铜锁获得商用密码产品认证,符合密码模块二级要求
铜锁在手,合规无忧
近日,蚂蚁集团密码团队基于开源铜锁项目和蚂蚁集团自研的密码卡,获得了国家密码管理局商用密码检测中心颁发的商用密码产品认证证书,符合 GM/T 0028《密码模块安全技术要求》安全二级。采用软硬件结合的方案,即混合软件密码模块,助力用户在国密改造、密评、等保等过程中,更加严谨地满足我国商用密码技术合规的要求。
关于商用密码产品认证
我国于 2020 年实施了《中华人民共和国密码法》(以下简称密码法),标志着密码技术的应用进入了依法管理的时代。《密码法》规定,我国的密码实行分类管理,即核心密码、普通密码和商用密码。核心密码和普通密码用于保护国家秘密信息,商用密码则用于保护不属于国家秘密的信息。当前,商用密码已经广泛应用于政务、金融、通信、交通、医疗、能源等各领域,为社会经济发展提供了有力的安全保障。
《密码法》提出推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。商用密码检测、认证机构应当依法取得相关资质,并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。要求对关键信息基础设施的密码应用安全性开展分类分级评估。《网络安全法》也明确规定关键信息基础设施运营者每年要自行或者委托第三方机构对信息系统安全性进行测评。密码应用安全性是测评的一项重要内容,应遵循密码法律法规要求。
商用密码检测机构针对生产厂家提交的商用密码产品,按照不同产品类别的相关要求,进行技术合规方面的多重检测。检测通过后,由检测机构为商用密码产品颁发《商用密码产品认证证书》,其中注明是基于何种产品标准和技术要求进行的检测,例如对于密码模块类型的商用密码产品,则需要符合 GM/T 0028《密码模块安全技术要求》 的各项规范。
《商用密码产品认证证书》是一种资质,表明了获得证书的商用密码产品在经过相关检测机构严格的测试后,在技术正确性、兼容性等方面是符合规范要求的,因此可以为使用该商用密码产品的用户提供更加严谨和正式的监管合规支撑,例如在密评、等保等认证体系中,均对密码相关产品或服务提出了相关资质的要求。
由于业内对于商用密码通常简称为 “国密”,因此《商用密码产品认证证书》也俗称为 “国密资质”。