这是一个创建于 252 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近工作上总听到国密改造,不是很懂。
搜了下国密,是国家自研的一些加密算法 SM..
那么何谓改造呢,单纯是指把所有非国密的替换为国密吗?存量的非国密加密数据都得改造的意思么,一些哈希数据怎么改造。
 |
1
wheat0r 252 天前
改传输部分吧
|
 |
2
google2020 252 天前  2
不需要懂,懂也没用,这是要认证的,找你那边的等保认证公司去对接,他们会告诉你怎么做。
|
 |
4
zaunist 252 天前
适配国密机
|
 |
5
mytsing520 252 天前
简单来说
国密有国家标准,银行、政府和事业单位等重点机构改用安装了国产化操作系统和国密浏览器的设备,确保这些机构的设备能通过满足国标的加密方式完成通信,防止被敌对机构采用商密算法解密数据;但也保留普通商密确保一般人能访问 |
 |
6
rizon 252 天前 via iPhone
楼上没有回答楼主最关心的问题:如何完成改造。
对 0-1 的部署肯定没问题,可拿到原始数据的也没问题 但是像不可逆的已有加密数据我,我认为是无法迁移的,这种的只能放弃另有他径。但是这个场景可能实际上是不存在的。 |
 |
7
snowma 251 天前 2
第三方评估公司会给出报告, 按照上面逐条整改
|
 |
8
BraveChi 251 天前
按照对方的技术文档照做即可,对方会提供 demo 代码和 jar 包,直接用就行,就是用对方提供的类和方法进行加密,改不了几行代码,放宽心。
|
 |
9
DefoliationM 251 天前 via Android
差不多,加密和 mac 算法哲学都改成国密,然后 tls 也要用国密 tls
|
 |
10
seers 251 天前 via iPhone
我最近在做改造,程序好说,我们是单独做了一个解密接口,其他逻辑没改,就是生产环境好几个 T 的数据清洗头大
|
 |
11
seven777 251 天前 2
从中长期来看,世界一定是更加融合和开放,而不是更加的割裂和封闭。
从现在的信创项目来看,基本是隔靴搔痒,核心数据和生产力并不敢也能走信创路线。信创项目,目前来看多数都是提款机罢了。 现在真的很矛盾!是跟着国家一起勒紧裤腰带独立自主?还是拥抱世界? (这个帖不需要回答,保护自己,也保护各位。) |
 |
12
cheneydog 251 天前
我现在的公司就是干这个的。
也涉及过部分 hash 存量数据改造,愿意弄还是有办法的。 |
 |
13
mantouboji 251 天前 2
不需要你懂,企业只需要找到有这个“资质”的公司(一般是某位领导的小舅子开的),交一大笔保护费,它们会给你一个脏兮兮的盒子,装在你们机架上即可。
|
 |
14
xuanbg 251 天前
简单滴说,就是把你用的加密算法换成国密算法。
|
 |
15
Belmode 251 天前
hash 存量数据改造,外面再套一层 SM3 就行了
|
 |
16
xiangyuecn 251 天前
这不是技术问题
|
 |
17
niubee1 251 天前
国密很简单,SM2 和比特币用的 secp256k1 之间就是椭圆曲线的参数有一点区别,拿比特币的库源码过来修改一下曲线参数就行了。
|
 |
18
unco020511 251 天前
这可能不是一个技术问题
|
 |
19
ren2881971 251 天前
国密改造是指信息系统要符合国家商用密码安全要求,需要通过商用密码测评,遵循 国标 39786 的标准。
|
|
20
ren2881971 251 天前
相关标准:GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》
哈希数据可以用 SM3HMAC 等。 |
 |
22
wlh 251 天前 3
权力寻租的手段而已
|
 |
23
KAQQAK 251 天前
@seven777
无法认同此观点,“核心数据和生产力并不敢也能走信创路线“,银行行业已经开始使用国产 x86 、arm 设备部署,国产数据库(基于开源改造),应用服务层是开源组件( Spring 、Kafka 等消息队列),数据存储更不必说,必须在境内。 |
|
24
seven777 251 天前
@KAQQAK
确实已经“开始”了,但基本没“使用”,或者是双路并用。 或者是边角的那些无关紧要的系统执行信创路线,核心的系统或者数据库还是没动,或者“正在改造”。 现在信创项目资金对信创项目是大水漫灌,水巨深,行情巨乱。 |
 |
26
009694 251 天前 via iPhone
在封闭的东西上搞自主是必要的,但是在本来就已经开放且原理明确的东西上搞“自主” 就像是拿着阿拉伯数字说不够自主 要搞“国数” 一样
|
 |
27
iceheart 251 天前 via Android
就是签名算法,散列算法,对称加密算法换成 sm2,sm3,sm4
|
 |
28
layxy 250 天前
@seven777 问题现在存在外部的风险,不是我们不愿意融合和开放,是有人想从各个方面围剿你,我们公司核心系统都开始进行信创试点了,目前机器占比还不高,不过可以预见一旦发生了不可抗力因素,还是可以快速切到信创环境的,目前使用信创的综合情况来看,性能要差一些,其他的稳定性和易用性感觉还好
|
 |
29
HashV2 250 天前
和等保异曲同工吧,实质上增加不了多少系统安全性,但是中间有不少人可以拿钱
|
 |
30
rqzrqh 250 天前
11 年的时候做过 vpn 国密改造,当时就是把通信协议全部改成国密的协议,哈希签名验证算法都改成国密算法,去北京国家密码管理局进行测试,对方用他们的程序和公司程序进行对接,验证通过就能获得一个国密认证的证书。
不知道 OP 是哪种业务系统 |
 |
31
kasusa 250 天前
就是 https 改成 https + 套一层国密 。要买加密机。
然后使用的时候还得用支持国米的浏览器,比如 360. 个人感觉这套东西就是不如 https 。 |
 |
32
picone 250 天前
DES 算法里面神秘的数字能不能反解没人知道吧,估计担心是这个
|
 |
34
Reficul 250 天前
开放标准的 magic number 能不能反解我不知道,但是国密库的实现有这个『 feature 』倒是明确的。
|
 |
35
sampeng 250 天前
把这个事想象成本质是门票。其他不需要懂
|
 |
36
ExplodingFKL 250 天前
其实不要管那么多,现在搞国密这玩意就是为了拿资质的,
没有啥要求用 aes + ed25519 + sha256 就够了,有要求就搞 sm2 sm3 sm4 |
 |
37
salmon5 249 天前
@kasusa #31 不是 https 改成 https + 套一层国密。
是业务层改造下。不影响用户使用。你改 https 业务还怎么运行?所有人都换系统和浏览器? |
|
38
salmon5 249 天前
国密改造像厨师烧菜一样,程序员像厨师一样,萝卜加辣加酸改造下,底层 https 萝卜运维不变(不是农场里萝卜加辣加酸,是厨房里萝卜加辣加酸)。
|
 |
39
HiroLee 249 天前
@ExplodingFKL 我理解就是这个意思
|
 |
40
limetw 249 天前 via Android
自主研发 遥遥领先 牛逼就完了
|
 |
41
Promtheus 249 天前
国密改造具体讲就是所有用到秘钥的地方都要用国密算法,比如 chrome 浏览器不支持国密的 tls 协议 那就用国产浏览器。如果操作系统底层不支持国密算法就用国产化操作系统。反正涉及到什么就改什么。大多数就是做做样子 。真都改的话 都没法用。
|
|
43
salmon5 249 天前
|
 |
44
julyclyde 248 天前
一般存量数据是不要求修改的
但是传输、新产生的存储都要求改 |
 |
45
csulyb 247 天前
年前给 v 友改造过一个国密,用来过密评的,大概的流程跟 ssl 是一样的,就是 stl 握手地方协议改了,新增了 chip ,没有用 rsa 那套加密算法,换成了 sm4 的
|
Select Language