浅谈商用密码应用安全性评估 (密评).pdfVIP

浅谈商用密码应用安全性评估(密评)

商用密码应用安全性评估，是对采用商用密码技术、产品

和服务集成建设的网络和信息系统中，密码应用的合规性、正

确性、有效性进行评估的过程。密评是其简称。

密评工作在法律法规中有明确规定。《中华人民共和国密

码法》规定，要求使用商用密码进行保护的关键信息基础设施，

其运营者应当使用商用密码进行保护，并且自行或者委托商用

密码检测机构开展商用密码应用安全性评估。此外，商用密码

应用安全性评估应当与关键信息基础设施安全检测评估、网络

安全等级测评制度相衔接，避免重复评估、测评。关键信息基

础设施的运营者采购涉及商用密码的网络产品和服务，可能影

响国家安全的，应当按照《中华人民共和国网络安全法》的规

定，通过国家网信部门会同国家密码管理部门等有关部门组织

的国家安全审查。

为规范密评工作，XXX制定印发了《商用密码应用安全

性评估管理办法（试行）》、《商用密码应用安全性测评机构

管理办法（试行）》、《商用密码应用安全性测评机构能力评

审实施细则（试行）》等管理文件。其中，《商用密码应用安

全性评估管理办法（试行）》规定，在重要领域网络与信息系

统投入运行后，责任单位应当委托测评机构定期开展商用密码

应用安全性评估。如果评估未通过，责任单位应当限期整改并

重新组织评估。此外，关键信息基础设施、网络安全等级保护

第三级及以上信息系统，每年至少评估一次，测评机构可将商

用密码应用安全性评估与关键信息基础设施网络安全测评、网

络安全等级保护测评同步进行。对其他信息系统则要定期开展

检查和抽查。

在参考标准方面，《中华人民共和国密码法》、《商用密

码应用安全性评估管理办法（试行）》、《信息安全等级保护

商用密码管理办法》都是必须遵守的参考标准。这些标准的实

施，有助于提高商用密码应用的安全性和有效性，保障关键信

息基础设施的安全运行。

信息安全等级保护商用密码技术实施要求》、《信息安全

等级保护商用密码技术要求》、《信息系统密码测评要求》以

及GM/T0054-2018《信息系统密码应用基本要求》是商用密

码领域的重要规范和标准。

商用密码是密码工作的重要组成部分，主要用于保护非涉

密信息，如通信、金融、税控、社保、能源等领域。商用密码

在维护国家安全、促进经济发展以及保护人民群众利益中发挥

着不可替代的作用。1996年7月，XXX专题研究商用密码，

做出了大力发展商用密码和加强对商用密码管理的决定。

根据1999年10月7日国务院发布实施的《商用密码管理

条例》第一章第二条规定，商用密码是指对不涉及国家秘密内

容的信息进行加密保护或者安全认证所使用的密码技术和密码

产品。这个定义明确了商用密码的使用范围和作用，商用密码

可以用于任何非涉密信息领域，需要用密码进行保护的信息都

可以使用商用密码。

金融行业常见的国密算法包括SM2、SM3、SM4等。其

中，SM2算法是基于椭圆曲线离散对数问题的公钥密码算法。

由于椭圆曲线上离散对数问题的困难性要高于一般乘法群上的

离散对数问题的困难性，且椭圆曲线所基于的域的运算位数要

远小于传统离散对数的运算位数，因此，椭圆曲线密码体制比

原有的密码体制更具优越性。SM2算法于2010年年底由

XXX发布，于2012年成为密码行业标准，于2016年转化为

国家标准。SM2数字签名算法于2017年被ISO采纳，成为国

际标准ISO/IEC-3的一部分。相比RSA算法，SM2算法具有

更高的安全性，256比特的SM2算法密码强度已超过RSA-

2048.

b、SM2算法的私钥长度为256比特，相比之下，RSA算

法通常需要至少2048比特，甚至更长（如3072比特）。因此，

SM2算法的密钥长度较短。

c、RSA私钥生成需要使用两个随机产生的大素数，并使

用素数判定算法，这使得生成过程复杂且速度较慢。相比之下，

SM2私钥的生成只需要生成一个256比特的随机数，因此生

成过程简单，安全风险相对较小。

d、在相同安全强度下，SM2算法在使用私钥签名时速度

远超RSA算法。

2、SM3密码杂凑算法是中国商用密码杂凑算法标准，适

用于数字签名、验证消息认证码和随机数生成。SM3算法通

过填充、扩展和迭代压缩等步骤，生成长度为256比特的杂凑

值。