【涨姿势】金融领域国产密码算法应用介绍

【涨姿势】金融领域国产密码算法应用介绍 1.国产密码算法介绍 国产密码算法（国密算法）是指国家密码局认定的国产商用密码算法，在金融领域目前主要使用公开的SM2、SM3、SM4三类算法，分别是非对称算法、哈希算法、对称算法。 密码技术是金融信息安全的核心技术，在银行卡领域应用国产密码算法，有利于提升银行卡产业信息安全的自主可控能力。 SM2算法：SM2椭圆曲线公钥密码算法是我国自主设计的公钥密码算法，包括SM2-1椭圆曲线数字签名算法，SM2-2椭圆曲线密钥交换协议，SM2-3椭圆曲线公钥加密算法，分别用于实现数字签名、密钥协商和数据加密等功能。 SM2算法与RSA算法不同的是，SM2算法是基于椭圆曲线上点群离散对数难题，相对于RSA算法，256位的SM2密码强度已经比2048位的RSA密码强度要高。 SM3算法：SM3杂凑算法是我国自主设计的密码杂凑算法，适用于商用密码应用中的数字签名和验证、消息认证码的生成与验证以及随机数的生成，可满足多种密码应用的安全需求。 为了保证杂凑算法的安全性，其产生的杂凑值的长度不应太短，例如MD5输出128比特杂凑值，输出长度太短，影响其安全性。SHA-1算法的输出长度为160比特，SM3算法的输出长度为256比特，因此SM3算法的安全性要高于MD5算法和SHA-1算法。 SM4算法：SM4分组密码算法是我国自主设计的分组对称密码算法，用于实现数据的加密/解密运算，以保证数据和信息的机密性。 要保证一个对称密码算法的安全性的基本条件是其具备足够的密钥长度，SM4算法与AES算法具有相同的密钥长度、分组长度——128比特，因此在安全性上高于3DES算法。 2.金融领域应用国密算法的标准 2014年12月，中国银联正式面向成员机构发布《中国银联银行卡联网联合技术规范V2.1（SM算法试点技术指引）》、《中国银联IC卡技术规范—产品规范第11部分：国产密码应用指南》，在银行卡核心技术规范层面支持国产密码算法，支持银行按照国产密码算法接入银行卡跨行交易系统，并支持银行发行国产密码金融IC卡。 2013年2月，中国人民银行正式颁布了<<中国金融集成电路（IC）卡规范>>（JR/T 0025-2013）（业内简称PBOC3.0），PBOC3.0在第17部分详细定义与说明了国产密码算法在金融IC卡中的应用，即PBOC3.0的金融IC卡支持SM2/SM3/SM4。 2012年底，中国人民银行正式发布了<<中国金融移动支付规范>>（JR/T 0088-2012）（业内简称移动支付标准），金融行业移动支付标准定义了国产密码算法在移动支付领域中的应用，即在移动支付业务处理过程中，使用的密码算法支持SM2/SM3/SM4 3.金融领域应用国密算法的政策 2015年1月人民银行印发了<<关于推动移动金融技术创新健康发展的指导>>，指导意见明确了移动金融技术创新健康发展的方向性原则，指导商业银行和银行卡清算机构应优先采用自主可控的产品及密码算法，加强移动金融账户介质标准符合性管理，增强移动金融安全可控能力，有效保障移动金融应用的安全性。 2014年中国**联合发改委、科技部、工信部印发了<<关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见>>，指导意见要求优先应用安全可控信息技术，在涉及客户敏感数据的信息处理环节，应优先安全可控，风险可控的信息技术和服务。 2014年国务院办公厅印发了<<国务院办公厅转发密码局等部门关于金融领域密码应用指导意见>>（简称国办发[2014]6号文），工作目标中明确定义了要建立以国产密码为主要支撑的金融信息安全保障体系，实现金融领域信息安全核心产品及系统的自主可控，力争2015年初步实现国产密码在金融IC卡（集成电路卡）、网上银行、移动支付、网上证券、电子保单等重点领域中的广泛应用，到2020年实现国产密码在金融领域中的全面应用。 来源：江南天安 安全讲师 密码产品业务中心 朱家雄 金融IC卡技术与应用 ▲长按二维码“识别”关注 及时发布金融IC卡技术与应用、招聘等信息，PBOC2.0/PBOC3.0/EMV产业及应用从业人员的知识库、圈子