合规≠安全,使用国密算法≠通过商用密码认证(密评/国密产品认证)
一、先理清两个核心误区
误区1:代码里用上SM2/SM3/SM4就是安全、就算合规
仅仅调用国密算法库,只代表算法选型符合GM/T标准,只完成了最基础的第一步,距离真正安全、通过认证差很远:
1. 算法用对,但实现有漏洞
第三方开源国密库、自研加密逻辑极易出现问题:随机数弱、填充错误、私钥硬编码、SM2签名验签逻辑颠倒、SM4模式误用ECB、密钥明文存储、无密钥轮换机制等。哪怕是标准SM算法,错误实现会直接击穿加密防护。
2. 算法正确,但整体架构不安全
只加密业务数据,传输明文密钥、日志打印私钥、证书不校验链、TLCP握手关闭双向认证、后台可直接导出密钥,整套系统依然存在大量攻击面。
3. 算法合规,但安全管理缺失
无密钥生命周期管理、无访问权限控制、无密码审计日志、无应急处置流程,从管理层面不满足商用密码规范。
误区2:只要用了国密算法,就能过密评/国密产品认证
商用密码相关认证分两类,均不把“使用国密算法”作为唯一通过条件:
1. 商用密码产品认证(产品层面)
硬件密码机、加密卡、国密SSL网关、国密浏览器等产品,需要:
使用合规国密算法;
底层实现通过国密检测中心漏洞检测;
密钥存储采用安全硬件(安全芯片、国密模块);
通过物理防拆、防侧信道攻击、权限隔离等安全测试;
配套完整可信固件、审计机制。
仅简单调用SM算法的软件程序,完全无法取得该认证。
2. 商用密码应用安全性评估(密评,系统/业务层面)
密评是等保配套的合规要求,判断整套信息系统的密码应用是否达标,核心评估维度远不止算法:
密码算法选用(仅其中一项);
密钥管理全生命周期(生成、分发、存储、使用、销毁、轮换);
密码模块安全等级;
身份认证、传输加密、存储加密、签名验签落地完整性;
密码运维、审计、人员权限、应急预案;
密码设备、证书服务、密码协议(TLCP/国密SSL)部署规范。
哪怕全链路SM2/SM3/SM4,只要密钥明文存放、缺少审计日志、证书不做有效期管控,密评直接不通过。
二、三层关系拆解:算法选型、安全、合规是三件独立事
1. 用国密算法 = 仅算法选型合规
仅证明没有违规使用境外禁用算法(如部分场景禁止仅用RSA/AES),属于最低门槛,不代表安全,更不等于通过任何认证。
2. 安全 ≠ 合规
一套系统可以技术上做到高强度加密,但流程不满足密评规范:
例如自行实现安全加密逻辑,但缺少官方国密模块、无密码审计台账、未部署国密合规证书系统,技术安全再强,也无法满足监管合规要求。
反之,系统完全满足密评规范、全部使用认证国密产品,但开发人员配置错误、密钥泄露,合规手续齐全,实际业务不安全。
这就是核心矛盾:合规是满足监管纸面要求,安全是抵御真实攻击,二者不能互相替代。
3. 通过国密认证/密评 = 同时满足算法标准 + 技术安全 + 管理规范
认证/密评是监管给出的“双重背书”:
1. 技术上:算法实现无明显漏洞、密钥隔离、抗攻击能力达标;
2. 管理上:整套密码管理制度、运维流程、审计日志符合GM/T管理规范;
3. 产品上:使用具备商用密码产品认证证书的硬件/模块。
三、典型现实案例印证
1. 企业前端引入sm-crypto做SM4加密,仅前端加密、后端密钥硬编码,算法是国密,但密评不通过,且密钥极易被窃取;
2. 系统统一TLCP国密传输,但使用无认证开源GMSSL、无硬件密码机,密钥存数据库明文,能跑通国密流程,无法通过密评;
3. 采购合规国密密码机(有产品认证),但运维人员随意导出根密钥、无访问日志,密评整改不通过;
4. 完成密评拿到评估通过报告,但后期运维松懈,密钥长期不轮换、证书过期未更新,纸面合规,实际存在高危安全风险。
四、落地落地区分思路(开发/密评实操)
1. 单纯算法替换只是改造起点
不要认为替换SM2/SM3/SM4就完成密码改造,必须同步梳理密钥、证书、传输、存储、审计全链路;
2. 区分“满足算法要求”和“满足密评要求”
监管检查看整套体系,不是只看加密算法;采购商用密码认证模块、建立密钥管理系统是硬性加分项;
3. 区分“合规达标”和“真正安全”
密评通过仅代表当前阶段符合监管规范,需持续做渗透测试、密钥轮换、漏洞巡检,避免纸面合规但线上失防;
4. 开源国密库仅适合业务开发,不满足产品认证要求
自研+开源GMSSL/Tongsuo软件实现,无硬件安全隔离,不能作为合规密码模块用于等保、密评高要求场景。
五、总结一下
采用国密算法只是密码应用的基础条件,既不能等同于系统具备足够安全防护能力,也不能直接通过商用密码产品认证或密评;合规是监管标准化要求,安全是攻防实战能力,二者需要分开建设、同步落地。