『壹』 加密晶元分析
加密晶元普遍應用
在數字化時代,計算機與互聯網已深度融入社會的各個角落,政府、經濟、軍事、社會、文化與人們生活等各個方面均依賴於計算機和網路。電子政務、無紙化辦公、MIS、ERP、OA等系統在企事業單位中廣泛應用。然而,在激烈的電子信息技術產品競爭中,很多自主研發的產品在投放市場後不久便被競爭對手破解,產品破解的時間和成本逐年下降,行業出現了仿製品多於自有產權產品的現象,嚴重損害了產品研發者的權益。
加密晶元成為保護軟硬體產品的重要手段,能夠有效防止未經授權訪問或拷貝晶元內程序,以及防止非正常手段抄襲PCB,確保產品的安全。常見的加密晶元種類包括:晶元內部置入數據,通過對比數據是否相同;板子與加密晶元同時置入密鑰,同時加密隨機數;板子部分程序移植到加密晶元中,需要時調用加密晶元功能。每種方式各有優缺點,但都面臨性能低、速度慢、存儲空間小等問題,無法完全保護AI演算法等核心模塊。
加密晶元現狀與問題
雖然加密晶元在一定程度上降低了PCB被抄板的風險,但其性能、速度和存儲空間的問題仍然存在,無法將所有業務邏輯代碼都放入加密晶元中運行。這就需要尋找更有效的解決方案。
CBS加密晶元增強模塊
CBS加密晶元增強模塊通過加密晶元的ID、密鑰和演算法,藉助業務系統CPU的運算能力,放大加密晶元的處理能力,讓業務程序及其演算法的所有邏輯代碼在受保護的安全容器中運行。該模塊包含加密容器、可信系統、場景白名單、數據保護以及原有加密晶元的密鑰管理等功能。CBS加密晶元增強模塊通過容器技術,使用加密晶元產品的密鑰在系統內生成一個唯一的、加密的容器,讓業務系統在容器內運行,確保數據安全,防止被抄板和逆向分析。
使用CBS加密晶元增強模塊的好處
CBS-S加密晶元增強模塊的容器生成依賴加密晶元的密鑰,具有唯一性和不可復制性,提供加密容器唯一性、所有業務程序在加密容器內運行、無需修改業務邏輯代碼、速度高效、整體防逆向工程等好處。這種解決方案為業務程序提供了一個對外隔離、安全的機密計算環境,確保業務邏輯及演算法程序的安全,為用戶提供全方位的數據安全解決方案。
深信達公司的貢獻
深信達是一家專注於信息安全領域的高科技企業,致力於在信息防泄密、主動防禦等方面處於國際領先水平。公司擁有一支頂尖的安全專家團隊,提供包括數據保密、主動防禦在內的系列研究與開發成果。深信達為研發型企事業單位提供從研發、編譯、調試到產品發布、運營的全方位立體數據安全解決方案,並為政府、電信、金融、製造、能源、教育等行業客戶提供信息安全解決方案及風險評估、咨詢服務。其主要產品包括SDC沙盒、MCK主機加固、CBS加密晶元增強模塊(放大器)等,為智能終端設備提供高效增強的加密晶元功能模塊,確保服務安全。
『貳』 加密晶元是怎麼加密的呢AES演算法,加密數據,加密晶元,這三者如何關聯起來呢
1 程序加密可結合AES演算法,在程序運行中,通過外部晶元中的AES密鑰,加密數據來驗證雙方的正確性,稱之為對比認證。
2 加密數據傳輸過程中,可通過AES加密後形成密文傳輸,到達安全端後再進行解密,實現數據傳輸安全控制。
3 綜合1 和 2,當前高大上的方式是程序加密可進行移植到加密晶元,存儲在加密晶元中,運行也在加密晶元內部運行,輸入數據參數,返回執行結果,同時輔助以AES加密和認證,實現數據程序的全方位防護。
『叄』 003 國密演算法【技術】
國密演算法:國家密碼局認定的國產密碼演算法,即商用密碼。
非對稱密碼(公鑰演算法):SM2,SM9
對稱密碼(分組密碼,序列密碼):SM1,SM4,SM7,ZUC
雜湊演算法(散列,哈希演算法):SM3
概述 : 對稱加密演算法(分組密碼) ,分組長度128位,密鑰長度128位, 演算法不公開 ,通過加密晶元的介面進行調用。
場景 :採用該演算法已經研製了系列晶元、智能IC卡、智能密碼鑰匙、加密卡、加密機等安全產品,廣泛應用於電子政務、電子商務及國民經濟的各個應用領域(包括國家政務通、警務通等重要領域)。
概述 : 非對稱加密演算法(公鑰演算法) ,加密強度為256位,是一種橢圓曲線演算法。
公鑰密碼學與其他密碼學完全不同, 使用這種方法的加密系統,不僅公開加密演算法本身,也公開了加密用的密鑰。公鑰密碼系統與只使用一個密鑰的對稱傳統密碼不同,演算法是基於數學函數而不是基於替換和置換。公鑰密碼學是非對稱的,它使用兩個獨立的密鑰,即密鑰分為公鑰和私鑰,因此稱雙密鑰體制。雙鑰體制的公鑰可以公開,因此稱為公鑰演算法。
使用私鑰加密後的密文只能用對應公鑰進行解密,反之使用公鑰加密的密文也只能用對應的私鑰進行解密。通過對私鑰進行橢圓曲線運算可以生成公鑰,而由於橢圓曲線的特點,知道公鑰卻很難反推出私鑰,這就決定了SM2演算法的安全性。SM2演算法最常見的應用是進行身份認證,也就是我們熟知的數字簽名與驗簽,通過私鑰的私密性來實現身份的唯一性和合法性。
場景: 適用於商用應用中的 數字簽名和驗證 ,可滿足多種密碼應用中的 身份認證 和 數據完整性,真實性 的安全需求。
場景: 適用於商用密碼應用中的 密鑰交換 ,可滿足通信雙方經過兩次或可選三次信息傳遞過程,計算獲取一個由雙方共同決定的共享秘密密鑰(會話密鑰)。
場景: 適用於國家商用密碼應用中的 消息加解密 ,消息發送者可以利用接收者的公鑰對消息進行加密,接收者用對應的私鑰進行解,獲取消息。
涉及國密標准: GB/T 32918.1-2016、GB/T 32918.2-2016、GB/T 32918.3-2016、GB/T 32918.4-2016、GB/T 32918.5-2017、GB/T 35275-2017、GB/T 35276-2017。
概述:哈希演算法(散列演算法,雜湊演算法) ,任意長度的數據經過SM3演算法後會生成長度固定為256bit的摘要。SM3演算法的逆運算在數學上是不可實現的,即通過256bit的摘要無法反推出原數據的內容,因此在信息安全領域內常用SM3演算法對信息的完整性進行度量。
場景: 適用於商用密碼應用中的 數字簽名和驗證 , 消息認證碼的生成與驗證 以及 隨機數的生成 ,可滿足多種密碼應用的安全需求。
涉及國密標准: GB/T 32905-2016
概述:對稱加密演算法(分組密碼) ,分組長度128位,密鑰長度128位,使用某一密鑰加密後的密文只能用該密鑰解密出明文,故而稱為對稱加密。SM4演算法採用32輪非線性迭代實現,加解密速度較快,常應用於大量數據的加密,保存在存儲介質上的用戶數據往往就使用SM4演算法進行加密保護。
場景:大量數據的加密,解密,MAC的計算 。
分組密碼就是將明文數據按固定長度進行分組,然後在同一密鑰控制下逐組進行加密,從而將各個明文分組變換成一個等長的密文分組的密碼。其中二進制明文分組的長度稱為該分組密碼的分組規模。
分組密碼的實現原則如下:必須實現起來比較簡單,知道密鑰時加密和脫密都十分容易,適合硬體和(或)軟體實現。加脫密速度和所消耗的資源和成本較低,能滿足具體應用范圍的需要。
分組密碼的設計基本遵循混淆原則和擴散原則
①混淆原則就是將密文、明文、密鑰三者之間的統計關系和代數關系變得盡可能復雜,使得敵手即使獲得了密文和明文,也無法求出密鑰的任何信息;即使獲得了密文和明文的統計規律,也無法求出明文的任何信息。
②擴散原則就是應將明文的統計規律和結構規律散射到相當長的一段統計中去。也就是說讓明文中的每一位影響密文中的盡可能多的位,或者說讓密文中的每一位都受到明文中的盡可能多位的影響。
涉及國密標准: GB/T 32907-2016
概述 : 對稱加密演算法(分組密碼) ,分組長度128位,密鑰長度128位, 演算法不公開 ,通過加密晶元的介面進行調用。
場景 :適用於非接觸式IC卡,應用包括身份識別類應用(門禁卡、工作證、參賽證),票務類應用(大型賽事門票、展會門票),支付與通卡類應用(積分消費卡、校園一卡通、企業一卡通等)。
概述:非對稱加密演算法(標識密碼) ,標識密碼將用戶的標識(如郵件地址、手機號碼、QQ號碼等)作為公鑰,省略了交換數字證書和公鑰過程,使得安全系統變得易於部署和管理,非常適合端對端離線安全通訊、雲端數據加密、基於屬性加密、基於策略加密的各種場合。
SM9演算法不需要申請數字證書,適用於互聯網應用的各種新興應用的安全保障。如基於雲技術的密碼服務、電子郵件安全、智能終端保護、物聯網安全、雲存儲安全等等。這些安全應用可採用手機號碼或郵件地址作為公鑰,實現數據加密、身份認證、通話加密、通道加密等安全應用,並具有使用方便,易於部署的特點,從而開啟了普及密碼演算法的大門。
概述 : 對稱加密演算法(序列密碼) ,是中國自主研究的流密碼演算法,是運用於移動通信4G網路中的國際標准密碼演算法,該演算法包括祖沖之演算法(ZUC)、加密演算法(128-EEA3)和完整性演算法(128-EIA3)三個部分。目前已有對ZUC演算法的優化實現,有專門針對128-EEA3和128-EIA3的硬體實現與優化。