SM2升级方案

业务背景

随着分布式计算快速发展和量子计算理论日趋成熟,计算机的运算能力得到大幅提高,过去常用的1024位密钥的RSA算法已经不能满足安全需求。虽然通过提高密钥长度能够暂时提高RSA算法的安全性,但会显著增加计算量,影响用户的使用体验。从长远来看,性能更加优异的SM2密码算法对RSA算法的替代势在必行。

SM2算法是由国家密码管理局发布的椭圆曲线公钥密码算法,该算法性能优异,并且具备自主知识产权,符合国家信息产品国产化战略。根据国家密码管理局发布的《关于作好公钥密码算法升级工作的函》(国密局函[2011]7号), 2011年7月后投入运行并使用公钥密码的信息系统,应使用SM2椭圆曲线密码算法,在此之前已投入运行并使用公钥密码的信息系统,应尽快进行系统升级,使用SM2椭圆曲线密码算法。

解决方案

SM2算法升级方案包括两个部分,一是证书系统自身方面的升级工作,二是业务应用方面支持SM2椭圆曲线算法的升级工作。

证书系统用来签发数字证书,是信息系统信任体系的核心组件。目前的CA系统已发放了大量的RSA算法数字证书,这些已经发放的证书还将继续使用,目前支持SM2椭圆曲线算法的应用不多,RSA算法还将发挥重要作用。因此,方案将通过新建一套双算法CA系统,来逐步替代目前的CA系统,同时,迁移原有CA系统中的数字证书数据和密码数据。

证书应用方面的升级是算法升级工作的重点和难点,由于现有的操作系统和浏览器等软件大部分产自国外,受到接口、协议等因素的限制,SM2算法不能直接进行有效的接合,因此需要对证书应用环境进行全面的改造。需要针对系统之中已经使用的身份认证网关、数字签名服务器进行升级,使其支撑SM2算法。对于新开发的应用系统,也可以采用API+WEB服务器SSL的模式。

产品配置

  • 电子证书认证系统
  • 加密机
  • 身份认证网关
  • 数字签名服务器

成功案例

  • 人民银行安全信任体系
  • 深圳证券交易所身份认证系统
  • 上海证券交易所身份认证系统
  • 中国华能集团公司安全信任体系
  • 中国电力投资集团安全信任体系
  • 重庆CA、河南CA等多家运营CA中心
  • 财政部
  • 公安部
  • 国家电子政务外网CA升级节点