——打造更安全的瀏覽環境。王鵬在會上表示,海泰方圓基於OpenSSL的產品包括:紅蓮花安全瀏覽器、國密代理模組、國密軟體通訊閘、國密算法中間件。這些產品都支援SM2、SM3、SM4、SM9、ZUC等國密算法,SM2國密數字證書,基於SM2證書的SSL/TLS安全通信協定,支援國密硬體密碼設備,提供符合國密規范的程式設計接口。紅蓮花安全瀏覽器支援雙SSL協議、雙網路信任體系、雙核、網頁內容安全、緩存安全、產品自身安全防護、國產化平台、插件、網頁相容、JS擴展。國密代理模組擁有透過正向代理技術來實現支援國密SSL協議功能,使用IE等非國密瀏覽器也能訪問國密的站點。算法中間件提供了國密算法功能接口、國密SSL安全鏈路通信接口和密鑰管理功能,包括國密SM2、SM3、SM4算法實現、國密SSL實現、智能IC卡和智能密碼鑰匙密碼應用接口規范設備的支援。

  江南天安張釗技術總監與嘉賓分享了TASSL與密碼卡結合——兼顧業務與安全的解決方案。張釗表示,在密碼技術內有一個著名的柯克霍夫原則,那就是系統的保密性不依賴對加密體制或算法的保密,而只依賴於密鑰。單純使用TASSL無法保證密鑰的安全,TASSL支援調用雲密碼卡。張釗舉例說明,國內某知名普惠金融科技企業就採用了江南天安的TASSL解決方案,TASSL與密碼卡的結合就是我們的雲密碼卡。江南天安雲密碼卡擁有支援國密SM2/3/4算法、多通道DMA、Docker並發調用、異步調用機制、高性能、業務無縫遷移等特性。張釗還舉例了SSL卸載、區塊鏈、可信計算、虛擬機鏡像加密、CDN等應用場景。張釗強調,江南天安設計產品要符合用戶能用、好用的標準;業務需求與標準要求出現衝突時,要深入理解衝突的原因;基於現有標準,漸進式創新;基於新場景的應用方式方法,回饋改進標準。最後,張釗認為,可視化、簡單化、標準化、智能化是未來的發展趨勢。

  本次技術沙龍活動取得圓滿成功,收穫頗豐,不僅從上述領導、專家、學者和企業代表的發言中,我們既聽到了從宏觀層面對政策的解析,又有專家對具體產品操作的透視,同時還有學者的理論剖析和來企業自於應用層面的介紹,大家都領會到了其中非常深刻的含義和知識。希望透過此次技術沙龍能夠提升大家對基於國密算法的開源SSL的認識,從而推動我們商業密碼產業的發展。

 
都開始商用了 5G的這些關鍵技術還不知道? 給會議帶來更好的色彩體驗?明基LH720投影機評測 5G網路將何時迎來民用?對此工信部給出了答案 6月移動互聯網流量數據出爐 你用了多少GB? 明基i707投影機怎麼樣?測後發現竟是私人影院

為您推薦

加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多
加載更多

網路設備論壇帖子排行

最高點擊 最高回覆 最新
最新資訊離線隨時看 聊天吐槽贏獎品