國產密碼算法是保障我國網絡安全自主可控的重要基礎。目前,我國也在大力推廣國密算法的應用,並取得很好的成效。
《關於金融領域密碼應用指導意見》、《金融和重要領域密碼應用與創新發展工作規劃2018-2022》都對金融及重要領域提出了國密算法應用要求。國家在金融領域啓動國產密碼算法試點工作以來,國家發改委啓動了金融領域安全IC卡及密碼關鍵產品專項支持工作,積極推動產業鏈發展。
目前支持國密算法的軟硬件密碼產品包括SSL網關、數字證書認證系統、密鑰管理系統、金融數據加密機、簽名驗籤服務器、智能密碼鑰匙、智能IC卡、PCI密碼卡等多種類型。但常用的操作系統、瀏覽器、網絡設備、負載均衡設備等軟硬件產品,仍然不支持國產密碼算法,受到國密算法兼容性的制約,在HTTPS加密應用方面呢,國密算法的應用仍然比較滯後。
(1)目前主流瀏覽器(如:谷歌瀏覽器、IE瀏覽器等),主流操作系統(如:Windows和Linux等)和主流Web服務器軟件(如:Ngnix、IIS、Apache、Tomcat等)都不支持國密算法和國密SSL證書,短期內很難推動主流應用環境完全支持國密算法,我國也尚未建立完善的支持國密算法的軟件應用生態。
(2)雖然我國已經有相關廠商進行國密SSL證書的應用嘗試,也有瀏覽器廠商推出支持國密算法的瀏覽器版本,但是不同廠商對國密標準和SSL協議標準的理解存在一定差異,在實際應用中僅在SSL證書、瀏覽器的聯調測試階段就已經遇到重重困難,無法做到國密算法全生態互聯互通的HTTPS加密應用,實施範圍也受到很大的限制。
推動國密算法應用於HTTPS加密認證,必須兼顧國密算法合規性及全球通用性,只有建立一個完整的全生態支持體系,才能真正達到實用的水平。針對瀏覽器、操作系統等常用軟件環境不支持SM2算法體系的問題,沃通CA提出一種同時兼容國密SM2算法和RSA算法的HTTPS加密應用方案,既支持國密HTTPS加密,同時兼容全球常用瀏覽器。
(1)建立支持國密算法的基礎軟件產品應用生態體系,確保國密算法HTTPS加密能夠全生態無縫應用。沃通CA提供國密SSL證書產品,以及支持國密算法的密信瀏覽器、服務器軟件國密支持模塊等國密應用產品,建立從瀏覽器、服務器端到數字證書的國密算法HTTPS全生態支持體系,讓國密算法能夠在HTTPS加密認證方面全生態無縫應用。
(2)結合SM2算法和RSA算法的優點,提出了一種新的“SM2/RSA”雙證書、雙算法HTTPS加密應用模式。在國密SSL支持模塊上同時部署SM2/RSA雙SSL證書,服務器軟件自動識別瀏覽器,與支持國密算法的瀏覽器採用國密算法加密,與不支持國密算法的常用瀏覽器採用RSA算法加密,既保證國密算法的無縫應用,同時兼容全球主流應用環境,確保國密算法HTTPS網站系統的兼容性和可用性。目前,採用沃通雙證書服務,可同時兼容360瀏覽器、密信瀏覽器、紅蓮花瀏覽器等支持國密算法的瀏覽器,以及Chrome、火狐、Safari等不支持國密算法的全球通用瀏覽器。
目前這套解決方案已經成熟落地,沃通CA:wosign.com/sm2_https/sm2_https.htm已經聯合全國17家CA機構,在各省市成功應用國密HTTPS加密解決方案,覆蓋政務服務網、住房公積金管理中心、公安機關、公共服務機構、教育機構等多個領域。