近日,Juniper曝出重大后门漏洞,引起业界一片哗然。全球顶级厂商的设备在出厂前就被植入了高危后门代码,听起来让人觉得匪夷所思,其实回顾 2013年的棱镜门事件,国外厂商生产的设备在不知情的情况下存在『漏洞』就不足为奇了。
注:棱镜计划,由美国国家安全局(NSA)自2007年起开始实施的绝密电子监听计划,9家国际网络巨头皆参与其中。
中国在信息行业里起步较晚,由于“先入为主”的观念,目前仍有许多用户在使用国外的网络安全设备。这些设备长期以来都是沿用3DES、SHA-1、RSA等国际通用的加密算法体系及相关标准,可以说用户的信息安全是掌握在国外科技公司的手中。而近几个月国际著名厂商设备频频曝光各类漏洞及威胁事件,这给中国的用户敲响了警钟——自主可控、安全可信的国产化改造势在必行!
为从根本上摆脱对国外加密技术和设备的过度依赖,国密办发布了 SM2、SM3、SM4等一系列国密算法,从加密算法层面推动信息科技的“安全可控”。那么国密算法和国际通用的算法究竟孰强孰弱呢?
“洋密码”VS“国产密码”
1.算法安全性
随着密码技术的发展,越来越多的国际通用密码算法屡屡传出被破解、存在后门等传闻,让人对其安全性产生怀疑。以国际上最为位著名的RSA密码算法为例,中国的三大运营商及不少银行、制造业企业都是它的客户。但就是这样一家世界知名的密码技术企业,却被曝出与美国国家安全局达成协议,被要求在部分加密技术中放置后门。
国密算法是由国密办推出的具有自主知识产权的商用密码算法,其由国密办制定规范,并授权给网络安全厂商,生产符合国家『自主可控、安全可信』要求的加密设备。
2.加密强度
以SSL VPN的接入认证为例,国际上广泛应用RSA采用非对称加密算法,算法加密强度比较小,通过高性能的计算机可以运算破解。
而国密算法SM2采用基于椭圆曲线加密(ECC)算法的非对称算法,密码复杂度高,160位ECC就可以达到与1024位RSA、DSA相同的安全强度。不仅如此,在实现同样的计算复杂度时,SM2在私钥的处理速度上远快于RSA、DSA算法,所以加密效率更高。
国密资质:进一步的安全,国家为你把关
在此次juniper事件当中,Juniper在公告中称,其VPN 和 防火墙设备的ScreenOS系统中发现未授权代码,因此可以让资深的攻击者获得对NetScreen设备的管理权限和解密虚拟专用网络连接。这意味着其产品在出厂前就在Juniper未知的情况下被『黑』,植入了“后门”程序,恶意攻击者通过“后门”可以绕过安全策略,随意获取设备的信息。
未授权代码在设备出厂前未被发现的主要原因是没有权威第三方机构对代码进行审核,设备中是否存在未授权代码只能靠厂商自查。一旦厂商未发现该类威胁代码,或者不对外公布,甚至默许这类漏洞存在,用户的信息安全就会受到威胁。
而国内安全设备想要获取国密资质不仅要有具备支持国密算法的软件研发能力,还需要向国密办做“代码备案”。备案后的代码需要经过国密办审核,符合国家安全要求的产品才能获得《商用密码产品型号证书》。经过国密资质认证的网络安全设备具备“自主可控”的要求,可以避免设备中出现『未授权代码』等问题
温馨提醒:
安全性是核心系统建设的重中之重,如果不重视网络设备的安全性,就是将企业、单位的“大门”上了锁,却向黑客打开了窗户。诸如SSL VPN、IPSECVPN这一类重要的加密设备,在各行业中被广泛应用于核心业务系统安全接入、系统安全加固及移动办公等场景,其与业务数据的安全性和业务系统的稳定性息息相关,任何潜在的安全威胁都不可忽视。因此,深信服建议用户更多考虑选择自主可控、安全可信、具备国密资质的国产加密设备。