‘壹’ 加密芯片分析
加密芯片普遍应用
在数字化时代,计算机与互联网已深度融入社会的各个角落,政府、经济、军事、社会、文化与人们生活等各个方面均依赖于计算机和网络。电子政务、无纸化办公、MIS、ERP、OA等系统在企事业单位中广泛应用。然而,在激烈的电子信息技术产品竞争中,很多自主研发的产品在投放市场后不久便被竞争对手破解,产品破解的时间和成本逐年下降,行业出现了仿制品多于自有产权产品的现象,严重损害了产品研发者的权益。
加密芯片成为保护软硬件产品的重要手段,能够有效防止未经授权访问或拷贝芯片内程序,以及防止非正常手段抄袭PCB,确保产品的安全。常见的加密芯片种类包括:芯片内部置入数据,通过对比数据是否相同;板子与加密芯片同时置入密钥,同时加密随机数;板子部分程序移植到加密芯片中,需要时调用加密芯片功能。每种方式各有优缺点,但都面临性能低、速度慢、存储空间小等问题,无法完全保护AI算法等核心模块。
加密芯片现状与问题
虽然加密芯片在一定程度上降低了PCB被抄板的风险,但其性能、速度和存储空间的问题仍然存在,无法将所有业务逻辑代码都放入加密芯片中运行。这就需要寻找更有效的解决方案。
CBS加密芯片增强模块
CBS加密芯片增强模块通过加密芯片的ID、密钥和算法,借助业务系统CPU的运算能力,放大加密芯片的处理能力,让业务程序及其算法的所有逻辑代码在受保护的安全容器中运行。该模块包含加密容器、可信系统、场景白名单、数据保护以及原有加密芯片的密钥管理等功能。CBS加密芯片增强模块通过容器技术,使用加密芯片产品的密钥在系统内生成一个唯一的、加密的容器,让业务系统在容器内运行,确保数据安全,防止被抄板和逆向分析。
使用CBS加密芯片增强模块的好处
CBS-S加密芯片增强模块的容器生成依赖加密芯片的密钥,具有唯一性和不可复制性,提供加密容器唯一性、所有业务程序在加密容器内运行、无需修改业务逻辑代码、速度高效、整体防逆向工程等好处。这种解决方案为业务程序提供了一个对外隔离、安全的机密计算环境,确保业务逻辑及算法程序的安全,为用户提供全方位的数据安全解决方案。
深信达公司的贡献
深信达是一家专注于信息安全领域的高科技企业,致力于在信息防泄密、主动防御等方面处于国际领先水平。公司拥有一支顶尖的安全专家团队,提供包括数据保密、主动防御在内的系列研究与开发成果。深信达为研发型企事业单位提供从研发、编译、调试到产品发布、运营的全方位立体数据安全解决方案,并为政府、电信、金融、制造、能源、教育等行业客户提供信息安全解决方案及风险评估、咨询服务。其主要产品包括SDC沙盒、MCK主机加固、CBS加密芯片增强模块(放大器)等,为智能终端设备提供高效增强的加密芯片功能模块,确保服务安全。
‘贰’ 加密芯片是怎么加密的呢AES算法,加密数据,加密芯片,这三者如何关联起来呢
1 程序加密可结合AES算法,在程序运行中,通过外部芯片中的AES密钥,加密数据来验证双方的正确性,称之为对比认证。
2 加密数据传输过程中,可通过AES加密后形成密文传输,到达安全端后再进行解密,实现数据传输安全控制。
3 综合1 和 2,当前高大上的方式是程序加密可进行移植到加密芯片,存储在加密芯片中,运行也在加密芯片内部运行,输入数据参数,返回执行结果,同时辅助以AES加密和认证,实现数据程序的全方位防护。
‘叁’ 003 国密算法【技术】
国密算法:国家密码局认定的国产密码算法,即商用密码。
非对称密码(公钥算法):SM2,SM9
对称密码(分组密码,序列密码):SM1,SM4,SM7,ZUC
杂凑算法(散列,哈希算法):SM3
概述 : 对称加密算法(分组密码) ,分组长度128位,密钥长度128位, 算法不公开 ,通过加密芯片的接口进行调用。
场景 :采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品,广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。
概述 : 非对称加密算法(公钥算法) ,加密强度为256位,是一种椭圆曲线算法。
公钥密码学与其他密码学完全不同, 使用这种方法的加密系统,不仅公开加密算法本身,也公开了加密用的密钥。公钥密码系统与只使用一个密钥的对称传统密码不同,算法是基于数学函数而不是基于替换和置换。公钥密码学是非对称的,它使用两个独立的密钥,即密钥分为公钥和私钥,因此称双密钥体制。双钥体制的公钥可以公开,因此称为公钥算法。
使用私钥加密后的密文只能用对应公钥进行解密,反之使用公钥加密的密文也只能用对应的私钥进行解密。通过对私钥进行椭圆曲线运算可以生成公钥,而由于椭圆曲线的特点,知道公钥却很难反推出私钥,这就决定了SM2算法的安全性。SM2算法最常见的应用是进行身份认证,也就是我们熟知的数字签名与验签,通过私钥的私密性来实现身份的唯一性和合法性。
场景: 适用于商用应用中的 数字签名和验证 ,可满足多种密码应用中的 身份认证 和 数据完整性,真实性 的安全需求。
场景: 适用于商用密码应用中的 密钥交换 ,可满足通信双方经过两次或可选三次信息传递过程,计算获取一个由双方共同决定的共享秘密密钥(会话密钥)。
场景: 适用于国家商用密码应用中的 消息加解密 ,消息发送者可以利用接收者的公钥对消息进行加密,接收者用对应的私钥进行解,获取消息。
涉及国密标准: GB/T 32918.1-2016、GB/T 32918.2-2016、GB/T 32918.3-2016、GB/T 32918.4-2016、GB/T 32918.5-2017、GB/T 35275-2017、GB/T 35276-2017。
概述:哈希算法(散列算法,杂凑算法) ,任意长度的数据经过SM3算法后会生成长度固定为256bit的摘要。SM3算法的逆运算在数学上是不可实现的,即通过256bit的摘要无法反推出原数据的内容,因此在信息安全领域内常用SM3算法对信息的完整性进行度量。
场景: 适用于商用密码应用中的 数字签名和验证 , 消息认证码的生成与验证 以及 随机数的生成 ,可满足多种密码应用的安全需求。
涉及国密标准: GB/T 32905-2016
概述:对称加密算法(分组密码) ,分组长度128位,密钥长度128位,使用某一密钥加密后的密文只能用该密钥解密出明文,故而称为对称加密。SM4算法采用32轮非线性迭代实现,加解密速度较快,常应用于大量数据的加密,保存在存储介质上的用户数据往往就使用SM4算法进行加密保护。
场景:大量数据的加密,解密,MAC的计算 。
分组密码就是将明文数据按固定长度进行分组,然后在同一密钥控制下逐组进行加密,从而将各个明文分组变换成一个等长的密文分组的密码。其中二进制明文分组的长度称为该分组密码的分组规模。
分组密码的实现原则如下:必须实现起来比较简单,知道密钥时加密和脱密都十分容易,适合硬件和(或)软件实现。加脱密速度和所消耗的资源和成本较低,能满足具体应用范围的需要。
分组密码的设计基本遵循混淆原则和扩散原则
①混淆原则就是将密文、明文、密钥三者之间的统计关系和代数关系变得尽可能复杂,使得敌手即使获得了密文和明文,也无法求出密钥的任何信息;即使获得了密文和明文的统计规律,也无法求出明文的任何信息。
②扩散原则就是应将明文的统计规律和结构规律散射到相当长的一段统计中去。也就是说让明文中的每一位影响密文中的尽可能多的位,或者说让密文中的每一位都受到明文中的尽可能多位的影响。
涉及国密标准: GB/T 32907-2016
概述 : 对称加密算法(分组密码) ,分组长度128位,密钥长度128位, 算法不公开 ,通过加密芯片的接口进行调用。
场景 :适用于非接触式IC卡,应用包括身份识别类应用(门禁卡、工作证、参赛证),票务类应用(大型赛事门票、展会门票),支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通等)。
概述:非对称加密算法(标识密码) ,标识密码将用户的标识(如邮件地址、手机号码、QQ号码等)作为公钥,省略了交换数字证书和公钥过程,使得安全系统变得易于部署和管理,非常适合端对端离线安全通讯、云端数据加密、基于属性加密、基于策略加密的各种场合。
SM9算法不需要申请数字证书,适用于互联网应用的各种新兴应用的安全保障。如基于云技术的密码服务、电子邮件安全、智能终端保护、物联网安全、云存储安全等等。这些安全应用可采用手机号码或邮件地址作为公钥,实现数据加密、身份认证、通话加密、通道加密等安全应用,并具有使用方便,易于部署的特点,从而开启了普及密码算法的大门。
概述 : 对称加密算法(序列密码) ,是中国自主研究的流密码算法,是运用于移动通信4G网络中的国际标准密码算法,该算法包括祖冲之算法(ZUC)、加密算法(128-EEA3)和完整性算法(128-EIA3)三个部分。目前已有对ZUC算法的优化实现,有专门针对128-EEA3和128-EIA3的硬件实现与优化。