《TLCP的过去、现在和未来.docx》由会员分享,可在线阅读,更多相关《TLCP的过去、现在和未来.docx(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、TLCP的过去、现在与未来1起源Internet和WWW的出现,掀起了信息化浪潮而且经久不衰。如果现实世界一样,有价 值的数据和信息,引来了了各种攻击和威胁,信息平安变得越来越重要。作为互联网基石技 术之一 ,其平安的重要性不言而喻, S正是为解决 平安而提出平安协议和 规范。 S全称为 over SSL,而SSL正是由早期WWW霸主Netscape提出的平安协 议,其中SSh/3.0从1996年提出,并成为事实上的平安标准长达10年之久。后来IETF以 SSLV3.0为基础,提出了新的TLS规范,版本由1.0开展到现在的13替代SSL成为 S 的主要平安协议基础。 S是信息平安的一个最正确典
2、范之一。仅仅是简单的在地址栏增加一个字母“S”, 在用户几乎无感的情况下,就近乎完美地解决了 的平安问题,包括数据传输的平安问 题和网站身份的真实性问题。不但用户无感,而且对Web开发而言也几乎是透明的。为了成就这个最正确典范,那么是数学家、密码学家、平安专家、CA厂商、Web浏览器厂 商、Web服务器厂商以及一些列的相关平安厂商(比方密码加速芯片厂商和密码加速卡厂 商)通力合作的结果。可以说,为了以一种极简和极致的方式解决 的平安,整个学界 和业界使出了洪荒之力。图 1 TLS 开展示意图(摘自 ttp: | 三颗豆子)2过去密码算法是平安协议的核心和基础,因此为了确保国家信息平安平安,国内
3、的 S和SSLVPN等协议和产品,就不能直接采用国际TLS标准及其密码算法,因此需要一个采用国 产商用密码算法的类SSL传输层平安协议,即国密版类SSL协议,简称国密SSL。最早国密SSL是作为密码行业标准存在的,且不是一个独立的协议标准,而是定义在 SSVLPN产品的技术规范里,即GM/T0024-2014SLVPN技术规范。对应的国密 S就是 基于国密SSL的平安 o国密SSL参照了 TLSvl.O规范,整个协议握手和加密国产基本一致,但和TLSvl.O并不 兼容。主要的不同表达在三个地方:1)协议的版本号不同,握手和加密协议细节不同;2)协议采用的主要是SM2/SM3/SM4算法,不同于
4、TLS采用的国际密码算法;3)采用的是SM2双证书体系。国密SSL是一个基础的核心平安协议,因为和TLS不兼容,因此国密 S大规模普 及碰到了一系列苦难。首选是国际主流浏览器不支持,其实是国际主流Web服务器不支持, 再就是国际主流的CA和证书体系也不支持。随之国内信息平安的不断开展和各方的努力,国密SSL和国密 S已经由了长足的 开展和进步,可以说相关产业链已经到达了可以初步替代TLS和国际 S的水平。相关 的国密浏览器、国密SSL网关、国密中间件等已经广泛应用。ICS 35.040L 80中华人民共和密码行业标准备案号:446252014GM/T 00242014SSL VPN技术规范图2
5、国密SSL行标(摘自GM/T0024-2014封面)3现在国家更加重视网络平安和信息平安,密码法相继生效。相应地,国密SSL的从密码 行业标准上升到了独立的国家标准,这就是GB/T38636-2020信息平安技术 传输层密码 协议(TLCP)。GB/T 38636-2020基本兼容GM/T 0024.2014,主要变化如下:1)增加了 GCM 的密码套件,ECC_SM4_GCM_SM3 和 ECDHE_SM4_GCM_SM3 ;2)去掉了行标GM/T 0024-2014中的涉及SM1和RSA的密码套件。国内对TLCP的跟进很迅速。国密浏览器端,360平安浏览器在2020年支持了 TLCP, 奇
6、安信可信浏览器在2021年也支持了 TLCP。国密服务器和网关端,也积极跟进了 TLCP的 支持,比方 实现了 nginx、apache、tomcat、netty、springboot 的 TLCP 支持。国密SSL上升为国标意义重大,为等级保护和密码评测提供了更好的标准支撑,同时也 为产品网络和行业普及指明了目标和方向。ICS 35.040L 80中华人民共和国国家标准GB/T 386362020信息平安技术传输层密码协议(TLCP)图3国密SSL国标(摘自GB/T 38636-2020封面)4未来从目前的全球竞争环境和国家的意志来看,我国大力推行基于中国国家标准的网络平安 和信息案标准是必
7、然趋势。TLCP刚刚成为国家标准,并且TLCP相关的规范都已经国标化或 将要国标化,因此TLCP势必在今后较长的一段时间内是作为主流规范存在的,其权威性不 容置疑。国际规范方面,IETF 出现了一个 RFC8998( s:/ ietf.org/rfc/rfc8998.txt),增加了 国密算法套TLS_SM4_GCM_SM3和TLS_SM4_CCM_SM3 ,且基于SM2单证书实现。需要 注意的是RFC8998并不是Standards Track,而只是一个informational文档。RFC8998是一个有益的尝试,但在国际上不太可能被chrome和edge等主流国际浏览 器支持,并且还得国际主流CA也得支持SM2证书,而在国内又不兼容TLCP国家标准, 其前景并不明朗,甚至说是一个尴尬的存在。随着应用场景的拓展,以及技术的不断迭代,在更远的将来,TLCP本身也一定会吸收 包括TLS1.3在内的各种先进思想和技术,继续推出TLCP的新的版本。同时比拟明确的 是,TLCP依然会走中国特色的自有标准之路,国产密码产业也会有更光明的未来。5资源TLCP 标准全文:TLCP 服务器检测:TLCP 浏览器检测: