国密标准推行不太顺利的样子?

2022-04-24 17:15:42 +08:00
 liuidetmks

看到帖子 360 内置 sm2 证书
看了下,国家单位似乎也不太重视的样子,一些部级单位,或者央企干脆直接没用 https,这是我没想到的。

网站 证书类型 签发者
12306 RSA DigiCert Inc
中石油 RSA WoTrus CA Limited
国家电网 无 https --
公安部 RSA China Financial Certification Authority
工信部 RSA WoTrus CA Limited
外交部 无 https --
15998 次点击
所在节点    程序员
100 条回复
blackshow
2022-04-25 09:17:02 +08:00
<amp-youtube data-videoid="nybVFJVXbww" layout="responsive" width="480" height="270"></amp-youtube>
pusheax
2022-04-25 09:17:21 +08:00
RSA 和 ECC 都曾传闻存在后门。要知道,DES 的 s-box 直到现在大家都不知道老美为何那样设计。
所以 sm 有没有存在的必要性呢,我觉得是有的。
至于推行,在某些行业和部门,是有半强制推行的。比如金融部门,是否使用 sm 也是安全评估的条目之一。
kilasuelika
2022-04-25 09:20:34 +08:00
@tankren rsa 算法本身没有漏洞,是 rsa 公司甚于 rsa 推出的产品有漏洞。假如自己按标准来实现一个,那就没有问题。
nothingistrue
2022-04-25 09:31:28 +08:00
@whileFalse #49 不止跟证书以前有,顶级域名镜像(全球就十来个点)也是有的,后来因为 DNS 投毒一不小心从国内变成国籍,被吊销了。域名、证书这些传统互联网领域,并不是中心化的,美国作为中心领导者可以影响,但要制裁是不可能的(或者说制裁还没完成,下面就切线把美国隔离了)。
nothingistrue
2022-04-25 09:48:19 +08:00
上面说得被吊销不对,没法吊销,而是其他所有域名服务器全部不信任国内那个服务器了。如果美国要是在原始中央镜像服务器上投毒,那么也能这样被隔离,谁都没特权(军队开过去搞物理特权,那就另说了)。
blackshadow
2022-04-25 09:55:23 +08:00
金融行业,不少公司是国密,在对外业务的接口交互等方面。 网站证书这个,运维的事吧。
pheyer
2022-04-25 10:01:39 +08:00
好几家上市公司做这个的,你去看看业绩
aloxaf
2022-04-25 10:13:29 +08:00
怎么还有传 RSA 算法有后门的……
是 「 RSA 公司」的「 BSafe 」软件使用的「 Dual_EC_DRBG 」伪随机数生成算法存在后门
FrankAdler
2022-04-25 10:52:37 +08:00
单说域名证书,算法就在那,不会太会有后面,但是谁知道证书人家有没有留备份,会不会在关键节点上直接用根证书去监控。。
garlics
2022-04-25 11:08:24 +08:00
国密证书比一般证书贵得多吧,没特殊要求肯定不会用。
twl007
2022-04-25 11:13:18 +08:00
为什么总有人分不清什么是设计标准 什么是具体实现
stuartofmine
2022-04-25 11:34:15 +08:00
恰好我在某 CA 进行国密改造的开发。
1.国密改造在金融业和部分企事业单位是强制推行的,不存在推进不下去的情况。所有银行都在进行国密改造,事实上你已经在使用了。
2.SM2 ,SM3 ,SM4 都有公开的算法文档,至于后门——私钥都是客户持有的,CA 根本拿不到。后门一说纯粹无稽之谈。我可以明确地告诉你,没有后门。
ungrown
2022-04-25 11:39:35 +08:00
@agagega #4 龙芯不是一直好好的嘛,最近有啥事了?
itemqq
2022-04-25 11:48:19 +08:00
@pusheax S 盒当时 IBM 提交的文档里有设计原理,但是那一页被 NSA 撕了哈哈哈

但是根据之后的种种迹象,现在密码学业界更多地认为是当时 DES 的设计者已经发现了差分攻击这个技术,所以设计 S 盒的时候专门考虑了这一点(对于输入的任意改变将引起输出的至少 2bit 变化),但是 NSA 不想让差分攻击就这样公之于众,所以就删了。所以 80 年代末 shamir 他们发表差分攻击的时候,DES 那群人说我们 74 年就知道这个了。。。

可以参考下 DES 设计者的描述 https://en.wikipedia.org/wiki/Differential_cryptanalysis#:~:text=more%20susceptible.%5B1%5D-,In%201994,-%2C%20a%20member%20of

另外 DES 其实 40 多年了并没有什么设计层面的漏洞,唯一的问题是密钥太短了( 56bit ),所以 3DES 现在还在用(逆向过微信支付算法的应该懂)
haikouwang
2022-04-25 11:50:06 +08:00
@gefranks 同。
haikouwang
2022-04-25 11:54:11 +08:00
@dingwen07 确实。个人理解国密如果没有什么压倒性的技术颠覆,流行的可能性不高。
shuianfendi6
2022-04-25 12:00:29 +08:00
国密在个人场景用的不太多

银行,密码机之类领域都在用
dzdh
2022-04-25 12:10:42 +08:00
应用还是可以的。

cfca 可以申请 sm 证书。

go tls.config{ GetCertificate: func 根据 clientciphers 动态返回不同的证书
winterx
2022-04-25 12:16:31 +08:00
很多国企、政企单位已经要求改国密了,这些基本都在内网环境中使用
holinhot
2022-04-25 12:21:28 +08:00
强推只会适得其反。要的是大家认可你,而不是让大家服从你。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/848968

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX