國密證書全生態應用保障我國關鍵信息基礎設施安全

第七屆互聯網安全大會（ISC 2019）于8月19日—20日在北京雁棲湖國際會展中心順利召開，本屆大會以“應對網絡戰、共建大生態、同筑大安全”為主題，吸引了網絡安全行業知名企業、專家、學者、政府及主管單位領導蒞臨現場，聚焦新形勢下中國網絡安全行業的發展。作為我國電子認證行業在國產密碼數字證書應用的創新者和推動者，沃通CA攜國密證書全生態應用產品和解決方案亮相本屆ISC大會。沃通CTO王高華先生出席大會并受邀在“關鍵信息基礎設施保護分論壇”發表演講《國密證書全生態應用研究與實踐》，現場分享國密算法和國密證書應用于網站HTTPS加密、電子郵件加密、PDF文件簽名加密等領域的應用研究成果和實踐經驗，獲得與會專家和安全從業者的熱烈關注與認可。同時，沃通展位現場演示國密證書的各種產品應用也吸引了眾多與會人員關注和咨詢。

加快國密算法應用普及的迫切性

由于國際形勢的變幻帶來國家層面網絡安全攻擊與對抗趨勢加劇，網絡安全問題不僅關系到國計民生、社會發展，而且影響到國家的安全和主權。國產密碼技術的應用是實現國家網絡安全自主可控的重要基礎，在我國網絡信息安全的各環節采用國產密碼技術加密數據，對應對目前的網絡安全形勢具有重要的戰略意義。我國出臺多項法規通知，要求以金融領域為主要示范行業，并在電子政務、教育、社保、交通、通信、能源、稅收、公共安全、國防工業等各個關鍵信息基礎設施廣泛使用符合國家標準的國產密碼算法和國產密碼產品。

但目前全球主流應用環境不支持國密算法體系，我國也尚未形成支持國密算法的基礎軟件應用生態，導致國產密碼技術的應用受到極大阻礙。以被廣泛用于保護關鍵信息基礎設施的HTTPS加密應用為例，雖然我國自主研發的SM2國產密碼算法體系在安全性能上優于RSA國際算法體系，具備替代RSA算法的性能條件，但瀏覽器、服務器軟件、操作系統等相關應用生態都不支持國密算法和國密證書，即使國內CA早就有能力簽發國密SSL證書，但由于整個生態都不支持而無法實現國密算法HTTPS加密。因此，目前我國所有關鍵信息基礎設施的通信安全仍然依賴于國外RSA SSL證書，如果國際局勢變化造成RSA 證書吊銷或“斷供”等情況，將對我國關鍵信息基礎設施安全造成毀滅性的打擊。加快國密算法的應用普及，建立基于國密算法的“備胎”方案迫在眉睫。

王高華先生的演講爆出了目前我國關鍵信息基礎設施的安全防護的三個巨大安全隱患：第一，已經廣泛應用的RSA SSL證書有可能像關鍵芯片一樣“斷供”，則我國關鍵信息基礎設施將有可能癱瘓；第二，被關鍵信息基礎設施部門廣泛使用的電子郵件客戶端軟件Outlook會上傳用戶的所有郵件到微軟服務器上用于分析用戶郵件并提供各種特色服務，這是一個一直無人知曉的微軟官網的隱私聲明中寫得明明白白的安全隱患；第三，目前被廣泛使用的電子簽名服務不僅存在弱簽名算法的安全隱患，而且由于未采用國密證書簽名而導致電子簽署的文件的法律效力受到質疑。同時，演講也給出了解決這三個巨大安全的隱患的基于國密算法和國密證書的解決方案。

沃通CA國密算法創新應用研究和實踐

推動國密算法應用于HTTPS加密、電子郵件加密、PDF文件簽名加密等領域，首先必須建立一個完整的國密生態支持體系實現國密算法全生態支持，并解決國密算法在全球主流應用環境中的兼容性問題，兼顧國密合規性及全球通用性，才能真正達到實用的水平。沃通CA致力于國密算法的技術研究和創新應用，已經推出成熟的國密證書全生態應用解決方案，自主研發基于國密算法的全生態應用產品，并創新性地設計了“SM2/RSA雙證書”應用模式，解決應用環境兼容性問題，使得基于國密算法的HTTPS加密、電子郵件加密、PDF文件簽名加密達到了可以大規模應用的水平。

（1）?網站HTTPS SM2加密應用實踐

沃通CA提供基于國密算法的國密SSL證書，并研發支持國密算法的密信瀏覽器、服務器軟件國密支持模塊等國密應用產品，從而建立起完整的國密SSL證書全生態支持體系，確保國密算法HTTPS加密的全生態無縫應用。沃通CA還推出了“SM2/RSA雙證書”服務，在國密SSL支持模塊或國密SSL網關上同時部署SM2/RSA雙SSL證書，由國密支持模塊自動識別瀏覽器是否支持國密算法，自適應兼容密信瀏覽器、360瀏覽器等支持國密算法的瀏覽器，以及Chrome、火狐、IE、Safari等全球主流瀏覽器。

網站部署沃通SM2/RSA雙證書方案不僅實現國密合規和全球通用，同時為網站提供無縫切換的國密算法“備胎”方案。無論RSA證書出現任何問題，服務器端無需做任何配置修改，只需用戶端使用國密瀏覽器（密信瀏覽器、360瀏覽器），就能無縫切換使用國密算法HTTPS加密訪問網站，在極端情況下也能確保網站系統的可用性和數據傳輸的安全性。

（2）?電子郵件SM2簽名加密應用實踐

密信郵件客戶端遵循S/MIME國際標準和國密標準，采用數字證書簽名加密郵件，確保電子郵件內容機密性、完整性以及發件方身份真實性和行為不可否認。密信郵件客戶端同時支持SM2證書和RSA證書，自適應選擇密碼算法簽名加密郵件，與使用國密證書的通信方，優先采用國密算法加密郵件；與僅使用RSA證書的通信方，自動采用RSA算法加密郵件。實現國密算法電子郵件加密，并自動兼容RSA證書和僅支持RSA算法的郵件客戶端。

此外，密信郵件客戶端與密信開放平臺、全球公鑰庫、密鑰管理系統(KMS)、CA證書簽發系統等重要應用系統相結合，實現全自動配置證書、全自動加密郵件，解決了傳統郵件客戶端申請配置證書流程繁瑣等問題，支持靈活的實施部署，滿足客戶不同場景下的應用需求，為政府機構、公共服務機構、金融機構或企業客戶提供郵件全自動全加密解決方案，有效幫助政府、企業、個人保護電子郵件機密信息安全。

（3）?PDF/OFD文檔SM2簽名加密應用實踐

在電子發票、電子營業執照、電子合同等應用場景中，我國普遍采用不受Adobe信任的PDF簽名證書以及非常不安全的1024位RSA算法、SHA-1簽名算法實現數字簽名，已簽名文件在Adobe閱讀器中顯示“簽名有問題”，脆弱的加密算法和簽名算法也已經證實存在被破解的風險，既不符合國密算法簽名應用合規要求，也不受Adobe閱讀器信任。

沃通CA首推SM2/RSA雙證書、雙簽名、雙時間戳的PDF/OFD文檔簽名加密應用方案，采用Adobe信任的RSA證書確保已簽名文件在Adobe系列閱讀器中自動驗簽，解決Adobe “簽名有問題”的警告；SM2國密證書確保已簽名文件在支持國密算法的PDF閱讀器（密信閱讀器）中自動驗簽，確保已簽名文件國密合規。此外，該方案還支持Adobe LTV(長效驗證有效)，支持僅提交待簽名原文摘要(HASH)而無需用戶提交原文從而保護用戶隱私信息安全，并提供客戶端我簽、API接入簽、本地簽、云端簽等靈活部署模式。沃通CA是國密局和工信部許可和Adobe全球信任認證的權威電子認證服務機構，提供的數字簽名符合《電子簽名法》 等法規要求，具有與手寫簽字和蓋章同等的法律效力，可應用于數字簽署電子合同、電子發票、電子營業執照、電子保單等各種數字簽名應用場景。

沃通CA在HTTPS加密、電子郵件加密、PDF文件簽名加密等方面的國密算法應用研究與實踐，能有效地推動國密算法和國密證書在保障我國關鍵信息基礎設施安全方面得到廣泛應用。期待通過本屆ISC大會的交流分享，越來越多的安全廠商和行業客戶加入國密證書全面應用行列，共建國密應用“大生態”，共筑安全可信、自主可控的網絡信息安全大環境。

網絡安全 安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。