Part 1 General.pdfPart 2 Digital Signature Algorithm.pdfPart 3 Key Exchange Protocol.pdfPart 4 Public Key Encryption Algorithm.pdfPart 5 Parameter Definition.pdf

SM3 Cryptographic Hash Algorithm.pdf

问题一：GM/T 0021《动态口令密码应用技术规范》中多次提到“分散”一词，“分散”操作具体是指什么操作？是否是使用SM3以及SM4算法进行单向运算？解释：GM/T 0107-2021《智能IC卡密钥管理系统基本技术要求》3.4节给出了“密钥分散”的定义，即“对称密钥体制中，根密钥根据分散因子产生子密钥的运算过程”，GM/T 0107-2021的资料性附录A还提供了使用SM4算法的分散过程示例。分散过程可采用多种密码算法实现，也不限于单向运算。问题二：GM/T 0008《安全芯片密码检测准则》与GM/T 0028《密码模块安全技术要求》或GB/T 37092《信息安全技术 密码模块安全要求》的安全级别是否对应？解释：GM/T 0008《安全芯片密码检测准则》适用于安全芯片，GM/T 0028《密码模块安全技术要求》或GB/T 37092《信息安全技术 密码模块安全要求》适用于密码模块，两者在《商用密码产品认证目录》中分属不同产品类别，安全级别不存在对应关系。问题三：密标委对车联网相关密码技术标准的编制是否有计划？近期在推进哪些车联网相关的标准规范？解释：密标委高度重视车联网相关密码标准化工作，目前正在推进车内网络通信密码应用、车载信息交互系统密码应用、C-V2X证书策略、V2X证书认证系统检测等标准的研究制定，欢迎密码从业单位积极参与相关标准编研工作。问题四：针对GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》中的网络与通信安全层面的身份鉴别指标，根据商用密码应用安全性评估相关标准和指导性文件，要求从DAK（D：密码使用有效性，A：密码算法/技术合规性，K：密钥管理安全）三个指标的角度进行判定。如果网络层使用了SSL协议进行通信并通过数字证书的方式进行身份鉴别，那么身份鉴别的密码算法/技术合规性指标的判定对象是数字证书中的签名算法还是数字证书中公钥基于的密码算法？还是二者都需要考虑？解释：在网络层使用SSL协议进行通信，基于数字证书做身份鉴别时，网络层身份鉴别密码算法/技术合规性指标判定关注的内容包括：一是数字证书中通信实体的公钥密码算法，即数字证书中用户公钥基于的密码算法，二是数字证书中用于保证公钥本身的完整性和来源真实性的签名算法，二者均需要考虑。

现发布GM/T 0126-2023《HTML密码应用置标语法》等25项密码行业标准，自2024年6月1日起实施，具体标准编号及名称如下：GM/T 0006-2023 密码应用标识规范GM/T 0009-2023 SM2密码算法使用规范GM/T 0010-2023 SM2密码算法加密签名消息语法规范GM/T 0011-2023 可信计算 可信密码支撑平台功能与接口规范GM/T 0014-2023 数字证书认证系统密码协议规范GM/T 0015-2023 数字证书格式GM/T 0016-2023 智能密码钥匙密码应用接口规范GM/T 0017-2023 智能密码钥匙密码应用接口数据格式规范GM/T 0018-2023 密码设备应用接口规范GM/T 0019-2023 通用密码服务接口规范GM/T 0020-2023 证书应用综合服务接口规范GM/T 0021-2023 动态口令密码应用技术规范GM/T 0022-2023 IPSec VPN技术规范GM/T 0023-2023 IPSec VPN网关产品规范GM/T 0024-2023 SSL VPN技术规范GM/T 0025-2023 SSL VPN网关产品规范GM/T 0026-2023 安全认证网关产品规范GM/T 0033-2023 时间戳接口规范GM/T 0126-2023 HTML密码应用置标语法GM/T 0127-2023 移动终端密码模块应用接口规范GM/T 0128-2023 数据报传输层密码协议规范GM/T 0129-2023 SSH密码协议规范GM/T 0130-2023 基于SM2算法的无证书及隐式证书公钥机制GM/T 0131-2023 电子签章应用接口规范GM/T 0132-2023 信息系统密码应用实施指南 以下18项密码行业标准自2024年6月1日起予以废止：GM/T 0006-2012 密码应用标识规范GM/T 0009-2012 SM2密码算法使用规范GM/T 0010-2012 SM2密码算法加密签名消息语法规范GM/T 0011-2012 可信计算 可信密码支撑平台功能与接口规范GM/T 0014-2012 数字证书认证系统密码协议规范GM/T 0015-2012 基于SM2密码算法的数字证书格式规范GM/T 0016-2012 智能密码钥匙密码应用接口规范GM/T 0017-2012 智能密码钥匙密码应用接口数据格式规范GM/T 0018-2012 密码设备应用接口规范GM/T 0019-2012 通用密码服务接口规范GM/T 0020-2012 证书应用综合服务接口规范GM/T 0021-2012 动态口令密码应用技术规范GM/T 0022-2014 IPSec VPN技术规范GM/T 0023-2014 IPSec VPN网关产品规范GM/T 0024-2014 SSL VPN技术规范GM/T 0025-2014 SSL VPN网关产品规范GM/T 0026-2014 安全认证网关产品规范GM/T 0033-2014 时间戳接口规范 国家密码管理局 2023年12月4日

现发布GM/T 0117-2022《网络身份服务密码应用技术要求》等9项密码行业标准，自2023年6月1日起实施，具体标准编号及名称如下： GM/T 0117-2022 网络身份服务密码应用技术要求 GM/T 0118-2022 浏览器数字证书应用接口规范 GM/T 0119-2022 PLC控制系统及PLC控制器密码应用技术规范 GM/T 0120-2022 基于云计算的电子签名服务技术实施指南 GM/T 0121-2022 密码卡检测规范 GM/T 0122-2022 区块链密码检测规范 GM/T 0123-2022 时间戳服务器密码检测规范 GM/T 0124-2022 安全隔离与信息交换产品密码检测规范 GM/T 0125.1-2022 JSON Web 密码应用语法规范 第1部分：算法标识 GM/T 0125.2-2022 JSON Web 密码应用语法规范 第2部分：数字签名 GM/T 0125.3-2022 JSON Web 密码应用语法规范 第3部分：数据加密 GM/T 0125.4-2022 JSON Web 密码应用语法规范 第4部分：密钥

问题一：GM/T 0018-2012《密码设备应用接口规范》中接口的描述基本上都是Windows风格，是否适用信创环境？拟答复内容：接口的描述风格不影响接口实现。GM/T 0018-2012《密码设备应用接口规范》规定的接口采用C语言描述，所有支持C语言的操作系统（包括Windows、Linux以及信创操作系统等）均适用。问题二：GM/T 0018-2012《密码设备应用接口规范》中规定的接口适用于哪些密码设备？密码设备是否必须支持标准规定的所有接口？拟答复内容：GM/T 0018-2012《密码设备应用接口规范》中规定的接口主要适用于整机类密码设备或密码模块，如服务器密码机、PCI密码卡等。根据GM/T 0102-2020《密码设备应用接口符合性检测规范》第8章规定，密码设备应支持GM/T 0018-2012《密码设备应用接口规范》规定的所有接口（即所有接口不能直接返回SDR_NOTSUPPORT）。问题三：当前GM/T 0028-2014《密码模块安全技术要求》标准中核定的安全功能没有定义GCM分组加密模式，应用系统或者密码模块是否可以使用GCM分组加密模式？拟答复内容：可以。在GB/T 36624-2018《信息技术 安全技术 可鉴别的加密机制》和GB∕T 38636-2020《信息安全技术 传输层密码协议（TLCP）》中都定义了GCM分组加密模式。GCM分组加密模式符合GB/T 39786-2021通用要求中的“密码算法”和“密码技术”指标要求。目前GM/T 0028-2014正在修订过程中，拟增加GCM分组加密模式作为核准的安全功能。问题四：GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》“网络和通信安全”部分所规定的“身份鉴别”和“安全接入认证”指标要求有何不同？拟答复内容：安全接入认证和身份鉴别两个指标要求关注的内容有所差异，“安全接入认证”指标关注设备接入内部网络时是否被认定为合法设备；“身份鉴别”指标关注建立网络通信信道（如SSL、IPSec）的双方实体身份真实性。

2021年12月21日，第二届密码行业标准化技术委员会第三次全体会议在北京顺利召开。国家密码管理局、国家标准委相关领导莅临指导，密标委顾问、全体委员以及特邀专家、相关标准化组织代表、中国密码学会、各省（区、市）和新疆生产建设兵团密码管理部门、行业协会及从业单位有关人员共两千余人通过线上线下相结合的方式参加了本次会议。密标委主任委员徐汉良同志作工作报告，对密标委成立十年来的工作进行系统总结，对下一阶段重点工作进行部署。特邀专家围绕区块链、金融和广电领域密码应用等作了专题报告，密标委顾问予以指导，委员代表交流发言。国家标准委国焕新副司长对密标委十年来的工作成果予以充分肯定，认为密码标准化工作质量高、发展快、特点鲜明，希望今后进一步发挥密码标准化规范与引领作用。会议指出，新形势下做好密码标准化工作，对于推动密码高质量发展、新发展格局下畅通密码供需循环、提升密码治理体系和治理能力现代化水平具有重要意义，密标委要紧密团结在以习近平同志为核心的党中央周围，认真贯彻落实党中央、国务院决策部署，以史为鉴、开创未来，埋头苦干、勇毅前行，推动密码标准化工作取得新成绩、再上新台阶，为推动新时代密码工作高质量发展，维护国家安全和发展利益作出新的更大贡献，以优异成绩迎接党的二十大胜利召开！

（第3期）问题一：GM/T 0028《密码模块安全技术要求》定义的密码模块安全等级是否适用于所有类型的商用密码产品，是否所有通过认证的商用密码产品都有相应的安全等级？解释：适用GM/T 0028标准的商用密码产品类型可查阅市场监管总局和国家密码管理局联合发布的《商用密码产品认证目录（第一批）》。目前GM/T 0028定义的密码模块安全等级主要适用于认证目录中明确“认证依据”包含GM/T 0028标准的产品种类（包括智能密码钥匙、智能IC卡等15类）。并不是所有通过认证的商用密码产品都有相应的密码模块安全等级，目前，主要对产品认证证书中明确标注有GM/T 0028安全级别的商用密码产品提出符合相应等级安全要求。问题二：商用密码产品在遵循GM/T 0028《密码模块安全技术要求》标准时是否需要符合该产品所申请密码模块安全等级的所有要求？是否存在不适用项？解释：商用密码产品在遵循GM/T 0028标准时，根据产品形态的不同，可能存在某些与该产品所申请密码模块安全等级要求不完全相符的情况：一是对于运行于可修改环境中的软件模块，物理安全和非入侵式安全要求是可选的；二是对于硬件和固件模块，物理安全和非入侵式安全要求应当适用；三是对于混合模块，软件和固件部件应当满足软件/固件安全和运行环境中的所有适用要求，硬件部件应当满足物理安全和非入侵式安全中的所有适用要求。问题三：如何理解GM/T 0028《密码模块安全技术要求》中定义的密码主管角色、用户角色和维护员角色？解释：根据GM/T 0028 《密码模块安全技术要求》7.4.2章节有关内容，密码主管角色应当负责执行密码初始化或管理功能，以及常用的安全服务（例如模块初始化、关键安全参数管理以及审计功能）；用户角色应当负责执行一般的安全服务，包括密码操作和其他核准的安全功能；维护员角色是指在物理维护服务（例如打开模块封盖）或逻辑维护服务（例如运行某种诊断如内置的自测试）时担任的角色。问题四：GM/T 0018-2012《密码设备应用接口规范》6.3.10章节中定义的“产生ECC密钥对并输出”接口，直接输出明文密钥对，是否存在安全隐患？解释：该接口仅供外部调用，虽然具备产生ECC密钥对的功能，但产生的密钥对仅作输出、并不在该密码设备内部使用。输出后密钥对的安全使用不由该密码设备负责，该密码设备也不提供ECC私钥明文的导入接口，因此不存在安全隐患。问题五：GM/T 0018-2012《密码设备应用接口规范》6.2.1及6.2.2章节中定义的“打开设备”、“关闭设备”接口在并发服务中如何使用，需要每个执行线程中均调用一次打开设备接口和关闭设备接口吗？ 解释：不需要在每个线程中均执行一次打开设备和关闭设备操作。打开设备函数返回的设备句柄，可以对应多个会话句柄，在多线程环境中，多个执行线程可以共享同一个已打开的设备句柄并获得各自的会话句柄，但需注意多线程同步问题。

问题一：GM/T 0028《密码模块安全技术要求》密码模块接口：可信信道具体有哪些功能？解释：可信信道是在密码模块和发送者或接收者之间建立的链路，用于安全传输未受保护的明文关键安全参数、密钥分量以及鉴别数据。可信信道在模块定义的输入或输出端口以及预期的发送者或接收者终端的通信链路上,可以防止窃听以及来自恶意的操作员/实体、进程或其他设备的物理或逻辑篡改。问题二：GM/T 0028《密码模块安全技术要求》7.4.3.3章节中“需要两个独立的内部操作激活自启动密码服务能力”，应当怎么理解？解释：自启动密码服务能力是指无需外界操作员请求，模块就能够执行密码操作和其他核准的安全功能或敏感安全参数管理技术。如果密码模块实现了自启动密码服务能力，则对于安全三级模块，两个独立的内部操作（比如设置两个不同的软件或硬件标志位），可以由一个或两个操作员发起，也可以由密码主管配置完成；对于安全四级模块，两个独立的内部操作必须由不同的操作员发起。问题三：GM/T 0028《密码模块安全技术要求》7.10.3.2章节中密码算法自测试失败后的密码模块状态应该是什么？解释：密码算法自测试失败后，密码模块状态应处于7.11.4中规定的错误状态，不得继续提供密码服务。问题四：GM/T 0028《密码模块安全技术要求》7.3.3章节中定义的“数据输入接口”和“控制输入接口”是否可以复用？解释：可以复用物理端口，但是需要保证逻辑隔离。 问题五：GM/T 0018-2012《密码设备应用接口规范》6.7章节定义了文件操作类函数，此类函数的应用场景或用途是什么？ 解释：文件操作类函数可用于创建、读写、删除存储在密码设备内部的用户数据文件。