V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
blubzz
V2EX  ›  程序员

请问国密改造是什么意思?

  •  
  •   blubzz · 271 天前 · 6684 次点击
    这是一个创建于 271 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近工作上总听到国密改造,不是很懂。

    搜了下国密,是国家自研的一些加密算法 SM..

    那么何谓改造呢,单纯是指把所有非国密的替换为国密吗?存量的非国密加密数据都得改造的意思么,一些哈希数据怎么改造。

    45 条回复    2024-02-29 15:50:35 +08:00
    wheat0r
        1
    wheat0r  
       271 天前
    改传输部分吧
    google2020
        2
    google2020  
       271 天前   ❤️ 2
    不需要懂,懂也没用,这是要认证的,找你那边的等保认证公司去对接,他们会告诉你怎么做。
    zaunist
        4
    zaunist  
       271 天前
    适配国密机
    mytsing520
        5
    mytsing520  
       271 天前
    简单来说
    国密有国家标准,银行、政府和事业单位等重点机构改用安装了国产化操作系统和国密浏览器的设备,确保这些机构的设备能通过满足国标的加密方式完成通信,防止被敌对机构采用商密算法解密数据;但也保留普通商密确保一般人能访问
    rizon
        6
    rizon  
       271 天前 via iPhone
    楼上没有回答楼主最关心的问题:如何完成改造。
    对 0-1 的部署肯定没问题,可拿到原始数据的也没问题

    但是像不可逆的已有加密数据我,我认为是无法迁移的,这种的只能放弃另有他径。但是这个场景可能实际上是不存在的。
    snowma
        7
    snowma  
       271 天前   ❤️ 2
    第三方评估公司会给出报告, 按照上面逐条整改
    BraveChi
        8
    BraveChi  
       271 天前
    按照对方的技术文档照做即可,对方会提供 demo 代码和 jar 包,直接用就行,就是用对方提供的类和方法进行加密,改不了几行代码,放宽心。
    DefoliationM
        9
    DefoliationM  
       271 天前 via Android
    差不多,加密和 mac 算法哲学都改成国密,然后 tls 也要用国密 tls
    seers
        10
    seers  
       271 天前 via iPhone
    我最近在做改造,程序好说,我们是单独做了一个解密接口,其他逻辑没改,就是生产环境好几个 T 的数据清洗头大
    seven777
        11
    seven777  
       271 天前   ❤️ 2
    从中长期来看,世界一定是更加融合和开放,而不是更加的割裂和封闭。
    从现在的信创项目来看,基本是隔靴搔痒,核心数据和生产力并不敢也能走信创路线。信创项目,目前来看多数都是提款机罢了。
    现在真的很矛盾!是跟着国家一起勒紧裤腰带独立自主?还是拥抱世界?
    (这个帖不需要回答,保护自己,也保护各位。)
    cheneydog
        12
    cheneydog  
       271 天前
    我现在的公司就是干这个的。
    也涉及过部分 hash 存量数据改造,愿意弄还是有办法的。
    mantouboji
        13
    mantouboji  
       271 天前   ❤️ 2
    不需要你懂,企业只需要找到有这个“资质”的公司(一般是某位领导的小舅子开的),交一大笔保护费,它们会给你一个脏兮兮的盒子,装在你们机架上即可。
    xuanbg
        14
    xuanbg  
       270 天前
    简单滴说,就是把你用的加密算法换成国密算法。
    Belmode
        15
    Belmode  
       270 天前
    hash 存量数据改造,外面再套一层 SM3 就行了
    xiangyuecn
        16
    xiangyuecn  
       270 天前
    这不是技术问题
    niubee1
        17
    niubee1  
       270 天前
    国密很简单,SM2 和比特币用的 secp256k1 之间就是椭圆曲线的参数有一点区别,拿比特币的库源码过来修改一下曲线参数就行了。
    unco020511
        18
    unco020511  
       270 天前
    这可能不是一个技术问题
    ren2881971
        19
    ren2881971  
       270 天前
    国密改造是指信息系统要符合国家商用密码安全要求,需要通过商用密码测评,遵循 国标 39786 的标准。
    ren2881971
        20
    ren2881971  
       270 天前
    相关标准:GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》
    哈希数据可以用 SM3HMAC 等。
    iseki
        21
    iseki  
       270 天前
    @seven777 不过密码套件确实应该把解耦做好,软件在架构上就应该能兼容数据不同的加解密方式
    wlh
        22
    wlh  
       270 天前   ❤️ 3
    权力寻租的手段而已
    KAQQAK
        23
    KAQQAK  
       270 天前
    @seven777
    无法认同此观点,“核心数据和生产力并不敢也能走信创路线“,银行行业已经开始使用国产 x86 、arm 设备部署,国产数据库(基于开源改造),应用服务层是开源组件( Spring 、Kafka 等消息队列),数据存储更不必说,必须在境内。
    seven777
        24
    seven777  
       270 天前
    @KAQQAK
    确实已经“开始”了,但基本没“使用”,或者是双路并用。
    或者是边角的那些无关紧要的系统执行信创路线,核心的系统或者数据库还是没动,或者“正在改造”。
    现在信创项目资金对信创项目是大水漫灌,水巨深,行情巨乱。
    KAQQAK
        25
    KAQQAK  
       270 天前
    @seven777
    信创转型当然要从不重要的应用系统开始试点,新应用也直接用的信创技术路线,旧有基础应用也将逐步改造,这个过程确实不会一蹴而就,但是过几年后再看呢
    009694
        26
    009694  
       270 天前 via iPhone
    在封闭的东西上搞自主是必要的,但是在本来就已经开放且原理明确的东西上搞“自主” 就像是拿着阿拉伯数字说不够自主 要搞“国数” 一样
    iceheart
        27
    iceheart  
       270 天前 via Android
    就是签名算法,散列算法,对称加密算法换成 sm2,sm3,sm4
    layxy
        28
    layxy  
       270 天前
    @seven777 问题现在存在外部的风险,不是我们不愿意融合和开放,是有人想从各个方面围剿你,我们公司核心系统都开始进行信创试点了,目前机器占比还不高,不过可以预见一旦发生了不可抗力因素,还是可以快速切到信创环境的,目前使用信创的综合情况来看,性能要差一些,其他的稳定性和易用性感觉还好
    HashV2
        29
    HashV2  
       270 天前
    和等保异曲同工吧,实质上增加不了多少系统安全性,但是中间有不少人可以拿钱
    rqzrqh
        30
    rqzrqh  
       270 天前
    11 年的时候做过 vpn 国密改造,当时就是把通信协议全部改成国密的协议,哈希签名验证算法都改成国密算法,去北京国家密码管理局进行测试,对方用他们的程序和公司程序进行对接,验证通过就能获得一个国密认证的证书。
    不知道 OP 是哪种业务系统
    kasusa
        31
    kasusa  
       270 天前
    就是 https 改成 https + 套一层国密 。要买加密机。
    然后使用的时候还得用支持国米的浏览器,比如 360.
    个人感觉这套东西就是不如 https 。
    picone
        32
    picone  
       270 天前
    DES 算法里面神秘的数字能不能反解没人知道吧,估计担心是这个
    Kaiv2
        33
    Kaiv2  
       270 天前
    @layxy 好奇谁在围剿,围剿什么
    Reficul
        34
    Reficul  
       270 天前
    开放标准的 magic number 能不能反解我不知道,但是国密库的实现有这个『 feature 』倒是明确的。
    sampeng
        35
    sampeng  
       269 天前
    把这个事想象成本质是门票。其他不需要懂
    ExplodingFKL
        36
    ExplodingFKL  
       269 天前
    其实不要管那么多,现在搞国密这玩意就是为了拿资质的,

    没有啥要求用 aes + ed25519 + sha256 就够了,有要求就搞 sm2 sm3 sm4
    salmon5
        37
    salmon5  
       269 天前
    @kasusa #31 不是 https 改成 https + 套一层国密。
    是业务层改造下。不影响用户使用。你改 https 业务还怎么运行?所有人都换系统和浏览器?
    salmon5
        38
    salmon5  
       269 天前
    国密改造像厨师烧菜一样,程序员像厨师一样,萝卜加辣加酸改造下,底层 https 萝卜运维不变(不是农场里萝卜加辣加酸,是厨房里萝卜加辣加酸)。
    HiroLee
        39
    HiroLee  
       269 天前
    @ExplodingFKL 我理解就是这个意思
    limetw
        40
    limetw  
       269 天前 via Android
    自主研发 遥遥领先 牛逼就完了
    Promtheus
        41
    Promtheus  
       269 天前
    国密改造具体讲就是所有用到秘钥的地方都要用国密算法,比如 chrome 浏览器不支持国密的 tls 协议 那就用国产浏览器。如果操作系统底层不支持国密算法就用国产化操作系统。反正涉及到什么就改什么。大多数就是做做样子 。真都改的话 都没法用。
    Promtheus
        42
    Promtheus  
       269 天前
    @salmon5 #37 这种一般是政府内网用的 所以的确都要换。 比如红莲花浏览器
    salmon5
        43
    salmon5  
       269 天前
    @Promtheus #42 ,懂了,我还纳闷像 https://www.taobao.com,https://www.baidu.com 这种怎么国密改造?所有用户都换系统和浏览器?
    julyclyde
        44
    julyclyde  
       268 天前
    一般存量数据是不要求修改的

    但是传输、新产生的存储都要求改
    csulyb
        45
    csulyb  
       266 天前
    年前给 v 友改造过一个国密,用来过密评的,大概的流程跟 ssl 是一样的,就是 stl 握手地方协议改了,新增了 chip ,没有用 rsa 那套加密算法,换成了 sm4 的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5497 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 06:39 · PVG 14:39 · LAX 22:39 · JFK 01:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.