关键信息基础设施、等保三级及以上系统、政务信息系统以及金融等行业的核心业务系统,必须使用国家密码管理局批准的国密算法。新系统应优先采用国密算法,存量系统应制定国密算法迁移改造计划并逐步完成。
密评合规要求使用以下国密算法:SM2椭圆曲线公钥密码算法(用于数字签名、密钥交换、公钥加密,密钥长度256位);SM3密码杂凑算法(用于数据完整性校验、数字签名中的哈希计算);SM4分组密码算法(用于数据加密,支持ECB、CBC、GCM等模式);SM9标识密码算法(适用于物联网、移动互联网等场景)。HTTPS通信还需使用国密SSL协议(TLCP协议)。
禁止使用MD5、SHA-1等安全性不足的哈希算法;禁止使用DES、3DES、RC4等安全性不足的对称加密算法;禁止使用RSA-1024等密钥长度不足的非对称加密算法;禁止使用未经国家密码管理局批准的自研算法或改编算法。
验证国密算法的实现是否符合GM/T 0002至GM/T 0006系列国家标准;验证使用的密码模块是否通过国家密码管理局检测认证并符合GM/T 0028《密码模块安全技术要求》;验证使用的密码产品是否具有商用密码产品认证证书。