三.需要解决的问题前文我们了解了https,并梳理了国密https的流程。那么完成这些流程的目的是什么呢?又是怎么来保护数据的安全性呢?我们继续...上文我们说到只有http通信的站点如同在“裸奔”,在客户端和服务端通信的时候有巨大的安全隐患。而安全隐患主要有三个方面:明文传输,数据篡改,站点劫持。知道了问题,我们只需要对症下药:明文传输 ->数据加密传输。数据可篡改->数据完整性校验
gmssl国密证书生成方式:国密多级ca证书,国密加密证书,国密签名证书
原创
2020-04-29 14:17:25
10000+阅读
前言加密是通过“加密算法”将明文加密成密文,可以通过“密钥”和“解密算法”将密文还原成明文。密码学中应用最为广泛的三类算法:对称算法(分组密码算法):AES/DES/SM4* 非对称算法(公钥密码算法):RSA/SM2* 摘要算法(杂凑算法):MD5/SHA-I/SM3### 一.国密算法概述国密算法是我国自主研发创新的一套数据加密处理系列算法。从SM1-SM4分别实现了对称、非对称、摘要等算法功
国密算法在主流操作系统、浏览器等客户端中,还没有实现广泛兼容。因此,在面向开放互联网的产品应用中,国密算法无法得到广泛应用。比如,在SSL证书应用领域,由于国际主流浏览器不信任国密算法,如果服务器部署国密SM2 SSL证书,可能直接导致网站系统在用户端无法访问。实现基于国密算法的HTTPS加密认证,最大的应用难点在于,国密算法应用生态的建设以及对主流应用生态的兼容。建立完整的国密全生态支持体系不仅
转载
2023-11-15 20:19:52
132阅读
网络通信,有3点是必须要保护的:通信内容必须保密,不能被第三方看到通信内容必须完整,不能被第三方篡改通信双方身份必须确认,不能被第三方“截胡”怎么才能做到以上3点了? 1、通信内容必须保密,不能被第三方看到 这个简单,加密呗!有对称加密和非对称加密。对称加密消耗的算力远比非对称加密小,所以这里首选对称加密;目前业界最流行的对称加密是AES,这里不妨选择AES试试;那么问题又来了:对
最近使用开源项目tjfoc/gmsm 做国密研究,由于他没有具体说怎么生成证书的,期间对于生成他对应的国密证书做了些研究,踩了一些坑他对国密通信做的demo主要在websvr目录下下面主要说下生成国密证书步骤1. 需要装gmssl , 具体编译参见上一篇文章2. 使用gmssl ecparam -genkey -name sm2p256v1 -noout -out ${OUTPUT}/$
转载
2023-10-23 09:09:10
228阅读
点赞
通常的X509证书是国际通用的RSA证书,现在国家推出了自己的加密算法,SM2算法,本文根据自己工作中遇到的情况,试图讲一下国密SM证书的有效性验证。证书在本地存储一般是DER(二进制)格式的,网络传输则是base64格式,需要解码。 &nbs
转载
2023-11-23 11:42:41
127阅读
根据 Myssl.com 的统计,目前 99% 的互联网网站使用的是传统 RSA 算法的 SSL 证书。也许你会问,使用传统证书有什么影响吗?现阶段而言,确实没有什么影响。但我国绝大多数网站系统使用的都是传统 SSL 证书,一旦外国对我们执行断供、吊销此类产品,那么各类重要领域的网站或信息管理系统将面临巨大的安全风险。至此,我国相关监管机构也先后出台了一系列政策,强调建立自主可控网络安全环境的重要
转载
2023-11-26 14:41:08
69阅读
通常我们遇到过的X509证书都是基于RSA-SHA1算法的,目前国家在大力推行国密算法,未来银行发行的IC卡也都是基于PBOC3.0支持国密算法的,因此我们来学习一下如何验证SM2国密证书的合法性。至于SM2与SM3的算法实现不在本文讨论范围之内,可以用openssl、BouncyCastle.Crypto.dll等第三方库来实现。 SM2国密证书与RSA证书一样,一般内容都是以BASE64格式
一、证书证书就是数字化的文件,里面有一个实体(网站,个人等)的公共密钥和其他的属性,如名称等。该公共密钥只属于某一个特定的实体,它的作用是防止一个实体假装成另外一个实体。 证书用来保证不对称加密算法的合理性,只是保证双发的合法身份。那么,如果证书是假的怎么办?或者证书被修改过了怎么办?慢慢看下来吧。 证书最简单的形式就是只包含有证书拥有者的名字和公用密钥。当然现在用的证书
一、数字证书的组成 1)证书数据结构 数字证书使用ASN.1编码,证书文件以二进制或Base64格式存放,数据格式使用TLV(Tag Length Value)形式,T代表类型标识符,L是长度值标识符,V代表值编码。数字证书中的每一项都有个对应的类型T。一个数字证书就是一个大的TLV序列,然后V又由多个TLV组合而成。 SM2证书数据和RSA算法证书一样,包含证书版本、序列号、颁发者、使用者主体
需求前后端交互的加解密算法,要求使用国产的 1、SM1分组密码算法 SM1是由国家密码管理局编制的一种商用密码分组标准对称算法,分组长度和密钥长度均为128位,算法的安全保密强度及相关软硬件实现性能与AES算法相当,目前该算法尚未公开,仅以IP核的形式存在于芯片中,调用该算法时,需要通过加密芯片的接口进行调用。2、*SM2公钥密码算法 SM2算法是国家密码据于2010年12月17日发布的国密标准椭
国密浏览器的普及是推广我国国产密码算法的关键生态要素。日前,沃通CA子公司密信技术发布密信浏览器公测版,支持SM系列国密算法和安全协议,为国密算法及国密SSL证书的应用建立完整生态支持体系。
为什么需要普及国密浏览器密码算法的安全性是信息安全保障的核心,在我国信息化软硬件系统短期内难以实现完全国产化的情况下,通过自主可控的国产密码技术保护重要数据的安全,是有效提升我国信息安全保障水平的重
0. 前言接前一篇文章,上篇文章我们介绍了数字签名、数字证书等基本概念和原理本篇我们尝试自己生成证书参考文献:TLS完全指南(二):OpenSSL操作指南
1. OpenSSL 简介OpenSSL 是一个开源项目,其组成主要包括三个组件:
openssl:多用途的命令行工具libcrypto:加密算法库libssl:加密模块应用库,实现了ssl及tlsOpenSSL 主要用于秘钥证书管理、
国密算法在主流操作系统、浏览器等客户端中,还没有实现广泛兼容。因此,在面向开放互联网的产品应用中,国密算法无法得到广泛应用。比如,在SSL证书应用领域,由于国际主流浏览器不信任国密算法,如果服务器部署国密SM2 SSL证书,可能直接导致网站系统在用户端无法访问。实现基于国密算法的HTTPS加密认证,最大的应用难点在于,国密算法应用生态的建设以及对主流应用生态的兼容。沃通CA提供的“国密SM2 SS
转载
2023-11-14 09:37:23
82阅读
国内做2B(to Biz)或2G(to Gov)产品和解决方案的企业都绕不过国密算法,越来越多的国内甲方在采购需求中包含了基于国密算法的认证、签名、加密等需求。对于国内的车联网平台来说,支持基于国密的双向认证也是大势所趋。在这篇文章中,我就来说说如何基于国密算法实现双向认证,即使用国密算法的安全传输层双向认证。一. 简要回顾基于TLS的双向认证在《Go语言精进之路》[1]第2册的第51条中,我详细
GmSSL是一个开源的密码工具箱,支持SM2/SM3/SM4/SM9/ZUC等国密(国家商用密码)算法、SM2国密数字证书及基于SM2证书的SSL/TLS安全通信协议,支持国密硬件密码设备,提供符合国密规范的编程接口与命令行工具,可以用于构建PKI/CA、安全通信、数据加密等符合国密标准的安全应用。GmSSL项目是OpenSSL项目的分支,并与OpenSSL保持接口兼容。因此GmSSL可以替代应用
转载
2023-10-28 22:54:00
266阅读
国密 SSL协议在GM/T中没有单独规范的文件,而是在SSL VPN技术规范中定义了国密SSL协议。GMT 0024-2014《SSL VPN技术规范》中,国密 SSL协议内容参照传输层安全协议(RFC 4346 TLS1.1),按照我国相关密码政策和法规,结合我国实际应用需求及实践经验,在TLS 1.1的握手协议中,增加了ECC、IBC的认证模式和密钥交换模式,取消了DH密钥交换方式,修改了密码
转载
2023-11-28 07:27:09
99阅读
目录流程说明:DTO层生成证书密钥所需参数封装类最终密文封装类controller层service层serviceImp层加密工具类测试发送生成证书请求发送生成密文请求发送解读密文请求 流程说明:DTO层生成证书密钥所需参数封装类/**
* 安全证书生成DTO
*
* @author luce
* @date 2021年08月30日 15:17
*/
@Data
@AllArgsCon
前面我们和大家一起聊了一下加密套件,为什么这么详细的叙述加密套件呢,因为它的身份特殊啊,它可是连接通信双方的桥梁,也是月老手中的红绳。言归正传,接下来我们再继续看看国密vpn协议中列举的基于国密算法加密套件(见下图)。每个加密套件也包含一个秘钥交换算法,一个加密算法,和一个校验算法。(大家不要奇怪怎么和之前介绍的4部分不一样啊,因为秘钥交换时使用的签名算法是一样的,如果这么表示RSA_RSA _.
