信服君解读:国密资质,虚有其表还是名副其实?

发布日期:2015-12-28

近日,国际知名安全厂商Juniper曝出重大后门漏洞,其设备在出厂前被植入了高危的“未授权代码”,引起业界一片哗然。其实回顾 2013年的棱镜门事件,国外厂商生产的设备存在漏洞、后门事件绝非个例。

注:棱镜计划,由美国国家安全局(NSA)自2007年起开始实施的绝密电子监听计划,9家国际网络巨头皆参与其中。

中国在信息行业领域起步较晚,由于“先入为主”的观念,目前仍有许多用户在使用国外的网络安全设备。这些设备长期以来都是沿用3DES、SHA-1、RSA等国际通用的加密算法体系及相关标准,可以说用户的信息安全是掌握在国外科技公司的手中。而近几个月国外著名厂商设备频频曝光各类漏洞及威胁事件,这给中国的用户敲响了警钟——自主可控、安全可信的国产化改造势在必行!

为从根本上摆脱对国外加密技术和设备的过度依赖,国密办发布了 SM2、SM3、SM4等一系列国密算法,从加密算法层面推动信息科技的“安全可控”。那么国密算法是否能够担此重任?

“洋密码”VS“国产密码”

1算法安全性随着密码技术的发展,越来越多的国际通用密码算法屡屡传出被破解、存在后门等传闻,让人对其安全性产生怀疑。以国际上最为著名的RSA密码算法为例,中国的三大运营商及不少银行、制造业企业都是它的客户。但就是这样一家世界知名的密码技术企业,却被曝出与美国国家安全局达成协议,被要求在部分加密技术中放置后门。

国密算法是由国密办推出的具有自主知识产权的商用密码算法,其由国密办制定规范,并授权给网络安全厂商,生产符合国家『自主可控、安全可信』要求的加密设备。

2加密强度以SSL VPN的接入认证为例,国际上广泛应用RSA采用基于大数分解的非对称加密算法,在分布式计算和高性能计算机日趋成熟的今天,RSA加密破解的难度大大降低。而国密算法SM2采用基于椭圆曲线加密(ECC)算法的非对称算法,密码复杂度高,160位ECC就可以达到与1024位RSA、DSA相同的安全强度。不仅如此,在实现同样的计算复杂度时,SM2在私钥的处理速度上远快于RSA、DSA算法,所以加密效率更高。

国密资质:进一步的安全,国家为您把关

在此次juniper事件当中,Juniper在公告中称,其VPN 和防火墙设备的ScreenOS系统中发现未授权代码,因此可以让资深的攻击者获得对NetScreen设备的管理权限和解密虚拟专用网络连接。这意味着其产品在出厂前就在Juniper未知的情况下被『黑』,植入了“后门”程序,恶意攻击者通过“后门”可以绕过安全策略,随意获取设备的信息。

未授权代码在设备出厂前未被发现的主要原因是没有权威第三方机构对代码进行审核,设备中是否存在未授权代码只能靠厂商自查。一旦厂商未发现该类威胁代码,或者不对外公布,甚至默许这类漏洞存在,用户的信息安全就会受到威胁。

而国内安全设备想要获取国密资质不仅要有具备支持国密算法的软件研发能力,还需要向国密办做“代码备案备案后的代码需要经过国密办审核,符合国家安全要求的产品才能获得《商用密码产品型号证书》。经过国密资质认证的网络安全设备具备“自主可控”的要求,可以避免设备中出现『未授权代码』等问题。