问:密码有哪些主要功能?
答:密码的主要功能有两个,一个是加密保护,另一个是安全认证。
加密保护是指采用特定变换的方法,将原来可读的信息变成不能直接识别的符号序列。简单地说,加密保护就是将明文变成密文。例如,古希腊军队使用一种叫做“斯巴达棒”的圆木棍来进行加密通信,使用方法是:把一根长带状羊皮纸缠绕在圆木棍上,然后在上面写字;解下羊皮纸后,上面只有乱序的字符,只有再次以同样的方式缠绕到同样粗细的木棍上,才能看出所写的内容。
安全认证是指采用特定变换的方法,确认信息是否完整、是否被篡改、是否可靠以及行为是否真实。简单地说,安全认证就是确认主体和信息的真实可靠性。例如,增值税防伪税控系统采用商用密码技术保护涉税信息,增值税发票信息经密码算法进行加解密处理,确定该发票的明文信息是否真实,从而遏制增值税犯罪,减少税款流失。
问:《密码法》的管理对象有哪些?
答:作为本法的管理对象,密码包括密码技术、密码产品和密码服务。
密码技术,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术,包括密码编码、实现、协议、安全防护、分析破译,以及密钥产生、分发、传送、使用、销毁等技术。分组密码算法(如SM4算法)、公钥密码算法(如SM2算法)等是典型的密码算法,密钥交换协议、密钥分发协议等是典型的密码协议。
密码产品,是指采用密码技术并以加密保护、安全认证的产品,即承载密码技术、实现密码功能的实体。典型的密码产品包括:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份z、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。
密码服务,是指基于密码专业技术、技能和设施,为他人提供集成、运营、监理等密码支持和保障的活动,即基于密码技术和产品,实现密码功能,提供密码保障的行为。典型的密码服务包括:密码保障系统集成(如数字证书认证系统集成),是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全;密码保障系统运营(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能系统的正常运行提供安全管理和维护。
问:密码是如何分类的?
答:《密码法》将密码分为核心密码、普通密码和商用密码,实行分类管理。核心密码用于保护国家绝密级、机密级、秘密级信息,普通密码用于保护国家机密级、秘密级信息
典型的密码服务包括:密码保障系统集成。
扩展资料:
密码技术,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术,包括密码编码、实现、协议、安全防护、分析破译,以及密钥产生、分发、传送、使用、销毁等技术。分组密码算法(如SM4算法)、公钥密码算法(如SM2算法)等是典型的密码算法,密钥交换协议、密钥分发协议等是典型的密码协议。
密码产品,是指采用密码技术并以加密保护、安全认证的产品,即承载密码技术、实现密码功能的实体。典型的密码产品包括:密码机,如链路密码机、网络密码机、服务器密码机、传真密码机、电话密码机等;密码芯片和模块,如第二代居民身份z、智能电卡、社会保障卡、金融芯片卡中使用的密码芯片、可信计算密码模块等。
密码服务,是指基于密码专业技术、技能和设施,为他人提供集成、运营、监理等密码支持和保障的活动,即基于密码技术和产品,实现密码功能,提供密码保障的行为。典型的密码服务包括:密码保障系统集成(如数字证书认证系统集成)。
是指为他人集成建设实现密码功能的系统,保护他人网络与信息系统的安全;密码保障系统运营(如增值税发票防伪税控系统运营),是指为保证他人实现密码功能系统的正常运行提供安全管理和维护。
德国海军是德国第一支使用恩尼格玛密码机的部队。海军型号从1925年开始生产,于1926年开始使用。键盘和显示板包含了29个字母,即A-Z、Ä、Ö和Ü,它们在键盘上按顺序排列,而不是按一般的QWERTY式。每个转子有28个触点,字母X的线路不经过转子,也不被加密。 *** 作员可以从一套5个转子之中选择三个,而反射器可以有四种安装位置,代号分别为α、β、γ和δ。1933年7月这种型号又经过了一些小改进。
到了1928年7月15日,德国陆军已经有了他们自己的恩尼格玛密码机,即“恩尼格玛G型”,它在1930年6月经过改进成为了“恩尼格玛I型”。恩尼格玛I型于二战之前与进行的时候在德国军方和其它一些政府组织那里得到了广泛的应用。恩尼格玛I型与商业用恩尼格玛密码机最显著的不同就是I型有一个接线板,这极大地提高了它的保密性。其余的一些不同点包括了固定的反射器,并且I型转子的V形刻痕移到了字母环上。这台机器体积为28×34×15立方厘米,重量约为12公斤。
1930年,德国陆军建议海军采用他们的恩尼格玛密码机,他们说(有接线板的)陆军版安全性更高,并且各军种之间的通信也会变得简单。海军最终同意了陆军的提议,并且在1934年启用了陆军用恩尼格玛密码机的海军改型,代号为“M3”。当陆军仍然在使用3转子恩尼格玛密码机时,海军为了提高安全性可能要开始使用5个转子了。
1938年12月,陆军又为每台恩尼格玛密码机配备了两个转子,这样 *** 作员就可以从一套5个转子中随意选择三个使用。同样在1938年,德国海军也加了两个转子,1939年又加了一个,所以 *** 作员可以从一套8个转子中选择三个使用。1935年8月,德国空军也开始使用恩尼格玛密码机。1942年2月1日,海军为U型潜艇配备了一种四转子恩尼格玛密码机,代号为“M4”(它的通信网络叫做“蝾螈”,而盟军叫它“鲨鱼”)。
人们还生产了一种大型八转子可打印型恩尼格玛密码机,叫做“恩尼格玛II型”。1933年,波兰密码学家发现它被用于德军高层之间的通讯,但是德军很快就弃用了它,因为它不可靠,并且经常出故障。
德国防卫军用的是“恩尼格玛G型”。这种型号有四个转子,没有接线板,并且在转子上有多个V形刻痕。这种恩尼格玛密码机还有一台会记录按键次数的计数器。
其它国家也使用了恩尼格玛密码机。意大利海军使用了商业用恩尼格玛密码机来作为“海军密码机D型”。西班牙也在内战中使用了商业用恩尼格玛密码机。英国密码学家成功地破译了它的密码,因为它没有接线板。瑞士使用了一种叫做“K型”或“瑞士K型”(军方与外交机构使用)的密码机,它与商业用恩尼格玛密码机D型非常相似。许多国家都破译了它的密码,这些国家包括了波兰、法国、英国和美国。日军使用了“恩尼格玛T型”。
恩尼格玛密码机并不是完美的,尤其是在盟军了解了它的原理之后。这就使盟军能够破译德军的通讯,而这在大西洋海战中是具有关键作用的。
人们估计一共有100,000台恩尼格玛密码机被建造出来。在二战结束以后,盟军认为这些机器仍然很安全,于是将他们缴获的恩尼格玛密码机卖给了发展中国家。 盟军破解恩尼格玛机的过程直到1970年才公开。从那以后,人们对恩尼格玛机产生了越来越多的兴趣,美国与欧洲的一些博物馆也开始展出了一些恩尼格玛机。慕尼黑的德国博物馆有一台3转子和一台4转子恩尼格玛机,还有几台商业用恩尼格玛机。美国国家安全局的国家密码学博物馆有一台恩尼格玛机,来参观的客人可以用它来加密及解密信息。美国的计算机历史博物馆,英国的布莱切利园,澳大利亚堪培拉的澳大利亚战争纪念馆和德国,美国和英国一些地方也展出着恩尼格玛机。已经关闭了的圣迭戈计算机博物馆的展品中有一台恩尼格玛机,它在博物馆关闭后被送给了圣迭戈州立大学图书馆。一些恩尼格玛机也成为了私人收藏品。
恩尼格玛机有时也会被拍卖,20000美元的竞拍价是并不稀奇的。
恩尼格玛机的复制品包括了一台德国海军M4型的复制品,一台电子系统经过了改进的恩尼格玛机(恩尼格玛E型),各种计算机模拟软件和纸制模型。
一台罕见的序号为G312的德国情报局版恩尼格玛机于2000年4月1日从布莱切利园被偷走。9月,一个自称“老大”的人放出消息说他要得到25000英镑,否则就会将那台恩尼格玛机毁掉。2000年10月,布莱切利园的官员宣布他们会支付这笔钱,但是在钱付完之后敲诈者却没有回信。就在此后不久,它被匿名地送到了BBC的记者杰里米·帕克斯曼那里,但是三个转子却不见了。2000年11月,一个叫做丹尼斯·叶茨的古董交易家在给星期日泰晤士报打电话要交还那些遗失的转子后被拘捕。事后那台恩尼格玛机被送回了布莱切利园。2001年10月,叶茨在承认他就是偷了那台恩尼格玛机并对被布莱切利园董事基丝丁·拉吉(Christine Large)进行了敲诈的人后被判了10个月的有期徒刑,但他坚持说自己只是为第三者服务的一个中间人。他在入狱三个月后被释放。 恩尼格玛机对密码机的设计是非常有影响的,有一些其它的转子机械就起源于它。英国的Typex机就起源于恩尼格玛机的专利设计,它甚至包含了真实的恩尼格玛机中并未应用的专利设计。为了保密,英国政府没有为应用这些专利设计付版税。日本使用了一种被美国密码学家称作GREEN的恩尼格玛机复制品。在这台并没有被大量使用到的机器中,四个转子是垂直排列的。美国密码学家威廉·弗雷德曼设计了M-325,这是一台与恩尼格玛机具有相似原理的机器,但它从没有被造出来过。
2002年,荷兰的塔吉雅娜·凡·瓦克(Tatjana van Vark)制造了一台独特的转子机器。这台机器也是起源于恩尼格玛机,但是它的转子有40个金属触点及管脚,这就使 *** 作员可以输入字母,数字和一些标点;这台机器包含了509个部件。
1918年2月23日,德国工程师阿瑟·谢尔比乌斯申请了他设计的一种使用转子的密码机的专利,并和理查德·里特组建了谢尔比乌斯和里特公司。他们向德国海军和外交部推销这种密码机,但是没有人对它感兴趣。他们随后将专利权移交给了Gewerkschaft Securitas,他在1923年7月9日组建了Chiffriermaschinen Aktien-Gesellschaft(意为“密码机股份公司”);谢尔比乌斯和里特任董事。
该公司随后开始推销他们的“恩尼格玛A型”转子机,它从1923年到1924年都在万国邮政联盟大会展出。这台机器很笨重,它包含了一台打字机。它的体积为65×45×35立方厘米。重量大约为50公斤。之后,B型恩尼格玛机也被生产了出来,它在结构上与A型相似。[6]尽管名字为“恩尼格玛”,但A和B两种型号和后来的型号之间有很大的差别,这两种型号在大小和形状上有所不同,并且没有反射器。
反射器这个主意是由谢尔比乌斯的同事威利·科恩想出来的,1926年的“恩尼格玛C型”首先安装了反射器。反射器是恩尼格玛机的一个显著特征。
C型比前几种型号更小且更易于携带。它没有配备打字机,而是由 *** 作员来记下显示板上的信息,所以它又有了“亮着灯的恩尼格玛机”这样一个外号。恩尼格玛C型很快就被恩尼格玛D型(1927年开始生产)取代。D型得到了广泛的应用,它的样品被送到过瑞典,荷兰,英国,日本,意大利,西班牙,美国和波兰。
在等保10的要求中,网络设备安全计算环境。
网络安全设备包括IP协议密码机、安全路由器、线路密码机、防火墙等,广义的信息安全设备除了包括上述设备外,还包括密码芯片、加密卡、身份识别卡、电话密码机、传真密码机、异步数据密码机、安全服务器、公开密钥基础设施(PKI)系统、授权证书(CA)系统、安全 *** 作系统、防病毒软件、网络/系统扫描系统、入侵检测系统、网络安全预警与审计系统等。
可以通过防火墙设置,使Internet或外部网用户无法访问内部网络,或者对这种访问配备更多的限定条件。在网络系统与外部网络接口处应设置防火墙设备;服务器必须放在防火墙后面。
具体防范病毒应采用网关防病毒、邮件防病毒、服务器防毒、网络主机防病毒等多种防毒措施的组合,从而形成一个交叉、完善的病毒防护体系。网关防病毒是通过在防火墙后布置服务器,安装防病毒软件,对采用>
如果有邮件服务器,则应该根据邮件服务器的软件配置安装相应的防病毒软件。服务器防病毒一般根据其 *** 作平台(如NT、UNIX、LINUX、NetWare等)进行定制安装,并进行安全配置;服务器应用范围不同也需要不同配置策略,如WEB SITE、DNS、NOTES服务器、数据库中间层处理服务器和其他商业应用服务器等。网络中的每台主机也应该安装防病毒软件。
增值税发票服务平台20升级后,税控服务器就换为了新版税控服务器,也称之为密码机,最多可支持上万个税号。即便如此,还需要很多第三方平台的服务来承担部分深入应用的市场主体,所以也授权部分第三方平台采购密码机、OFD板式服务器、签章服务器等硬件,中科迅联也有该资格,可以为自己的平台和自建的客户提供硬件服务。
密码学(cryptography): 通过将信息编码使其不可读,从而达到安全性。
算法 :取一个输入文本,产生一个输出文本。
加密算法 :发送方进行加密的算法。
解密算法 :接收方进行解密的算法。
对称密钥加密 (Symmetric Key Cryptography):加密与解密使用相同密钥。
非对称密钥加密 (Asymmetric Key Cryptography):加密与解密使用不同密钥。
密钥对 :在非对称加密技术中,有两种密钥,分为私钥和公钥,私钥是密钥对所有者持有,不可公布,公钥是密钥对持有者公布给他人的。
公钥 :公钥用来给数据加密,用公钥加密的数据只能使用私钥解密。
私钥 :如上,用来解密公钥加密的数据。
摘要 :对需要传输的文本,做一个HASH计算。
签名 :使用私钥对需要传输的文本的摘要进行加密,得到的密文即被称为该次传输过程的签名。
密码协议是指两个或两个以上的参与者为了达到某种特定目的而采取的一系列步骤。规定了一系列有序执行的步骤,必须依次执行。必须有两个或两个以上的参与者,有明确的目的。参与者都必须了解、同意并遵循这些步骤。
常见的密码协议包括IPSEC *** 协议、SSL *** 协议、密钥交换协议等。
密码是指描述密码处理过程的一组运算规则或规程,一般是指基于复杂数学问题设计的一组运算,其基本原理基于数学难题、可证明计算、计算复杂度等。主要包括:对称密码、公钥密码、杂凑算法、随机数生成。
在对称加密算法中,加密使用的密钥和解密使用的密钥是相同的,加密和解密都是使用同一个密钥,不区分公钥和私钥。
通信双方采用相同的密钥来加解密会话内容,即一段待加密内容,经过同一个密钥的两次对称加密后,与原来的结果一样,具有加解密速度快和安全强度高的优点。
国际算法:DES、AES。
国产算法:SM1、SM4、SM7。
非对称加解密算法又称为 公钥密码 ,其密钥是成对出现的。双方通信时,首先要将密钥对中的一个密钥传给对方,这个密钥可以在不安全的信道中传输;传输数据时,先使用自己持有的密钥做加密,对方用自己传输过去的密钥解密。
国际算法:RSA
国产算法:SM2
优点:
密钥分发数目与参与者数目相同,在有大量参与者的情况下易于密钥管理。
支持数字签名和不可否认性。
无需事先与对方建立关系,交换密钥。
缺点:
速度相对较慢。
可能比同等强度的对称密码算法慢10倍到100倍。
加密后,密文变长。
密码杂凑算法 :又称为散列算法或哈希函数,一种单向函数,要由散列函数输出的结果,回推输入的资料是什么,是非常困难的。
散列函数的输出结果,被称为讯息摘要(message digest)或是 摘要(digest) ,也被称为 数字指纹 。
杂凑函数用于验证消息的完整性, 在数字签名中,非对称算法对数据签名的速度较慢,一般会先将消息进行杂凑运算,生成较短的固定长度的摘要值。然后对摘要值进行签名,会大大提高计算效率 。
国际算法:MD5、SHA1、SHA2、SHA3
国产算法:SM3
2009年国家密码管理局发布的《信息安全等级保护商用密码技术实施要求》中明确规定,一、二、三、四级信息系统应使用商用密码技术来实施等级保护的基本要求和应用要求,一到四级的密码配用策略要求采用国家密码管理部门批准使用的算法。
2010年年底,国家密码管理局公开了SM2、SM3等国产密码算法。
2011年2月28日,国家密码管理局印发的2011145号文中明确指出,1024位RSA算法正在面临日益严重的安全威胁,并要求各相关企业在2012年6月30日前必须使用SM2密码算法
国家密码管理局在《关于做好公钥密码算法升级工作的函》中要求2011年7月1日以后建立并使用公钥密码的信息系统,应使用SM2算法;已经建设完成的系统,应尽快进行系统升级,使用SM2算法。
2014年底,国家密码管理局启动《重要信息系统密码应用推进总体研究课题》,确定十三五密码 科技 专项。
2017年11月底,国家密码管理局下发了《政务云密码支撑方案及应用方案设计要点》。
2017年国家密码管理局发布了42项金融和重要领域国产密码应用试点任务。
2018年,中共中央办公厅、国务院办公厅印发《金融和重要领域密码应用与创新发展工作规划(2018-2022年)。
2018年,为指导当时即将启动的商用密码应用安全性评估试点工作,国家密码管理局发布了密码行业标准GM/T0054-2018《信息系统密码应用 基本要求》。
2021年3月,国家市场监管总局、国家标准化管理委员会发布公告,正式发布国家标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》,该标准于2021年10月1日起实施。
SM1 算法是分组密码算法,分组长度为 128 位,密钥长度都为 128 比特,算法安全保密强度及相关软硬件实现性能与AES相当,算法不公开,仅以IP核的形式存在于芯片中。
算法集成于加密芯片、智能 IC 卡、智能密码钥匙、加密卡、加密机等安全产品,广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括政务通、警务通等重要领域)。
SM2椭圆曲线公钥密码算法是我国自主设计的公钥密码算法,是一种基于ECC算法的 非对称密钥算法, 其加密强度为256位,其安全性与目前使用的RSA1024相比具有明显的优势。
包括SM2-1椭圆曲线数字签名算法,SM2-2椭圆曲线密钥交换协议,SM2-3椭圆曲线公钥加密算法,分别用于实现 数字签名密钥协商 和 数据加密 等功能。
SM3杂凑算法是我国自主设计的密码杂凑算法,属于哈希(摘要)算法的一种,杂凑值为256位,安全性要远高于MD5算法和SHA-1算法。
适用于商用密码应用中的 数字签名 和 验证消息认证码的生成与验证 以及 随机数 的生成,可满足多种密码应用的安全需求。
SM4 分组密码算法 是我国自主设计的分组对称密码算法,SM4算法与AES算法具有相同的密钥长度分组长度128比特,因此在安全性上高于3DES算法。
用于实现数据的加密/解密运算,以保证数据和信息的机密性。软件和硬件加密卡均可实现此算法。
商用密码技术框架包括 密码资源、密码支撑、密码服务、密码应用 等四个层次,以及提供管理服务的密码管理基础设施。
密码资源层: 主要是提供基础性的密码算法资源。
密码支撑层: 主要提供密码资源调用,由安全芯片、密码模块、智能IC卡、密码卡、服务器密码机、签名验签服务器、IPSCE/SSL *** 等商密产品组成。
密码服务层: 提供密码应用接口,分为对称和公钥密码服务以及其他三大类。
密码应用层: 调用密码服务层提供的密码应用程序接口,实现数据的加解密、数字签名验签等服务。如应用 于 安全邮件、电子印章系统、安全公文传输、移动办公平台、可信时间戳等系统。
密码管理基础设施: 独立组件,为以上四层提供运维管理、信任管理、设备管理、密钥管理等功能。
完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统(KMC)、证书作废系统(CRL)、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。
CA 系统:Ca系统整个PKI的核心,负责证书的签发。CA首先产生自身的私钥和公钥(密钥长度至少为1024位),然后生成数字证书,并且将数字证书传输给安全服务器。、CA还负责为 *** 作员、安全服务器以及注册机构服务器生成数字证书。安全服务器的数字证书和私钥也需要传输给安全服务器。
CA服务器是整个结构中最为重要的部分,存有CA的私钥以及发行证书的脚本文件,出于安全的考虑,应将CA服务器与其他服务器隔离,任何通信采用人工干预的方式,确保认证中心的安全。
(1)甲使用乙的公钥对明文进行加密,生成密文信息。
(2)甲使用HASH算法对明文进行HASH运算,生成数字指纹。
(3)甲使用自己的私钥对数字指纹进行加密,生成数字签名。
(4)甲将密文信息和数字签名一起发送给乙。
(5)乙使用甲的公钥对数字签名进行解密,得到数字指纹。
(6)乙接收到甲的加密信息后,使用自己的私钥对密文信息进行解密,得到最初的明文。
(7)乙使用HASH算法对还原出的明文用与甲所使用的相同HASH算法进行HASH运算,生成数字指纹。然后乙将生成的数字指纹与从甲得到的数字指纹进行比较,如果一致,乙接受明文;如果不一致,乙丢弃明文。
SSL 协议建立在可靠的传输协议(如 TCP)之上,为高层协议提供数据封装,压缩,加密等基本功能。
即可以协商加密算法实现加密传输,防止数据防窃听和修改,还可以实现对端设备身份验证、在这个过程中,使用国密算法进行加密、签名证书进行身份验证、加密证书用于密钥交换
SSL协商过程:
(1)客户端发出会话请求。
(2)服务端发送X509证书(包含服务端的公钥)。
(3)客户端用已知Ca列表认证证书。
(4)客户端生成随机对称密钥,并利用服务端的公钥进行加密。
(5)双方协商完毕对称密钥,随后用其加密会话期间的用户最终数据。
利用SSL卸载技术及负载均衡机制,在保障通讯数据安全传输的同时,减少后台应用服务器的性能消耗,并实现服务器集群的冗余高可用,大幅度提升整个业务应用系统的安全性和稳定性。此外,借助多重性能优化技术更可缩短了业务访问的响应等待时间,明显提升用户的业务体验。
基于 数字证书 实现终端身份认证,给予密码运算实现本地数据的加密存储,数字证书硬件存储和密码运算由移动终端内置的密码部件提供。
移动应用管理系统服务器采用签名证书对移动应用软件安装包进行签名,移动应用管理系统客户端对签名信息进行验签,保障移动应用软件安装包的真实性和完整性。
移动办公应用系统采用签名证书对关键访问请求进行签名验证。
采用加密证书对关键传输数据和业务 *** 作指令,以及移动终端本地存储的重要数据进行加密保护。
移动办公系统使用商用密码,基于数字证书认证系统,构建覆盖移动终端、网络、移动政务应用的安全保障体系,实现政务移动终端安全、接入安全、传输安全和移动应用安全 。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)