什么是RSA国产数字证书?
一位朋友向我打听什么是RSA国产证书?
我们用的较多说法是,国际算法的RSA证书,国密算法的SM2证书,那么有没有RSA国产证书呢?
RSA国产证书的提法并不标准,它来源一个安全通告,2019年11月30日 首都网警《关于OPENSSL加密组件存在重大风险隐患的预警通报》。全文如下:
近日,据国家网络与信息安全信息通报中心监测发现,互联网SSL协议实现组件OPENSSL部分版本存在重大安全隐患,可能导致信息泄露等风险。SSL(Secure Socket Layer)协议是一种为网络通信提供安全以及数据完整性的安全协议,该协议在传输层对网络进行加密。OPENSSL是实现SSL协议的一款开源软件,其提供了多种密码算法、常用密钥以及数字证书封装管理等功能。
一、基本情况
此次事件发现:一是众多RSA数字证书密钥存在被破解的可能性,二是部分低版本的OPENSSL组件存在内存泄露漏洞。
二、影响范围
以上问题涉及电信、金融、能源、医疗等多个重要行业部门,以及部分高校、企业邮件系统和多款网络设备。在通信数据被截获的情况下,攻击者可利用上述漏洞获取用户账号口令、业务系统数据、邮件内容等敏感信息。
三、安全提示
针对该情况,请大家做好防范。一是将原有RSA数字证书替换为RSA2048国产数字证书。二是及时提示本部门、本行业、本辖区重点单位,排查OPENSSL组件使用情况,督促相关单位及时将OPENSSL升级至最新版本。三是加强网络安全意识,开展隐患排查和安全加固,提高防范能力。
目前,大部分浏览器像IE、chrome、以及大部分基于chrome开发的浏览器,仅支持RSA算法的HTTPS协议。
HTTPS协议是基于安全套接字SSL协议,封装的HTTP服务。原始的http协议,数据是明文传输的,用户和服务器之间的传输可能会被监听者截获。但是HTTPS协议,实现了HTTP数据加密,即使截获了HTTPS的报文数据,也不清楚报文的内容。
为什么要对HTTP加密?
局域网嗅探就是一种最简单的数据截取协议,通信信息很容易被他人截获,传输重要信息如口令、个人隐私等也就泄露给别人。HTTPS是一种HTTP加密协议。
HTTPS协议是否安全?
这里仅介绍一下加密算法的安全性。例如,服务端的证书算法采用RSA算法,密钥钥长度1024位,HTTPS协议中客户端会用服务端1024位的公钥加密会话密钥,发送给服务器,服务端用自己的私钥解密,此时客户端和服务端用共享的会话密钥,之后客户端和服务端会采用对称加密算法加密通信数据。
安全性问题出在,密钥长度是1024RSA算法目前已经被证实是不安全的,黑客截取密文数据,暴力破解了加密会话密钥,就可以恢复用会话密钥加密的通信数据。
而RSA算法安全性,目前和密钥的长度相关的,密钥越长越不容易被破解。
服务器证书是什么?
服务器证书是权威认证机构颁发给站点的数字证书,包含了服务器的公钥。证书对应的私钥只有服务器可读取。在HTTPS协议中,客户端即浏览器,会要求服务器向客户端发送的服务器证书,浏览器会先比较证书的主题项和服务器的ip地址或域名是否一致。如果不一致,浏览器就会弹出报警。客户端还会校验证书的合法性,校验服务器证书的签名确实由权威认证机构CA签发。
因此,服务器证书是可以替换的,可以选择一家CA签署服务证书,并配置在中间件里,如Nginx、Apche、Tomcat等。
什么是不安全的连接?
client会用权威机构的证书,验证服务器的证书是否有效。这个原理是,信任了权威机构CA的证书,权威机构签发了服务器证书,我只需要验证证书是不是真的,不是伪造的,我就可以信任服务器的域名或名字了,是针对钓鱼网站的情况。
权威机构的证书需要预置在客户端的系统中,在操作系统的证书管理中,或者浏览器自身的证书库中。
还有可以通过系统管理员权限,将CA证书加入信任区。
回到第一个问题,有没有RSA国产数字证书?
我国对认证服务机构实行认证机制,CA的根必须由国家密码管理局的根(root)签发。
访问www.rootca.gov.cn,有4个国密局管理的国家根,第一个即社会服务应用根(RSA),密钥长度2048。
目前,国密RSA根签发的二级运行CA大部分已失效,这些CA也没有提供SSL证书的服务。
解决服务器证书问题,还要继续推进基于国密SM2算法的HTTPS 和支持国密SM2算法的浏览器,早日实现国密算法的普及。
什么是RSA国产数字证书?相关推荐
- 签名算法sha256withrsa,RSA数字证书公钥私钥生成,base64转码和文件日志
RSA数字证书公钥密钥生成: 在Linux系统下运行以下命令生成: 如果提示输出密码,可以为空,直接回车 生成的公钥rsa_public_key.pem和密钥rsa_private_key.pem文件 ...
- 使用X.509数字证书加密解密实务(二)-- 使用RSA证书加密敏感数据(转)
转自:http://www.cnblogs.com/chnking/archive/2007/08/30/875947.html 使用X.509数字证书加密解密实务(二)-- 使用RSA证书加密敏感数 ...
- 对称加密、非对称加密、RSA、消息摘要、数字签名、数字证书与 HTTPS 简介
文章目录 1.加密算法简介 1.1 对称加密(Symmetric Key Algorithms) 1.2 非对称加密(Asymmetric Key Algorithms) 1.3 非对称加密 RSA ...
- 非对称加密(RSA、数字签名、数字证书)
非对称加密.数字签名.数字证书的参考文章 1. 什么是非对称加密 (1)公钥和私钥成对出现 (2)公钥加密.私钥解密,私钥加密.公钥解密 (3)公钥一般对外公开,私钥保密 (4)主要用于防止通信数据被 ...
- RSA及TLS/SSL及数字证书原理
转载自:http://www.ruanyifeng.com/blog/2013/07/rsa_algorithm_part_two.html RSA算法原理(二) 作者: 阮一峰 日期: 2013年7 ...
- C#.Net中的加密解密(AES、DES、RSA、MD5)、数字证书、HTTPS
一.信息安全的基本概念,以及为什么要使用加密? 1.信息安全的定义 保密性(Confidentiality) 只有你自己和你允许的人能看到相关的信息. 完整性(Integrity) 信息收发过程中 ...
- 1、【java数据安全】数据安全之加密解密(base64、MD、SHA、DES、AES、IDEA、PBE、DH、RSA、EIGamal)、数字签名(DSA、ECDSA)和数字证书介绍、应用示例详细介绍
java数据安全 系列文章 1.[java数据安全]数据安全之加密解密(base64.MD.SHA.DES.AES.IDEA.PBE.DH.RSA.EIGamal).数字签名(DSA.ECDSA)和数 ...
- 数据安全:通用的数据加密方法(AES、RSA、数字签名和数字证书)
在日常的接口交互中,数据的安全性是优先考虑的问题之一.那么一般我们在实际工作中如何去保证数据的安全呢?一般是通过数据加密的方式来处理.加密算法,如果按是否可以把密文还原成明文来划分的话,可以分为可逆加 ...
- 加密与安全:图解非对称加密算法 RSA 数字签名与数字证书
RSA 加密过程是公钥加密.私钥解密,而数字签名.数字证书都是私钥签名(可以理解为加密),公钥签名验证(可以理解为解密).公钥和私钥都可以用来加密或解密,只要能保证用 A 加密,就用 B 解密即可,至 ...
最新文章
- vue中的时间过滤器
- python图形编程复选按钮和单选按钮详细说明_Python_tkinter_单选框(Radiobutton)与复选框(Checkbutton)...
- 3.顶点外扩方法实现的描边shader
- jvm oracle sun,JVM - 常见的JVM种类
- 整数分解为若干项之和
- 报告称海归国内就业遇阻力 去年近三成海归实际年薪不足10万
- python colorbar 0变白色_Python matplotlib更改超过colorbar范围的值的默认颜色
- Python--网络编程-----通过socket收发文件软件开发--面向对象开发
- MFC程序中使用QT开发界面
- Quartus II破解出现的问题
- java 请求webservice_JAVA调用WebService实例
- [node] 对某网站的简单爬虫
- 存储单元,字,MAR,存储字长,存储字,存储容量
- 了解一下 Technorati 的后台数据库架构
- 学习周记 CSS合集
- 程序员如何改善精神内耗?
- Google zxing实现二维码扫描完美解决方案
- 用PS如何做出古典油画人像照片效果
- Python办公自动化 | Task 01 文件自动化处理邮件批量处理
- Redis中使用Lua脚本(续)- Linux下Lua-cjson开源库的安装和使用
热门文章
- python爬取一张图片并保存_python爬取网页图片并保存到本地
- 1.Column ‘SNO‘ in field list is ambiguous2.the right syntax to use near ‘rank char)‘ at line 1
- 违反唯一约束条件oracle那行报错,没有重复却提示:ORA-00001: 违反唯一约束条件...
- 5 三大系统,让学习不靠意志力
- mysql8.0.30安装及数据导入
- Tigase进行即时通讯的实现
- Python爬虫系列:爬取小说并写入txt文件
- 解决Vscode每次连接ssh登入需要输入密码问题(免密登入)
- Git建立本地分支和远程分支的映射关系
- PNP与NPN三极管