豪密科技第 16 期密评实操能力验证培训 - 2025/02/24 上午
有幸参加了公司安排的豪密科技第 16 期密评实操能力验证培训,本文是第十三课《密评实操能力图谱》的培训内容。
提出密评实操能力图谱的意义
- 总结概括密评人员能力知识
- 全面性,给出全集,大而全
- 涉及到算法、协议,产品、代码分析、数据采集、测评体系等方方面面
- 分类分级密评人员必备能力
- 针对性,划重点,细而精
- 根据 20、21、24 年能力验证实际导向
- 根据密码应用实际现状……
密评实操能力图谱
- 密码算法与技术
- 密码安全协议与基础设施
- 密码产品:技术、应用及标准
- 密码程序代码分析
- 典型密码应用与密码数据采集分析
- 密码应用安全测评
说明
- 图谱将能力程度分为“了解”、“理解”、“掌握”和“熟练掌握”
- “了解”为“浅蓝”,“理解”为“深蓝”,“掌握”为“浅紫”,“熟练掌握”为“金黄”
分组密码工作模式
- 加密模式——机密性:GB/T 17964-2021《信息安全技术 分组密码算法的工作模式》
- 认证模式——完整性:……
工作模式总结
| 工作模式 | 涉及的参数及参数长度要求 | 是否需要数据填充 |
|---|---|---|
| ECB | 无 | 需要 |
| CBC 密文分组链接 | 初始向量 IV,IV 长度为一个分组的长度,IV 不可预测(IV 随机) | 需要 |
| CFB 密文反馈 | 初始向量 IV,IV 长度为一个分组的长度,IV 不可预测(IV 随机) | 可能需要 |
| OFB 输出反馈 | 初始向量 IV,IV 长度为一个分组的长度,IV 唯一,不能重用 | 可能需要 |
| CTR 计数器 | 计时器 Counter,Counter 长度为一个分组的长度,唯一、不能重用 | 不需要 |
分组密码算法数据填充
填充方式 | ……
公钥密码算法总结
| 算法名称 | 公钥长度 | 私钥长度 |
|---|
| SM2 算法功能 | 输入参数及输入参数长度要求(比特) | 输出参数及输出参数长度要求(比特) |
|---|---|---|
| 密钥生成 | 私钥 d,长度为 256 比特 | 公钥(x,y),其中…… |
杂凑算法相关长度
| 算法名称 | 输入长度要求 | 输出长度(比特) |
|---|---|---|
| SM3 | 小于 $2^64$ …… |
对称密码算法和公钥密码算法的安全强度
安全强度(比特) | 对称密码算法 | 基于有限域离散对数(如 DSA……)
密码杂凑算法 | 输出长度(比特) | 分组长度(比特) | 安全强度(比特)(抗碰撞)
安全强度是输出强度一半(生日悖论攻击:23 个人在一起,至少有二分之一……)
结束语
密评能力图谱目标是大而全、细而精、条理化
需要每位密评人员自行完善,形成自己的知识体系
密评不是为了“评”而评,不应当仅仅只是简单的检查合规性