高性能密碼適用性分析

密碼技術是保護網絡與信息系統安全的核心技術，廣泛地應用到金融、交通、通信等各行各業，為國家安全和經濟民生發展發揮著重要作用。然而，現在仍有大量的系統在使用MD5、SHA1、RC4 和 DES 這些不安全的算法。此外，部分系統未按照國家相關標準正確規范地使用密碼技術及服務，勢必給信息系統帶來了嚴重的安全隱患。因此，確保信息系統安全穩定地運行，需要做好商用密碼應用安全性評估，以保證商用密碼合規、正確、有效地應用。由于國產密碼算法自身的性能等原因，使得商用密碼算法未大面積地應用，提高商用密碼性能也是當前主要任務之一。信息系統密碼應用安全性評估，是規范密碼應用、維護網絡空間安全的基本要求，同時密碼測評又可促進國產密碼在各個行業的廣泛應用。當前，國密算法在系統應用中的推廣和普及程度還不夠。制約國密算法推廣普及的最重要的一個原因就是性能。 本文列舉了密碼測評工作對國密算法高性能實現的多種需求，并對各種需求下的密碼適用性進行初步分析。

信息系統密碼應用的基本要求

1.1商用密碼安全性評估

商用密碼應用安全性評估，簡稱密評，是指在釆用商用密碼技術、產品和服務集成建設的網絡和信息系統中，對其密碼應用的合規性、正確性和有效性等進行評估。合規性是指密碼算法、密碼協議、密鑰管理、密碼產品和服務使用合規，即按照《商用密碼管理條例》等密碼法規和行業相關的密碼使用要求，使用符合國家密碼法規和標準規定的商用密碼算法，使用經過國家密碼管理局審批的密碼產品或服務；按照《信息系統密碼應用基本要求》等標準，進行相應的密碼應用建設方案設計。正確性是指密碼算法、密碼協議、密鑰管理、密碼產品和服務使用正確，即系統中釆用的標準密碼算法、協議和密鑰管理機制按照相應的密碼國家和行業標準進行正確的設計和實現；密碼保障系統建設或改造過程中密碼產品和服務的部署和應用正確。有效性是指信息系統中釆用的密碼協議、密鑰管理系統、密碼應用子系統和密碼安全防護機制不僅設計合理，而且在系統運行過程中能夠發揮密碼效用，保障信息的機密性、完整性、真實性、抗抵賴性。

1.2信息系統密碼應用的基本要求

根據 GM/T 0054 《信息系統密碼應用基本要求》從 4 個方面對信息系統的密碼應用進行評估，即總體要求、密碼技術應用要求、密鑰管理和安全管理。密碼技術應用要求、密鑰管理和安全管理從四個不同的安全等級進行要求，總體要求提出了對密碼算法、密碼協議、密碼產品和密碼服務要滿足相關標準和符合國家密碼管理部門的要求。

1.2.1密碼技術應用要求

GM/T 0054 《信息系統密碼應用基本要求》密碼技術應用要求分為物理和環境安全、網絡和通信安全、計算和設備安全以及應用和數據安全。其中，物理和環境安全實現對信息系統所在機房等重要區域的物理防護，密碼應用要求涉及重要區域的物理訪問控制，以及電子門禁系統進出記錄和視頻監控音像記錄的存儲完整性。網絡和通信安全實現對信息系統與經由外部網絡連接的實體進行網絡通信時的安全防護，密碼應用要求主要涉及通信過程中實體身份真實性、數據機密性和數據完整性，以及網絡邊界訪問控制和設備接入控制。計算和設備安全實現對信息系統中各類設備和計算環境的安全防護，密碼應用要求主要涉及對登錄設備用戶的身份鑒別、遠程管理通道的建立、可信計算環境的建立、重要可執行程序來源的真實性，以及系統資源訪問控制信息、設備的重要信息資源敏感安全標記、重要可執行程序完整性、日志記錄的完整性。應用和數據安全實現對信息系統中應用及其數據的安全防護，密碼應用主要涉及應用的用戶身份鑒別、訪問控制，以及應用相關重要數據的存儲安全、傳輸安全和相關行為的不可否認性。其中重要數據應根據密碼解決方案以及實際需求來確定，一般地，重要數據包括但不限于鑒別數據、重要業務數據、重要個人信息、重要審計數據、重要配置數據、重要視頻數據等。

1.2.2密鑰管理

信息系統密鑰管理應包括對密鑰的生成、存儲、分發、導入、導出、使用、備份、恢復、歸檔與銷毀等全生命周期進行管理和策略制定的全過程。

1.2.3安全管理

安全管理從管理制度、人員管理、建設運行和應急處置四個方面提出了第一級到第四級的密碼應用安全管理要求，需要健全責任主體管理機制來確保密碼技術被正確、合規和有效地實施。

密碼技術及高性能需求

隨著應用場景的不同，各種應用環境對密碼算法的性能及安全性需求出現了不同的要求。下面將從物理和環境、網絡和通信、設備和計算和應用和數據四個層面從密評角度分析國密算法在性能方面對其影響。

2.1物理和環境安全

物理和環境安全是信息系統安全最基礎部分，需要利用密碼技術有效地保護進入機房等重要場所的人員身份的真實性以及視頻、進出記錄數據的完整性。一般采用基于 SM7 算法的非接觸式邏輯加密卡或者基于 SM1/SM7算法的非接觸式 CPU 卡方式實現一卡一密進行身份鑒別。基于非接觸式 IC 卡門禁系統的密碼應用包含 3 個子系統：應用系統、密鑰管理系統和發卡系統。門禁系統密碼應用示意圖如圖 1 所示：

圖 1 門禁系統密碼應用示意圖

對于視頻數據的完整性保護一般采用對數據做 MAC 計算或者做數字簽名，由于視頻數據產生都是動態的、實時的，直接對完整的所有視頻數據做 MAC 計算或數字簽名效率非常低，影響方案的可實施性。為了提高計算效率，可以采取將視頻相關信息，如用戶名、設備編號、幀序列號等，隱藏在視頻編碼壓縮域中，在視頻解碼階段，計算 MAC 值并與原來 MAC 值對比。

2.2網絡和通信安全

信息系統中各個部件之間的互聯互通需要網絡來實現。網絡層需要實現以下密碼功能： 對通信雙方的身份進行鑒別、對通信過程中的數據做完整性保護、通信過程中的敏感數據或整個報文做機密性保護、對網絡邊界訪問控制信息或系統資源訪問控制信息的完整性進行保護和建立一條安全信息傳輸通道對網絡中的安全設備進行集中管理。另外，對于四級系統，連接到內部網絡的設備需要做認證。保護網絡通信完全可以采用 SSL/TLS 協議或者 IPSec 協議。SSL 協議、IPSec 協議都是一種網絡層的綜合密碼協議，為網絡通信過程提供了數據的機密性、完整性以及數據源的身份鑒別和抗重放攻擊。通常在網絡層部署 SSL VPN 或 IPSec VPN 設備。由于我國密碼行業標準支持“雙證書 + 雙中心”機制，即加密證書和簽名證書，用于數據加密的密鑰對由密鑰管理中心生成，用于數字簽名的密鑰由用戶生成。采用符合國密標準雙證書機制提高了安全性，另一方面，對于用戶和系統而言，帶來了一定的效率降低以及管理成本上升，其次，服務器端做簽名驗證時， SM2 數字簽名的驗證算法需要做多倍點運算，其算法效率較 RSA 簽名驗證算法低。對于通信數據的機密性可采用 SM4 算法對數據加密保護，完整性可采用 HMAC-SM3 算法。SM4 算法的性能較 AES 有一定差距，在某些實時性要求高的通信加密應用場景中，SM4 算法可能難以滿足需求，此時可考慮采用序列算法，如我國的 ZUC 算法，但目前 TLS/SSL 協議尚不支持 ZUC 算法。為了保證網絡邊界訪問控制信息、系統資源訪問控制信息的完整性，可以配置合規的 SSL 或 IPSec VPN 設備，利用設備自身的密碼保護機制對訪問控制列表的完整性進行保護。然而，一些系統僅僅部署了防火墻等安全產品，市面上這些防火墻等安全產品并未使用密碼技術或者使用了未認證的密碼模塊。首先，未使用或者使用了不合規的密碼技術的安全產品會影響到系統通信過程中的安全性；其次，這些安全產品增加密碼功能必然對系統的性能有所降低。為了提高性能同時又保證其安全性，自然對密碼算法的高性能實現提出了要求。綜上所述，為提高系統通信過程的安全性且對系統通信的性能影響不大，就必然對國密算法高性能實現提出了更高的要求。做好國密算法的高性能實現，可以幫助國密算法更好地普及。

2.3設備和計算安全

設備和計算層面主要利用密碼技術保證終端設備、服務器、安全設備和操作系統等算法運行及計算環境安全。計算與設備層需要實現以下密碼功能：對系統中登錄設備的用戶進行身份鑒別、對系統日志、訪問控制信息、重要程序或文件、重要信息資源敏感標記進行完整性保護以及遠程管理時身份鑒別信息需做機密性保護。設備與計算層面的用戶登錄認證中的用戶一般是指登錄到設備的管理員、運維人員等，實現身份鑒別常用的方法利用智能密碼鑰匙對管理員進行身份鑒別，遠程管理時，鑒別信息的機密性通過 https 協議登錄到堡壘機，然后由SSH 協議加密傳輸到目標服務器。目前，SSH 協議不支持國密算法，所以，急需兼容國密算法的 SSH 協議及相關產品和標準，以保證用戶登錄安全。設備與計算層面的完整性保護實現方式有兩種：一種是使用內置的密碼模塊如加密卡、密碼芯片、軟件密碼模塊等；另外一種是通過在外部部署密碼機或者智能密碼鑰匙等密碼產品，尤其是外部部署的加密設備，一般對性能要求較高。當前，操作系統、芯片等領域在國產化方面還有所欠缺，使用合規的密碼技術才能有效地彌補系統的安全性，同時也對國產密碼算法的性能提出了更高的要求。

2.4應用和數據安全

應用和數據層面主要是對信息系統中業務應用以及系統的業務數據、用戶身份鑒別數據、系統資源訪問控制信息、重要資源信息敏感標記和日志等安全提出基于密碼技術的要求。應用與數據層需要實現以下密碼功能：對登錄的用戶進行身份鑒別、保證系統資源訪問控制信息和重要資源信息敏感標記和日志的完整性、對傳輸和存儲過程中數據的機密性和完整性進行保護、重要程序的安裝及卸載進行安全控制，對于四級信息系統，需要實現抗抵賴性。在某些對數據源頭需要利用密碼技術提供保護的應用場景下，僅僅依賴于網絡層和設備層提供的密碼技術是不夠的，仍需要在應用和數據層提供密碼技術進行保護。例如，網絡層的密碼算法的不安全實現導致系統不安全，如“OpenSSL 心臟出血”漏洞，此時如果數據在應用層也是加密處理的，數據傳輸過程中的機密性依然有保證。反之，數據經網絡層和應用層面的兩次加密，顯然對通信的性能有所降低，同時增加了成本。故而，只有提高國密算法的性能才能降低這些不利的影響。系統的應用涉及各行各業，每種應用需求都不一樣，所需要保護的數據也不同。在該層面所涉及的密碼技術及實現方式與上述兩個層面基本相同，所面臨的問題也類似，如用戶身份鑒別、訪問控制信息完整性保護等。重要數據存儲加密和重要程序加載卸載的安全控制這部分需求是上述層面所沒有的。存儲的機密性一般可以采用內置的密碼模塊對數據加密保護或者將重要的數據傳輸到服務器密碼機中，利用服務器密碼機進行加密，將密文存儲在數據庫中，部分用戶直接利用數據庫自帶的加密功能進行機密性保護。 對于業務用戶特別多的行業或場景，其加密存儲對算法的性能要求非常高，此時，SM4 算法性能與 AES 算法相比有一定差距，特別是 AES 算法利用英特爾芯片指令集—AES-NI 加速優化后差距更加明顯。重要程序加載卸載的安全一般可以借助數字簽名技術對其代碼簽名或者做 MAC 運算保護其完整性。

其他應用場景

隨著信息技術的飛速發展，智能手機等電子產品隨處可見，方便了人們的生活、辦公，如手機銀行、移動辦公等，帶來便利的同時也引入了新的安全問題。近年來，對移動終端及其 APP 的軟硬件攻擊層出不窮。 為了保護智能終端的數據安全，可以采用白盒加密或者協同簽名等技術。密碼算法的白盒實現可以有效地保護密鑰在算法運行過程中被攻擊，但是其實現的查找表的規模非常大，較算法的標準實現所需要的存儲空間較大、運行效率較低，不適合資源受限的場景下應用。協同簽名技術的基本思想是用戶的簽名私鑰不再僅由用戶產生，其子私鑰分別由用戶和后臺服務器各自生成，對文件的簽名需要雙方利用各自的私鑰對文件交互式計算，最終生成簽名結果，實現方式如圖 2 所示。林等提出的方案在產生協同簽名的密鑰對時，客戶端和服務器端分別需要做一次模逆運算和一次點乘運算，計算各自的子密鑰對，且服務器端與客戶端要做兩次交互。協同簽名產生過程中客戶端與服務器端需要交互兩次，其中客戶端需要計算一次點乘運算，服務器端需要計算兩次點乘運算，較標準的 SM2 數字簽名算法效率下降不少。Lindell 提出基于同態加密函數 Paillier 實現了的協同簽名方案，其實現方法與林的方案相似，不同的是簽名過程中的隨機數借助同態函數保護。客戶端需要計算一次點乘計算、一次Paillier 加密運算和一次解密運算，服務器端需要計算一次點乘、一次加法同態運算和一次乘法同態運算，其效率相對更低。

圖 2 協同簽名示意圖

結語 密碼技術是保護網絡與信息系統安全的核心技術。信息系統安全穩定的運行離不開商用密碼應用安全性評估，以確保商用密碼合規、正確、有效地應用。 由于國產密碼算法自身的性能等原因，使得商用密碼未大面積應用，還需提高商用密碼性能以便更好地推廣商密算法，實現信息系統的安全自主可控。