權威解讀 :密碼标準常見問題解釋
解釋:
我國(guó)商(shāng)用(yòng)密碼标準體(tǐ)系框架分(fēn)為(wèi)管理(lǐ)維、技(jì )術維、應用(yòng)維,體(tǐ)系框架圖如下所示。
管理(lǐ)維主要體(tǐ)現密碼标準管理(lǐ)層級和歸口單位的不同,商(shāng)用(yòng)密碼國(guó)家标準由全國(guó)信息安(ān)全标準化技(jì )術委員會(簡稱“信安(ān)标委”)提出并歸口,行業标準由國(guó)家密碼管理(lǐ)局歸口管理(lǐ),團體(tǐ)标準由密碼領域學(xué)會、行業協會等社會組織協調相關市場主體(tǐ)共同制定以滿足市場和創新(xīn)需要。截至2021年8月,已發布密碼國(guó)家标準39項,密碼行業标準115項,團體(tǐ)标準正在積極研究探索。
技(jì )術維主要從标準所處技(jì )術層次的角度進行刻畫,分(fēn)為(wèi)七大類,包括密碼基礎類、基礎設施類、密碼産(chǎn)品類、應用(yòng)支撐類、密碼應用(yòng)類、密碼測評類、密碼管理(lǐ)類。
應用(yòng)維從密碼應用(yòng)領域的視角來刻畫密碼标準體(tǐ)系,既包括不同的社會行業,如金融、電(diàn)力、交通等,也包括不同的應用(yòng)領域,如物(wù)聯網、雲計算等,任何應用(yòng)領域的密碼标準體(tǐ)系,其技(jì )術維和管理(lǐ)維框架都是相同的,即在技(jì )術層次上皆遵循相同的層次結構,也都包括國(guó)家标準和行業标準等。
商(shāng)用(yòng)密碼标準體(tǐ)系的詳細内容可(kě)參考密碼行業标準化技(jì )術委員會網站(www.gmbz.org.cn)發布并年度更新(xīn)的GM/Y 5001《密碼标準使用(yòng)指南》。
問題二:GB/T 39786—2021《信息安(ān)全技(jì )術 信息系統密碼應用(yòng)基本要求》中(zhōng)密碼應用(yòng)等級與網絡安(ān)全等級保護級别的關系?
解釋:
GB/T 39786—2021中(zhōng)的密碼應用(yòng)等級與網絡安(ān)全等級保護的級别存在對應關系。信息系統根據GB/T 22240—2020《信息安(ān)全技(jì )術 網絡安(ān)全等級保護定級指南》确定等級保護級别時,同步對應确定密碼應用(yòng)等級,即等保定級為(wèi)第一級的網絡與信息系統應遵循GB/T 39786第一級密碼應用(yòng)基本要求,等保定級為(wèi)第二級的網絡與信息系統應遵循GB/T 39786第二級密碼應用(yòng)基本要求,以此類推。
問題三:GB/T 39786—2021《信息安(ān)全技(jì )術 信息系統密碼應用(yòng)基本要求》中(zhōng)網絡和通信安(ān)全、設備和計算安(ān)全、應用(yòng)和數據安(ān)全三個層面身份鑒别要求有(yǒu)什麽不同?
解釋:
這三個層面的身份鑒别對象是不同的。網絡和通信安(ān)全層面針對的是建立網絡通信鏈路的密碼設備(如IPSec/SSL VPN);設備和計算安(ān)全層面針對的是登錄設備的管理(lǐ)員、用(yòng)戶等人員;應用(yòng)和數據安(ān)全層面針對的是具(jù)體(tǐ)應用(yòng)的用(yòng)戶。因此,需要根據信息系統密碼應用(yòng)需求,在不同層面實現身份鑒别機制,保證各層面鑒别對象身份的真實性。
問題四:GB/T 37092—2018《信息安(ān)全技(jì )術 密碼模塊安(ān)全要求》中(zhōng)的知識拆分(fēn)如何理(lǐ)解?
解釋:
知識拆分(fēn)主要指的是将密鑰拆分(fēn)為(wèi)幾個獨立的密鑰分(fēn)量,導出到密碼模塊外部進行保存;導入時,每個密鑰分(fēn)量單獨導入,最終在密碼模塊内部進行合成。常見的知識拆分(fēn)方法有(yǒu)以下兩類:
1.将密鑰K拆分(fēn)成若幹個與其長(cháng)度一緻的n個分(fēn)量K1,……,Kn ,其中(zhōng)前n-1個分(fēn)量随機産(chǎn)生,導入時利用(yòng)異或運算恢複出原有(yǒu)密鑰,即:K = K1 ⊕… ⊕ Kn。2.利用(yòng)門限算法進行拆分(fēn):比如利用(yòng)Shamir秘密分(fēn)享方案,将K拆分(fēn)為(wèi)m個密鑰分(fēn)量,隻有(yǒu)大于等于n個密鑰分(fēn)量才能(néng)恢複出K。
需要注意的是,知識拆分(fēn)應當不降低密鑰的安(ān)全性,簡單地将密鑰截取為(wèi)若幹段的方式是不安(ān)全的,如将一個128比特的SM4密鑰拆成兩個64比特的密鑰分(fēn)量,因為(wèi)對于任何一個密鑰分(fēn)量的持有(yǒu)者而言,該密鑰的密鑰空間從2^128降低到2^64,極大地降低了窮舉搜索攻擊的難度。
問題五:GM/T 0028《密碼模塊安(ān)全技(jì )術要求》核準的安(ān)全功能(néng)條款中(zhōng)關于消息鑒别碼和密鑰管理(lǐ)的具(jù)體(tǐ)要求不太明确,使用(yòng)過程中(zhōng)如何把握?
解釋:
消息鑒别碼在使用(yòng)時應遵循GB/T 15852(所有(yǒu)部分(fēn))《信息技(jì )術 安(ān)全技(jì )術 消息鑒别碼》的要求;密鑰管理(lǐ)與具(jù)體(tǐ)密碼産(chǎn)品密切相關,GM/T 0028不宜規定具(jù)體(tǐ)的密鑰管理(lǐ)要求,需在使用(yòng)過程中(zhōng)結合相應密碼産(chǎn)品标準中(zhōng)密鑰管理(lǐ)相關要求,實現具(jù)體(tǐ)密鑰管理(lǐ)功能(néng)。
(來源:密碼行業标準化技(jì )術委員會網站)
