合规≠安全,使用国密算法≠通过商用密码认证(密评/国密产品认证)

一、先理清两个核心误区

  误区1:代码里用上SM2/SM3/SM4就是安全、就算合规

仅仅调用国密算法库,只代表算法选型符合GM/T标准,只完成了最基础的第一步,距离真正安全、通过认证差很远:

1.  算法用对,但实现有漏洞

第三方开源国密库、自研加密逻辑极易出现问题:随机数弱、填充错误、私钥硬编码、SM2签名验签逻辑颠倒、SM4模式误用ECB、密钥明文存储、无密钥轮换机制等。哪怕是标准SM算法,错误实现会直接击穿加密防护。

2.  算法正确,但整体架构不安全

只加密业务数据,传输明文密钥、日志打印私钥、证书不校验链、TLCP握手关闭双向认证、后台可直接导出密钥,整套系统依然存在大量攻击面。

3.  算法合规,但安全管理缺失

无密钥生命周期管理、无访问权限控制、无密码审计日志、无应急处置流程,从管理层面不满足商用密码规范。

  误区2:只要用了国密算法,就能过密评/国密产品认证

商用密码相关认证分两类,均不把“使用国密算法”作为唯一通过条件:

1.  商用密码产品认证(产品层面)

硬件密码机、加密卡、国密SSL网关、国密浏览器等产品,需要:

        使用合规国密算法;

        底层实现通过国密检测中心漏洞检测;

        密钥存储采用安全硬件(安全芯片、国密模块);

        通过物理防拆、防侧信道攻击、权限隔离等安全测试;

        配套完整可信固件、审计机制。

仅简单调用SM算法的软件程序,完全无法取得该认证。

2.  商用密码应用安全性评估(密评,系统/业务层面)

密评是等保配套的合规要求,判断整套信息系统的密码应用是否达标,核心评估维度远不止算法:

  密码算法选用(仅其中一项);

  密钥管理全生命周期(生成、分发、存储、使用、销毁、轮换);

  密码模块安全等级;

  身份认证、传输加密、存储加密、签名验签落地完整性;

  密码运维、审计、人员权限、应急预案;

  密码设备、证书服务、密码协议(TLCP/国密SSL)部署规范。

哪怕全链路SM2/SM3/SM4,只要密钥明文存放、缺少审计日志、证书不做有效期管控,密评直接不通过。  

二、三层关系拆解:算法选型、安全、合规是三件独立事

  1.  用国密算法  =  仅算法选型合规

仅证明没有违规使用境外禁用算法(如部分场景禁止仅用RSA/AES),属于最低门槛,不代表安全,更不等于通过任何认证。

  2.  安全  ≠  合规

一套系统可以技术上做到高强度加密,但流程不满足密评规范:

例如自行实现安全加密逻辑,但缺少官方国密模块、无密码审计台账、未部署国密合规证书系统,技术安全再强,也无法满足监管合规要求。

反之,系统完全满足密评规范、全部使用认证国密产品,但开发人员配置错误、密钥泄露,合规手续齐全,实际业务不安全。

这就是核心矛盾:合规是满足监管纸面要求,安全是抵御真实攻击,二者不能互相替代。

  3.  通过国密认证/密评  =  同时满足算法标准  +  技术安全  +  管理规范

认证/密评是监管给出的“双重背书”:

1.  技术上:算法实现无明显漏洞、密钥隔离、抗攻击能力达标;

2.  管理上:整套密码管理制度、运维流程、审计日志符合GM/T管理规范;

3.  产品上:使用具备商用密码产品认证证书的硬件/模块。

三、典型现实案例印证

1.  企业前端引入sm-crypto做SM4加密,仅前端加密、后端密钥硬编码,算法是国密,但密评不通过,且密钥极易被窃取;

2.  系统统一TLCP国密传输,但使用无认证开源GMSSL、无硬件密码机,密钥存数据库明文,能跑通国密流程,无法通过密评;

3.  采购合规国密密码机(有产品认证),但运维人员随意导出根密钥、无访问日志,密评整改不通过;

4.  完成密评拿到评估通过报告,但后期运维松懈,密钥长期不轮换、证书过期未更新,纸面合规,实际存在高危安全风险。

四、落地落地区分思路(开发/密评实操)

1.  单纯算法替换只是改造起点

不要认为替换SM2/SM3/SM4就完成密码改造,必须同步梳理密钥、证书、传输、存储、审计全链路;

2.  区分“满足算法要求”和“满足密评要求”

监管检查看整套体系,不是只看加密算法;采购商用密码认证模块、建立密钥管理系统是硬性加分项;

3.  区分“合规达标”和“真正安全”

密评通过仅代表当前阶段符合监管规范,需持续做渗透测试、密钥轮换、漏洞巡检,避免纸面合规但线上失防;

4.  开源国密库仅适合业务开发,不满足产品认证要求

自研+开源GMSSL/Tongsuo软件实现,无硬件安全隔离,不能作为合规密码模块用于等保、密评高要求场景。

五、总结一下

采用国密算法只是密码应用的基础条件,既不能等同于系统具备足够安全防护能力,也不能直接通过商用密码产品认证或密评;合规是监管标准化要求,安全是攻防实战能力,二者需要分开建设、同步落地。