匯總密碼知識與技術(shù)管理

1、密碼知識與技術(shù)管理商用密碼管理辦公室技術(shù)管理處處長 謝永泉在生活中，密碼已經(jīng)被賦予了多重含義，例如“藏地密碼背后的唐代文明與藏獒智慧，“達芬奇密碼指向的巨額財富等。在密碼學意義上，密碼是指按約定規(guī)那么，為隱藏消息原形而生成的一組具有隨機特性的特定符號。而密碼學是指研究密碼與密碼活動本質(zhì)和規(guī)律，指導(dǎo)密碼實踐科學，主要探索密碼編制、密碼破譯以及密碼管理的一般規(guī)律的一門科學。密碼學是結(jié)合數(shù)學、計算機科學、電子與通信、物理、生物等諸多學科于一身的交叉學科，發(fā)源并興起于外交和軍事，目前已經(jīng)走向公開，它不僅具有保證信息機密性的信息加密功能， 而且具有數(shù)字簽名、身份鑒別、秘密分存等功能，使用密碼技術(shù)不僅可以

2、保證信息的機密性，而且可以保證信息的完整性和確定性，防止信息被篡改、偽造和假冒。 密碼技術(shù)、核技術(shù)和航天技術(shù)并稱為國家平安的三大支撐技術(shù)，其中密碼技術(shù)又稱為信息平安的核心技術(shù)，廣泛應(yīng)用于國民經(jīng)濟各領(lǐng)域，在保障重要經(jīng)濟信息系統(tǒng)平安、維護國家網(wǎng)絡(luò)空間平安中起著不可替代的作用。例如：電子商務(wù)中采用密碼技術(shù)對交易雙方的身份進行識別，預(yù)防“釣魚網(wǎng)站的欺詐行為，大大降低了平安風險。2021年6月，美國斯諾登爆料代號為“棱鏡的秘密監(jiān)控工程，2007年開始，美國國家平安局和聯(lián)邦調(diào)查局從思科、微軟、雅虎、谷歌、Skype、Ytube、蘋果9家公司的效勞器中監(jiān)控互聯(lián)網(wǎng)活動，秘密收集 記錄，其中我國成為偵聽重點，嚴

3、重威脅我國國家平安，其在定位及通信中也廣泛采用了密碼技術(shù)。推廣自主密碼技術(shù)，保障國家信息平安，維護國家利益必要而急迫。按照會議安排，下面我介紹一下密碼理論學習和技術(shù)管理工作的了解、積累的一些情況。主要是密碼算法、密碼行業(yè)標準和技術(shù)管理要點解析，供大家參考。一、密碼技術(shù)是保障國家信息平安的核心技術(shù)1.關(guān)于商用密碼。為滿足國民經(jīng)濟開展對密碼的應(yīng)用需求，1993年黨中央確定開展商用密碼，稱為“商用密碼，主要是為了與黨、政、軍所使用的密碼進行區(qū)別，商用密碼的定位是“對不涉及國家秘密內(nèi)容的信息進行加密保護或者平安認證。為保證商用密碼健康有序開展，發(fā)揮好商用密碼在我國信息化開展和社會經(jīng)濟建設(shè)中的作用，19

4、96年黨中央決定在我國大力開展商用密碼，并確定了“統(tǒng)一領(lǐng)導(dǎo)，集中管理，定點研制，?？亟?jīng)營，滿足使用的管理原那么。需要強調(diào)的是，“商用密碼這個名詞是為了與保護國家秘密信息的密碼進行區(qū)分而使用的，并不是狹義上商業(yè)才能采用的密碼。密碼技術(shù)是通用技術(shù)，是沒有屬性的，商用密碼是一種分類概念。根據(jù)國家保守秘密法，國家秘密分為“絕密、“機密、“秘密三級，商用密碼保護的對象是非密敏感信息，也就是沒有標注密級的信息，包括黨政機關(guān)工作信息、企事業(yè)單位商業(yè)、財務(wù)人事信息，也包括公民日常生活信息等。換一個角度來說，保護定義為國家秘密的信息不能采用商用密碼。有很多人并不是很清楚，工作中我們也碰到很多案例，比方說有的同志

5、認為，采用商用密碼隨時可接入互聯(lián)網(wǎng)應(yīng)用，適用面廣，萬一喪失也不用承當法律責任，效果也不錯，而采用其他密碼管理責任大，用商用密碼對涉密內(nèi)容進行加密保護效果也很好，至少比“裸奔強。商用密碼只能用于保護不涉及國家秘密的信息，這是法律適用問題，請大家務(wù)必牢記。在工作中我們經(jīng)常碰到另一個問題，商用密碼不能用來保護國家秘密，那么商用密碼是不是比其他的密碼差呢，商用密碼可靠嗎？事實上，商用密碼是應(yīng)用最廣，適應(yīng)環(huán)境最復(fù)雜的一類算法，經(jīng)國內(nèi)最優(yōu)秀的專家團隊評估，目前我國推廣使用的SM系列密碼算法平安性到達國際先進水平，也就是說與國際上最先進的密碼算法相當，這也是可以通過數(shù)學計算證明的，SM系列密碼算法完全能夠滿

6、足平安保障需求，我們可以非常自豪地推廣這些算法。2.關(guān)于密碼算法和密碼協(xié)議首先，談?wù)劽艽a。我們身邊充滿著密碼，上網(wǎng)要輸入密碼、出差要帶密碼箱、高檔一點的防盜門裝密碼鎖，甚至在北京西便門附近一家理發(fā)店的名字就叫“流行密碼，近幾年也出現(xiàn)了好幾部關(guān)于密碼的電影電視。這里面有哪些是密碼，如何理解密碼呢。根據(jù)?GM/Z 00012021 密碼術(shù)語?，密碼是指按約定規(guī)那么，為隱藏消息原形而生成的一組具有隨機特性的特定符號。密碼學是指研究密碼與密碼活動本質(zhì)和規(guī)律，指導(dǎo)密碼實踐科學，主要探索密碼編制、密碼破譯以及密碼管理的一般規(guī)律。密碼技術(shù)是指密碼學相關(guān)技術(shù)，主要是指研究密碼編制、分析和破譯的學科，包括密碼算

7、法、密碼協(xié)議和密碼系統(tǒng)等的設(shè)計與分析的原理、方法和工具。從定義可以看出，我們?nèi)粘Ｉ暇W(wǎng)、密碼箱、防盜門等用的“密碼主要是“口令，不是密碼學意義上的密碼，更不是密碼管理部門管理的對象。密碼算法是指描述密碼處理過程的一組運算規(guī)那么或規(guī)程，一般是指基于復(fù)雜數(shù)學問題設(shè)計的一組運算。密碼算法主要包括對稱密碼算法、公鑰密碼算法、密碼雜湊算法和隨機數(shù)生成算法。對稱密碼算法有時也叫秘密密鑰算法或單密鑰算法，主要包括分組密碼算法、序列密碼算法，數(shù)據(jù)發(fā)信方將明文和密鑰一起經(jīng)過密碼算法處理后，使其變成復(fù)雜的加密密文發(fā)送出去；收信方收到密文后，使用密鑰及算法的逆運算對密文進行解密，使其恢復(fù)成可讀明文。公鑰密碼算法又稱為

8、“非對稱密碼算法，主要包括RSA密碼算法和橢圓曲線密碼算法，1976年由Diffie和Hellman以及Merkle分別提出，要求密鑰成對出現(xiàn)，一個為加密密鑰，可以對外公開又稱為公鑰，另一個為解密密鑰，用戶自己唯一擁有稱為私鑰，兩密鑰之間存在相互依存關(guān)系,用其中任一個密鑰加密的信息只能用另一個密鑰進行解密，且不可能從其中一個推導(dǎo)出另一個。由對稱密碼算法和公鑰密碼算法定義可以看出，采用對稱密碼算法需要通信雙方事先獲得共享密鑰，而采用公鑰密碼算法時，人人都可以通過收信者的公鑰對文件進行加密，然后發(fā)給收信者；而有且只有收信者使用其私鑰才能對文件進行解密，這使得通信雙方無需事先交換密鑰就可進行保密通信

9、。非對稱密碼算法較對稱密碼算法處理速度慢，因此，通常把非對稱密碼算法與對稱密碼算法結(jié)合起來實現(xiàn)最正確性能，即用非對稱密碼算法在通信雙方之間傳送對稱密鑰，而用對稱密碼算法來對實際傳輸?shù)臄?shù)據(jù)加密解密。分組密碼算法是將明密文分成固定長度分組，采用相同密鑰對每一塊加密，輸出也是固定長度的密文的一種密碼算法。比擬有名的分組密碼算法是上世紀70年代美國確立的數(shù)據(jù)加密標準DES算法，加密時把明文以64比特為單位分成塊，而后通過運算把每一塊明文轉(zhuǎn)化成同樣長度的密文塊，DES的密鑰長度是56比特。AES算法是上世紀末，美國為替換3DES算法，面向世界遴選、評估確定的高級加密標準算法，明密文分塊是128比特，密鑰

10、長度128比特到256比特可選。比擬有名的分組密碼算法還有3DES算法，IDEA算法，TUOFISH算法等。我國商用密碼領(lǐng)域主要推廣使用SM1、SM4和SM7三個密碼算法，其中SM1主要用于重要經(jīng)濟信息系統(tǒng)，SM4用于通用領(lǐng)域，而SM7主要用于門禁、電子標簽等射頻相關(guān)領(lǐng)域。序列密碼算法主要原理是通過有限狀態(tài)機產(chǎn)生性能優(yōu)良的偽隨機序列，使用該序列加密信息流得到密文序列。序列密碼算法是軍事和外交領(lǐng)域使用的主要密碼技術(shù)之一，它的平安強度完全決定于它所產(chǎn)生的偽隨機序列的好壞,產(chǎn)生好的序列密碼的主要途徑之一是利用移位存放器產(chǎn)生偽隨機序列。公鑰密碼算法主要包括RSA密碼算法和ECC密碼算法。結(jié)構(gòu)圖如下：R

11、SA密碼算法。1978年，美國麻省理工學院(MIT)的Rivest、Shamir和Adleman共同提出的一個密碼算法，其平安性基于大整數(shù)素因子分解的困難性，至今沒有有效的方法予以解決。舉例來說很容易計算127129？，但是倒過來，？29083 就很難計算了。目前，國際主要采用RSA_1024和RSA_2048，近年來，隨著計算技術(shù)的進步和計算機運算性能的不斷提高，RSA算法應(yīng)用平安的危險性增大，根據(jù)國內(nèi)外相關(guān)消息，RSA_1024已經(jīng)被破解，世界各國都在積極推動采用橢圓曲線密碼算法代替RSA算法。橢圓曲線密碼算法ECC密碼算法被國際公認為唯一成熟可替代RSA密碼算法的公鑰密碼算法，基于有限域

12、上的離散對數(shù)難解問題設(shè)計，從計算復(fù)雜度來看，256比特密鑰的ECC算法平安強度與3072比特密鑰RSA算法相當，所以相對來所，ECC算法具有資源占用少、運算效率高等優(yōu)點。世界各國都在大力推廣使用橢圓曲線密碼算法，美國已經(jīng)確定2021年起，全面推廣應(yīng)用橢圓曲線密碼算法。我國已經(jīng)研制并發(fā)布了具有自主知識產(chǎn)權(quán)的橢圓曲線密碼算法SM2，組織研制了實現(xiàn)有SM2算法的算法芯片、智能密碼鑰匙、PCI密碼卡、密碼機等產(chǎn)品，并在電子認證、金融等領(lǐng)域大力推廣應(yīng)用。密碼雜湊算法又稱散列算法或哈希函數(shù)，是把任意長的輸入消息串變化成固定長的輸出串的一種函數(shù)，這個輸出串稱為該消息的雜湊值。一個平安的密碼雜湊算法應(yīng)該至少滿

13、足以下幾個條件:輸入長度是任意的，輸出長度是固定的;對每一個給定的輸入,計算輸出即雜湊值是很容易的;給定密碼雜湊算法的描述,找到兩個不同的輸入消息，使雜湊值相同是計算不可行的；給定密碼雜湊算法的描述和一個隨機選擇的消息,找到另一個與該消息不同的消息使得它們雜湊到同一個值是計算上不可行的。隨機數(shù)生成算法一般是指生成偽隨機序列的算法,通常由隨機數(shù)發(fā)生源和后續(xù)處理函數(shù)組成，隨機數(shù)發(fā)生源用于提供隨機種子，后續(xù)處理函數(shù)用于平衡隨機數(shù)的質(zhì)量。我國密碼產(chǎn)品中采用的密鑰要求用數(shù)字物理噪聲源芯片等硬件生成，這些硬件中內(nèi)部實現(xiàn)了隨機數(shù)生成算法，輸出的數(shù)據(jù)應(yīng)能夠符合?GM/T 0005-2021隨機性檢測標準?。密

14、碼協(xié)議。這里的協(xié)議是指兩個或兩個以上的參與者為了到達某種特定目的而采取的一系列步驟Bruce Schneie?應(yīng)用密碼學 協(xié)議、算法與C源程序?，邱衛(wèi)東等?密碼協(xié)議根底?。包含以下幾層含義：規(guī)定了一系列有序執(zhí)行的步驟，必須依次執(zhí)行；必須有兩個或兩個以上的參與者；有明確的目的。協(xié)議有幾個特點：協(xié)議中的每個人都必須了解協(xié)議，并且預(yù)先知道所要完成的所有步驟。協(xié)議中的每個人都必須同意并遵循這些步驟；協(xié)議必須是清楚的，每一步必須明確定義，并且不會引起誤解；協(xié)議必須是完整的，對每種可能的情況必須規(guī)定具體的動作。如智能密碼鑰匙的內(nèi)部認證、外部認證協(xié)議，IPSec VPN協(xié)議等。密碼協(xié)議是使用密碼技術(shù)的協(xié)議，

15、密碼協(xié)議包含某種密碼算法，但通常密碼協(xié)議的目的不是為了簡單的實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性，參與協(xié)議的各方可能是為了計算一個數(shù)值并進行共享、確認相互間的身份等。在協(xié)議中使用密碼的主要目的是防止或發(fā)現(xiàn)竊聽者。常用協(xié)議有密鑰交換協(xié)議、IPSec VPN協(xié)議、SSL VPN協(xié)議等。二、大力加強商用密碼標準化管理工作標準化管理是世界各國市場通行的管理規(guī)那么，技術(shù)標準已經(jīng)成為國際競爭的重要手段，也是商用密碼依法管理的根底支撐。國家密碼管理局一直高度重視密碼標準管理工作，從2000年就開始組織相關(guān)標準的組織編寫工作，先后用白皮書的形式發(fā)布了系列技術(shù)標準，標準了商用密碼產(chǎn)品的研發(fā)與應(yīng)用。2021年，經(jīng)國標委批準設(shè)立了

16、密碼行業(yè)標準化技術(shù)委員會，標志著密碼標準化工作正式納入到國家標準管理體系中，國家密碼管理局具備了獨立組織制定、公布密碼標準的職能，這對提升密碼管理工作的科學化、標準化水平，增強我國密碼產(chǎn)業(yè)競爭力具有十分重要的意義。1標準化管理是依法管理的重要內(nèi)容管理依據(jù)及標準定義。?中華人民共和國標準化法?，“標準是指對重復(fù)性事物和概念所作的統(tǒng)一規(guī)定，它以科學、技術(shù)和實踐經(jīng)驗的綜合成果為根底，經(jīng)有關(guān)方面協(xié)商一致，由主管機構(gòu)批準，以特定形式發(fā)布，作為共同遵守的準那么和依據(jù)。立法宗旨。為了開展社會主義商品經(jīng)濟，促進技術(shù)進步，改良產(chǎn)品質(zhì)量，提高社會經(jīng)濟效益，維護國家和人民的利益，使標準化工作適應(yīng)社會主義現(xiàn)代化建設(shè)和

17、開展對外經(jīng)濟關(guān)系的需要。管理體制。統(tǒng)一管理與分工管理相結(jié)合。國務(wù)院標準化行政主管部門國家標準化管理委員會統(tǒng)一管理全國標準化工作，國務(wù)院有關(guān)行政主管部門分工管理本部門、本行業(yè)的標準化工作。標準層級。標準主要包括國家標準、行業(yè)標準、地方標準和企業(yè)標準。對需要在全國范圍內(nèi)統(tǒng)一的技術(shù)要求，應(yīng)當制定國家標準，國家標準由國務(wù)院標準化行政主管部門制定。對沒有國家標準而又需要在全國某個行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求，可以制定行業(yè)標準。制定行業(yè)標準的工程由國務(wù)院標準化行政主管部門確定的行業(yè)標準主管部門確定。行業(yè)標準由國務(wù)院有關(guān)行政主管部門編制方案，組織草擬，統(tǒng)一審批、編號、發(fā)布，并報國務(wù)院標準化行政主管部門備案。在公

18、布國家標準之后，該項行業(yè)標準即行廢止。組織形式。標準管理部門應(yīng)當組織由專家組成的標準化技術(shù)委員會，負責標準的草擬，參加標準草案的審查工作。標準化技術(shù)委員會應(yīng)當由用戶、生產(chǎn)單位、行業(yè)協(xié)會、科學技術(shù)研究機構(gòu)、技術(shù)檢驗機構(gòu)、學術(shù)團體及有關(guān)部門的專家組成。標準性質(zhì)。國家標準、行業(yè)標準分為強制性標準和推薦性標準。保障人體健康，人身、財產(chǎn)平安的標準和法律、行政法規(guī)規(guī)定強制執(zhí)行的標準是強制性標準。強制性標準主要包括藥品標準，食品衛(wèi)生標準，重要的涉及技術(shù)銜接的通用技術(shù)術(shù)語、符號、代號含代碼、文件格式和制圖方法；國家需要控制的通用的試驗、檢驗方法標準；互換配合標準等。強制性標準，必須執(zhí)行。不符合強制性標準的產(chǎn)品

19、，禁止生產(chǎn)、銷售和進口。在國內(nèi)銷售的一切產(chǎn)品包括配套設(shè)備不符合強制性標準要求的，不準生產(chǎn)和銷售；專為出口而生產(chǎn)的產(chǎn)品包括配套設(shè)備不符合強制性標準要求的，不準在國內(nèi)銷售；不符合強制性標準要求的產(chǎn)品包括配套設(shè)備，不準進口。強制性標準以外的標準是推薦性標準，國家鼓勵企業(yè)自愿采用，并將采取優(yōu)惠措施，鼓勵企業(yè)采用推薦性標準。推薦性標準一旦納入指令性文件，將具有相應(yīng)的行政約束力。指導(dǎo)性標準，主要用于參考使用。標準認證。 “認證是依據(jù)標準和相應(yīng)要求，經(jīng)認證機構(gòu)確認并通過頒發(fā)認證證書和標志，以證明某一產(chǎn)品符合相應(yīng)標準和要求的活動。認證工作由國務(wù)院標準化行政主管部門組織或國務(wù)院標準化行政主管部門授權(quán)的部門建立的

20、行業(yè)認證機構(gòu)實施。認證合格的，由認證部門授予認證證書，準許在產(chǎn)品或者其包裝上使用規(guī)定的認證標志。不符合認證標準的產(chǎn)品或未經(jīng)認證的產(chǎn)品，不得使用所規(guī)定的認證標志。 2標準化是商用密碼標準化開展的內(nèi)在要求。經(jīng)過14年的快速開展，商用密碼產(chǎn)業(yè)初具規(guī)模，目前已有451家商用密碼產(chǎn)品生產(chǎn)定點單位，研發(fā)生產(chǎn)了1300多款產(chǎn)品，建立起了包括芯片、模塊、終端、板卡、主機、系統(tǒng)等，體系完整、門類齊全、功能豐富、性能多樣的產(chǎn)品體系，涵蓋了商用密碼產(chǎn)業(yè)各個節(jié)點，應(yīng)用對產(chǎn)業(yè)鏈不同節(jié)點研發(fā)產(chǎn)品的協(xié)調(diào)性也提出了更高的要求，同時產(chǎn)業(yè)鏈各節(jié)點多家生產(chǎn)定點單位競爭的局面對產(chǎn)品研發(fā)生產(chǎn)的一致性也提出了很高的要求。沒有規(guī)矩，不成方

21、圓。商用密碼事業(yè)開展需要對產(chǎn)業(yè)每個節(jié)點產(chǎn)品的研發(fā)、設(shè)計、定型、入市提出明確要求，需要建立健全一個系統(tǒng)完整、公開標準、運轉(zhuǎn)高效的標準化開展機制。3商用密碼標準化管理成效初顯建立了商用密碼標準化管理的組織機制和戰(zhàn)略格局，培養(yǎng)了一批經(jīng)驗豐富、熟悉標準編寫的隊伍。研究明確了商用密碼應(yīng)用技術(shù)體系和標準體系。組織編制了一批根底性、應(yīng)用急需性標準標準。主要包括根底類標準、設(shè)備類標準、效勞類標準、根底設(shè)施類標準和應(yīng)用類標準。目前，已經(jīng)分兩批發(fā)布了20個商用密碼相關(guān)行業(yè)標準。2021年密標委將完成各工作組的組建工作，規(guī)章制度較為健全，發(fā)布一批密碼行業(yè)標準，并重點組織開展58個行業(yè)標準制修訂工作。三、依法標準商用

22、密碼技術(shù)管理工作商用密碼技術(shù)管理主要包括算法管理、科研生產(chǎn)單位管理、產(chǎn)品管理、基金課題管理、科技評獎管理和重大工程管理等，其中產(chǎn)品管理和生產(chǎn)單位管理與省區(qū)市密碼管理部門聯(lián)系較為密切。根據(jù)?商用密碼管理條例?，商用密碼產(chǎn)品指定生產(chǎn)單位生產(chǎn)的商用密碼產(chǎn)品的品種和型號，必須經(jīng)國家密碼管理機構(gòu)批準，并不得超過批準范圍生產(chǎn)商用密碼產(chǎn)品。具體來說，如何理解商用密碼產(chǎn)品的品種和型號，商用密碼產(chǎn)品品種和型號審批要素、商用密碼產(chǎn)品生產(chǎn)定點單位管理重點又是什么呢？1.關(guān)于商用密碼產(chǎn)品品種和型號的含義根據(jù)?商用密碼產(chǎn)品品種和型號命名規(guī)那么?，商用密碼產(chǎn)品品種和型號主要包括產(chǎn)品名稱和產(chǎn)品型號兩個局部，產(chǎn)品名稱主要表現(xiàn)

23、產(chǎn)品的用途和形態(tài)，力求科學合理、簡潔明了、易懂易記，含義確切如網(wǎng)絡(luò)密碼機、數(shù)字證書認證系統(tǒng)；產(chǎn)品型號由代表商用密碼標識、功能類別、表現(xiàn)形態(tài)的三個字母，代表審批年份和順序號的4位數(shù)字，以及表示改良型號的一個字母組成。產(chǎn)品型號包括三節(jié)，組成標識如下：圖1商用密碼產(chǎn)品型號命名組成示意圖第一節(jié)，包括三位字母，第一位是商用密碼標識，用固定的大寫漢語拼音字母“S表示。第二位表示產(chǎn)品的類別，根據(jù)商用密碼產(chǎn)品的功能進行劃分，第三位表示產(chǎn)品的形態(tài)類別，按照產(chǎn)品的實現(xiàn)形態(tài)進行劃分，第二位和第三位也分別用相應(yīng)的大寫漢語拼音字母表示。第二節(jié)，由四位數(shù)字組成。其中前兩位表示年份如2008年，那么為“08，后兩位表示產(chǎn)品

24、順序號，用從“01“99順序遞增的自然數(shù)表示，順序號按照同規(guī)格產(chǎn)品登記型號的先后順序排列。第三節(jié)，第三節(jié)由一位字母組成，按A、B、C的順序表示產(chǎn)品的改型次數(shù)或系列分別。改型次數(shù)是指在產(chǎn)品基型不變的情況下，有局部改變或升級的次數(shù)。假設(shè)產(chǎn)品首次登記，不存在改型，那么該位為空。 第二節(jié)與第三節(jié)之間用一短橫線“-隔開。當?shù)谌?jié)為空時，那么沒有短橫線。產(chǎn)品功能類別與形態(tài)的組合產(chǎn)品功能與形態(tài)的組合規(guī)那么如下表所示：形態(tài)功能軟件R芯片X模塊M板卡K整機J系統(tǒng)T密碼算法S數(shù)據(jù)加解密J認證鑒別R證書管理Z密鑰管理Y密碼防偽F綜 合H審批根據(jù)?商用密碼產(chǎn)品生產(chǎn)管理規(guī)定?，生產(chǎn)定點單位應(yīng)當在研制出產(chǎn)品樣品后，通過屬

25、地密碼管理機構(gòu)向國家密碼管理局申請產(chǎn)品品種和型號，提交完整的商用密碼產(chǎn)品品種和型號申請材料，包括商用密碼產(chǎn)品品種和型號申請書、技術(shù)工作總結(jié)報告含附錄、平安性設(shè)計報告、用戶手冊及測試說明5個局部。格式要求：裝訂，采用A4版式，雙面裝訂，膠裝并帶封皮和封底；5個局部應(yīng)用彩頁明顯分隔開，單獨編排目錄和頁碼技術(shù)工作總結(jié)報告的附錄也應(yīng)包含頁碼；封皮及封面，頁邊距上，下，左3CM，右3CM；“商用密碼產(chǎn)品品種和型號申請材料為加粗黑體一號字，工程名稱和申報單位為宋體三號字，落款日期為最新日期；各局部正文：頁邊距上，下2CM，左2CM，右2CM；目錄中節(jié)標題不超過三級，字體為宋體小四號，1.2倍行距；正文內(nèi)容

26、小四號字，1.5倍行距，節(jié)標題依次為一級標題黑體加粗三號，二級標題宋體加粗四號，三級標題宋體加粗小四號。文本具體內(nèi)容要求前期已經(jīng)下發(fā)，需要的可與技術(shù)處聯(lián)系。在十多年的技術(shù)管理工作中，研發(fā)單位申報產(chǎn)品出現(xiàn)的主要問題和需要把握的關(guān)鍵點，主要可以分為以下幾個方面：1密碼算法應(yīng)用不正確。密碼算法應(yīng)用管理是商用密碼管理的核心和根底，密碼算法自身平安才是密碼產(chǎn)品的根底。局部單位在產(chǎn)品中使用了自己設(shè)計、編制的密碼算法，平安性較差；許多單位的產(chǎn)品中采用了DES、3DES、AES、ECDSA等國際密碼算法，帶來了專利等許多問題，都不符合國家密碼管理的相關(guān)要求。目前，我國許可并大力推廣應(yīng)用的通用密碼算法是SM2橢

27、圓曲線公鑰密碼算法、SM3密碼雜湊算法和SM4分組密碼算法。同時，在智能電網(wǎng)、居民健康卡、社會保障等領(lǐng)域允許使用SM1分組密碼算法，在電子標簽、重要門禁系統(tǒng)等領(lǐng)域采用SM7分組密碼算法，在通信領(lǐng)域采用ZUC祖沖之密碼算法。2密碼應(yīng)用實現(xiàn)不平安。?商用密碼管理條例?明確要求國家密碼管理部門指定的生產(chǎn)單位才能從事商用密碼產(chǎn)品的研發(fā)、生產(chǎn)，這是因為商用密碼產(chǎn)品研發(fā)專業(yè)性強，平安保障難度大，需要綜合考慮密碼算法、密碼協(xié)議、技術(shù)路線、物理保障、網(wǎng)絡(luò)防護等各種平安防護手段。在管理中經(jīng)常遇到密碼算法采用軟件實現(xiàn)、密鑰沒有平安保護措施、身份認證措施薄弱等情況，輕那么反復(fù)修改，重那么退回，造成研發(fā)單位、管理部門

28、和相關(guān)專家大量人力、物力和時間的浪費。3密碼標準標準不符合。標準化戰(zhàn)略是商用密碼既定開展戰(zhàn)略，國家密碼管理局發(fā)布的20個行業(yè)標準，根本涵蓋了從密碼算法、密碼芯片、密碼設(shè)備到密碼應(yīng)用系統(tǒng)較為廣闊的領(lǐng)域，對相關(guān)產(chǎn)品的體系架構(gòu)、技術(shù)路線、平安協(xié)議、防護措施、對外接口及功能等提出了系列明確要求，并且請密碼學會組織專家對全國商用密碼產(chǎn)品生產(chǎn)定點單位分兩次進行了專題培訓。商用密碼產(chǎn)品型號審批的重要依據(jù)是相關(guān)產(chǎn)品的檢測報告，重點是標準符合性，請認真、深入研讀標準，真實實現(xiàn)和落實標準，這樣才能少走彎路，提高效率。4密鑰平安措施不到位。現(xiàn)代密碼學意義上的密碼應(yīng)用平安是建立在算法公開的密鑰保密根底之上的，SM2/

29、3/4和ZUC密碼算法已經(jīng)公開，要求密鑰必須具有嚴格措施實現(xiàn)平安保密。從生成來說，密鑰采用的隨機數(shù)必須硬件噪聲源生成，GM/T 0008-2021?平安芯片密碼檢測準那么?中明確，平安芯片1級需要至少2個噪聲源、2級之上4個、3級6個，輸出數(shù)據(jù)必須能夠滿足GM/T 0005-2021?隨機性檢測標準?的相關(guān)要求。對于密碼卡、密碼機等效勞端產(chǎn)品，在管理中要求密鑰至少由2片數(shù)字物理噪聲源芯片生成的數(shù)據(jù)符合生成。同時，要求研發(fā)的商用密碼產(chǎn)品必須能夠?qū)崿F(xiàn)密鑰整個生命周期的平安防護，例如必須硬件平安存放、具有訪問控制機制、明文不出設(shè)備、具有掉電或開蓋毀鑰等防護措施，并且必須具備上電自檢和應(yīng)用自檢等防護功

30、能。5型號申報材料不標準。上報材料統(tǒng)一采用A4紙、膠裝，具體要求前期已經(jīng)發(fā)給各省，目前發(fā)現(xiàn)的主要問題包括字體字號、排版格式、呈報對象及文體不標準和提交材料目錄結(jié)構(gòu)不準確等低級錯誤，以及提交材料中體系架構(gòu)不科學、重點不突出、密碼協(xié)議不完整等深層次問題，暴露出一些定點單位密碼技術(shù)根底較弱、不注重日常學習和積累等問題。另外，為進一步標準產(chǎn)品管理，更好地表達平安芯片的平安等級，同時借鑒其他信息平安產(chǎn)品有效期設(shè)置的通用方式，下一步擬調(diào)整商用密碼產(chǎn)品品種型號證書模板，主要調(diào)整內(nèi)容為：不再印發(fā)批復(fù)文件；明確申報產(chǎn)品名稱；明確證書三年有效期；增加防偽二維碼；增加標準符合性描述。3.大力加強已獲審批產(chǎn)品的后續(xù)監(jiān)

31、管在工作中，我們經(jīng)常聽到一些消息，反映局部商用密碼產(chǎn)品生產(chǎn)定點單位投入市場的產(chǎn)品與真正審批時的產(chǎn)品不一致，也就是大家經(jīng)常說到的“掛羊頭賣狗肉問題，常見情況包括擅自變更采用的密碼算法含國際和國內(nèi)未經(jīng)準許使用的其他算法，擅自將硬件換為軟件等設(shè)備配件變更、偽造生產(chǎn)定點單位證書和型號證書等。現(xiàn)在市場競爭已經(jīng)比擬劇烈，國家密碼管理局也接到并處理過有關(guān)舉報，因為所有審批工程都有詳細檔案，相對來說查證是容易的，偽造的后果輕那么撤消型號證書，重那么撤消生產(chǎn)定點單位證書，并輔以其他行政及經(jīng)濟處分。請大家高度重視這種情況，務(wù)必做好屬地定點單位培訓和管理工作，引導(dǎo)生產(chǎn)單位按照獲得國家密碼管理局商用密碼產(chǎn)品型號證書的

32、條件生產(chǎn)產(chǎn)品、進入市場銷售。 4.商用密碼產(chǎn)品生產(chǎn)定點單位管理根據(jù)商用密碼管理有關(guān)規(guī)定，從事商用密碼產(chǎn)品生產(chǎn)必須取得國家密碼管理部門頒發(fā)的?商用密碼產(chǎn)品生產(chǎn)定點單位證書?，有效期3年。新申請單位須經(jīng)國家密碼管理局實地考核，已經(jīng)指定單位需通過屬地密碼管理部門的年度考核。目前，新申請生產(chǎn)資質(zhì)單位的管理流程是：研發(fā)單位向?qū)俚孛艽a管理部門提交申請材料，屬地密碼管理部門現(xiàn)場考核，通過的出具意見并轉(zhuǎn)報國家密碼管理局；國家密碼管理局每年分兩批進行實地核查，主要把握申請單位是否具備配套資金、場所、人員等產(chǎn)品研發(fā)條件；主要研發(fā)人員密碼技術(shù)積累及產(chǎn)品研發(fā)經(jīng)驗；擬研發(fā)產(chǎn)品的主要特點及與同類產(chǎn)品的比擬優(yōu)勢；資金及人員背景是否清晰、平安管理制度措施是否健全并有效落實等。在人員方面：擬從事密碼產(chǎn)品研發(fā)人數(shù)不得少于15人，其中本科以上學歷不少于80%，并應(yīng)具備密碼專業(yè)人才或有密碼領(lǐng)域從業(yè)經(jīng)歷的人才。在資本方面：注冊資金可根據(jù)本地區(qū)商用密碼開展情況而定，注冊資金越多相對可持續(xù)開展能力較強，一般情況下注冊資金不少于300萬元；在資本構(gòu)成方面，對某些情況不明的投資方的資本性質(zhì)應(yīng)予查明，對于有外資入股/外籍人員參與經(jīng)營管理或產(chǎn)品研發(fā)的情況酌情而定。此外還應(yīng)關(guān)注技術(shù)方面的產(chǎn)品路線，市場方面的開展策略、市場