國密算法在主流作業系統、浏覽器等用戶端中,還沒有實作廣泛相容。是以,在面向開放網際網路的産品應用中,國密算法無法得到廣泛應用。比如,在SSL證書應用領域,由于國際主流浏覽器不信任國密算法,如果伺服器部署國密SM2 SSL證書,可能直接導緻網站系統在使用者端無法通路。實作基于國密算法的HTTPS加密認證,最大的應用難點在于,國密算法應用生态的建設以及對主流應用生态的相容。
建立完整的國密全生态支援體系
不僅需要提供國密SSL證書産品,同時需要支援國密算法的浏覽器、伺服器軟體國密支援子產品等國密應用産品,建立從用戶端、伺服器端到數字證書的國密算法全生态支援體系,讓國密算法能夠在HTTPS加密認證中全流程無縫應用。
雙證書服務,自适應相容所有浏覽器
建立完整的國密應用生态閉環,可以確定國密SSL證書在國密浏覽器中正常使用,但這還遠遠不夠。如果使用者使用不支援國密的主流浏覽器通路國密SSL證書網站,仍然會出現不受信任和無法通路的問題,國密SSL證書應用方案無法相容主流應用生态,在實際應用中将很難真正落地實施。下圖為使用Chrome浏覽器通路國密SSL證書網站(單證書部署)的顯示效果。
在國密SSL網關上同時部署SM2/RSA雙證書,伺服器軟體自動識别浏覽器。當使用者使用國密浏覽器通路時,采用國密算法SM2加密;使用其他不支援國密的浏覽器通路時,則自動采用RSA算法加密,自适應相容所有浏覽器,就能有效解決了浏覽器相容性問題。
下圖為部署SM2/RSA雙證書的網站,在Chrome和國密浏覽器中的顯示效果。同一個網站域名,在Chrome浏覽器中使用RSA算法,在密信浏覽器中使用國密SM2算法。
密碼技術是保障我國網絡資訊安全自主可控的核心技術,我國非常重視國産密碼算法的推廣應用,已經明确要求在金融銀行、電子政務、教育、交通運輸、民生保障等關鍵領域進行國産密碼算法更新改造,使用SM2/RSA的雙算法部署方案,将有助于國密算法在HTTPS網站全加密方面的普及應用,幫助關鍵領域業務系統平滑實作國密算法更新改造并穩定運作。