近日，Juniper曝出重大后門漏洞，引起業(yè)界一片嘩然。全球頂級(jí)廠商的設(shè)備在出廠前就被植入了高危后門代碼，聽起來讓人覺得匪夷所思，其實(shí)回顧 2013年的棱鏡門事件，國外廠商生產(chǎn)的設(shè)備在不知情的情況下存在『漏洞』就不足為奇了。

注：棱鏡計(jì)劃，由美國國家安全局(NSA)自2007年起開始實(shí)施的絕密電子監(jiān)聽計(jì)劃，9家國際網(wǎng)絡(luò)巨頭皆參與其中。

中國在信息行業(yè)里起步較晚，由于“先入為主”的觀念，目前仍有許多用戶在使用國外的網(wǎng)絡(luò)安全設(shè)備。這些設(shè)備長期以來都是沿用3DES、SHA-1、RSA等國際通用的加密算法體系及相關(guān)標(biāo)準(zhǔn)，可以說用戶的信息安全是掌握在國外科技公司的手中。而近幾個(gè)月國際著名廠商設(shè)備頻頻曝光各類漏洞及威脅事件，這給中國的用戶敲響了警鐘——自主可控、安全可信的國產(chǎn)化改造勢在必行!

為從根本上擺脫對國外加密技術(shù)和設(shè)備的過度依賴，國密辦發(fā)布了 SM2、SM3、SM4等一系列國密算法，從加密算法層面推動(dòng)信息科技的“安全可控”。那么國密算法和國際通用的算法究竟孰強(qiáng)孰弱呢?

“洋密碼”VS“國產(chǎn)密碼”

1.算法安全性

隨著密碼技術(shù)的發(fā)展，越來越多的國際通用密碼算法屢屢傳出被破解、存在后門等傳聞，讓人對其安全性產(chǎn)生懷疑。以國際上最為位著名的RSA密碼算法為例，中國的三大運(yùn)營商及不少銀行、制造業(yè)企業(yè)都是它的客戶。但就是這樣一家世界知名的密碼技術(shù)企業(yè)，卻被曝出與美國國家安全局達(dá)成協(xié)議，被要求在部分加密技術(shù)中放置后門。

國密算法是由國密辦推出的具有自主知識(shí)產(chǎn)權(quán)的商用密碼算法，其由國密辦制定規(guī)范，并授權(quán)給網(wǎng)絡(luò)安全廠商，生產(chǎn)符合國家『自主可控、安全可信』要求的加密設(shè)備。

2.加密強(qiáng)度

以SSL VPN的接入認(rèn)證為例，國際上廣泛應(yīng)用RSA采用非對稱加密算法，算法加密強(qiáng)度比較小，通過高性能的計(jì)算機(jī)可以運(yùn)算破解。

而國密算法SM2采用基于橢圓曲線加密(ECC)算法的非對稱算法，密碼復(fù)雜度高，160位ECC就可以達(dá)到與1024位RSA、DSA相同的安全強(qiáng)度。不僅如此，在實(shí)現(xiàn)同樣的計(jì)算復(fù)雜度時(shí)，SM2在私鑰的處理速度上遠(yuǎn)快于RSA、DSA算法，所以加密效率更高。

國密資質(zhì)：進(jìn)一步的安全，國家為你把關(guān)

在此次juniper事件當(dāng)中，Juniper在公告中稱，其VPN 和 防火墻設(shè)備的ScreenOS系統(tǒng)中發(fā)現(xiàn)未授權(quán)代碼，因此可以讓資深的攻擊者獲得對NetScreen設(shè)備的管理權(quán)限和解密虛擬專用網(wǎng)絡(luò)連接。這意味著其產(chǎn)品在出廠前就在Juniper未知的情況下被『黑』，植入了“后門”程序，惡意攻擊者通過“后門”可以繞過安全策略，隨意獲取設(shè)備的信息。

未授權(quán)代碼在設(shè)備出廠前未被發(fā)現(xiàn)的主要原因是沒有權(quán)威第三方機(jī)構(gòu)對代碼進(jìn)行審核，設(shè)備中是否存在未授權(quán)代碼只能靠廠商自查。一旦廠商未發(fā)現(xiàn)該類威脅代碼，或者不對外公布，甚至默許這類漏洞存在，用戶的信息安全就會(huì)受到威脅。

而國內(nèi)安全設(shè)備想要獲取國密資質(zhì)不僅要有具備支持國密算法的軟件研發(fā)能力，還需要向國密辦做“代碼備案”。備案后的代碼需要經(jīng)過國密辦審核，符合國家安全要求的產(chǎn)品才能獲得《商用密碼產(chǎn)品型號(hào)證書》。經(jīng)過國密資質(zhì)認(rèn)證的網(wǎng)絡(luò)安全設(shè)備具備“自主可控”的要求，可以避免設(shè)備中出現(xiàn)『未授權(quán)代碼』等問題

溫馨提醒：

安全性是核心系統(tǒng)建設(shè)的重中之重，如果不重視網(wǎng)絡(luò)設(shè)備的安全性，就是將企業(yè)、單位的“大門”上了鎖，卻向黑客打開了窗戶。諸如SSL VPN、IPSECVPN這一類重要的加密設(shè)備，在各行業(yè)中被廣泛應(yīng)用于核心業(yè)務(wù)系統(tǒng)安全接入、系統(tǒng)安全加固及移動(dòng)辦公等場景，其與業(yè)務(wù)數(shù)據(jù)的安全性和業(yè)務(wù)系統(tǒng)的穩(wěn)定性息息相關(guān)，任何潛在的安全威脅都不可忽視。因此，深信服建議用戶更多考慮選擇自主可控、安全可信、具備國密資質(zhì)的國產(chǎn)加密設(shè)備。