SSL证书中的国密算法,具体的是由国家密码管理局于2011年发布了《关于做好公钥密码算法升级工作的通知》,要求自2011年3月1日起,在建和拟建公钥密码基础设施电子认证系统和密钥管理系统应使用国密算法。
国密算法SM,也被称为椭圆曲线算法,经由国家密码管理局发展至今也由2011年的最初SM1、SM2演变成了目前的SM9,其实就是国家密码局认定的国产密码算法,标准命名为SM+X(X=1,2,3,4……)。
其中SM1、SM4、SM7、祖冲之密码(ZUC)是对称算法;SM2、SM9是非对称算法;SM3是哈希算法。所以说目前的SM2、SM3、SM9是最被广泛应用于数字证书中几种算法。
不同于传统国际算法,SM算法的优势在哪:
首先是安全性。传统算法有些出现过漏洞,比如SHA-1被破解,RSA密钥不够长的时候也有风险。而SM算法设计时可能规避了这些已知问题。比如SM2的256位强度相当于RSA 2048位,效率更高。另外,SM4使用非线性结构,可能抗攻击性更强。
其次是自主可控的问题。用国际算法可能存在后门风险,或者受出口限制。国密算法作为国内标准,代码自己掌握,供应链更安全。这点对政府和金融领域特别重要,毕竟涉及国家安全。性能方面,SM2在相同安全强度下比RSA快很多,尤其是在签名和验签的时候。SM4在软硬件实现上效率都不错,可能比AES在某些场景更快。
SM2算法在很多方面都优于RSA算法、ECC算法,奈何RSA、ECC的应用时间更长,所以目前市场主流证书算法还是集中在RSA、ECC上。
国密SM算法的一些应用不足:
虽说国密SM算法在众多的性能上都优于传统的RSA、ECC算法,但是大家需要知道,目前占据数字证书主导地位的还是以美国为首的西方国家,由于证书产业的长期垄断,导致目前主流的国际浏览器并不认可SM算法,故而,在选择国密SM算法的证书时,一定要注意使用国密浏览器才能兼容。
列举一下常见的国密浏览器:目前兼容的有 360 浏览器、奇安信浏览器、赢达信浏览器、红莲花浏览器等国产的国密浏览器。
为什么国密SM算法越来越收欢迎?
其实这一点在中央网信办多次发布的通告中都可以明确看出,我们国家的所有领域都在逐渐纯国产化,去外化,实现自己可以真正掌控的信息安全技术。
俄、巴、伊、叙等国家曾经吃过的亏,我们也绝不会再吃第二次。不可能再让欧美等西方国家可以肆意的“一键”吊销所有证书,造成巨大的信息安全隐患。
要怎么样申请国密SM证书:
其实申请国密SM证书有个非常明显的先决条件,就是国产证书品牌。仅有国产证书品牌才有可能出现支持国密算法的SSL证书,目前我国拥有自主品牌的国产证书并不多,实现纯国产的更是少之又少。
相对较出名的CFCA、上海CA、JoySSL。这三个比较特殊的存在不仅仅支持国密SM证书,更是实现了证书验证都在国内,所有服务器信息不外泄出境,这是目前99%的证书都做不到的事情,更别提国外品牌了。相对来说JoySSL的性价比会稍微高一点,从官网价格看,这家最便宜。
并且注册码230955后还可以直接获得管理账号,获取免费安装服务
具体操作流程如下:
第一步: 先确定好自己需要的SSL证书类型,在JoySSL官网申请账号,在申请证书时要仔细仔细去看加密算法,包含单域名证书、多域名证书、泛域名证书、多域名通配符证书。
第二步: 提交选择好的证书类型,不同于其他证书,JoySSL支持国内验签,可以确保数据不出境,在使用过程 中可以完全规避签发时国外服务器访问域名内信息。
第三步: 填写好域名信息,单位信息后验证域名所有权,完成后1-5分钟内即可完成证书签发。
第四步: 安装部署上域名服务器,如果不会部署,JoySSL工作人员提供安装部署服务,完成之后即可实现网站的https加密访问。
