毕设做的是安卓程序密码学 API 使用情况的课题,在测量工作完成后希望直接向开发者(不限于安卓)询问对部分问题的看法,如
等问题。问卷大概需要 3-5 分钟完成(绝大多数为选择,填空均可跳过),希望感兴趣的朋友能帮忙填一下。
如果收集到了一定数目的数据,本帖也会更新问卷的回答情况。如果各位想要参与回访,可以在问卷内留下邮箱。如果担心隐私泄漏问题,也可以直接发送邮件至 [email protected] 。谢谢各位
1
liut2016 2022-01-19 19:38:32 +08:00 1
已完成
|
2
Daiwf 2022-01-20 08:26:58 +08:00 2
GM 的生态还是不太行,特别是 TLS 通讯这块,没有很多开源的支持,目前知道的几个都有 bug 还要自己 debug 的。标准也才制定。任重道远。而且所谓的 GM 算法,比如 SM2 我感觉怎么就只是换了个曲线参数而已。和其他 ECC 算法有啥本质差别么。GM 推行成本高成效低,如果 zf 不强制,根本推不动的。
|
3
strawberrydafu OP @Daiwf 是的。这也和我所接触到的情况一致。
SM2 的问题。SM2 就只是换了个曲线参数?基本正确。但曲线参数是可能安插后门的。NIST 提供了一些曲线,但并没有全部给出选择的依据。当然 SM2 与 NIST 提供的其他曲线参数目前都是国际认可的标准,这也意味着目前没人能找到这些参数的后门,后门是否存在是一个无法证明也无法证伪的问题。 这就涉及到一个信任问题:你的项目是信任 NIST 制定的曲线参数,或是国内制定的曲线参数呢?就国内企业的视角而言(只讨论安全性),这个问题应该是偏向 SM2 的。至少从国家层面选出新参数是必要的。(题外话,如果二者都不相信可以试着选择 edwards25519 ,很多区块链项目选择的就是这条曲线。https://en.wikipedia.org/wiki/Curve25519 ) GM 的强制使用问题。首先等保三级以上单位是必须要使用国密的。此外目前密码法正在做这件事:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估”。具体会如何实施就无从知晓了。 目前国密的生态确实很糟糕,使用国密的成本比使用其他算法的成本高出太多。像国内比较知名的 GmSSL 项目,我之前在配置时也是感觉很痛苦。这个问卷一定程度上也是想直接地询问实际的项目开发者的想法 |