月度归档： 2021年12月

2021年12月2日，Digicert成功在线召开“2021年亚太区合作伙伴会议”。Digicert CEO John Merrill、首席营收官Rob Hoblit等多位高管出席本次会议，与来自日本、韩国等多国合作伙伴就Digicert产品更新、营销模式等方面进行了深度分享，共话数据安全发展机遇与未来合作方向。

本次会议中，天威诚信作为Digicert亚太区重要白金精英合作伙伴，凭借优质的服务能力和突出的市场表现，再次斩获Digicert 2021年度“突出销售奖”和“销售增长奖”两大奖项。充分证明了天威诚信在亚太区数字证书市场中的极高占有率及优秀的业界技术支撑能力和服务支持能力。

DigiCert是全球领先的数字证书提供商，多年来专注于为用户提供高端SSL证书和代码签名证书，在Web领域之外，DigiCert通过可扩展的、基于PKI的自动化解决方案进行创新，方案涉及为物联网（IoT）与其他新兴的互联市场提供身份、验证与加密。

天威诚信是由工业和信息化部许可设立的电子认证服务机构，2000年天威诚信首度将DigiCert（前身Symantec）认证业务引入中国，自此开启长达21年的战略合作，为中国企业客户实现了DigiCert数字证书本地化一站式服务，满足了用户对证书不同维度的需求。

21年的合作过程中，天威诚信和DigiCert积累了丰富的实战经验，建立了完善的联合服务机制。天威诚信凭借自主研发的证书智能管理平台，助力用户实现证书一站式自动化部署和证书全生命周期管理，为用户打造更加安全、可信的网络空间，彰显了天威诚信在数字证书领域强劲的综合服务能力。
在数智化、全球化、智能化趋势不断深化的浪潮中，广大客户对数据安全和网络防护的要求将会更加严格，对高可用性的TLS技术也将更加依赖。面对愈来愈复杂的网络环境，天威诚信将继续加深与DigiCert的战略合作，坚持以服务为本的宗旨，不断强化优势、突破创新，与众多合作伙伴一起深耕数据安全领域，共同把握时代机遇，实现创新共赢。

很多人可能不认为密码技术是与核技术和航天技术并列的国家三大核心安全技术之一。 它在保护信息安全、构建行业网络安全环境、增强我国行业信息系统“安全可控”能力等方面发挥着至关重要的作用。

我国政府高度重视密码技术。 为保障我国重要经济系统密码应用的安全，提高我国信息安全水平，国家密码管理局于2010年12月17日发布了SM2算法，要求现有基于RSA算法的电子认证。 系统、密钥管理系统、应用系统升级改造，使用支持国密SM2算法的证书。

那么，相比国际RSA算法SSL证书，使用国密SM2算法的证书有哪些优势呢？ 主要应用于哪些领域？

国密SM2算法证书VS国际RSA算法SSL证书

更高的加密强度

国际上的RSA算法SSL证书通常是RSA算法。 RSA是目前影响最大、使用最广泛的公钥加密算法。 它可以抵抗目前已知的大多数密码攻击，并已被 ISO 推荐为公钥数据加密标准。

但是随着密码学和计算机技术的发展，目前的1024位RSA算法已经被证明存在被攻击的风险。 美国国家标准与技术研究院要求在 2010 年完全禁用 1024 位 RSA 算法并升级为 2048 位 RSA 算法。

我国现阶段使用的国密SM2算法是在椭圆曲线密码学理论基础上的改进，其加密强度高于RSA算法（2048位）。

更强的安全性能

作为国际RSA算法SSL证书的核心算法，虽然RSA算法仍占据SSL证书市场的主流地位，但随着计算机技术的发展和因式分解的改进，对低位密钥的攻击已经成为可能。 国际RSA算法的SSL证书也面临更多未知风险。

基于ECC椭圆曲线算法的SM2算法一般采用256位密钥长度，其单位安全强度较高，在工程应用中难以实现，破译或求解难度基本呈指数级增长。 因此，SM2算法可以以较少的计算能力提供比RSA算法更高的安全强度，但所需的密钥长度远低于RSA算法。

另外，如果要不断提高安全强度，就必须增加密钥长度。 SM2算法密钥长度增长缓慢（例如：224-256-384），而RSA算法密钥长度需要增加多次（例如：1024 -2048-4096），这使得SM2算法的安全性能更好 .

更快的传输速度

在通信过程中，更长的密钥意味着必须来回发送更多的数据来验证连接。 与2048位的RSA算法相比，256位的SM2算法可以传输更少的数据，也就意味着更少的传输时间。

经国外相关权威机构测试，Web服务器采用SM2算法，Web服务器新并发处理的响应时间比RSA算法快十倍。

天威诚信，国密改造计划推动SM2算法应用

目前，我国正在大力推广国密SM2算法，用RSA算法替代SSL证书，以政府和金融领域为主要示范产业，在教育、社保、交通、通信、能源、税务、公共 安全、国防工业等广泛领域需要使用符合国家标准的密码算法和产品，以确保作为关键环节的密码算法具有自主可控性，确保我国密码算法的安全性和可信度。 信息安全基础设施。

作为国家授权的CA认证机构，天威诚信积极响应国家号召，加快实施SM2算法，结合不同行业属性，为国密转化用户提供全生态一站式转化方案。 帮助政府、企事业单位顺利实现国密算法升级改造。

此外，为方便用户选择和使用，天威诚信秉承兼顾国密算法合规性和全球通用性的原则，基于全行业的服务经验，深度整合第三方安全产品， 并为国密改革用户提供SM2 RSA双算法。 同时，致力于通过更简单便捷的本地化服务，不断助力国密SM2证书及其在多个行业的合规应用的推广和普及。

近日，CA/B论坛成功举办了今年的最后一次会议。 会议提出了几项更新要求，包括苹果新root程序相关问题、S/MIME证书和代码签名证书文件的新基线要求、eIDAS 2.0预览等。

天威为您精心整理了会议内容。 详细情况如下：

苹果的新根程序

Apple 宣布了新的 S/MIME 邮件证书文件要求，预计将于明年 4 月实施。 苹果声称，从2022年4月1日起，将S/MIME证书的有效期缩短至两年，并要求所有认证机构（即CA）公开与苹果根证书列表相关的所有CA证书。

此外，Apple 还需要 S/MIME 证书：

1.包括emailProtection EKU；

2. 包含至少一个用户可选名称 rFC822Name 值，其中包含电子邮件地址；

3、有效期不超过825天；

4.使用加密强度≥SHA-256签名算法；

5. 满足以下键大小要求：

•如果使用RSA加密算法，密钥大小必须至少为2048位，并且必须能被8整除。

• 如果使用 ECDSA 算法，密钥必须代表 NIST P-256、NIST P-384 或 NIST P-521 命名椭圆曲线上的有效点。

更改 SSL/TLS 证书文件

会议提到，在过去两年左右的时间里，验证分委会一直在努力让公众信任的SSL/TLS证书中哪些内容可以展示，哪些内容不能出现在公众信任的SSL/TLS证书中。 证书。 虽然我们强烈支持明确的要求，但更严格的信息要求可能会给一些客户造成混淆。 本次会议提出了许多更新的建议，其中大部分可能在2022年通过，要求在2023年实施。

eIDAS 2.0 预告

Enrico Entschew 在会议上围绕在欧洲正实施 eIDAS(欧盟电子签名及信任体系条例)更新做了总结。根据当前的提案，浏览器将被要求遵守欧盟信任列表，并为欧洲证书(称为 QWAC)提供可视化指标。此外，在eIDAS2.0中他强调了数字身份重要性，并表示在数字钱包和下一代数字身份方面还有很多工作要做。

S/MIME证书基线要求

S/MIME工作组正在制定一套新的S/MIME基线要求。虽然这些要求要到2022年才能最终确定，可能要到2023年或更晚才会生效，但该组织已经完成了对S/MIME文件草案的讨论，并初步达成共识。在策略要求中有部分亮点值得关注：首先，它有一个传统概要文件，里面基本包括了对行业中现有的实践的系统介绍，也允许现有的CA快速采用和推进新的S/MIME基线要求。

此外，它还包括升级到更有价值的证书类型的路径，包括那些包含经过验证的身份信息的证书。最后，最苛刻的条款将被降级为严格规定，这样那些认为此条款有用的人可以继续采用，如果认为无用则可以选择忽略。

改善代码签名服务要求

会议最后一项议题讨论了改善代码签名服务要求。目前，代码签名工作组正在改善代码签名服务，这可能会大大提高个人持有的数字令牌的安全性和可用性。该工作组的工作仍处于早期阶段，目前的要求尚不明确，但我们希望代码签名服务能够快速提高数字签名资产的安全性和可用性。

正如今年早些时候，CA/B论坛宣布代码签名证书更改最小密钥长度为3072位一样，其目的也是为了提高数字签名的安全性。

通过以上会议内容不难看出，不论是CA/B论坛还是Apple公司都在开始研究S/MIME证书和代码签名证书的新要求。

天威诚信认为，随着公共PKI的应用愈来愈广泛，未来将会有越来越多的用户注重身份认证和数字签名，这也意味着互联网安全行业需要基于安全性和可用性原则提高数字证书合规标准，以便为广大用户群体提供更方便快捷的证书及服务，保障用户信息和网络数据安全。