5.6 密碼算法與密碼服務

5.6.1　密碼算法

電子文件的密碼操作需要使用對稱算法、非對稱算法和雜湊算法，根據場景應采用GB/T 32918、GB/T 32905、GB/T 32907 或者國家密碼管理部門認可的其他密碼算法。

對稱算法用于加解密文件內容和文件屬性。非對稱算法用于加密和解密對稱密鑰，以及進行數字簽名和簽名驗證。雜湊算法用于完整性計算和驗證。對稱算法可采用CBC、OFB、CFB、CTR等多種模式。當使用OFB和CFB模式時，應用系統應設置反饋位數。

對密碼算法的調用通過密碼算法的標識來完成。

5.6.2　通用密碼服務

通用密碼服務包括數字證書服務、加密/解密服務、簽名/驗簽服務、雜湊運算服務等。通用密碼服務由證書認證系統、密碼設備/部件等密碼基礎設施提供，通過調用相關服務接口實現。提供密碼服務的證書認證系統、密碼設備/部件應遵循相關國家標準和行業標準，并得到國家密碼管理部門認證核準。密碼服務接口應遵循GM/T 0019。數字證書格式應遵循GB/T 20518。簽名語法應遵循GB/T 35275。

5.6.3　典型密碼服務

典型密碼服務包括身份鑒別服務、電子印章服務、時間戳服務等。

身份鑒別服務用于實現基于數字證書的用戶身份鑒別。

電子印章服務用于對電子文件的印章加蓋、驗證和讀取。電子印章服務接口應遵循GM/T 0031。

時間戳服務用于對數字簽名、電子印章提供時間信息。時間戳服務接口應遵循GM/T 0033。

5.6.4　密鑰

電子文件涉及的密鑰按類型分為對稱密鑰和非對稱密鑰，按配用分為用戶密鑰和系統密鑰。

對稱密鑰由通用密碼服務產生，用于加密電子文件；非對稱密鑰包括簽名密鑰對和加密密鑰對，可來源于證書認證系統，簽名密鑰對用于電子文件在傳輸、交換和存儲過程中的簽名與驗證，加密密鑰對用于對稱密鑰的加密與解密。

用戶密鑰包括用戶簽名公私鑰對和用戶加密公私鑰對，系統中所有用戶應配備對應的簽名證書和加密證書；系統密鑰包括系統簽名密鑰對和系統加密密鑰對，所有電子文件應用系統應配備對應的簽名證書和加密證書。