[文章摘录] 金融IC卡国产密码算法使用研究(金融科技时代, 2012)
作者是中国工商银行软件开发中心的毛淑平。
1. 国产密码算法主要包括以下三种:
- 非对称密码算法(SM2):一种基于椭圆曲线理论实现的非对称算法,是国际上ECC椭圆曲线算法的优化。由国家密码管理局编制。
- 杂凑算法(SM3):又叫散列算法。杂碎值长度为256比特。与非对称算法组合能够实现数字签名功能。
- 对称密码算法(SM4):是一种分组算法。
2. 国产密码算法应用现状与规划
由国家密码管理局与人民银行制定。
工作原则:总体规划、分步实施、稳步推进
分为3个工作阶段:
- 近期工作(截止2012年底):建立协调机制、成立工作组,研究制定切实可行的总体方案
- 中期工作(截止2015年底):实现产业准备基本到位,标准体系基本建立,重点地区和主要金融机构系统升级完成,检测认证体系基本建立,金融IC卡领域全面应用国产算法
- 远期工作:全面推荐金融及社保、交通、医疗等相关领域国产密码算法应用
3. 国产密码算法实施面临的问题
- 缺乏基于国产密码算法的市场化产品:如数字证书系统、硬件加密机、终端设备、芯片卡、UsbKey等
- 暂无可供参考的实施标准:尚未出台基于国产密码算法的金融IC卡技术标准。
- 国产密码安全性仍有待检验:SM2和SM3算法在2010年底公开,SM4算法在2011年4月公开。
- 尚未进行工程化实践:
4. 金融IC卡系统国产密码算法的实施需要采用兼容的方案,即金融IC卡及受理终端同时兼任国产算法和现有通用算法。
兼任方案需要对发卡及收单系统进行同步改造。
5. 金融IC卡发卡系统改造
(1)算法基础
国际标准密码算法有基于RSA算法的非对称密钥系统和3DES标准对称密钥体系。
国密算法:非对称密码算法(SM2)用于数据签名和认证;杂凑算法(SM3)作为终端对支付芯片签名的交易数据的完整性校验;对称密码算法(SM4)用于交易密码、PIN加密及报文认证码计算
(2)设备基础
兼容国产密码算法的金融IC卡芯片目前大多还处于研发阶段
(3)标准保障
现行的PBOC金融IC卡标准和银行卡检测标准,均只支持国际标准密码算法体系。基于国密算法的CA认证体系及标准尚未建立。人行计划在2012年底弯沉PBOC标准修订,明确采用SM2/SM3/SM4国产密码算法。
(4)个人化系统
6. 金融IC卡受理环境改造
主要是针对支持双算法的受理终端盒主机密文校验系统进行改造。