SM 算法的密钥管理应遵循 GM/T 0051-2016《密码设备管理 对称密钥管理技术规范》和 GB/T 39786-2021 的要求,覆盖密钥生成、分发、存储、更新、归档、销毁全生命周期。密钥生成必须在经国家密码管理局认证的密码设备(如 HSM)中完成,确保密钥不以明文形式出现在设备外部。
SM2 密钥对可由用户端生成(如浏览器密钥生成功能),也可由 CA 或 KMS 生成后安全分发。私钥应存储在受硬件保护的环境(如 TPM 2.0、TEE、UKey)中,不得明文导出。公钥以数字证书(X.509 v3 格式,遵循 GM/T 0015-2023)形式分发和验证。
SM9 的密钥管理以 KGC 为核心。KGC 的主私钥是系统的最高秘密,必须存储在 HSM 中,并采用多因素认证、分片存储、审计日志等机制保护。用户私钥通过安全渠道分发,并建议设置私钥有效期,到期后在 KGC 侧重新生成并更新。
SM4 密钥应通过国家密码管理局认证的密钥管理系统(KMS)生成和管理。密钥分发可采用 SM2 公钥加密或 SM9 加密保护,避免密钥以明文形式在网络中传输。关键系统应定期(如每年)更新 SM4 工作密钥,历史密钥在更新后按规定期限归档或销毁。