构筑金融信息安全 | 溪塔科技完成 TLS 国密实现

密码作为国家三大安全支撑技术,是我国重要战略资源,也是保障网络与信息安全的核心技术与基础支撑。2020 年初,由第十三届全国人民代表大会常务委员会第十四次会议表决通过的《密码法》正式实施,这对于我国国家政治安全、经济安全、国防安全和信息安全有着重要的意义。

自 10 月 24 日起,区块链作为核心技术自主创新重要突破口,加快推动区块链技术和产业创新发展。区块链作为核心技术,密码算法则是核心中的核心,区块链国密算法改造对于国家战略的重要性不言而喻。2020 年 2 月,中国人民银行正式下发《金融分布式账本技术安全规范》,其中对密码算法的各方面制定了相关行业标准,强调分布式账本系统应使用符合国家标准的密码模块进行密码算法运算和密钥存储。更进一步加强的是,《安全规范》指出在节点通信传输安全性上,应使用符合国家密码标准的技术来建立安全通信通道,避免因传输协议受到攻击而出现的保密性破坏。

目前,行业中符合国密标准的区块链企业,其产品仅仅实现了账本数据层面国密改造,在网络通信层面上,并没有实现在完整 TLS 协议中使用自主研发的国密证书。而在金融行业中,经常涉及各类敏感数据,在处理、共享和使用过程中面临违规越权使用或被用于非法用途等数据泄漏的安全风险。自中国人民银行发布《金融分布式账本技术安全规范》后,为了避免出现安全问题,金融机构对区块链技术应用的安全要求进一步提高。企业在参与金融项目招标时,产品是否满足节点通信安全标准,成为重要考核指标。

至今,国内尚没有符合《GMT 0024-2014 SSL VPN 技术规范》标准的 Rust 版支持国密的TLS 代码库。因此,作为国内 Rust 技术重要推动力之一,溪塔科技 Rust 工程研发团队调研了几乎所有 Rust 版本实现的 TLS 代码库,发现 rustls 代码库对于 Rust 原生加密算法支持优秀,最终选择了 rustls 为基础代码库进行进一步改造。

在此过程中,工程研发团队花了大量时间改造优化了大量代码库内容,比如基于 libp2p 开发的 p2p 库(tentacle),以及 rustls 所使用的加密算法库 ring 等。本次改造内容主要集中在对基于国密算法产生的 x509v3 证书作了支持以及新增加国密密码套件 ECDHE-SM4-SM3。当前,溪塔科技 Rivus 软件中添加了产生国密证书的工具 create-certificate,企业只需要添加简单的配置项,就可以在自身产品中使用“纯国密”算法改造的 TLS,进行符合国家标准的安全通信。

随着我国区块链应用已延伸到数字金融等多个领域,银行、证券、信托、征信和保险等金融机构区块链应用案例不断增多,数据这一生产要素正在进行大规模的互联互通。因此,只有在保证数据的可信通信前提下,才能实现数据安全、有序、高效流动,促进金融行业的繁荣与发展。