《商用密码应用安全性检测机构能力评审实施细则》是指导和规范我国商用密码应用安全性检测机构工作的重要文件，旨在确保这些机构具备必要的技术能力和管理水平，从而有效保障国家网络安全和信息安全。"密评"，即密码应用安全性评估，是这个领域中的核心概念，涉及到对使用商用密码技术的系统、产品和服务进行安全评估的过程。 本细则详细规定了商用密码应用安全性检测机构的评审内容、标准和程序。评审内容包括机构的基本条件、技术能力、管理能力、服务质量等多个方面。基本条件主要关注机构的合法性和组织架构；技术能力则涵盖密码技术研究、检测方法、实验设施等方面；管理能力涉及质量管理体系、人员培训和资质管理；服务质量则强调检测过程的公正性、保密性和及时性。 在技术能力方面，商用密码应用安全性检测机构应具备先进的密码理论和技术研究能力，能够对各类商用密码算法、产品和系统进行深入分析和测试。此外，还要求有完善的实验室环境和设备，以支持各类安全检测实验的开展。 管理能力方面，机构需建立并有效执行质量管理体系，确保服务质量和结果的可靠性。人员培训和资质管理是关键，所有工作人员应具备相应的专业知识和技能，并定期接受专业培训，以适应不断变化的技术环境。 服务质量方面，机构应保证其评估活动的公正性和独立性，遵循科学公正的原则，避免利益冲突。同时，保护客户的商业秘密和隐私，确保评估结果的保密性。服务响应时间也是重要的考量因素，机构应能在规定的时间内完成检测任务，为用户提供高效的服务。 在评审过程中，会依据国家相关法律法规、技术标准和行业规范，对机构进行全面评估。评审结果将决定机构是否获得或保持商用密码应用安全性检测资格。对于已获得资格的机构，还会进行周期性的复评，以确保其持续符合要求。 总结来说，《商用密码应用安全性检测机构能力评审实施细则》是确保我国商用密码应用安全性检测行业健康发展的重要法规，通过严格的评审机制，推动了密码技术在各个领域的广泛应用，有力地保障了国家的信息安全。这一细则的实施，对提升密码应用的安全水平，增强社会公众对数字信任的信心具有重大意义。

商用密码，密改，SIMKEY，CA，数字证书。做一个业务为主的密改系统，不再乱买设备。 密码工作直接关系国家政治安全、经济安全、国防安全和网络安全，直接关系社会组织和公民个人的合法权益。商用密码工作是密码工作的重要组成部分，在维护国家安全、促进经济发展、保护人民群众利益中发挥着不可替代的重要作用。 -- 《商用密码知识与政策干部读本》序言 密码技术是实现网络安全的基石，是保障网络安全与信息安全的核心技术和基础支撑，是解决网络与信息安全最有效，最可靠、最经济的手段，是信息系统内置的免疫基因，没有密码就没有网络安全。--P2 没有网络安全就没有国家安全。密码是网络安全的核心技术和基础支撑，是保护国家安全的战略性资源。了解密码，要从理解密码的重要作用入手，结合网络安全形势认识使用密码的重要性，结合国家网络形势安全相关政策认清我国密码事业面临的机遇和挑战，进而树立以总体国家安全观为统领、以密码为基础支撑的网络安全观，在相关工作中全面推进密码应用。-- P7 商用密码推广了那么多年，为什么我还没接触到，密码厂商都干了什么，可以从中了解一二。 ### 商用密码应用的困境与对策 #### 一、背景介绍 随着信息技术的快速发展和数字经济的不断壮大，网络空间安全面临着前所未有的挑战。密码技术作为保障网络与信息安全的关键技术之一，其重要性日益凸显。商用密码的应用对于维护国家的政治安全、经济安全、国防安全以及网络安全具有重要意义。然而，在商用密码的实际应用过程中，仍然存在着一系列挑战。 #### 二、商用密码应用困境分析 1. **缺乏业务系统参与**：目前的商用密码规范主要由密码厂商和技术专家制定，很少有业务系统的参与。这导致规范往往更侧重于技术可行性和安全性，而忽略了业务的实际需求。 2. **业务系统改造难度大**：业务系统要达到密评的要求，需要突破密码规范、密码厂商以及密评规范的多重阻碍。特别是密评规范的高标准要求，使得许多业务系统几乎无法自主研发，只能依赖特定的密码设备和服务。 3. **密码厂商绑定问题**：部分密码厂商利用业务系统对商用密码知识的缺乏，采用各种方式绑定自家产品，比如在密钥管理系统中配套自己的密码设备，或者通过透明网关等方式接管业务数据，这不仅限制了业务系统的灵活性，还可能导致长期的技术锁定。 4. **认证标准与实际应用脱节**：虽然有相关的商用密码认证标准，但在实际应用中，这些标准往往与业务系统的具体需求不符，导致改造难度增加。例如，《商用密码产品认证目录》中的服务器密码机等产品与实际应用接口规范之间的差异，以及缺乏明确的密码设备更换指导等问题。 #### 三、对策建议 1. **加强业务系统参与**：在制定商用密码规范时，应积极邀请业务系统的代表参与，确保规范能够更好地满足实际需求。同时，鼓励业务系统参与到密码技术的研发和应用过程中来，提高其自主创新能力。 2. **简化密评流程**：优化密评流程，降低业务系统的改造门槛，减少非标准产品的依赖，给予更多自主创新的空间。同时，加强密码厂商和业务系统之间的沟通，确保技术解决方案更加贴合业务需求。 3. **推进标准化建设**：建立健全统一的商用密码标准体系，确保密码设备的接口兼容性和可替换性。加强对商用密码认证过程的监管，避免厂商利用标准漏洞进行产品绑定。 4. **提升业务系统安全意识**：加大对商用密码技术的普及力度，提高业务系统对于商用密码应用的认识水平，帮助他们建立正确的密码使用观念，避免因缺乏了解而导致的技术绑定问题。 5. **鼓励技术创新**：鼓励和支持密码领域的技术创新，特别是在密钥管理和密码设备接口等方面的研究与开发，推动商用密码技术的进步与发展。 商用密码的应用困境不仅体现在技术层面，还涉及政策、市场等多个方面。只有通过多方面的努力，才能有效地解决这些问题，促进商用密码技术的健康发展，为数字经济的安全稳定运行提供坚实的保障。

第1章 密码基础知识 1.1密码应用概述 1.1.1密码的概念与作用 1.1.2 密码功能与密码应用 1.1.3 密码应用中的安全性问题 1.2 密码应用安全性评估的基本原理 1.2.1 信息安全管理过程 1.2.2 信息安全风险评估 1.2.3密码应用安全性评估的定位 1.3 密码技术发展 1.3.1密码技术创新 1.3.2 我国商用密码发展历程 1.3.3 密码技术发展趋势 1.4 密码算法 1.4.1对称密码算法 1.4.2 公钥密码算法 1.4.3 密码杂凑算法 1.4.4 密码算法分析概要 1.5 密钥管理 1.5.1 密钥生命周期管理 1.5.2 对称密钥管理 1.5.3 公钥基础设施 1.6 密码协议 1.6.1密钥交换协议 1.6.2 实体鉴别协议 1.6.3 综合密码协议举例 1.6.4 密码协议分析概述 1.7 密码功能实现示例 1.7.1保密性实现 1.7.2完整性实现 1.7.3 真实性实现 1.7.4 不可否认性实现 第2章 商用密码应用与安全性评估政策法规 2.1网络空间安全形势与商用密码工作 2.1.1国际国内网络空间安全形势…

附件提供商用密码产品认证密码模块材料书写范例，按照本模板范例可以顺利通过审查

标准商用密码应用解决方案模板

商用密码的应用领域十分广泛，主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如：商用密码可用于企业内部的各类敏感信息的传输加密、存储加密，防止非法第三方获取信息内容；也可用于各种安全认证、网上银行、数字签名等。 数据安全保障：商用密码技术广泛应用于电子商务、电子政务、移动支付、在线银行、云计算服务等各种商业和公共服务领域，通过加密手段确保用户数据在传输和存储过程中的机密性，防止数据被非法获取和利用。 身份认证与授权：商用密码还用于实现用户的身份验证、消息签名和完整性校验等功能，确保网络交易和通信的安全可靠，防止冒名顶替和篡改信息行为。 法律法规保障：政府通常会制定相关法律法规来规范商用密码的研发、生产、销售、使用和服务等环节，如《商用密码管理条例》及后来出台的《密码法》，这些法规为商用密码的应用提供了法律依据，并要求企业和个人合规使用商用密码以提升信息安全水平。

商用密码应用安全性评估管理办法 《商⽤密码应⽤与安全性评估》第⼀章密码基础知识-⼩结 密码的定义：采⽤特定变换的⽅法对信息进⾏加密保护、安全认证的技术、产品和服务 密码技术包括：密码编码、实现、协议、安全防护、分析破译、以及密钥产⽣、分发、传递、使⽤、销毁等技术 典型的密码技术包括：密码算法、密钥管理、密码协议 密码算法：实现密码对信息进⾏“明”“密”变换、产⽣认证“标签”的⼀种特定规则 密码协议：两个或两个以上参与者使⽤密码算法，为达到加密保护或安全认证⽬的⽽约定的交互规则 密码的重要作⽤：保护⽹络与信息安全 密码是保障⽹络与信息安全最有效、最可靠、最经济的⼿段 杂凑算法实现任意长信息压缩为固定长度摘要的功能 密码是：“基因”、“信使”、“卫⼠” 信息系统的要素有：计算机硬件、⽹络和通讯设备、计算机软件、信息资源、信息⽤户、规章制度 信息安全的主要⽬的：保障信息的保密性、完整性和可⽤性 密码技术最关键、最核⼼、最基础

涉及资源：1《信息安全等级保护商用密码技术要求》使用指南 2.2009年03月 《信息安全等级保护 商用密码技术实施要求》 3 2015年09月 《信息安全等级保护商用密码测评机构审批服务指南》4.GM_T 0054-2018 《信息系统密码应用基本要求》（2018.01.26） 5.GM_T 0054-2018 《信息系统密码应用基本要求》 6、GMT 0001.1-2012 祖冲之序列密码算法第1部分：算法描述 7.GMT 0001.2-2012 祖冲之序列密码算法第2部分：基于祖冲之算法的机密性算法 8.GMT 0001.3-2012 祖冲之序列密码算法第3部分：基于祖冲之算法的完整性算法 9.GMT 0002-2012 SM4分组密码算法 10GMT 0003.1-2012 SM2椭圆曲线公钥密码算法第1部分：总则 11GMT 0003.2-2012 SM2椭圆曲线公钥密码算法第2部分：数字签名算法 12 GMT 0003.3-2012 SM2椭圆曲线公钥密码算法第3部分：密钥交换协议 13 GMT 0003.4-2012 SM2椭圆曲线公钥密码算法第4部分：公钥加密算法 14 GMT 0003.5-2012 SM2椭圆曲线公钥密码算法第5部分：参数定义 15GMT 0004-2012 SM3密码杂凑算法 16 GMT 0005-2012 随机性检测规范 17GMT 0006-2012 密码应用标识规范 18GMT 0008-2012 安全芯片密码检测准则 19GMT 0009-2012 SM2密码算法使用规范 20GMT 0010-2012 SM2密码算法加密签名消息语法规范 21GMT 0011-2012 可信计算 可信密码支撑平台功能与接口规范 22GMT 0012-2012 可信计算 可信密码模块接口规范 23GMT 0013-2012 可信计算 可信密码模块符合性检测规范 24 国办发2014 6号 《国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知》

推荐使用素数域256位椭圆曲线。 椭圆曲线方程：y2 = x3 + ax + b。 曲线参数： p=FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFF a=FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFC b=28E9FA9E 9D9F5E34 4D5A9E4B CF6509A7 F39789F5 15AB8F92 DDBCBD41 4D940E93 n=FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 7203DF6B 21C6052B 53BBF409 39D54123 Gx=32C4AE2C 1F198119 5F990446 6A39C994 8FE30BBF F2660BE1 715A4589 334C74C7 Gy=BC3736A2 F4F6779C 59BDCEE3 6B692153 D0A9877C C62A4740 02DF32E5 2139F0A0

商用密码应用安全性测评机构管理办法（试行）