V2EX › 程序员

国密标准推行不太顺利的样子？

liuidetmks · 1 天前 · 8635 次点击

看到帖子 360 内置 sm2 证书
看了下,国家单位似乎也不太重视的样子，一些部级单位,或者央企干脆直接没用 https,这是我没想到的。

网站证书类型签发者

12306 RSA DigiCert Inc

中石油 RSA WoTrus CA Limited

国家电网 无 https --

公安部 RSA China Financial Certification Authority

工信部 RSA WoTrus CA Limited

外交部 无 https --

97 条回复 • 2022-04-26 03:44:18 +08:00

linglin0924 1 天前

之前在哪里看到的评论，国密有证书后门，可以被某些解密。

没研究过国密码，有没有懂得朋友解释一下。

liuidetmks 1 天前 1

@linglin0924 国密证书也是椭圆曲线,后门之说不知道哪里来的。

belin520 1 天前

我以为是程序内部的加密标准，没有想到啥 HTTPS 证书，没有根证书信任，用户体验很差

agagega 1 天前 via iPhone 1

没人推的话，这些机构是不会用力的。但是一推就又会用力过猛。参考龙芯的遭遇

gefranks 1 天前 4

证明有后门是个非常困难的事情，但是我相信肯定是有后门的。

cslive 1 天前 3

你去看银行系统，大量使用

l0wkey 1 天前 1

内部系统和对外服务是两码事。
对外服务使用使用国密这种浏览器和操作系统都不默认支持的算法，这不是给用户使绊子么。

liuidetmks 1 天前

@l0wkey 不能这么说,既然已经指定标准了,按标准来也没什么问题，
再说了,如果不实现,那制定这个标准就没什么意义,这个标准就没啥生命力

退一步讲，
不是有 360 内置了支持吗, （我知道很多人看不起 360 ）,但是不推广的话，国外大厂也不会支持的吧。

也可以学一下国内各大企业的做法，顶部一个 banner ，提示请下载支持本网站的浏览器，360 xx 等等。。。

singerll 1 天前

https 仅仅是密码领域的一点点的，什么都说明不了。
一般都是要求数据传输、数据存储过程中的国密，像用户名密码、前后端数据传输这些是要求国密的。
还有企业自建的代理，也要求国密改造，客户端证书也是国密，甚至还会要求 SM1 ，比如银行的 U 盾。
https 方面。也不会要求纯国密，一般都是要求 RSA+国密，中间件会根据客户端是否支持国密自动选择证书。

KuroNekoFan 1 天前

浏览器厂商不支持的话必然严重影响浏览器上的交互与体验....

wevsty 1 天前

我是不支持限定浏览器这种做法的，无论什么理由。

国外大厂不会花时间去支持国密系列算法的。
1 、没有任何证据证明国密系列算法对比已经支持的算法有什么优势。
2 、就算支持也是没有什么意义的，因为 TLS 是协商密钥机制，始终最终只能有一个算法用来加密，如果 SM 系列算法没有优势通常就不会协商来优先使用。

KoMAsS121 1 天前 5

@liuidetmks 嘛.记得 RSA 的某个老美的商业实现当年是实锤有 FBI 还是 NSA 的后门吧...所以被举一反三了?哈哈

leeg810312 1 天前

我以为只有国产软件的加密功能用国密，还有证书？证书需要全球行业标准吧，否则根证书服务和浏览器都不支持有毛用？你说国产软件硬件必须用可以理解，但浏览器这种通用软件强行用国密证书有什么意义？除非你在专有网络里用特制浏览器

jim9606 1 天前 21

SM2 、SM3 、SM4 都是有在 IANA 注册的，由 RFC8998 定义，也就是说在特定系统上使用这些算法是没有障碍的。
包括 TLS1.3 密码套件（ TLS_SM4_GCM_SM3 ，TLS_SM4_CCM_SM3 ），签名模式 sm2sig_sm3 ，群 curveSM2 。
至少 openssl 支持这个是无压力的，实际上一些银行 U 盾也有用这个。

但民用市场得考虑软件兼容性，你没有靠谱的办法让 XP 上的 Schannel SSP （ Windows 上的默认 SSL/TLS 实现）支持 TLS1.3 和 SM 系列，要知道 TLS 可以自动协商用什么密码套件，但证书种类可没法协商，客户端不支持就直接终止连接了。这也是为啥现在那么多网站证书还用 RSA2048 而不是 ECC 一样。

考虑到 SM2 也是一种 ECC ，在兼容性差于 ECDSA P256/P384/P521 （换句话说就是既生瑜何生亮），曲线参数同样有来源不明的问题，就算要换代，EdDSA(Curve25519)是设计透明度、安全性、性能上更好的选择，SM2 都可以直接跳过了，如果不是政策要求都没必要特意折腾这个。

eason1874 1 天前

体制内有的部门还在用 XP 时代的老软件，XP 上的 IE 浏览器不支持 SSL SNI ，而且他们好多教程锁死 SSL3.0 和 TLS 1.0 ，连 TLS 1.1 都不开

不了解的人压根不知道咋回事，只知道添加 HTTPS 常规配置他们就打不开

xujinkai 1 天前 via Android

国密要求双证书，签名和加密分开，所以国密浏览器只能定制化，就比较蛋疼。

但国内企业网络里很多都是用国密去加密通信的，只是用户侧感知不到。

yancy0l 1 天前

360 其实没做什么事情，只是浏览器认证了国密的标准。认证一个 CA 签发机构的根证书而已，之前好像看到过支持了陕西 CA SM2 入根。也就是以后这个 CA 签发的证书可以作为 https 的认证，在使用 360 的时候，会显示网站可信任而已。首先有没有后门这个事，只说简单的加解密应用，是不存在后门的。不管是 RSA 还是 SM2 产生密钥对的时候，私钥都是用户自己保存的，通信过程中，也只有用户自己知道私钥，从算法原理层面看，是没有后门的。

jim9606 1 天前

搜到了个关于 SM2 的测评。
https://developer.aliyun.com/article/785339
看文章说法，问题蛮多的，SM4 速度打不过 AES ，SM2 打不过 EdDSA 。
而且以前国标还强推客户端证书和双证书体系，换句话说，除非你有脱裤子给上面看的需求，否则强行适应这种标准都是负收益的事，而且现在上面也不喜欢用这种方法了。

cszchen 1 天前 via iPhone

这个是不是国产化过头了，RSA 算法本身是公开的，不存在被卡脖子，如果真有更好的非对称加密算法，相信也很快会有很多开发团队主动使用的

相反在 dns 和根认证方面有可能被搞吧

wy315700 1 天前 2

@cszchen
RSA 算法公开
但是 RSA 算法的芯片 IP 核是不公开的。RSA 公司收入基本上靠卖这个授权。

使用他的 IP 核进行计算，可以比公开算法快很多。所以没人知道他动了什么手脚

liuidetmks 1 天前 1

@jim9606 KM 密钥管理这块确实有待商榷,
速度这方面,
正是由于 AES 这些有先发优势,各类芯片厂商内置 aes 加密模块,这也正是担心的有后门的地方
SM 若果推广开了,国内相关芯片产业会跟进,形成一个产业的正向反馈

LaureatePoet 1 天前

http://www.iie.cas.cn/
INSTITUTE OF INFORMATION ENGINEERING,CAS

IIE 用的都是 http

Bromine0x23 1 天前

算法应该没啥问题；但是国密的认证体制要求加密私钥也放在 CA 侧，这算是明着的“后门”了

mikeven 1 天前

一般企业适配好像也收益不大，客户端兼容性也不好。
机密单位有些要求必须适配，适配了可以提高安全性
再有就是 SM1 算法不公开需要加密芯片（贼贵），说实话门槛比较高。

libook 1 天前 1

国密的推出是国家为了防范其他国家推出的算法有后门的，所以从这个目的来讲，即便有后门也是“只有我自己知道我自己的后门”是能达到安全需要的。

目前没有消息强制要求个人和非国有组织单位使用国密，普通人愿意用啥就用啥，无非是后门在谁手里的问题。

然后国家项目也是分不同场景的，公开的网站只是个宣传门户而已，能让所有人访问到才是首要目标；实际上内部核心系统肯定不是早就换了国密就是在换的过程中。

Frankcox 1 天前

密评现在就是要求国密 SM2 和 SM4 吧，前一阵还折腾了一套支持国密的证书管理系统

flavoury 1 天前

银监会早就要求金融机构改国密了

7gugu 1 天前 via iPhone

微信小程序有一部份功能是要用 sm2 加密的，用户侧应该是无感知的

gengchun 1 天前

这种也没有说要推广吧？真推广，政策就直接捆绑了。现在明显没有，连等保也没有要求。真有要求的都是比较关键的地方。

保密的话，按原则讲，什么样的密级，用什么等级的加密。你让所有人都用上这个加密，不等于给自己增加攻击算法的人数吗？

AyaseEri 1 天前

银行内部在用国密

leavic 1 天前

国家电网的计量 SOC 都要求用国密

w3cll 1 天前

gov 的网站用不用 https 好像你敢对它干嘛一样。就放在那里，你敢 hack 它吗?

liuidetmks 1 天前 via iPhone

@w3cll 县级 gov 网站被挂🐎 太正常了，不过这个和 https 没太大关系，
只要收益够大，gov 和 com 没啥区别

cwek 1 天前

国标加密在政务系统网络的服务中有见过。但是对外互联网的话，普遍性都是 RSA 等公共的这一套，360 说推过支持 SM 证书的浏览器，也可能测试方式不对（ SSL 客户侧推头没有），导致服务器不适配。

当然也有可能服务器侧真的不适配（因为听说如 nginx 要专门打支持补丁）

psiKENT 1 天前 via iPhone

电力系统已经强制使用了

nomagick 1 天前 2

sm 系列算法已经在最新的 openssl 里面了，列席国际标准一员，和 aes sha 系列没有本质区别

westoy 1 天前

@w3cll gov 和 edu 以前是被挂黑帽的重灾区........

ZeroClover 1 天前

国密又不是只有 SM2

X.509 Server 这种场合，特别是面向公共服务用国密也不合适啊，但是很多客户端应用和 M2M 的都换国密了

Cielsky 1 天前 via Android

@gefranks #5 确实，毕竟大家一直被美国监控着，老大都这样干了，老二跟着干，也不是没可能

genesislive 1 天前 1

RSA 被指收美 XX 千万美元在加密算法中安后门

zpxshl 1 天前 via Android

我呆过国企，知名国企下的全资子公司，专门接母公司和 zf 订单。
用户登录密码都是 http 明文传输的，后来在啥安全排查中被发现，勒令整改。那时候客户端负责人就直接在 apk 内置密钥，用该秘钥加解密，apk 没有加固。
不过那时候呆着挺舒服的，天天 5.30 下班。一周实际工作时间不到半小时。

ztcaoll222 1 天前

我记得 sm3 要用加密狗

mutalisk 1 天前 1

@liuidetmks 是的，只是曲线参数不一样

mutalisk 1 天前

@jim9606 不知道啥叫 SM2 打不过 Ecdsa ，SM2 是一条特定参数的椭圆曲线 ECC ，使用的签名验签算法就是 Ecdsa ，不知道你说的 SM2 打不过 Ecdsa 是啥意思。

Zy143L 1 天前 via Android

SM1 是黑盒算法
SM2 是 ECC 改
除了部分强制要求要用的
谁没事用这个干啥呢

jhdxr 1 天前

@liuidetmks 可这（在你举例的场景下）又不是强制标准。事实上国密相比现有加密方法，并没有明显优势（自主可控并不算一个优势——这个自主可控是对于统治阶级来说的，不是对于使用加密算法的我来说的），那我为啥要去用它？

m3s 1 天前

合伙搞个密码检测评测中心（机构）？

whileFalse 1 天前 2

因为浏览器不认啊。
不过话说回来，我觉得中国的最大问题是没有自己的根证书，一旦被制裁就 TM 很麻烦。
我觉得证书系统还缺一个重要功能，就是信任域名。我是非常信任中国根证书在 *.cn 域名上的有效性的……

jinliming2 1 天前 via iPhone 1

@whileFalse 以前有的，CNNIC ，后来被封杀了，封杀原因搜一搜就知道，证书权限太高，第三方公司拿 CNNIC 的证书签 google 域名的假证书……

jinliming2 1 天前 via iPhone 1

@KoMAsS121 #12 老美的算法后门实锤应该算是的，NIST 通过特殊设计的加密参数可能导致 RSA 被破解。
但举一反三到不是，国密带后门是直接写在脸上的：私钥要求放 CA 里……

WuSiYu 23 小时 12 分钟前 via iPhone 1

SM2 ，SM3 ，SM4 从技术上讲似乎问题不大，对于 zf 而言有一定意义，比如 SM4 虽然几乎是 AES 的翻版，但算法里的几个常数不一样，万一 NIST 在这里下了毒就可以规避。但对于个人用户而言这点没什么意义，并且 SM 系列算法在现在的主流 CPU 上也没有硬件加速，导致性能和效率比较差，就完全没什么必要用了。
有趣的是 riscv 的 crypto 扩展（ k 扩展）是包含（可选的） SM3 和 SM4 的加速指令的，虽然“默认”是不会带的，要是国产 riscv CPU 流行了，SM 系列的应用没准也会更广泛些

xhemj 20 小时 50 分钟前 via Android

外交部新的地址已经启用 https 了 https://www.mfa.gov.cn/

jobmailcn 19 小时 45 分钟前 via Android

用 https 证书断言国密推行不顺不妥吧，https 证书的用户是普通人的浏览器，要考虑兼容性，企业内部不用考虑兼容性的地方是可以用国密的，我现在内部用基本首选国密加密，但是跟外部约定协议还是 RSA+AES 。

dingwen07 19 小时 18 分钟前 via iPhone

@linglin0924 #1 没有这种说法，国密的标准是公开的，而且似乎就是某个密钥算法改的。

dingwen07 19 小时 15 分钟前 via iPhone

#56
当然如果国密抄了一些怀疑被 NIST 加过后门的随机数生成常量方式什么的，那也不一定可信

追求可信还是要用开源社区开发的密钥标准

Phoa 18 小时 49 分钟前

国家电网有国密啊，举个例子，内部的 U 盘用的就是 SM4

exiledkingcc 18 小时 39 分钟前 1

国密算法 SM2 对标 ECC ，SM3 是 hash ，SM4 对表 AES ，从数学上，没有太大差别。
至于后门，和国际上的公开算法类似，都是暂未发现。这也只有密码学专家才能发现。
不过国密的“双证书体系”肯定是有问题的，顶多在一个机构内部可以这么干，否则是没法接受私钥不在自己这里生成的。
另外，目前国密算法缺乏硬件加速，性能上差点。
对于没有硬件加速的场景，还是可以用一下的。
我之前就在 STM32 上用过 SM3 和 SM4 。
https://github.com/exiledkingcc/zcrypto

tankren 18 小时 37 分钟前 1

RSA 的后门事件都忘了？

blackshow 18 小时 33 分钟前 2

pusheax 18 小时 33 分钟前 2

RSA 和 ECC 都曾传闻存在后门。要知道，DES 的 s-box 直到现在大家都不知道老美为何那样设计。
所以 sm 有没有存在的必要性呢，我觉得是有的。
至于推行，在某些行业和部门，是有半强制推行的。比如金融部门，是否使用 sm 也是安全评估的条目之一。

kilasuelika 18 小时 29 分钟前 via Android

@tankren rsa 算法本身没有漏洞，是 rsa 公司甚于 rsa 推出的产品有漏洞。假如自己按标准来实现一个，那就没有问题。

nothingistrue 18 小时 18 分钟前 1

@whileFalse #49 不止跟证书以前有，顶级域名镜像（全球就十来个点）也是有的，后来因为 DNS 投毒一不小心从国内变成国籍，被吊销了。域名、证书这些传统互联网领域，并不是中心化的，美国作为中心领导者可以影响，但要制裁是不可能的（或者说制裁还没完成，下面就切线把美国隔离了）。

nothingistrue 18 小时 2 分钟前

上面说得被吊销不对，没法吊销，而是其他所有域名服务器全部不信任国内那个服务器了。如果美国要是在原始中央镜像服务器上投毒，那么也能这样被隔离，谁都没特权（军队开过去搞物理特权，那就另说了）。

blackshadow 17 小时 55 分钟前

金融行业，不少公司是国密，在对外业务的接口交互等方面。网站证书这个，运维的事吧。

pheyer 17 小时 48 分钟前

好几家上市公司做这个的，你去看看业绩

aloxaf 17 小时 36 分钟前 4

怎么还有传 RSA 算法有后门的……
是「 RSA 公司」的「 BSafe 」软件使用的「 Dual_EC_DRBG 」伪随机数生成算法存在后门

FrankAdler 16 小时 57 分钟前 1

单说域名证书，算法就在那，不会太会有后面，但是谁知道证书人家有没有留备份，会不会在关键节点上直接用根证书去监控。。

garlics 16 小时 42 分钟前

国密证书比一般证书贵得多吧，没特殊要求肯定不会用。

twl007 16 小时 37 分钟前 via iPhone

为什么总有人分不清什么是设计标准什么是具体实现

stuartofmine 16 小时 16 分钟前 1

恰好我在某 CA 进行国密改造的开发。
1.国密改造在金融业和部分企事业单位是强制推行的，不存在推进不下去的情况。所有银行都在进行国密改造，事实上你已经在使用了。
2.SM2 ，SM3 ，SM4 都有公开的算法文档，至于后门——私钥都是客户持有的，CA 根本拿不到。后门一说纯粹无稽之谈。我可以明确地告诉你，没有后门。

ungrown 16 小时 10 分钟前

@agagega #4 龙芯不是一直好好的嘛，最近有啥事了？

itemqq 16 小时 2 分钟前 1

@pusheax S 盒当时 IBM 提交的文档里有设计原理，但是那一页被 NSA 撕了哈哈哈

但是根据之后的种种迹象，现在密码学业界更多地认为是当时 DES 的设计者已经发现了差分攻击这个技术，所以设计 S 盒的时候专门考虑了这一点（对于输入的任意改变将引起输出的至少 2bit 变化），但是 NSA 不想让差分攻击就这样公之于众，所以就删了。所以 80 年代末 shamir 他们发表差分攻击的时候，DES 那群人说我们 74 年就知道这个了。。。

可以参考下 DES 设计者的描述 https://en.wikipedia.org/wiki/Differential_cryptanalysis#:~:text=more%20susceptible.%5B1%5D-,In%201994,-%2C%20a%20member%20of

另外 DES 其实 40 多年了并没有什么设计层面的漏洞，唯一的问题是密钥太短了（ 56bit ），所以 3DES 现在还在用（逆向过微信支付算法的应该懂）

haikouwang 15 小时 56 分钟前

@dingwen07 确实。个人理解国密如果没有什么压倒性的技术颠覆，流行的可能性不高。

shuianfendi6 15 小时 49 分钟前

国密在个人场景用的不太多

银行，密码机之类领域都在用

dzdh 15 小时 39 分钟前

应用还是可以的。

cfca 可以申请 sm 证书。

go tls.config{ GetCertificate: func 根据 clientciphers 动态返回不同的证书

winterx 15 小时 33 分钟前

很多国企、政企单位已经要求改国密了，这些基本都在内网环境中使用

holinhot 15 小时 28 分钟前

强推只会适得其反。要的是大家认可你，而不是让大家服从你。

julyclyde 15 小时 17 分钟前

你看到不支持国密的证书，会不会是因为
你用的客户端不支持国密？

jedihy 14 小时 52 分钟前

@liuidetmks 举国之力推广外国都不会用的。最多也就墙内玩玩。

lanternxx 14 小时 45 分钟前

@whileFalse 国内 CFCA SHECA GDCA 三家都有被信任的根证书

Corua 14 小时 36 分钟前 via Android

既要软件生态支持，又要大成本大精力改造旧系统。企业内都用不好这技术，还怎么给普通人用（从业半年测评有感

Cu635 14 小时 12 分钟前

@linglin0924
@gefranks
你俩一唱一和的，是在说 RSA 的那个商业实现么？

@KoMAsS121
@liuidetmks
老外自己说有后门，也就动手找了，这不就找到了 rsa 的一个商业实现的后门了嘛。
DES 是因为加密过程中必须要用到一个黑盒（标准里面规定的），而西方世界在密码领域有过设置陷阱的前科，所以对这个黑盒猜测这里有后门才是应该的……
有根据的披露“有后门”是正义，而“证明有后门是个非常困难的事情，但是我相信肯定是有后门的”这就是诽谤。

@jim9606
不，这不是“既生瑜何生亮”的问题，而是人家定的用什么曲线、什么参数，选择理由是不透明的，很有可能是因为这个曲线这个参数下的加密强度最小，暴力解密需要的运算时间可以通过优化得到最短；或者是有漏洞，可以用特殊方法简单解密。
要不然，也就不会有“EdDSA(Curve25519)……是更好选择”这一说了。
而且请注意，这些“阴谋”论也都是国外提出来的，涉及不到天朝……

@Bromine0x23
@jinliming2
强制要私钥这不叫“后门”，这叫抢劫……

@itemqq
@pusheax
问题就是，二战时期英美已经把德国的恩尼格码给破解了，而且是扎实的从数学原理到工程实践的破解，机械-电子复合的计算机也已经经历过大规模的实践检验了，等到战后殖民地独立浪潮的时候，西方世界还把恩尼格码机器卖给这些新独立国家，还宣传说是“不可破解的密码” 。并且这些前宗主国还保留了针对这些新独立国家进行密码破译的部门。
有了这个前科，DES 的那个黑盒既然不公开，那么怀疑有后门才是应该的。

iyaozhen 14 小时 8 分钟前

额 https 证书不能说明什么呀，这个还要考虑兼容性嘛

但代码里面加密数据存储已经用起来了

Corua 13 小时 35 分钟前 1

@m3s 全国软硬密码产品认证机构不过个位数，信息系统蜜评资质的也没超过 100 个，还要国家密码管理局审核，干这事资金实力关系都要的

@gengchun 等🐆自身没具体要求用什么密码技术，但新政策已经要求已定级系统应该做同等级的蜜评的

dongpengfei1 13 小时 12 分钟前

https 这个东西基本国外浏览器都不支持，上国密的话影响用户使用，使用国外的证书的话具有一定危险性，参考俄罗斯。
后门这个东西谁家没有。

jim9606 12 小时 21 分钟前

@mutalisk
我这里说得不太严谨，应该是打不过 NIST 曲线。
SM2 跟已经广泛部署的 P256 没显著差别+生得晚，就是输了。
跟 TLS 密钥交换可以使用自定义群（因为有被攻击的可能，还没什么人用，在 1.3 被删除）不一样，X.509 的 ECC 公钥好像只能用具名曲线(用 OID 标识)，所以不更新软件就不能用。