什麼是國密SSL證書？和普通SSL證書有什麼區別？

SSL證書能夠有效提升網站資料傳輸的安全性，已成為政府企業網站提升資料安全的標配。而國密SSL證書由於加密演算法不同，安全等級更高，逐漸受到越來越多使用者的信賴和認可。那麼國密SSL證書有哪些特點，它和傳統SSL證書的區別是什麼呢？本文中科三方針對國密演算法和國密證書做下簡單介紹。

什麼是國密演算法？

為保障國家密碼應用安全，2011年國家密碼管理局釋出《關於做好公鑰密碼演算法升級工作的通知》，要求自2011年3月1日起在建和擬建公鑰密碼基礎設施電子認證系統和金鑰管理系統應使用國密演算法。《金融和重要領域密碼應用與創新發展工作規劃(2018-2022年) 》以及相關法規檔案也要求我國金融和重要領域密碼應用採用SM2國產密碼演算法體系。

國密演算法是指國家密碼管理局認定的一系列國產密碼演算法，包括SM1-SM9以及ZUC等。其中SM1、SM4、SM5、SM6、SM7、SM8、ZUC等屬於對稱密碼，SM2、SM9等屬於公鑰密碼，SM3屬於單向雜湊函式。目前我國主要使用公開的SM2、SM3、SM4作為商用密碼。

SM2是基於橢圓曲線的公鑰密碼演算法，包括用於數字簽名的SM2-1、用於金鑰交換的SM2-2和用於公鑰密碼的SM2-3。SM3是能夠計算出256位元的雜湊值的單向雜湊函式，主要用於數字簽名和訊息認證碼。SM4是屬於對稱密碼的一種分組密碼演算法，分組長度和金鑰長度均為128位元。

國密演算法從SM1-SM4分別實現了對稱、非對稱、摘要等演算法功能，目前已普遍應用於日常工作生活中的各個方面，如工作中使用的VPN，金融業務中的資金流轉、刷卡支付，以及門禁設施、身份認證等。

什麼是國密SSL證書？

國密SSL證書是遵循國家標準技術規範並參考國際標準，採用我國自主研發的SM2公鑰演算法體系，支援SM2、SM3、SM4等國產密碼演算法及國密SSL安全協議的數字證書。國密SSL證書採用自主可控的密碼技術，能夠滿足政府機構、事業單位、大型國企、金融銀行等重點領域使用者對HTTPS協議國產化改造和國密演算法應用的合規需求。

國密SSL證書與傳統SSL證書的區別？

1.加密演算法不同

傳統SSL證書通常採用RSA演算法，RSA是目前應用最為普遍的加密演算法，能夠抵禦絕大多數的網路攻擊，但隨著密碼技術的飛速發展，已逐漸證實1024位的RSA演算法仍然存在被攻破的風險，因此目前很多SSL證書已將RSA演算法升級到2048位。

而現階段的國密SSL證書採用由我國自主設計的SM2公鑰密碼演算法，這種演算法基於橢圓曲線密碼理論改進而來，其加密強度比RSA演算法更高。

2.安全效能不同

雖然RSA演算法目前仍是SSL證書的主流演算法，但隨著計算機能力的提升以及對因子分解技術的改進，對低位數RSA金鑰攻擊已成為可能。

而SM2演算法普遍採用256位金鑰長度，它的單位安全強度比傳統RSA演算法高很多，其破譯難度呈指數級上升。因此SM2演算法可以使用更少的計算能力提供比RSA演算法更高的安全強度，而其所需的金鑰長度遠比RSA更低。根據目前的研究，160位的SM2加密安全性相當於1024位RSA加密，210位SM2加密安全性相當於2048位RSA加密。

3.傳輸速度不同

在通訊過程中，更長的金鑰意味著必須收發更多的資料來驗證連線。SM2演算法採用更短的金鑰長度，只需要使用更少的網路負載和計算能力，可以大大減少SSL握手時間，縮短網站響應時間。

經國外有關權威機構測試，在Web伺服器中採用SM2演算法，伺服器新建併發處理響應時間比RSA演算法快十幾倍。

4.擁有自主可控權

傳統SSL證書主要依賴於國外CA機構，一旦國外證書品牌對我國執行斷供、吊銷，我國各類重要領域的網站或資訊管理系統，將面臨大規模訪問故障和巨大的資料安全洩露風險。而國密SSL證書由國內機構簽發，採用自主可控加密演算法，無需擔心被國外斷供的風險。

今年俄烏衝突爆發，大量俄政府和銀行等重要網站的SSL證書被吊銷，這給我國網際網路安全特別是關鍵資訊基礎設施安全敲響了警鐘。網路安全是國家安全的重要一環，實現網路安全技術的全面自主可控至關重要，其中關鍵是密碼技術的國產化。國密SSL證書採用自主可控的資料加密技術，保護網際網路中重要資訊流轉的資料安全，對提升我國網路資訊保安與自主可控水平，具有重要戰略意義。