BJCA—SM2算法升级的引领者

BJCA—SM2算法升级的引领者

一、中国进入国产密码算法时代

随着密码技术和计算技术的发展，1024位RSA公钥密码算法正面临日益严重的安全威胁。RSA算法的安全性是基于大数因子分解的困难性，但是随着分布式计算能力的提高，大数因子分解的记录也在不断提高。根据世界著名研究机构的报告，1024 bits RSA密钥只应使用至2010年、2048 bits RSA密钥只应使用至2030年、3072 bits RSA密钥可使用至2030年之后。随着分解大整数方法的进步及完善、计算机速度的提高以及计算机网络的发展，为了保障数据的安全，RSA的密钥需要不断增加，尽管通过增加密钥长度可以提高RSA密钥安全性，但随着密钥长度增加，分解的计算量也随之增大，从长远来看，RSA公钥密码算法将被淘汰已是大势所趋。

椭圆曲线密码学（Elliptic curve cryptography，简称ECC）是基于椭圆曲线数学的一种公钥密码的方法，我国自主知识产权的SM2椭圆曲线密码算法即是ECC算法的一种。ECC算法的安全性依赖于椭圆曲线离散对数问题，解椭圆曲线离散对数为指数级的难度，比因子分解更难；正是由于ECC算法和RSA算法这一明显不同，使得ECC算法的单位安全强度高于RSA算法，要达到同样的安全强度，ECC算法所需的密钥长度远比RSA算法低；同时，ECC算法在存储空间、带宽、计算量等方面都比RSA算法小，因而ECC算法具有更高的安全性和更快的性能。ECC的这些特点使它必将取代RSA，成为通用的公钥加密算法。

2011年国家密码管理局下发了《关于做好公钥密码算法升级工作的函》（国密局函[2011]7号），规定2011年7月1日以后投入运行并使用公钥密码的信息系统，应使用SM2椭圆曲线密码算法；同时规定从2011年2月28日起在建和拟建公钥密码基础设施电子认证系统和密钥管理系统应使用SM2椭圆曲线密码算法、新研制的含有公钥密码算法的商用密码产品须支持SM2椭圆密码算法；文件中对于已投入运行并使用公钥密码的信息系统、已审批的商用密码产品，规定应尽快进行系统升级，使用SM2椭圆曲线密码算法（简称SM2算法）；已审批的公钥密码基础设施电子认证系统和密钥管理系统应于2012年6月30日前

1

完成系统升级。

这标志着我国具有自主知识产权的公钥密码算法SM2将逐步取代RSA公钥密码算法，国产算法密码支撑体系将全面建立；这一举措进一步增强了我国商用密码体系的安全性和自主性，对于我国商用密码产业的发展和信息安全体系建设将产生深远影响。

二、BJCA—信息安全领域的引领者，国产密码算法应用研发的先锋军 “BJCA”全称北京数字认证股份有限公司（原：北京数字认证中心）是全国信息安全标准化技术委员会的成员，是中国PKI联盟的理事单位，是行业技术主管部门国家密码管理局组织的公钥基础设施应用技术体系工作组的主要成员。作为我国首批获得电子认证服务许可资质的专业电子认证服务提供商，BJCA致力于提供高品质的信息安全服务，帮助用户创造安全可信的网络空间。BJCA一直致力于国产密码算法的应用研究，关注国产密码算法的发展；公司承担了国家发改委信息安全专项“国家商用密码应用关键标准研制”等多项重大课题研究。

2011年国家密码管理局关于公钥密码算法升级工作的文件下发后，BJCA凭借多年在国产密码算法领域的研究实力，BJCA及其子公司安信天行研发的数字证书认证系统、密钥管理系统、身份认证系统、电子印章系统、数字签名服务器、时间戳服务器等多款商用密码产品成为国内首批支持SM2国产密码算法，通过国家密码管理局国产密码算法安全性审查，获得商密型号的产品系列。

目前BJCA已形成了PKI基础设施类、数字身份管理类、电子签名类等三类面向密码算法及应用的产品体系，公司所有产品都支持国产密码算法系列（SM1、SM2、SM3、SM4）。下面逐一进行介绍。

（一）虚拟世界的电子身份

PKI基础设施类产品主要解决“我是谁”的问题即用户在虚拟世界的电子身份，方法主要通过BJCA的CA运营系统或给客户自建CA系统获得数字证书。BJCA的CA运营系统是通过工信部和国密局等部门审核的第三方电子认证机构，所签发的数字证书具有法律效力。企事业单位可根据自身情况选择BJCA的CA运营服务或商密型号CA产品。BJCA这一类产品主要有：数字证书认证系统、密钥管理系统、身份认证系统等。

（二）虚拟世界基于身份认证的全面资源服务控制。

2

数字身份管理类产品主要解决“我能做什么”的问题即用户可以访问哪些网络资源和应用系统资源。BJCA的统一认证管理系统、WEB信息安全系统、实名接入网关系统、身份认证网关系统等产品以数字证书作为认证凭证，以用户管理为核心，提供统一的用户管理、单点登录、审计跟踪，实现对虚拟资源的全面访问控制，实现了对用户、角色和权限的安全管理。

（三）电子行为的合法性和有效性

虚拟世界中，在具有数字身份和权限后，电子行为的不可抵赖和不可篡改就显得尤为重要。主要解决“是不是我做的”和“我的行为有没有法律效力”的问题。BJCA的信手书手写签名系统、电子签章系统、电子印章系统、数字签名验证服务器及时间戳服务器等产品系列极大的丰富了安全产品的应用领域和应用形式，同时提供具有法律效力的认证服务。BJCA这一产品系列使得在金融、证券、保险领域的网上开户、电子保单、无纸化业务、电子病历、电子合同、网上电子政务等成为现实。随着这类产品在更多应用领域无纸化业务中的应用，应用方式将更加丰富，并具有广阔的发展前景。

上述三大产品体系，从底层基础设施到中间层数字身份管理直至应用层电子签名构筑了完整的安全网和证据链，从法律上保障了虚拟世界电子行为的有效性，极大促进经济社会各项业务的发展，推动社会进入数字化诚信时代。

第三篇：SM2升级及应用需要做什么？

2011年，BJCA基于SM2国产密码算法的公钥基础设施运营系统：电子认证系统、密钥管理系统通过了国家密码管理局SM2算法升级的安审，成为全国第一家将SM2算法升级扩建系统投入了生产运营的第三方电子认证机构；并率先获得了国家密码管理局颁发的信息安全等级保护（三级）系统测评证书。

根据国家密码管理局公钥密码算法升级工作的要求，目前很多使用公钥密码的信息系统，及已投入使用的公钥密码基础设施电子认证系统和密钥管理系统都面临着升级SM2算法的需求。如何做好SM2椭圆密码算法升级，选择什么样的技术升级路线，成为国内使用公钥密码信息系统的企事业单位、公钥密码基础设施运营商和商密产品生产商所关注的核心问题。本文将对上述问题进行探讨和介绍说明。

3

结合BJCA十余年的算法研究及安全产品研发经验，SM2升级及应用需要考虑以下三个方面：

（一）公钥基础设施的SM2升级

公钥基础设施主要包括：认证系统和密码管理系统。认证系统实现数字证书的签发、更新、注销、密钥恢复等数字证书生命周期的管理，密码管理系统主要实现密钥对的生成、恢复等密钥对的管理。SM2算法升级涉及到认证系统中证书生命周期各阶段生成支持SM2密码算法的证书，密钥管理系统生成支持SM2密码算法的密钥对。

BJCA及其子公司安信天行的产品：数字证书认证、身份认证、密钥管理等产品均是通过国密局SM2算法审查的商密产品；已有多个行业认证系统的建设案例，同时支持多款SM2算法的密码机、密码卡和智能密码钥匙；产品易部署，模块可定制化，证书发证流程规范、简洁，用户界面友好。根据客户升级过渡期的需要，实现同时支持SM2算法和RSA算法；在符合国密局SM2算法升级要求的基础上，保障现有业务不受影响，实现透明升级。最大程度减少SM2算法升级的工作量和算法升级的投入。

支持SM2算法的密码设备方面，目前国内多家厂商具有支持SM2密码算法的密码设备，例如：加密机、加密卡厂商：三未信安，济南德安；智能密码钥匙：飞天诚信，中孚公司。

（二）使用公钥密码的信息系统SM2升级

使用公钥密码的信息系统主要包括使用数字证书或密钥进行身份认证、签名/验签、信息加密/解密等功能的系统。这些系统一方面可能会采用数字证书及商密产品，例如电子签章、数字签名、时间戳、智能密码钥匙等；另外会涉及到证书应用控件API。SM2算法升级，在使用支持SM2算法的数字证书的同时，信息系统所采用的商密产品也要支持SM2算法，能够使用SM2算法签发的数字证书完成相应的认证、加解密、签名验签等功能。BJCA及其子公司安信天行具有支持SM2算法的一系列商密产品实现上述功能。

在软硬件兼容方面，由于操作系统、浏览器、Web服务器等系统软件产品并未内置对SM2算法的支持；BJCA研发的支持SM2算法的应用API和应用组件使得常用的操作系统、浏览器、Web服务器可识别SM2签发的数字证书；

4

同时，BJCA具有全面的证书应用产品，提供随需应变的解决方案。在政府、金融、保险、卫生、税务等多个领域的信息系统有SM2算法升级的经验。在符合国密局SM2算法升级要求的基础上，产品无缝接入信息系统，提供支持SM2算法的标准应用控件API，根据业务需要，可同时支持RSA算法和SM2算法，实现对用户透明的SM2算法升级。

（三）数字证书服务SM2升级

数字证书服务方面，除自建符合SM2算法的电子认证系统外，使用通过国密局SM2算法升级审查的第三方证书电子认证机构的数字证书服务是一个更好的选择。对于数字证书使用方来说，使用第三方证书认证机构的证书，可最大化减少投入和维护成本，并且享有第三方证书电子认证机构规范、标准的服务，同时第三方机构所签发的数字证书具有法律效力。

BJCA作为国内首家通过国密局SM2算法升级审查，将SM2算法升级扩建系统投入了生产运营的第三方电子认证机构，具有安全可靠的基础设施，提供可信规范的运营服务。BJCA作为北京市电子政务电子认证独家服务提供商，向北京市4万多公务员提供数字证书服务，北京市16个区县、50多个委办局160多个应用系统使用BJCA的证书应用安全解决方案。同时，BJCA也是全国税务行业最大的电子认证服务提供商，向80万家企业提供网上报税、网上发票等数字认证服务。BJCA也是医疗卫生领域全国最大服务商、全国保险行业最大的电子认证服务提供商。十多年的第三方电子认证机构运营经验，BJCA已成为全国服务范围最广泛的证书服务提供商，同时也是全国应用领域最多的证书服务提供商。

随着国产密码算法SM2升级工作的开展，基于国产密码算法SM2的相关产品及系统建设也将更加丰富、完善，BJCA将与广大信息系统用户及安全厂商一起，为国产密码算法的应用实施和我国的信息安全事业做出更大贡献。

如果你有任何问题或需求，欢迎联系BJCA；BJCA，随时随地给你值得信赖的安全。

5

本文来源：https://www.bwwdw.com/article/pjnh.html