国密CA（国家商用密码证书颁发机构）介绍

国密CA（国家商用密码证书颁发机构）介绍

国密CA，全称为国家商用密码证书颁发机构，是指在中国境内，根据国家密码管理法规和标准，经国家密码管理机构批准设立并运营，专门提供基于**国密算法体系（国家商用密码算法）**的电子认证服务（PKI，Public Key Infrastructure）的机构。

什么是国密算法？

国密算法是中国自主研发并拥有自主知识产权的一系列商用密码算法，包括：

SM1：对称加密算法，不对外公开。

SM2：非对称加密算法，是椭圆曲线密码算法的一种，用于数字签名、密钥交换和数据加密，替代RSA算法。

SM3：密码哈希函数，用于消息摘要和数字签名，替代SHA-256算法。

SM4：对称加密算法，用于分组加密，替代AES算法。

SM9：基于身份的密码算法，用于身份认证和密钥协商。

国密算法的推广应用，旨在提升中国信息基础设施的自主可控能力和网络空间安全防护水平，确保国家关键信息基础设施、政务系统、金融系统以及其他重要领域的信息安全。

国密CA的核心职能与服务：

国密CA的主要职能是依据国密算法体系，为各类实体（如服务器、个人、机构、设备等）签发和管理国密数字证书，提供以下服务：

国密数字证书签发与管理：

• 国密SSL/TLS服务器证书：取代国际标准算法（如RSA/ECC）的SSL证书，用于网站（HTTPS）、应用服务器的身份认证和数据加密，确保数据传输符合国密标准。
• 国密个人数字证书：用于个人身份认证、电子签名、加密邮件等。
• 国密机构数字证书：用于机构身份认证、电子签章等。
• 国密代码签名证书：用于软件或代码的数字签名，确保软件来源可信、未被篡改。
• 证书生命周期管理：包括证书的申请、审批、签发、吊销、续期、查询等全方位管理。

国密密码应用解决方案：

• 符合国家密评（密码应用安全性评估），协助政企客户进行密码应用合规性改造和建设，满足等级保护（等保2.0）中密码技术应用和密码管理的要求。
• 双栈密码体系支持，部分国密CA支持**“双证书”或“双栈”模式**，即在同一个业务系统中同时支持国密算法和国际标准算法的证书，以实现平稳过渡和广泛兼容。
• 集成国密SDK/API，提供国密算法的开发工具包和接口，方便各类应用系统集成国密密码功能。

国密安全服务：

提供国密应用方案设计、密码应用安全性评估（密评）咨询服务。协助客户将国密证书、密码设备集成到现有信息系统中。提供国密证书和密码设备的日常运维与技术支持。

国密CA的特点与优势：

国密CA是国家信息安全战略的组成部分，保障了关键信息基础设施的自主可控，减少对国外密码技术的依赖。国密算法经过国家密码管理机构的严格审查和测试，具有高安全性。国密CA的运营和证书签发受到国家法律法规的严格监管，具有法律效力。另外在中国的金融、政务、能源等关键领域，使用国密密码产品和服务是强制性或强推荐的要求。协助国家构建了中国自主可控的数字信任体系。

主要的国密CA机构（部分）：

中国有多家获得国家密码管理机构批准的国密CA机构，其中包括：

中国金融认证中心（CFCA）在金融行业具有绝对权威；中国信息安全认证中心（ISCCC）主要服务于政府、公共服务领域；数字认证（GDCA、BJCA等）：在政务、公共服务及企业市场有广泛布局。

国密CA面临的挑战：

• 兼容性问题：由于国密算法的特殊性，Web服务器、浏览器、操作系统及各类应用客户端需要进行适配才能完全支持国密SSL证书，尤其是在国际浏览器中的支持度有待提高（通常需要安装国密浏览器助手或使用特定国产浏览器）。
• 改造复杂性：对于已有的信息系统，进行国密改造可能涉及多方面技术栈的调整和兼容性测试。

以下是相关产品推荐：

1. 国密SSL证书

   • 适用于支持国密算法的网站和应用，提供HTTPS加密保护。
   • 支持SM2公钥算法、SM3哈希算法和SM4对称加密算法。
   • 链接：https://www.topssl.cn/ssl/cti-wildcard-ov-sm2

2. 华测EV SSL证书

   • 虽非纯国密证书，但由国内权威CA机构华测颁发，符合高等级安全标准，适合政务及金融类网站使用。
   • 提供企业身份验证和高强度加密，增强用户信任。
   • 链接：https://www.topssl.cn/ssl/cti-ev-ssl

以上信息来源于： 华测国密CA - https://www.topssl.cn/content/web/pages/ca.html