商密軟體棧SIG :基于 Anolis Linux,在整個系統軟體層面(包括硬體,固件,bootloader,核心以及 OS)實作以國密算法為主的全棧國密作業系統,結束一直以來國密算法生态碎片化的狀況,在技術方面打造社群和生态,在資質合規方面緻力于為行業提供基于國密的資訊安全标準。
基于 Anolis Linux,在整個系統軟體層面(包括硬體,固件,bootloader,核心以及 OS)實作以國密算法為主的全棧國密作業系統,結束一直以來國密算法生态碎片化的狀況,在技術方面打造社群和生态,在資質合規方面緻力于為行業提供基于國密的資訊安全标準。
1、Anolis 商密版鏡像, YUM 源已經準備就緒下
再進行最後的測試和驗證工作;
2、BabaSSL 更新到 8.2.1,修複了最近的幾個安全更新;
3、核心 SM4 算法 avx2 指令集優化進入上遊社群,至此核心 SM4 在 x86 平台的軟體層面優化(avx/avx2)基本完成,相比于純軟體實作,性能提升接近 8 倍,這會大幅降低商密的産業化成本,使得大規模商用變得可能;
4、
核心添加SM4 GCM/CCM模式的測試用例,支援SM4算法的AEAD功能。
全棧國密涉及到衆多的上下遊元件、團隊、外部合作夥伴、上遊社群、要盡可能團結其它團隊的力量,消除不必要的重複開發,擴大推廣和影響力,成為國密事實标準。
全棧國密要求先具備從 boot 到業務運作環節各安全鍊路上所需的國密算法,再針對各元件做針對性的優化,
在社群版本擴大精力影響力後 ,也讓未來商業版相比社群版本帶來差異化優勢。
協助 BabaSSL 申請國密資質,為應用系統提供必要的合規屬性,也為有此需求的使用者可以遷移到這個系統上來,增加使用者的使用黏性,這也是一個主要的競争優勢。
規劃支援的國密場景:
IMA 場景下使用國密算法替代國際算法
核心子產品簽名認證流程的國密化支援
Web 場景下的 RFC 8998 協定支援,即 TLS v1.3 協定中支援使用國密算法套件
使用國密算法支援 luks,dm-crypt 場景
SecureBoot 中使用國密算法替換國際算法
核心 SM4 算法的指令集加速實作
coreutils 支援 sm3sum 工具
SM2 優化,類似于 NIST,主要優化點是 SM2 所用曲線的快速取模算法
內建 intel QAT 方案,大量雜湊演算法加速 daemon
內建 AMD,Hygon CCP 加速方案
積極參與 OpenSSL 3.0.0 dev 開發,加速 release
coreboot 等未來可能替代 UEFI 的固件支援 SM 系統算法
8 月提供第一版全棧國密 OS 鏡像,提供預設國密算法的系統基礎元件:
使用 BabaSSL 替換系統預設的 OpenSSL1.1.1,提供國密的系統運作支援,也提供給開發者無門檻的國密應用二次開發體驗
内置sm3sum工具,用于計算檔案SM3雜湊演算法,提供與md5sum,sha256sum一緻的使用者體驗
IMA全場景支援國密算法,包括 ima-evm-utils 使用國密算法簽名,核心使用相應算法認證簽名的合法性
核心子產品簽名支援使用國密算法
12 月第二版本國密 OS 鏡像:
基于 5.10 核心的國密鏡像
核心支援 SM4 的 avx/avx2 加速實作,性能是純軟體實作的五倍左右,為商用提供必要支援
Web場景支援 RFC 8998 協定,在 TLS v1.3 中支援使用國密套件,以及提供給使用者最佳實踐,可以在國密 OS上開發自己的國密應用
争取更多的自研 patch 進入上遊社群,減少由此導緻的自定義 rpm 數量
目前相關的主要開源軟體棧對國密的支援情況以及社群回饋統計:
✅ 表示由 OpenAnolis 開發并已經貢獻到開源軟體中的特性
“開發中”表示由 OpenAnolis 開發中的、或是開源軟體正在進行 review 的特性
“Y”表示開源軟體已經支援且不是由 OpenAnolis 開發的
❌ 表示開源軟體尚未支援
“-”表示開源軟體無需支援
——完——
關于龍蜥社群 SIG
SIG 是開放的,并争取讓傳遞成果成為社群發行的一部分,由組核心心成員主導治理,可通過郵件清單群組内的成員進行交流。龍蜥社群SIG目前已超 20 個,包括跟蹤診斷技術 SIG、商密軟體棧、高性能存儲技術 SIG、Java 語言與虛拟機 SIG、Cloud Kernel、OceanBase SIG 等。
SIG網址:https://openanolis.cn/sig
本文分享自微信公衆号 - OpenAnolis龍蜥(OpenAnolis)。