这是一个创建于 372 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近工作上总听到国密改造,不是很懂。
搜了下国密,是国家自研的一些加密算法 SM..
那么何谓改造呢,单纯是指把所有非国密的替换为国密吗?存量的非国密加密数据都得改造的意思么,一些哈希数据怎么改造。
 |
1
wheat0r 2024-02-24 23:27:13 +08:00
改传输部分吧
|
 |
2
google2020 2024-02-24 23:30:31 +08:00  2
不需要懂,懂也没用,这是要认证的,找你那边的等保认证公司去对接,他们会告诉你怎么做。
|
 |
3
243205964 2024-02-24 23:31:39 +08:00
|
 |
4
zaunist 2024-02-25 00:01:31 +08:00
适配国密机
|
 |
5
mytsing520 2024-02-25 01:23:05 +08:00
简单来说
国密有国家标准,银行、政府和事业单位等重点机构改用安装了国产化操作系统和国密浏览器的设备,确保这些机构的设备能通过满足国标的加密方式完成通信,防止被敌对机构采用商密算法解密数据;但也保留普通商密确保一般人能访问 |
 |
6
rizon 2024-02-25 04:42:26 +08:00 via iPhone
楼上没有回答楼主最关心的问题:如何完成改造。
对 0-1 的部署肯定没问题,可拿到原始数据的也没问题 但是像不可逆的已有加密数据我,我认为是无法迁移的,这种的只能放弃另有他径。但是这个场景可能实际上是不存在的。 |
 |
7
snowma 2024-02-25 06:55:17 +08:00 2
第三方评估公司会给出报告, 按照上面逐条整改
|
 |
8
BraveChi 2024-02-25 09:51:58 +08:00
按照对方的技术文档照做即可,对方会提供 demo 代码和 jar 包,直接用就行,就是用对方提供的类和方法进行加密,改不了几行代码,放宽心。
|
 |
9
DefoliationM 2024-02-25 10:14:24 +08:00 via Android
差不多,加密和 mac 算法哲学都改成国密,然后 tls 也要用国密 tls
|
 |
10
seers 2024-02-25 11:04:36 +08:00 via iPhone
我最近在做改造,程序好说,我们是单独做了一个解密接口,其他逻辑没改,就是生产环境好几个 T 的数据清洗头大
|
 |
11
seven777 2024-02-25 12:11:50 +08:00 2
从中长期来看,世界一定是更加融合和开放,而不是更加的割裂和封闭。
从现在的信创项目来看,基本是隔靴搔痒,核心数据和生产力并不敢也能走信创路线。信创项目,目前来看多数都是提款机罢了。 现在真的很矛盾!是跟着国家一起勒紧裤腰带独立自主?还是拥抱世界? (这个帖不需要回答,保护自己,也保护各位。) |
 |
12
cheneydog 2024-02-25 13:20:00 +08:00
我现在的公司就是干这个的。
也涉及过部分 hash 存量数据改造,愿意弄还是有办法的。 |
 |
13
mantouboji 2024-02-25 13:42:00 +08:00 2
不需要你懂,企业只需要找到有这个“资质”的公司(一般是某位领导的小舅子开的),交一大笔保护费,它们会给你一个脏兮兮的盒子,装在你们机架上即可。
|
 |
14
xuanbg 2024-02-25 14:40:51 +08:00
简单滴说,就是把你用的加密算法换成国密算法。
|
 |
15
Belmode 2024-02-25 14:57:46 +08:00
hash 存量数据改造,外面再套一层 SM3 就行了
|
 |
16
xiangyuecn 2024-02-25 16:06:55 +08:00
这不是技术问题
|
 |
17
niubee1 2024-02-25 16:27:30 +08:00
国密很简单,SM2 和比特币用的 secp256k1 之间就是椭圆曲线的参数有一点区别,拿比特币的库源码过来修改一下曲线参数就行了。
|
 |
18
unco020511 2024-02-25 16:37:27 +08:00
这可能不是一个技术问题
|
 |
19
ren2881971 2024-02-25 17:01:42 +08:00
国密改造是指信息系统要符合国家商用密码安全要求,需要通过商用密码测评,遵循 国标 39786 的标准。
|
|
20
ren2881971 2024-02-25 17:18:20 +08:00
相关标准:GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》
哈希数据可以用 SM3HMAC 等。 |
 |
22
wlh 2024-02-25 17:42:51 +08:00 3
权力寻租的手段而已
|
 |
23
KAQQAK 2024-02-25 19:59:28 +08:00
@seven777
无法认同此观点,“核心数据和生产力并不敢也能走信创路线“,银行行业已经开始使用国产 x86 、arm 设备部署,国产数据库(基于开源改造),应用服务层是开源组件( Spring 、Kafka 等消息队列),数据存储更不必说,必须在境内。 |
|
24
seven777 2024-02-25 20:25:51 +08:00
@KAQQAK
确实已经“开始”了,但基本没“使用”,或者是双路并用。 或者是边角的那些无关紧要的系统执行信创路线,核心的系统或者数据库还是没动,或者“正在改造”。 现在信创项目资金对信创项目是大水漫灌,水巨深,行情巨乱。 |
|
25
KAQQAK 2024-02-25 22:31:49 +08:00
@seven777
信创转型当然要从不重要的应用系统开始试点,新应用也直接用的信创技术路线,旧有基础应用也将逐步改造,这个过程确实不会一蹴而就,但是过几年后再看呢 |
 |
26
009694 2024-02-25 23:36:09 +08:00 via iPhone
在封闭的东西上搞自主是必要的,但是在本来就已经开放且原理明确的东西上搞“自主” 就像是拿着阿拉伯数字说不够自主 要搞“国数” 一样
|
 |
27
iceheart 2024-02-26 03:47:57 +08:00 via Android
就是签名算法,散列算法,对称加密算法换成 sm2,sm3,sm4
|
 |
28
layxy 2024-02-26 09:24:03 +08:00
@seven777 问题现在存在外部的风险,不是我们不愿意融合和开放,是有人想从各个方面围剿你,我们公司核心系统都开始进行信创试点了,目前机器占比还不高,不过可以预见一旦发生了不可抗力因素,还是可以快速切到信创环境的,目前使用信创的综合情况来看,性能要差一些,其他的稳定性和易用性感觉还好
|
 |
29
HashV2 2024-02-26 09:25:34 +08:00
和等保异曲同工吧,实质上增加不了多少系统安全性,但是中间有不少人可以拿钱
|
 |
30
rqzrqh 2024-02-26 09:52:06 +08:00
11 年的时候做过 vpn 国密改造,当时就是把通信协议全部改成国密的协议,哈希签名验证算法都改成国密算法,去北京国家密码管理局进行测试,对方用他们的程序和公司程序进行对接,验证通过就能获得一个国密认证的证书。
不知道 OP 是哪种业务系统 |
 |
31
kasusa 2024-02-26 10:10:45 +08:00
就是 https 改成 https + 套一层国密 。要买加密机。
然后使用的时候还得用支持国米的浏览器,比如 360. 个人感觉这套东西就是不如 https 。 |
 |
32
picone 2024-02-26 10:25:49 +08:00
DES 算法里面神秘的数字能不能反解没人知道吧,估计担心是这个
|
 |
34
Reficul 2024-02-26 11:43:45 +08:00
开放标准的 magic number 能不能反解我不知道,但是国密库的实现有这个『 feature 』倒是明确的。
|
 |
35
sampeng 2024-02-26 15:14:15 +08:00
把这个事想象成本质是门票。其他不需要懂
|
 |
36
ExplodingFKL 2024-02-26 16:53:58 +08:00
其实不要管那么多,现在搞国密这玩意就是为了拿资质的,
没有啥要求用 aes + ed25519 + sha256 就够了,有要求就搞 sm2 sm3 sm4 |
 |
37
salmon5 2024-02-27 09:34:27 +08:00
@kasusa #31 不是 https 改成 https + 套一层国密。
是业务层改造下。不影响用户使用。你改 https 业务还怎么运行?所有人都换系统和浏览器? |
|
38
salmon5 2024-02-27 09:41:20 +08:00
国密改造像厨师烧菜一样,程序员像厨师一样,萝卜加辣加酸改造下,底层 https 萝卜运维不变(不是农场里萝卜加辣加酸,是厨房里萝卜加辣加酸)。
|
 |
39
HiroLee 2024-02-27 10:02:39 +08:00
@ExplodingFKL 我理解就是这个意思
|
 |
40
limetw 2024-02-27 13:17:11 +08:00 via Android
自主研发 遥遥领先 牛逼就完了
|
 |
41
Promtheus 2024-02-27 13:48:44 +08:00
国密改造具体讲就是所有用到秘钥的地方都要用国密算法,比如 chrome 浏览器不支持国密的 tls 协议 那就用国产浏览器。如果操作系统底层不支持国密算法就用国产化操作系统。反正涉及到什么就改什么。大多数就是做做样子 。真都改的话 都没法用。
|
|
43
salmon5 2024-02-27 14:23:00 +08:00
|
 |
44
julyclyde 2024-02-28 12:07:58 +08:00
一般存量数据是不要求修改的
但是传输、新产生的存储都要求改 |
 |
45
csulyb 2024-02-29 15:50:35 +08:00
年前给 v 友改造过一个国密,用来过密评的,大概的流程跟 ssl 是一样的,就是 stl 握手地方协议改了,新增了 chip ,没有用 rsa 那套加密算法,换成了 sm4 的
|
Select Language