商用密碼技術最佳實踐白皮書 2023

最佳實踐白皮書密碼是保障網(wǎng)絡空間安全的根本性核心技術，國產(chǎn)密碼在各層次的充分融合應用成為基礎軟硬件體系化安全的核心支撐。隨著近年來國際貿(mào)易沖突和技術封鎖愈演愈烈，同時伴隨著國內(nèi)《密碼法》、《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》等法律法規(guī)的頒布與實施，持續(xù)拉動著密碼應用的新需求，也為商密在基礎軟硬件本文檔旨在為龍蜥社區(qū)用戶在商密開發(fā)、優(yōu)化及融合應用上提供全面的解決方案目錄02國密簡介與現(xiàn)狀03openAnolis全棧國密概述05國密可信計算內(nèi)核國密算法文件加密(fscrypt)磁盤加密(LUKS)內(nèi)核完整性度量架構(IMA)內(nèi)核模塊簽名08Tongsuo(銅鎖)密碼庫TLS1.3使用商密套件委托憑證證書壓縮(RFC8879)TLCP安全傳輸協(xié)議同態(tài)算法Python國密簽名實踐Web服務國密雙證書支持11國密硬件加速與優(yōu)化認識龍蜥龍蜥社區(qū)(OpenAnolis)成立于2020年9月，由阿里云、ARM、統(tǒng)信軟件、龍芯、飛騰、中科方德、Intel等24家國內(nèi)外頭部企業(yè)共同成立龍蜥社區(qū)理事會，到目前有超過300家合作伙伴參與共建，是國內(nèi)領目前，龍蜥操作系統(tǒng)下載量已超240萬，整體裝機量達300多萬，100余款企業(yè)產(chǎn)品完成與龍蜥操作系統(tǒng)的適配。同時，統(tǒng)信軟件，中科方德、中國移動云、麒麟軟件、中標軟件、凝思軟件、浪潮信息、新支點、超過30萬。龍蜥社區(qū)及龍蜥操作系統(tǒng)也獲得了一定的行業(yè)認可，工信部電子標準院首批開源項目成熟度評估，成為唯一獲得“卓越級”認證的開源項目、龍蜥社區(qū)榮登2022科創(chuàng)中國“開源創(chuàng)新榜”、榮獲“中國開源云聯(lián)盟年度優(yōu)秀開源項目獎”、“OSCAR開源尖峰案例獎”等25項行業(yè)獎項。龍蜥社區(qū)已成立50+個SIG工作組，圍繞芯片、內(nèi)核、編譯器、安全、虛擬化及云原生等操作系統(tǒng)核心領域進行技術創(chuàng)新，已發(fā)布龍蜥AnolisOS7、Anolis等多個社區(qū)版本，為應對即將停服的Centos,官網(wǎng)已上線「CentOS停服專區(qū)」為用戶提供遷移方案及長期穩(wěn)定支持，致力于成為CentOS的更佳替代?！盀楦玫剡\營和治理社區(qū)，龍蜥社區(qū)定期召開月度運營委員會會議、技術委員會會議，理事大會。關于理事大會：龍蜥社區(qū)第二屆理事大會圓滿召開!理事?lián)Q屆選舉、4位特約顧問加入。關于運營委員會會議：龍蜥社區(qū)第15次運營委員會會議順利召開。歡迎更多企業(yè)加入共建，龍騰計劃可參看：“龍騰計劃”啟動!邀請500家企業(yè)加入，與龍蜥社區(qū)一起龍蜥開放的生態(tài)為了鼓勵合作伙伴在社區(qū)探索出更多的商業(yè)合作方式，真正牽引企業(yè)在龍蜥社區(qū)的合作落地，社區(qū)推出「龍騰計劃」的升級版--「生態(tài)發(fā)展計劃」,更聚焦在產(chǎn)品和商業(yè)合作本身。龍蜥操作系統(tǒng)(AnolisOS)搭載了ANCK版本的內(nèi)核，性能和穩(wěn)定性經(jīng)過歷年“雙11”歷練，能為云上典型用戶場景帶來40%的綜合性能提升，故障率降低50%,兼容CentOS生態(tài)，提供平滑的CentOS遷移方案，并提供全棧國密能力。最新的長期支持版本AnolisOS8.6已發(fā)布，更多龍蜥自研，支持X86_64、RISC-V、Arm64、LoongArch架構，完善適配Intel、飛騰、海光、兆芯、鯤鵬、龍芯等2021年12月31日，龍蜥開源社區(qū)(OpenAnolis)上線「CentOS停服專區(qū)」,為受CentOS停服影響的用戶提供遷移方案及長期穩(wěn)定支持。此次停服，龍蜥操作系統(tǒng)(AnolisOS)產(chǎn)品優(yōu)勢包括：打造系統(tǒng)化解決方案AOMS、提供多款配套工具、承諾10年技術支持、兼容CentOS生態(tài)、具備差異化核心技術優(yōu)勢、歷經(jīng)豐富場景驗證、沉淀用戶遷移案例實踐。反饋與共創(chuàng)對于文檔中您認為不足之處，歡迎到我們的官方倉庫WhitebookShangMi新開issue,我們會第一時另外，若您想更新文檔，也同樣歡迎在WhitebookShangMi提PR。國密簡介與現(xiàn)狀人類社會出現(xiàn)后就出現(xiàn)了信息交流，也就有了保護信息不被第三方獲知的需求。密碼由來已久，其發(fā)展經(jīng)歷了古典密碼、機械密碼、現(xiàn)代密碼三個階段。在這一過程中，密碼技術在保密與破譯、竊密與反竊密的激烈博弈中不斷演變，理論發(fā)展最終使得密碼學成為科學，當前，廣泛多樣性的應用需求和日趨激烈的攻防對抗，正在推動密碼技術快速發(fā)展。隨著全球數(shù)字經(jīng)濟發(fā)展，網(wǎng)絡空間必將成為戰(zhàn)略威懾和控制的新領域、維護經(jīng)濟社會穩(wěn)定的新陣地以及未來各國軍事角逐的新戰(zhàn)場，網(wǎng)絡安全被納入國家安全重要戰(zhàn)略地位。密碼作為保障網(wǎng)絡安全的核心技術，是構建網(wǎng)絡信任的基礎支撐。我們利用密碼的安全認證、加密保護、信任傳遞等特性，來消除或控制潛在的安全危機。商用密碼正是誕生于這樣的背景之下的現(xiàn)代密碼，商用密碼是對不涉及國家秘密內(nèi)容的信息進行加密保護或者安全認證，所使用的密碼技術和密碼產(chǎn)品?？谡Z中一般也稱呼商用密碼為國密。商用密碼算法標準由國家密碼管理局制定，與此同時國密密碼管理局也制定了大量的產(chǎn)品、接口規(guī)范以及應用場景，用于保障金融，醫(yī)療等領域的信息傳輸安全。著不可替代的重要作用。密碼算法是非?；A和重要的密碼技術。國家密碼管理局高度重視密碼算法管理工②④密碼算法是保障信息安全的核心技術，尤其是最關鍵的銀行業(yè)核心領域長期以來都是沿用3DES、隨著近年來外部的國際貿(mào)易沖突和技術封鎖，內(nèi)部互聯(lián)網(wǎng)的快速發(fā)展，IOT領域的崛起國家商用密碼算法與標準體系2010年底，國家密碼管理局公布了我國自主研制的“橢圓曲線公鑰密碼算法”(SM2算法)。為保障重要經(jīng)濟系統(tǒng)密碼應用安全，國家密碼管理局于2011年發(fā)布了《關于做好公鑰密碼算法升級工作的通知》,明確要求“自2011年3月1日起，在建和擬建公鑰密碼基礎設施電子認證系統(tǒng)和密鑰管理系統(tǒng)應使用國密算法。自2011年7月1日起，投入運行并使用公鑰密碼的信息系統(tǒng)，應使用SM2算法。"自2012年以來，國家密碼管理局以《中華人民共和國密碼行業(yè)標準》的方式，陸續(xù)公布了SM2/SM3/SM4等密碼算法標準及其應用規(guī)范。其中"SM"代表“商密”,即用于商用的、不涉及國家秘密的我國高度重視商用密碼國際標準化工作，大力推進以我國自主設計研制的SM系列密碼算法為代表的中國2011年9月，我國設計的祖沖之(ZUC)算法納入國際第三代合作伙伴2015年5月起，我國陸續(xù)向ISO提出了將SM2、SM3、SM4和SM9算法納入國際標準的提案。我國商用密碼國際標準體系已初步成型，為密碼在全球范圍的發(fā)展與應用提供了中國方案，貢獻了中國在轉化運用國際標準方面，商用密碼行業(yè)標碼模塊安全檢測要求》,分別參考國際標準IS019790和ISO24759編制，為規(guī)范商用密碼產(chǎn)品管理、提SM2基于橢圓曲線密碼(ECC)的公鑰密碼算法標準，提供數(shù)字簽名，密鑰交換，公鑰加密，可用該算法是基于橢圓曲線上離散對數(shù)計算問題，由于基于橢圓曲線上離散對數(shù)問題的困難性要高于一般乘SM2算法密鑰長度為256比特，具有密鑰長度短、安全性高等特點。SM2算法中的公鑰加密算法可SM3是消息摘要算法，哈希結果為固定的256bits,可用于替換MD5/SHA1/SHA256等國際算法。該算法采用M-D結構，輸入消息經(jīng)過填充、擴展、迭代壓縮后，生成長度為256比特的雜湊值。SM3算法的實現(xiàn)過程主要包括填充分組和迭代壓縮等步驟。SM3算法在結構上和SHA-256相似，消息分組大小、迭代輪數(shù)、輸出長度均與SHA-256相同。但相比于SHA-256,SM3算法增加了多種新的設計技術，從而在安全性和效率上具有優(yōu)勢。在保障安全性的前提下，SM3算法的綜合性能指標與SHA-256在同等條SM4算法是我國頒布的商用密碼標準算法中的分組密碼算法。為配合無線局域網(wǎng)標準的推廣應用，SM4算法于2006年公開發(fā)布，并于2012年3月發(fā)布密碼行業(yè)標準，2016年8月轉化為國家標準。SM4算法是一個迭代的分組密碼算法，數(shù)據(jù)分組長度為128比特，密鑰長度為128比特，加密算法與密鑰擴展算法都采用32輪非線性迭代結構(非平衡Feistel結構),明文分組經(jīng)過迭代加密函數(shù)變換后的輸出，又成為下一輪迭代加密函數(shù)的輸入，如此迭代32輪，最終得到密文分組。每一輪迭代的函數(shù)相同，輸入主要用于數(shù)字簽名、數(shù)據(jù)加密、密鑰協(xié)商以及身份認證等。SM9標識密碼算法的密鑰長度是256比特，應用與管理不需要數(shù)字證書、證書庫或密鑰庫。簽名者持有一個標識和相應的私鑰，該私鑰由密鑰生成中心通過主私鑰和簽名者的標識結合產(chǎn)生，簽名者用自身的私鑰對數(shù)據(jù)產(chǎn)生數(shù)字簽名，驗證者用簽名者的標識生成其公鑰，驗證簽名的可靠性，即驗證發(fā)送數(shù)據(jù)的完整性、來源的真實性和數(shù)據(jù)發(fā)送者身份。祖沖之序列密碼算法是中國自主研究的流密碼算法，是運用于移動通信4G網(wǎng)絡中的國際標準密碼算法，該算法包括祖沖之算法(ZUC)、加密算法(128-EEA3)和完整性算法(128-EIA3)三個部分。法律法規(guī)2019年10月26日，十三屆全國人大常委會第十四次會議通過《中華人民共和國密碼法》,于2020年1月1日起正式施行。出臺密碼法是幾代密碼人的夢想，是密碼事業(yè)發(fā)展的現(xiàn)實需要，是密碼工作歷史上具有里程碑意義的重大事件。密碼法的頒布和實施，是構建國家安全法律制度體系的重要舉措，是維護國家網(wǎng)絡空間主權安全的重要舉措，是推動密碼事業(yè)高質(zhì)量發(fā)展的重要舉措，是密碼守好黨和國家“命門”、“命脈”的重要法律保障。隨著《密碼法》的頒布實施，我國商用密碼在新的歷史起點上，必將迎來更加廣闊的發(fā)展空間?！秶疑逃妹艽a管理條例》于1999年10月由國務院頒布，共七章27條，是為了加強商用密碼管理，保護信息安全，保護公民和組織的合法權益，維護國家的安全和利益，所制定的條例?！缎畔踩夹g-網(wǎng)絡安全等級保護基本要求》(GB/T22239-2019)是2019年12月1日實施的一項中國國家標準，歸口于全國信息安全標準化技術委員會。該要求規(guī)定了網(wǎng)絡安全等級保護的第一級到第四級等級保護對象的安全通用要求和安全擴展要求。安全要求細分為技術要求和管理要求。其中技術要求部分為“安全物理環(huán)境”、“安全通信網(wǎng)絡”、“安全區(qū)域邊界”、“安全計算環(huán)境”、“安全管理中心”;管理要求部分為“安全管理制度”、“安全管理機構"、“安全管理人員"、“安全建設管理”、“安全運維管理”,兩者合計共分為10大類。安全技術要求的分類體現(xiàn)了“從外部到內(nèi)部”的縱深防御思想，對等級保護對象的安全防護應考慮從通信網(wǎng)絡、區(qū)域邊界和計算環(huán)境從外到內(nèi)的整體防護，同時考慮其所處的物理環(huán)境的安全防護，對級別較高的還需要考慮對分布在整個系統(tǒng)中的安全功能或安全組件的集中技術管理手段。安全管理要求的分類體現(xiàn)了“從要素到活動”的綜合管理思想，安全管理需要的“機構"、“制度”和“人員”三要素缺一不可，同時應對系統(tǒng)的建設整改過程和運行維護過程中重要活動實施控制和管理，對級別較高的需要構建完備的安全管理體系。該標準適用于指導分等級的非涉密對象的安全建設和監(jiān)督管理。 商密軟件棧SIG從商密算法標準公布到現(xiàn)在已有十多年時間，與AES,SHA等主流國際算法相比，目前商密在基礎軟件中的支持和優(yōu)化仍然不完善，甚至有較大的差距，商密算法的軟硬件生態(tài)也處于碎片化狀態(tài)，密碼算法作為網(wǎng)絡和數(shù)據(jù)安全的基石，應該且有必要在基礎軟件中具備開箱即用的能力；另一方面，密碼算法是保障信息和數(shù)據(jù)安全的核心技術，隨著近年來外部的國際貿(mào)易沖突和技術封鎖的加深，內(nèi)部互聯(lián)網(wǎng)的快速發(fā)展，我們不能單一依賴國外的的技術標準和產(chǎn)品，增強我國行業(yè)信息系統(tǒng)的安全可信顯得尤為必要和迫切。商用密碼算法給我們提供了一個新的選擇，使得我們可以完全使用商密技術來構建網(wǎng)絡和數(shù)據(jù)安全環(huán)境。建立以國密算法為主的操作系統(tǒng)基礎軟件，與社區(qū)深度合作，在固件，bootloader,內(nèi)核，算法基礎庫以及語言運行時中支持國密算法，依托AnolisOS發(fā)行版作為載體，構建起全棧國密生態(tài)及解決方案，致力于為行業(yè)提供基于國密的信息安全標準。依托基礎軟件上游社區(qū)，為已有的輪子支持商密算法，盡可能不重新造輪子。全棧商密生態(tài)架構商密軟件棧SIG依托基礎軟件上游社區(qū)，秉承為已有輪子支持商密的原則，在全棧范圍內(nèi)的多個基礎組件中實現(xiàn)了商密算法以及性能優(yōu)化，包括Linux內(nèi)核，OpenSSL,libgcrypt,gnulib,nettle等在內(nèi)的基礎組件，支持了商密算法以及大量的性能優(yōu)化，并且得到上游社區(qū)的支持進入主線，基本補齊了商密算法在基礎軟件中的一些短板，在兼容現(xiàn)有API的情況下，提供給普通開發(fā)者平滑的使用體驗。此外，Anolis社區(qū)相關團隊積極投入，支持在TLSv1.3協(xié)議中使用商密算法套件，目前這個技術已經(jīng)被國際標準承認，并且以RFC8998標準發(fā)布，這意味著我們可以選擇在TLSv1.3協(xié)議中使用完整的商密套件，這極大的擴充了商密的應用范圍，為了應用這些技術標準，同時為商密標準量身打造了Tongsuo密碼算法庫，在兼容OpenSSL的基礎上支持了商密的標準，為用戶提供一個基于商密的應用開發(fā)及運行環(huán)境。商密基礎設施架構人人OpenSSL/Tongsuo,lib應用生態(tài)算法基礎庫硬件固件商密SIG現(xiàn)狀龍蜥社區(qū)在眾多的常用基礎軟件中實現(xiàn)了商密的支持，極大的豐富了商密的軟件生態(tài)，并且把這些技術全部回饋到了上游社區(qū)，以下是相關的基礎軟件對于商密算法的支持情況以及社區(qū)回饋統(tǒng)計(截止2022年12月):5-15-22YY●性能提升數(shù)據(jù)是相比于純軟件實現(xiàn)的數(shù)據(jù)●性能提升數(shù)據(jù)是相比于純軟件實現(xiàn)的數(shù)據(jù)●arm架構的測試環(huán)境是·?表示由OpenAnolis開發(fā)并已●"WIP"表示由OpenAnolis開發(fā)中的、或是開源軟件正在進行review的特性是由OpenAnolis開發(fā)的·×表示開源軟件尚未支持優(yōu)化項目libgcryptlY?YYYY?Y?YY??Y??Y應用場景在以下的場景中，通過在各基礎軟件中支持的商密實現(xiàn)，可以平滑的從國際主流算法切換到商密算法上來，在提供高安全性的同時，也有效避免了國外技術封鎖帶來的風險?！MA,modsign支持使用SM2/SM3算法組合的簽名驗簽，涉及Linux內(nèi)核，sign-file工具和以下是我們在OpenAnolis上的全棧國密SIG,非常歡迎有興趣的開發(fā)能參與到社區(qū)中來，為中國的基SIG地址：/sig/crypto龍蜥社區(qū)一直致力于在操作系統(tǒng)中集成國密的全部能力，以開箱即用作為目標，讓用戶可以如絲般順滑的從國際算法切換到國密算法的生態(tài)上，為此，龍蜥社區(qū)在諸多的基礎軟件眾所周知，OpenSSL是操作系統(tǒng)中最基礎的密碼學工具庫，幾乎被默認集成到所有基于Linux和BSD的發(fā)行版中，為操作系統(tǒng)提供最基本的基于密碼學的信息安全能力。OpenSSL整個軟件包大概可以分成三個主要的功能部分：密碼算法庫，SSL/TLS協(xié)議庫以及應用程序。作為一個基于密碼學的安全開發(fā)包，OpenSSL提供的功能相當強大和全面，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL/TLS協(xié)議，并提供了豐富的應用程序供測試或其它目的使用。挑戰(zhàn)OpenSSL3.0是OpenSSL社區(qū)的最新版本，于2020年4月發(fā)布，到目前為止已經(jīng)發(fā)布了幾個穩(wěn)定版本，得益于社區(qū)開發(fā)者的持續(xù)貢獻，這個版本已經(jīng)支持了完整的國密能力，包括SM2、SM3、SM4算法以及使用這些算法的密鑰和證書體系，甚至是SM3、SM4算法的優(yōu)化也有了部分架構的支持。相較于基礎軟件較長的升級迭代周期來說，OpenSSL3.0仍然是一個很新的版本，一個主要原因是OpenSSL3.0發(fā)布時間還較短，其次OpenSSL3.0在軟件架構上做了較大的變動，部分原來被廣泛使用的函數(shù)被標記為了過時函數(shù)，對于算法的使用方式也有了新的規(guī)則，各發(fā)行版出于穩(wěn)定性和兼容性的考慮，目前系統(tǒng)默認內(nèi)置的依然是1.1.1版本。用戶若是想體驗OpenSSL3.0的功能需要使用第三方倉庫或者是下載源碼AnolisOS23系列的發(fā)行版已率先集成OpenSSL3.0作為默認的密碼學庫，并提供與社區(qū)版本一致的體驗，用戶可以參考OpenSSL社區(qū)手冊使用完整的國密能力。Anolis8.8內(nèi)置國密但目前主流的AnolisOS8.x系列，默認預裝的還是OpenSSL1.1.1,一直以來，OpenSSL1.1.1都是國密的一個遺憾，也是一個痛點，這個版本的SM2簽名驗簽能力是有缺陷的，也不支持國密標準的可辨別標識，但這個版本又是主流的發(fā)行版所使用的版本，甚至在某些發(fā)行版中，比如CentOS中，SM3和SM4算法都是被刪掉的。鑒于以上原因，在AnolisOS8.8中，在保證兼容性和穩(wěn)定性的前提下，龍蜥社區(qū)在系統(tǒng)默認集成的OpenSSL1.1.1版本上支持了完整的SM2簽名和驗簽能力，并做了開源，發(fā)行版本rpm也默認開啟了SM3和SM4算法，帶給用戶開箱即用的國密使用體驗。代碼倉庫：/AnolisOSRPM:/src-anolis-o用戶手冊根據(jù)規(guī)范GM/T0003.2-2012和GM/T0003.5-2012的定義，SM2算法簽名時需要一個計算了Za的哈希值，這個Za是通過固定的橢圓曲線參數(shù)、公鑰數(shù)據(jù)以及一個用戶輸入的可辨別ID生成的。因此，就必須在用戶界面添加一個指定用戶ID的參數(shù)才能支持完整的SM2簽名和驗簽能力，在龍蜥社區(qū)的OpenSSL庫中，通過特殊參數(shù)向OpenSSL內(nèi)部傳遞該參數(shù)。因此，龍蜥社區(qū)為簽名工具擴展了sigopt參數(shù)，為驗簽工具添加了vfyopt參數(shù)來支撐用戶界面的工具，SM2的可辨別標識通過distid子參數(shù)指定，比如可以使用-sigopt"distid:1234567812345678"在簽名時指定SM2的可辨別標識值，終端用戶可以通過命令行工具openssl來調(diào)用SM2的完整能力。1234567812345678是規(guī)范推薦使用的用戶ID,用戶可根據(jù)需要自行指定?！ど梢粋€自簽名的SM2根證書-sigopt"distid:1234567812345678"\-configgenkey.conf-keyca.·從私鑰生成SM2算法的證書請求并驗證-sigopt"distid:1234567812345678"-configgenkey.conf--configgenkey.conf-noout-text-insm2.·使用SM2算法簽名證書請求并驗證-sigopt"distid:1234567812345-vfyopt"distid:1234-extfilegenkey.conf-extensionsv3_ca\x509_extensions=v3_cax509_extensions=v3_caauthorityKeyIdentifier=keyid:alwaysubjectKeyIdentifierauthorityKeyIdentifier=keyid:alway為了支持SM2的簽名驗簽能力，龍蜥社區(qū)為OpenSSL內(nèi)部的驗簽添加了三個新的API:intASN1_item_verify_ctx(constASN1_ITEM*it,X509_ALGOR*a,intASN1_item_verify_ctx(constASN1_ITEM*it,X509_ALGOR*a,ASN1_BIT_STRING*signature,intX509_verify_ctx(X509*a,EVP_PKEY*r,EVP_MD_CTX*ctx);intX509_REQ_verify_ctx(X509_REQ*a,EVP_PKEY*r,EVP_MD_CTX*ctx);開發(fā)者通過他們可以調(diào)用完整的國密簽名驗簽能力。這幾個API擴展了原來不帶ctx后綴的API能力，通過ctx可以預先指定額外的參數(shù)，這里主要是指SM2算法的用戶可辨別標識，具體用法可參考apps目錄里工具的調(diào)用方法或者sign系列的類似函數(shù)。X509_sign參考：/docs/man1.1.1/man3/TPM、TCM與國密算法可信平臺模塊始于2000年可信計算平臺聯(lián)盟(TrustedComputingPlatformAlliance)制定的TPM1.0規(guī)范.2003年，TCG(trustedcomputinggroup)成立，修改完成了TPM1.1規(guī)范，2004年發(fā)布了TPM1.2,2014年發(fā)布了TPM2.0規(guī)范。鑒于可信計算技術對國家信息安全體系的重要性，經(jīng)國家密碼管理局批準，中國于2006年成立了可信計算密碼專項組，并于2008年12月更名為中國可信計算工作組(ChinaTCMUnion),簡稱TCMU.2007年12月，國家密碼管理局頒布了《可信計算密碼支撐平臺功能與接口規(guī)范》,將國內(nèi)使用的可信基礎模塊定義為TCM(trustcryptographymodule).相較于TPM,TCM采用了我國《商用密碼管理條例》中規(guī)定的SM2、SM3等國密算法，同時引入了對稱密鑰算法，簡化了TPM中復雜的密鑰管理.TCM的證書認證機制采用簽名密鑰以及加密密鑰的雙證書機制，將對稱密鑰與非對稱密鑰結合保護系統(tǒng)安全，在密鑰管理體系和基礎密碼服務體系等方面進行了改進，提升了系統(tǒng)的安全性.TPM和TCM的構成和功能類似，提供可信計算平臺的信任根(RTS,RTR),是由CPU、存儲器、1/0、密碼協(xié)處理器、隨機數(shù)產(chǎn)生器和嵌入式操作系統(tǒng)等部件組成的獨立SoC芯片，具備可信度量的存儲、可信度量的報告、密鑰產(chǎn)生、加密和簽名、數(shù)據(jù)安全存儲等功能.11889,吸納了TCM中相關的安全改進，并首次成體系支持中國密碼算法體系，包括SM2/SM3/SM4密碼算法。這是中國密碼算法技術和標準的又一次重要突破，也是中國信息安全標準在國際標準化工作中的重要進展。ISO/IEC11889支持中國商用密碼算法體系(SM2/SM3/SM4),使得在數(shù)據(jù)安全保護上更加牢不可破。TPM(TrustedPlatformModule)2.0是遵循ISO/IEC11889系列標準的可信根、由國際可信計算組織TCG(TrustedComputingGroup)維護。如下圖所示，密碼學系統(tǒng)是TPM2.0核心、其所有安全功能均以密碼學系統(tǒng)為基礎。密碼系統(tǒng)學目前TPM2.0支持SM2、SM3、SM4特性，具體包括基于SM3的Hash算法、支持SM3bank的PCRextend;支持SM4加解密；支持SM2加解密、SM2簽名驗簽、SM2+SM3證書簽名驗簽。龍蜥OS為客戶提供了兩種使用TPM國密算法引擎的途徑：TSS(TrustedSoftwareStack)提供的API訪問TPM國密算法、TPMtools中的密碼指令使用TPM提供的國密算法。以下示例為使用tpmtools創(chuàng)建基于SM2+SM3-256的認證密鑰：UEFI可信啟動(TrustedBoot)可信啟動(TrustedBoot)是以可信根為核心、檢測系統(tǒng)啟動過程中所加載和使用的組件、確保預期的組件在預期的節(jié)點加載運行。服務器硬件啟動過程內(nèi)核與引導程序可信檢測日志記錄程序或文件加載順序系統(tǒng)與應用程序可信檢測日志記錄動態(tài)程序或文件加載順序系統(tǒng)引導程序啟動與內(nèi)核加載系統(tǒng)啟動動階段記錄程序載階段硬件可信檢測日志●使用國密可信啟動的條件如下：·硬件要具備的特性：·服務器計算機固件(UEFI)支持基于國密的可信度量特性·服務器集成了TPM2.0芯片(該芯片許支持SM3、PCRSM3Bank等特性)·OS要具備的特性：說明：當以上組件可從InspurKOS獲取，InspurKOS基于龍蜥OS的商業(yè)發(fā)行版1)BIOS國密可信度量Enable方法：需要將SM3_256PCRBank改為EnableOMeasureStorageDevicMeasureNetworkDevicEnablesorDisablesDevice.TCGEFIprotocola2)OS國密可信度量組件部署方法：rpm-ivhiTrustMidware-3.0.1-2023)部署上述組件后、默認支持kernel、initramfs、grubcmdline的國密可信度量4)如需添加對特定系統(tǒng)程序或配置文件的度量需要進一步配置策略5)如需添加啟動控制策略(在可信度量的基礎上、基于國密進一步進行可信驗證、需要配置可信啟動控制策略。6)度量結果查看：直接在/sys/kernel/security/tpmo/binary_bios_measurements查看(以下是輸出的部分片斷)00Od818d47f8b7...[S-CRTMVersion]8c9eef8824efb...[IPL]grub_cmdsetgfx_payload=keep86a1007c86dc8...[IPL]grub_cmdinsmo8eb204c91fc3d...[IPL]grub_cmdlinux(h93e9ff31a4687...[IPL]grub_linuxefiKer8603cfbaa8375...[IPL]grub_cmdinitrd(hd0,gpt2)/initramfs-4.18.0.img9foba7132ccea...[IPL]grub_linuxefi其次使用iTrustMidware提供的策略管理工具也可以查看到詳細的度量日志。遠程證明是可信計算中實現(xiàn)節(jié)點可信認證的關鍵設施，是實現(xiàn)可信節(jié)點之間可信互聯(lián)的依據(jù)。KOS(Anolis衍生發(fā)行版)在RSA+SHA256+AES和ECDSA+SHA256+AES的基礎上拓展支持了基于TPM2.0國密的遠程證明特性。1)在KOS部署可信代理端之后、配置后可在可信管理端識別到響應的節(jié)點、之后通過可信管理端可以部署2)部署可信證書后、節(jié)點即可以用遠程證明的方式向可信管理端發(fā)送報告進行可信證明。系統(tǒng)安全始于系統(tǒng)初始狀態(tài)。在系統(tǒng)安全設計中，固件或作為系統(tǒng)安全根，或作為安全鏈路中的重要初始環(huán)節(jié)，負責初始安全配置并將安全狀態(tài)延伸至運行態(tài)操作系統(tǒng)。一旦啟動固件發(fā)生惡意軟件侵入，如BootKit,將會動搖整個系統(tǒng)安全。為保證啟動固件安全，UEFI標準中定義了安全啟動標準-UEFISecureBoot。其核心設計思想是部署合理理的PKI證書作為安全策略，在啟動中對所有需要執(zhí)行的第三方固件模塊進行密碼學校驗。AfterLife其實現(xiàn)細節(jié)如下：1.使用公共CA服務提供簽名證書，對UEFI可執(zhí)行模塊(包括設備驅(qū)動，操作系統(tǒng)啟動項，第三方工具等)進行數(shù)字簽名。簽名前需保證可執(zhí)行模塊符合安全標準。2.制定系統(tǒng)啟動UEFI安全啟動策略并部署。包括可執(zhí)行白名單、黑名單、驗證證書強制失效時間，簽名時間戳證書列表等。3.系統(tǒng)啟動中，強制使用UEFI安全啟動策略對簽名進行校驗，通過則允許執(zhí)行第三方固件模塊，否則拒絕。4.UEFI啟動安全策略支持更新，且更新過程必須安全。在系統(tǒng)生命周期中，隨著系統(tǒng)演進，環(huán)境變化，證書失效等需求變化，啟動安全策略需要及時更新。更新需求可以來自平臺的所有者，如執(zhí)行新的硬件啟動設備；也可能來自操作系統(tǒng)，如為了阻止某些帶有安全缺陷的bootloader。新的安全策略同樣帶有簽名，只有通過簽名驗證，且符合時效性，才能被目標系統(tǒng)接受。更新策略必須靈活，允許全部刷新，部分添加。UEFI安全啟動從設計上補齊了系統(tǒng)啟動的安全短板，能夠解決固件啟動中擴展執(zhí)行第三方模塊、OS啟動項時的安全隱患；同時支持靈活的安全策略配置；能夠從源頭構建完整的安全鏈路。自UEFI2.3.1正式引入功能以來，UEFI安全啟動已然成為各類系統(tǒng)的標準安全配置，廣云服務器，網(wǎng)絡存儲和路由等各種應用場景。盡管UEFI安全啟動具備很1.UEFI安全啟動設計標準限定了密碼學算法的選用，如Hash算法僅支持SHA-2256,384,512等，數(shù)字簽迭代；固件安全漏洞響應時，無法及時生成更新的黑名單策4.未能強化國密驗證策略，例如白名單中所有證書處于相同等級，未支持國密證書強制驗證或優(yōu)先驗證。當Shim一般自身攜帶有操作系統(tǒng)的專屬證書。實際運行中，shim會注冊MOKsecureboot協(xié)議，用來替代·grub2:Linux啟動中，使用grub.shim自帶的國密證書的ShimOS運行態(tài)驗簽后加載根據(jù)上面的介紹，要部署完整的國密UEFI安全啟動，需要固件，操作系統(tǒng)，CA,三方硬件廠商和工·UEFI固件：符合edk2固件開發(fā)規(guī)范，遵循芯片和平臺安全開發(fā)手冊，完成從上電(G3->S0,S5->S0,1)基于國密的固件安全更新，恢復機制2)基于國密的UEFI安全啟動驗證3)基于國密的UEFI安全啟動策略更新提供兩組國密公共服務，1)CA證書簽發(fā)，注銷，CRL管理；2)國密簽名。國密CA服務不屬于本白皮P中DBX6UEFI執(zhí)行模塊單個國密簽名SignedDataAuthenticatedAttributeUEFIUEFI安全策略更新簽名注：國密SM2簽名規(guī)范沒有強制要求Hash算法，但實際應用中推薦使用SM3Hash算法。國密SignedDataSetofCertificates雜組件眾多，隨著部分用戶態(tài)加解密機制下沉到內(nèi)核，內(nèi)核對加解密的需求還是非常豐富的，其次由于算法自身的無依賴，跨語言和跨平臺的特點，內(nèi)核有自身的一套完整的CryptoAPI架構，并實現(xiàn)了非常豐富的算法，為內(nèi)核中諸多的安全子內(nèi)核CryptoAPI提供單塊密碼和消息摘要的實現(xiàn)。此外，內(nèi)核加密API提供了許多可與單塊密碼和消息摘要結合使用的“模板”。模板包括各類分組鏈接模式、單塊密碼和消息摘要可以直接由調(diào)用者使用，也可以與模板一起調(diào)用以形成多塊的在具體的架構上，常用的算法是可以使用SIMD指令來優(yōu)化，這一般會結合具體模式模板和單塊密碼，作為一個獨立的算法注冊到內(nèi)核的Crypto子系統(tǒng)中，比如結合模式的SM4-CTR算法，在x86和arm64架構上，都是作為一個獨立算法做過優(yōu)化的，在其它架構平臺上，可以選擇使用sm4和ctr模板結合動態(tài)生成的ctr(sm4)算法。本小節(jié)內(nèi)容會詳細介紹內(nèi)核中國密算法的支持情況以及結合內(nèi)核國密的諸多應用場內(nèi)核國密算法內(nèi)核國密算法Linux內(nèi)核上游社區(qū)從5.10版本開始已經(jīng)陸續(xù)支持了國密算法，到目前為止，x86和arm64架構上的內(nèi)核作為操作系統(tǒng)最重要的組件，對于國密的支持已經(jīng)比較完善，就國密算法SM3、SM4的優(yōu)化來說，也僅僅略差于老牌的國際主流算法，在最近發(fā)布的Linux6.2中，龍蜥社區(qū)對arm64架構的國密支持了眾多的模式優(yōu)化；成為6.2版本Top20的活躍開發(fā)者：/Articles/923410龍蜥社區(qū)ANCK5.10內(nèi)核已經(jīng)全部支持了上游的這些國密和算法優(yōu)化，通過AnolisOS提供給用戶。以下幾張表格總結了目前內(nèi)核已經(jīng)實現(xiàn)的國密相關算法的一些具體情況，包括算法優(yōu)先級(優(yōu)先級越大性能越高，同一個算法內(nèi)核會優(yōu)先選擇優(yōu)先級高的實現(xiàn)),依賴指令(具體架構上依賴的CPUSIMD指令),內(nèi)部驅(qū)動(可以認為是更詳細的算法名稱，可以通過這個名稱引用該實現(xiàn))。類型字段是算法的類型，目前跟國密相關的幾個類型如下：·cipher:對稱算法，只實現(xiàn)了單個分組的加解密國密的軟件實現(xiàn)是最早被引入內(nèi)核的國密算法實現(xiàn)，軟件實現(xiàn)不依賴任何特殊指令，適用于任何架構，但效率較低，在不支持優(yōu)化的平臺上可以選擇使用軟件實現(xiàn)的國密方SM2是非對稱算法，目前在內(nèi)核中主要用于驗簽和完整性檢查，由于算法自身輸入數(shù)據(jù)量小且調(diào)用頻度算法類型內(nèi)部驅(qū)動優(yōu)先級模塊名在x86架構上，主要是使用AVX/AVX2指令集對國密算法做的優(yōu)化。算法類型內(nèi)部驅(qū)動優(yōu)先級模塊名依賴指令性能數(shù)據(jù)x86上的性能數(shù)據(jù)來自Inteli5-6200U2.30GHz環(huán)境，橫坐標是輸入的數(shù)據(jù)塊大小(單位是字節(jié)),性能數(shù)據(jù)的單位是Mbyte/s。下表是SM3算法的性能數(shù)據(jù)，對比了純軟件實現(xiàn)和AVX優(yōu)化的差異：下表是SM4算法的性能數(shù)據(jù)，分別是純軟件 enc|339.85 559.58 552.45490.36481.49331.07 armv8開始支持了SM3/SM4算法的CryptoExtensions擴展。算法類型內(nèi)部驅(qū)動優(yōu)先級模塊名arm上的性能數(shù)據(jù)來自T-HeadYitian-7102.75GHz環(huán)境，橫坐標是輸入的數(shù)據(jù)塊大小(單位是字節(jié)),性能數(shù)據(jù)的單位是Mbyte/s。下表是SM3算法的性能數(shù)據(jù)，對比了純軟件實現(xiàn)，NEON優(yōu)化實現(xiàn)和CryptoExtension優(yōu)化實現(xiàn)的差異：227.48333.48502.62下表是SM4算法的性能數(shù)據(jù)，分別是純軟件實現(xiàn)，NEON優(yōu)化實現(xiàn)和CryptoExtension優(yōu)化實現(xiàn)的性能：79.9876.8277.5777.8077.8328.3679.59367.30358.09366.51351.51354.98324.23324.18288.19292.22108.81 681.26428.80468.99 93.6488.0291.52203.30 200.62 94.7688.7792.7788.42 209.02206.652747.43 2667.93 2258.32 1714.60215.52 214.21211.78 2981.902982.01 2413.73963.60 3007.793010.09 89.4889.18 209.12206.74 3856.08 3841.68 3409.622612.62CBCCBCCFBCBCCFBdecencdec下表是基于SM4算法的帶認證哈希的CryptoExtension優(yōu)化的性能數(shù)據(jù)：674.55981.42SM4帶認證的AEAD模式CCM/GCM在CryptoExtension優(yōu)化后的性能數(shù)據(jù)：I國密硬件加速與優(yōu)化章節(jié)會重點介紹armv8下使用CryptoExtension指令優(yōu)化的細節(jié)信息。通常我們會以文件作為數(shù)據(jù)載體，使用磁盤，USB閃存，SD卡等存儲介質(zhì)進行數(shù)據(jù)存儲，即便數(shù)據(jù)已經(jīng)離線存儲，仍然不能保證該存儲介質(zhì)不會丟失，如果丟失那么對于我們來說有可能是災難性的事件。因此對這些離線存儲的重要數(shù)據(jù)文件進行加密是非常有必要的，本節(jié)將介紹如何使用國密算法加密文件系統(tǒng)中的文件。內(nèi)核中的fscrypt是一個庫，文件系統(tǒng)可以使用它以支持文件和目錄的透明加密。與dm-crypt不同，fscrypt在文件系統(tǒng)級別而不是塊設備級別運行。這允許它使用不同的密鑰加密不同的文件，并在同一文件系統(tǒng)上擁有未加密的文件。這對于多用戶系統(tǒng)非常有用，在該系統(tǒng)中，每個用戶的靜態(tài)數(shù)據(jù)都需要與其他用戶進行加密隔離。除了文件名，fscrypt不加密文件系統(tǒng)的元數(shù)據(jù)。與作為棧式文件系統(tǒng)的eCryptfs不同，fscrypt是直接集成到支持的文件系統(tǒng)中，目前支持fscrypt的文件系統(tǒng)是ext4、F2FS和UBIFS。fscrypt允許讀取和寫入加密文件，而無需在頁面緩存中同時緩存解密和加密eCryptfs還將加密文件名限制為143字節(jié)，從而導致應用程序兼容性問題；fscrypt允許完整的255個字節(jié)(NAME_MAX)長度的文件名。最后，與eCryptfs不同，fscryptAPI可以由非特權用戶使用，而無需依賴其它任何組件。fscrypt不支持就地加密文件。相反，它支持將空目錄標記為已加密。然后，在用戶空間提供密鑰后，在該目錄樹中創(chuàng)建的所有常規(guī)文件、目錄和符號鏈接都將被透明地加密。fscrypt允許為文件內(nèi)容指定一種加密模式，為文件名指定一種加密模式。不同的目錄樹允許使用不同的加密方式。目前支持以下幾種加密方式對：·AES-256-XTS算法用于加密內(nèi)容，AES-256-CTS-CBC算法用于加密文件名·AES-128-CBC算法用于加密內(nèi)容，AES-128-CTS-CBC算法用于加密文件名·Adiantum算法同時用于加密文件內(nèi)容和文件名·AES-256-XTS算法用于加密內(nèi)容，AES-256-HCTR2算法用于加密文件名(僅限v2策略)·SM4-XTS算法用于加密內(nèi)容，SM4-CTS-CBC算法用于加密文件名(僅限v2策略)AES-128-CBC僅為具有不支持XTS模式的加速器的低功耗嵌入式設備使用。要使用AES-128-CBC,必須啟用CONFIG_CRYPTO_ESSIV和CONFIG_CRYAdiantum是一種基于流密碼的模式，即使在沒有專用加密指令的CPU上也很快。與XTS不同，它也是真正的寬塊模式。它還可以消除派生每個文件加密密鑰的需要。要使用Adiantum,必須啟用CONFIG_CRYPTO_ADIANTUM。此外，應啟用ChaCha和NHPoly1305的快速實現(xiàn)，例如ARMTO_CHA-AES-256-HCTR2是另一種真正的寬塊加密模式，旨在用于具有專用加密指令的CPU。AES-256-HCTR2具有明文中的位翻轉會更改整個密文的屬性。由于初始化向量在目錄中重復使用，因此此屬性使其成為文件名加密的理想選擇。要使用AES-256-HCTR2,必須啟用CONFIG_CRYPTO_HCTR2。此外，應啟用XCTR和最后是SM4算法，目前僅在fscryptv2策略中啟用。準備工作fscrypt依賴內(nèi)核配置CONFIG_FS_ENCRYPTION=y,這里操作系統(tǒng)選擇使用ANCK5.10內(nèi)核的AnolisoS,其次，需要支持fscrypt特性的文件系統(tǒng)，這里以ext4為例，當然，F(xiàn)2FS或者UBIFS也可以。用戶空間是通過fscryptAPI跟內(nèi)核完成交互的，對于用戶來說，一般是通過fscryptctl或者fscrypt工具來下達加密策略。本節(jié)內(nèi)容以fscryptctl(/google/fscryptct/)工具為例來演示，目前這是一個第三方工具，需要手工安裝，按如下常規(guī)流程安裝：gitclonegitclone/google其次，選擇一塊未用到的磁盤格式化為支持其次，選擇一塊未用到的磁盤格式化為支持fscrypt的文件系統(tǒng)ext4,并掛載。透明加密文件透明加密文件fscrypt所用的加解密鑰是關聯(lián)在超級塊上的，運行時是跟掛載點相關聯(lián)的，添加刪除密鑰都是針對掛載點的操作，以下對密鑰操作的命令都會帶上掛載點。按如下命令所示設置加密策略：>echo'1234567812345678'>/tmp/23086a13ed81fd75ca5fe9b8f2>fscryptctlkey_status23086a13>fscryptctlset_policy>fscryptctlset_policy--contents=SM4--filenames=SM4-CTS23086a13ed81fd75ca5fe9b8f2ff25c7/mnt/endir>fscryptctlget_policy/mnt/endirEncryptionpolicyfor/Masterkeyidentifier:23086a13ed81fd75ca5fe9b8f此時，endir已經(jīng)是支持透明加解密的一個目錄，可以像正常目錄一樣創(chuàng)建刪除文件，在該目錄下進行一些常規(guī)的文件操作，可以看到與普通目錄沒有區(qū)別：鎖定加密目錄之所以能像普通目錄一樣操作，是因為密鑰已經(jīng)被添加到了文件系統(tǒng)中。接下來刪除密鑰后，就能看到目錄被鎖定，里面的所有路徑和內(nèi)容都是加密狀態(tài)：23086a13ed81fd75ca5fe9b8f2ff23086a13ed81fd75ca5fe9b8f2ff23086a13ed81fd75ca5fe9b8f2ff/mnt/endirmkdir:cannotcreatedirectory‘/mn再次解鎖加密目錄要解鎖目錄也很簡單，重新添加密鑰即可，文件系統(tǒng)會搜索到正確的密鑰并解鎖相應目錄：23086a13ed81fd75ca5fe9b8fscryptctl是一個相對原生的工具，更接近內(nèi)核，可以看到，該工具命令比較復雜，使用中需要記住很長一串密鑰ID,用戶體驗并不好。實際環(huán)境中，一般會使用fscrypt工具來完成加密策略操作，該工具由Google開發(fā)，用Go語言寫成，通過在用戶層面維護了一些元數(shù)據(jù)來簡化用戶操作，命令更易于理解，也更接近用戶。類似于文件加密，磁盤加密很重要的一點也是為了解決因存儲介質(zhì)丟失而導致的敏感數(shù)據(jù)泄露問題。磁盤加密是以磁盤為加密對象來保護重要數(shù)據(jù)，磁盤之上的文件甚至文件系統(tǒng)對磁盤加密來說是透明的。device-mapper構架中用于塊設備加密的一個模塊。dm-crypt通過dm框架虛擬一個塊設備，并在BIO轉發(fā)的時候?qū)?shù)據(jù)加密后存儲來實現(xiàn)塊設備的加密，而這些對于應用層是透明的。●支持多種加密格式目前dm-crypt支持如下幾種加密模式：1.LUKS(LinuxUnifiedKeySetup):這是dm-crypt最常用的一種模式，本節(jié)也是以LUKS為主展開。2.Plain:Plain模式使用單個無salt的哈希值逐個扇區(qū)進行加密。3.loop-AES:loop-AES是一款比較陳舊的Linux磁盤加密工具。dm-crypt提供了對它的支持。TrueCrypt的縮寫。在該模式下，可以打開TrueCrypt和VeraCrypt的加密盤，并對盤中的文件進行讀寫。●無需額外安裝軟件由于dm-crypt早已被整合到LinuxKernel中。因此，無需額外安裝它。至于它的命令行前端(cryptset-up),大部分主流的發(fā)行版都會內(nèi)置cryptsetup的軟件包。LVM(LogicalVolumeManager)是Linux內(nèi)核提供的另一個很有用的工具。比如用它來創(chuàng)建分區(qū)，將來可以隨時調(diào)整分區(qū)大小；比如現(xiàn)有的硬盤空間用完了，可以另外加一塊硬盤并且新加硬盤可以用來擴展現(xiàn)有分區(qū)。LVM和dm-crypt都是基于Linux內(nèi)核的devicemapper機制。因此兩者可以很好地整合。cryptsetup是與dm-crypt交互的命令行工具，用于創(chuàng)建、訪問和管理加密設備，主流的發(fā)行版已經(jīng)內(nèi)置了該工具。從原理上來說，cryptsetup其實是一種設備的映射關系，我們用它來把一個設備映射成另外一個設備，然后對這個新的設備進行操作，并進行加密，這樣就不會使我們的原設備直接被使用，從而達到一種安全的效果。LUKS(LinuxUnifiedKeySetup)是Linux硬盤加密的標準。通過提供標準的磁盤格式，它不僅可以促進發(fā)行版之間的兼容性，還可以提供對多個用戶密碼的安全管理。與現(xiàn)有解決方案相比，LUKS將所有必要的設置信息存儲在分區(qū)信息首部中，使用戶能夠無縫傳輸或遷移其數(shù)據(jù)。A選擇一個不用的磁盤或者磁盤分區(qū)，該操作會清空設備上的所有數(shù)據(jù)，請謹慎操作。這里選擇使用vda4作為實驗分區(qū)，使用LUKS格式格式化要加密的磁盤分區(qū)，加密算法是SM4XTS:>cryptsetup--ciphersm4device:/dev/vd>mkfs.ext4/dev/mapper/diskluks>lsblk-fNAMEFSTYPE-vda2ext4-vda3ext41.0SM4