數緣科技提供符合密評要求的測評工具

為做好《商用密碼檢測機構管理辦法》和《商用密碼應用安全性評估管理辦法》的實施工作，國家密碼管理局依照《商用密碼檢測機構管理辦法》有關規定，開放商用密碼檢測機構資質申請（點擊“閱讀原文”查看公告）：

（1）按照《商用密碼檢測機構管理辦法》第七條有關規定，現委托各省、自治區、直轄市密碼管理部門，新疆生產建設兵團密碼管理部門負責受理本行政區域的商用密碼檢測機構資質申請，負責對申請材料進行形式審查，出具受理通知書或者不予受理通知書。自2023年11月1日起，有關申請機構可以參照《商用密碼檢測機構資質申請表（模板）》向所在地省級密碼管理部門提交書面申請材料。

（2）按照《商用密碼檢測機構管理辦法》第三條有關規定，有意愿繼續從事商用密碼應用安全性評估業務的商用密碼應用安全性評估試點機構，應當于2023年11月30日前提交商用密碼檢測機構資質申請。對提交申請的商用密碼應用安全性評估試點機構依法實施資質認定后，商用密碼應用安全性評估試點工作將正式結束。未經認定，任何單位不得面向社會開展商用密碼應用安全性評估業務。

值得注意的是，上一次商用密碼應用安全性評估試點遴選，還早在2019年底。2021年6月國家密碼管理局發布了第42號公告，更新了可面向全國開展密評業務的機構總數為48家。這之后的兩年，國家密碼管理局沒有再開放新的申請通道。因此，沒有資質的檢測機構需要抓住這次機會，獲得開展密評業務的資格。而商用密碼應用安全性評估試點機構也需要在截止日期前提交資質申請，變更為商用密碼檢測機構。

那么，商用密碼檢測機構資質申請有哪些要求呢？

商用密碼檢測機構資質申請要求

《商用密碼管理條例》第十四條第（二）點規定，取得商用密碼檢測機構資質，應當具有與從事商用密碼檢測活動相適應的資金、場所、設備設施、專業人員和專業能力。

其中，專業能力是申請門檻中最高的一項要求。構建商用密碼檢測活動專業能力，離不開專業的測評工具的幫助。測評工具可以將測評過程抽象化，集成為各個功能選項，使得測評人員無需了解各個測評項的底層實現，操作少數按鍵即可完成測評，可以很大程度上降低測評的復雜度和難度，降低對測評人員的要求，提高測評工作的效率。

那么，密評對測評工具有什么要求，測評工具又有哪些呢？

測評工具的分類和要求

為了闡釋密碼應用方案和安全性評估的實施要求和關鍵點，中國密碼學會密評聯委會組織編制了《商用密碼應用安全性評估》。該書第4.5節密碼應用安全性評估測評工具，對測評工具進行了系統地劃分，如下圖所示。

測評工具體系分為工具管理平臺、通用測評工具和專用測評工具。這其中，部分測評工具在測評工作中使用較為集中，測評場景較多，是密評測評工具中的典型代表，下面給出了四種典型測評工具的說明與要求：

（1）IPSec/SSL協議檢測工具

IPSec/SSL協議檢測工具具有VPN密碼檢查功能，能夠對IPSec/SSL VPN的通信報文進行嗅探分析，自動檢測IPSec/SSL VPN應用的密碼算法，并對密碼運算結果的正確性進行驗證。

（2）商用密碼算法檢測工具

對常見的商用密碼算法計算結果進行正確性驗證，覆蓋SM2、SM3、SM4、ZUC、SM9等密碼算法，能夠對數據進行加解密、數字簽名、密碼雜湊等運算，作為基準工具，以驗證其他密碼算法實現運算結果的正確性。

（3）隨機性檢測工具

檢測內容主要依據GM/T 0005-2021《隨機性檢測規范》進行包括單比特頻數檢測、塊內頻數檢測等在內的共計15項檢測。

（4）數字證書格式合規性檢測工具

檢測數字證書申請文件、基本項、擴展項和CRL格式是否符合標準的要求。

數緣商用密碼應用安全性評估工具

由此可見，上述的這些測評工具數量多，專業性強，開發難度大，檢測機構自主開發的性價比極低。

為了幫助檢測機構快速獲取密評工具，搭建密評測評體系，高效、合規地開展密評工作，北京數緣科技有限公司（以下簡稱：數緣科技）打造了面向商用密碼應用的多個安全性評估工具，包括密碼算法合規性測試平臺、數字證書格式合規性測試平臺、密碼協議測試平臺、存儲/傳輸數據機密性測試平臺、隨機性測試平臺、密碼算法綜合測試平臺、商用密碼應用安全性評估管理平臺等，可有力支撐密碼測評、密碼改造、密碼設計與實現等多種場景。

以密碼算法合規性測試平臺為例，數緣科技自主研發的密碼算法合規性測試平臺面向信息系統密碼應用中的密碼功能開展驗證，確保信息系統中的密碼算法被正確、合規地運行。該平臺支持SM2、SM3、SM4、SM9、ZUC等國產密碼算法，以及AES、DES、RSA、ECC、MD5、SHA-1、SHA-2、SHA-3等國際通用密碼算法。

如果想了解更多的工具詳情，歡迎通過文章末尾提供的聯系方式聯系我們，也可通過查看數緣科技官網：www.mathmagic.cn中商用密碼應用安全性評估介紹頁面查看產品詳情。