最近工作上总听到国密改造,不是很懂。
搜了下国密,是国家自研的一些加密算法 SM..
那么何谓改造呢,单纯是指把所有非国密的替换为国密吗?存量的非国密加密数据都得改造的意思么,一些哈希数据怎么改造。

改传输部分吧

不需要懂,懂也没用,这是要认证的,找你那边的等保认证公司去对接,他们会告诉你怎么做。

bbs.huaweicloud.com/blogs/391942

适配国密机

简单来说国密有国家标准,银行、政府和事业单位等重点机构改用安装了国产化操作系统和国密浏览器的设备,确保这些机构的设备能通过满足国标的加密方式完成通信,防止被敌对机构采用商密算法解密数据;但也保留普通商密确保一般人能访问

楼上没有回答楼主最关心的问题:如何完成改造。对 0-1 的部署肯定没问题,可拿到原始数据的也没问题但是像不可逆的已有加密数据我,我认为是无法迁移的,这种的只能放弃另有他径。但是这个场景可能实际上是不存在的。

第三方评估公司会给出报告, 按照上面逐条整改

按照对方的技术文档照做即可,对方会提供 demo 代码和 jar 包,直接用就行,就是用对方提供的类和方法进行加密,改不了几行代码,放宽心。

差不多,加密和 mac 算法哲学都改成国密,然后 tls 也要用国密 tls

我最近在做改造,程序好说,我们是单独做了一个解密接口,其他逻辑没改,就是生产环境好几个 T 的数据清洗头大

从中长期来看,世界一定是更加融合和开放,而不是更加的割裂和封闭。从现在的信创项目来看,基本是隔靴搔痒,核心数据和生产力并不敢也能走信创路线。信创项目,目前来看多数都是提款机罢了。现在真的很矛盾!是跟着国家一起勒紧裤腰带独立自主?还是拥抱世界?(这个帖不需要回答,保护自己,也保护各位。)

我现在的公司就是干这个的。也涉及过部分 hash 存量数据改造,愿意弄还是有办法的。

不需要你懂,企业只需要找到有这个“资质”的公司(一般是某位领导的小舅子开的),交一大笔保护费,它们会给你一个脏兮兮的盒子,装在你们机架上即可。

简单滴说,就是把你用的加密算法换成国密算法。

hash 存量数据改造,外面再套一层 SM3 就行了

这不是技术问题

国密很简单,SM2 和比特币用的 secp256k1 之间就是椭圆曲线的参数有一点区别,拿比特币的库源码过来修改一下曲线参数就行了。

这可能不是一个技术问题

国密改造是指信息系统要符合国家商用密码安全要求,需要通过商用密码测评,遵循 国标 39786 的标准。

相关标准:GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》哈希数据可以用 SM3HMAC 等。

不过密码套件确实应该把解耦做好,软件在架构上就应该能兼容数据不同的加解密方式

权力寻租的手段而已

无法认同此观点,“核心数据和生产力并不敢也能走信创路线“,银行行业已经开始使用国产 x86 、arm 设备部署,国产数据库(基于开源改造),应用服务层是开源组件( Spring 、Kafka 等消息队列),数据存储更不必说,必须在境内。

确实已经“开始”了,但基本没“使用”,或者是双路并用。或者是边角的那些无关紧要的系统执行信创路线,核心的系统或者数据库还是没动,或者“正在改造”。现在信创项目资金对信创项目是大水漫灌,水巨深,行情巨乱。

信创转型当然要从不重要的应用系统开始试点,新应用也直接用的信创技术路线,旧有基础应用也将逐步改造,这个过程确实不会一蹴而就,但是过几年后再看呢

在封闭的东西上搞自主是必要的,但是在本来就已经开放且原理明确的东西上搞“自主” 就像是拿着阿拉伯数字说不够自主 要搞“国数” 一样

就是签名算法,散列算法,对称加密算法换成 sm2,sm3,sm4

问题现在存在外部的风险,不是我们不愿意融合和开放,是有人想从各个方面围剿你,我们公司核心系统都开始进行信创试点了,目前机器占比还不高,不过可以预见一旦发生了不可抗力因素,还是可以快速切到信创环境的,目前使用信创的综合情况来看,性能要差一些,其他的稳定性和易用性感觉还好

和等保异曲同工吧,实质上增加不了多少系统安全性,但是中间有不少人可以拿钱

11 年的时候做过 vpn 国密改造,当时就是把通信协议全部改成国密的协议,哈希签名验证算法都改成国密算法,去北京国家密码管理局进行测试,对方用他们的程序和公司程序进行对接,验证通过就能获得一个国密认证的证书。不知道 OP 是哪种业务系统

就是 https 改成 https + 套一层国密 。要买加密机。然后使用的时候还得用支持国米的浏览器,比如 360.个人感觉这套东西就是不如 https 。

DES 算法里面神秘的数字能不能反解没人知道吧,估计担心是这个

好奇谁在围剿,围剿什么

开放标准的 magic number 能不能反解我不知道,但是国密库的实现有这个『 feature 』倒是明确的。

把这个事想象成本质是门票。其他不需要懂

其实不要管那么多,现在搞国密这玩意就是为了拿资质的,没有啥要求用 aes + ed25519 + sha256 就够了,有要求就搞 sm2 sm3 sm4