國密算法和國際算法
a)國密算法和國際算法用途
國密算法中提供數(shù)據(jù)完整性的算法主要是SM3;國際算法提供數(shù)據(jù)完整性的算法主要是MD5、SHA256、SHA512;國密算法提供數(shù)據(jù)保密性的算法主要是SM1、SM2、祖沖之、SM4;國際算法提供數(shù)據(jù)保密性的算法主要是DES、3DES、RSA、AES、ECC等。
b)國密算法介紹
SM1 算法是分組密碼算法,分組長度為128位,密鑰長度都為 128 比特 算法安全保密強(qiáng)度和AES相當(dāng)。SM2算法就是ECC橢圓曲線密碼機(jī)制 SM2算法在很多方面都優(yōu)于RSA算法。SM3密碼雜湊(哈希、散列)算法是在SHA-256基礎(chǔ)上改進(jìn)實(shí)現(xiàn)的一種算法;SM4對(duì)稱算法屬于分組算法,用于無線局域網(wǎng)產(chǎn)品。
該算法的分組長度為128比特,密鑰長度為128比特,DES算法和國產(chǎn)的SM4算法都可以對(duì)靜態(tài)儲(chǔ)存和傳輸信道中的數(shù)據(jù)進(jìn)行加密。SM7算法,是一種分組密碼算法,分組長度為128比特,密鑰長度為128比特。SM9算法不需要申請數(shù)字證書,適用于互聯(lián)網(wǎng)應(yīng)用的各種新興應(yīng)用的安全保障。祖沖之序列密碼算法是中國自主研究的流密碼算法,是運(yùn)用于移動(dòng)通信4G網(wǎng)絡(luò)中的國際標(biāo)準(zhǔn)密碼算法,該算法包括祖沖之算法(ZUC)、加密算法(128-EEA3)和完整性算法(128-EIA3)三個(gè)部分。
數(shù)據(jù)完整性
a) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等;
1、校驗(yàn)技術(shù)可理解為類似TCP協(xié)議的CRC校驗(yàn)碼和海明校驗(yàn)碼,但是多數(shù)沒通過校驗(yàn)技術(shù)去判斷此條款,采用什么樣的校驗(yàn)技術(shù)才算符合,如何實(shí)現(xiàn)和檢查目前我也不清楚,有懂的朋友留言學(xué)習(xí)一下,在本文一開始介紹中可知密碼算法中哈希算法也屬于密碼算法,所以通過MD5和SHA系列密碼技術(shù)也可以實(shí)現(xiàn)完整性校驗(yàn)。
2、此條款更多的判斷方法主要是通過協(xié)議來實(shí)現(xiàn)傳輸過程中的完整性,如TLS、SSH、HTTPS協(xié)議,通過MAC(消息校驗(yàn)碼)實(shí)現(xiàn)數(shù)據(jù)報(bào)文的完整性。
b) 應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的完整性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。
1、操作系統(tǒng)鑒別數(shù)據(jù)主要就是用戶名、口令、組ID等。其中WindowsNT中默認(rèn)采用SAM文件保存鑒別信息,其中口令字段采用SHA哈希算法進(jìn)行加密。而在Linux中,口令保存shadow文件中,口令也是采用SHA哈希算法進(jìn)行加密,主要有三類:$1表示MD5 ; $6 表示SHA-512 ; $5 SHA-256。
2、業(yè)務(wù)數(shù)據(jù)、審計(jì)數(shù)據(jù)存儲(chǔ)過程中的完整性通過查看數(shù)據(jù)庫表(業(yè)務(wù)數(shù)據(jù)、審計(jì)數(shù)據(jù))是否存在哈希字段,據(jù)了解在業(yè)務(wù)數(shù)據(jù)或?qū)徲?jì)數(shù)據(jù)中,數(shù)據(jù)在前端一般采用json或xml格式進(jìn)行傳輸,檢查過程中發(fā)現(xiàn)數(shù)據(jù)庫表不包含對(duì)業(yè)務(wù)數(shù)據(jù)、審計(jì)數(shù)據(jù)完整性校驗(yàn)字段,一般判斷為不符合。
數(shù)據(jù)保密性
a) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等;
數(shù)據(jù)傳輸過程中的保密性主要通過檢查系統(tǒng)是否采用TLS、SSH等加密協(xié)議,對(duì)于Windows操作系統(tǒng),我們需要知道Windows操作系統(tǒng)遠(yuǎn)程桌面RDP是否符合傳輸過程中的保密性,Windows的RDP安全主要有安全層和加密級(jí)別兩個(gè)參數(shù),其中安全層有RDP安全層、協(xié)商和TLS1.0共3個(gè)值,其中默認(rèn)值是協(xié)商。網(wǎng)上了解到在WindowsServer2008版本以上的操作系統(tǒng),默認(rèn)RDP支持加密。
b) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的保密性,包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。
1、Windows和Linux(含一些設(shè)備的操作系統(tǒng))的鑒別信息,默認(rèn)都是弱Hash存儲(chǔ),產(chǎn)生了“加密”的效果但是比較弱,可以通過清空或替換來實(shí)現(xiàn)篡改,沒有實(shí)現(xiàn)鑒別信息存儲(chǔ)完整性保護(hù)。建議是通過對(duì)操作系統(tǒng)鑒別信息保存文件的完整性監(jiān)測來完成防篡改。
2、應(yīng)用系統(tǒng)存在數(shù)據(jù)庫中的鑒別信息,如果用MD5、SHA1屬于弱加密,建議通過加salt來增強(qiáng)保護(hù)力度。如果已經(jīng)使用了加salt的MD5、SHA1,且salt保密不容易獲取,則保密性和完整性可以滿足要求。
應(yīng)用系統(tǒng)或操作系統(tǒng)通常采用哈希算法生成摘要值存儲(chǔ)鑒別信息,采用MD5、SHA1哈希算法存在風(fēng)險(xiǎn),因?yàn)槿绻诿魑牟粔驈?fù)雜的情況下,采用這兩種算法將無法抵抗彩虹表攻擊。對(duì)于數(shù)據(jù)保密存儲(chǔ)低強(qiáng)度算法:DES、RSA1024、MD5、SHA1,高強(qiáng)度算法:3DES、AES、RSA2048、SHA256、SM系列。
3、數(shù)據(jù)庫加密主要分庫內(nèi)加密和庫外加密,庫內(nèi)加密主要是調(diào)用的數(shù)據(jù)庫本身的加密函數(shù),庫外加密主要通過第三方廠家的數(shù)據(jù)庫加密功能。
審核編輯:劉清
-
crc
+關(guān)注
關(guān)注
0文章
199瀏覽量
29466 -
TCP協(xié)議
+關(guān)注
關(guān)注
1文章
91瀏覽量
12070 -
國密算法
+關(guān)注
關(guān)注
0文章
7瀏覽量
8550
發(fā)布評(píng)論請先 登錄
相關(guān)推薦
評(píng)論