V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
strawberrydafu
V2EX  ›  程序员

一个关于开发者密码学 API 使用的小问卷

  •  
  •   strawberrydafu · 2022-01-19 17:59:22 +08:00 · 1617 次点击
    这是一个创建于 1032 天前的主题,其中的信息可能已经有所发展或是发生改变。

    毕设做的是安卓程序密码学 API 使用情况的课题,在测量工作完成后希望直接向开发者(不限于安卓)询问对部分问题的看法,如

    • 是否觉得密码学相关的 API 调用起来非常繁琐
    • 调用时遇到难以理解的参数会如何选择
    • 对国密算法的看法

    等问题。问卷大概需要 3-5 分钟完成(绝大多数为选择,填空均可跳过),希望感兴趣的朋友能帮忙填一下。

    如果收集到了一定数目的数据,本帖也会更新问卷的回答情况。如果各位想要参与回访,可以在问卷内留下邮箱。如果担心隐私泄漏问题,也可以直接发送邮件至 [email protected] 。谢谢各位

    链接 https://www.wjx.cn/vj/PnjdzRx.aspx

    第 1 条附言  ·  2022-01-20 16:33:26 +08:00
    感谢各位的帮助。目前一共收到接近 30 份答卷。以下是目前结果的一个小统计(只展示部分问题的回答)。
    需要说明的是目前调查问卷暂时只在 V2EX 发布了,因此结果是有偏的

    首先是简单的样本情况,参与者是否系统性地学习过密码学的知识


    是否总是会使用 HTTPS


    大家如何使用密码算法


    调用密码算法时曾觉得困扰的问题


    会通过什么样的方法选择参数
    (提醒各位,部分博客文章里,也包括一部分 stack overflow 的代码,选择的参数都是不太合适的,如果项目对安全性有比较高的要求的话,最好在照抄之后再用 google 确认一下参数有没有问题)


    对国密算法的了解程度


    是否会考虑在今后的项目中使用国密算法(没听说过国密算法的不会回答此题)
    3 条回复    2022-01-20 10:25:52 +08:00
    liut2016
        1
    liut2016  
       2022-01-19 19:38:32 +08:00   ❤️ 1
    已完成
    Daiwf
        2
    Daiwf  
       2022-01-20 08:26:58 +08:00   ❤️ 2
    GM 的生态还是不太行,特别是 TLS 通讯这块,没有很多开源的支持,目前知道的几个都有 bug 还要自己 debug 的。标准也才制定。任重道远。而且所谓的 GM 算法,比如 SM2 我感觉怎么就只是换了个曲线参数而已。和其他 ECC 算法有啥本质差别么。GM 推行成本高成效低,如果 zf 不强制,根本推不动的。
    strawberrydafu
        3
    strawberrydafu  
    OP
       2022-01-20 10:25:52 +08:00
    @Daiwf 是的。这也和我所接触到的情况一致。

    SM2 的问题。SM2 就只是换了个曲线参数?基本正确。但曲线参数是可能安插后门的。NIST 提供了一些曲线,但并没有全部给出选择的依据。当然 SM2 与 NIST 提供的其他曲线参数目前都是国际认可的标准,这也意味着目前没人能找到这些参数的后门,后门是否存在是一个无法证明也无法证伪的问题。
    这就涉及到一个信任问题:你的项目是信任 NIST 制定的曲线参数,或是国内制定的曲线参数呢?就国内企业的视角而言(只讨论安全性),这个问题应该是偏向 SM2 的。至少从国家层面选出新参数是必要的。(题外话,如果二者都不相信可以试着选择 edwards25519 ,很多区块链项目选择的就是这条曲线。https://en.wikipedia.org/wiki/Curve25519

    GM 的强制使用问题。首先等保三级以上单位是必须要使用国密的。此外目前密码法正在做这件事:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估”。具体会如何实施就无从知晓了。

    目前国密的生态确实很糟糕,使用国密的成本比使用其他算法的成本高出太多。像国内比较知名的 GmSSL 项目,我之前在配置时也是感觉很痛苦。这个问卷一定程度上也是想直接地询问实际的项目开发者的想法
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   984 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:51 · PVG 06:51 · LAX 14:51 · JFK 17:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.