有人用过国密算法吗，它有哪些好处？

没有 NSA 的后门

逐渐要替换了吧

@Tink 有些国企事业单位仍然要求使用国密标准

@James369 #3 我说关键行业要逐渐替换成国密的好像

伟大、光荣、正确

还有国密？ 加密算法不是用全世界公开的更好吗 莫非我理解错了？

没啥优点，就是法律规定某些密码类产品必须要用国密算法的加密芯片或者加密软件包，以免造成泄密。

@BrettD 加密算法都是公开的，不存在后门，但加密芯片或者加密工具包可以有后门。

自主可控
不过，业内不接受成为 IETF 标准，各种软件优化得也不好

不是很懂加密的具体细节，但是以前看到过一些研究，大概内容是：

1.NSA 出钱，收买制定加密标准的数学家，故意人为降低了加密的强度。
2.加密算法里，有一些内置常数，为什么特别规定这些常数，搞不清楚。这些指定的常数，可能存在某种陷门，方便知道细节的人破解。


已经石锤的内容是，RSA Security 公司与 NSA 的勾结，这个已经被石锤有后门了。

很多内部系统用的国密呢。现在 openssl 和 bouncycastle 都直接支持 SM2 、SM3 、SM4 、SM9 这些算法了。当年搞研究的时候都是自己手写的 23333

我司在用啊
SM1 是不公开算法
SM2 SM3 是公开的算法，尤其 SM2 是基于 ECC，挺先进
稍微坑的两点
SM1 的加密芯片是国密自产自销的，非常昂贵，拖累终端成本
由于目前国密应用情况较少，相关软件不够稳定成熟
优点大家都知道比较多。

好处就是能拿到某些资质、拿到某些部委的项目、骗到纳税人的血汗钱。
打过两年交道国产操作系统（银河麒麟、中标麒麟。。）和龙芯、中芯、瑞芯等的路过。。

记得是等保三级必须上国密。

也不错，现在很多依赖 jdk，很恶心。不知道为啥，不能有单独的 jar 包吗

好处就是可以上安可项目

@nutting #14 运行环境有 JRE 就够了，给生产机装 JDK 我一般理解为他搞不懂 JRE 和 JDK 的区别
至于为什么不能只用单独一个 JAR，你首先要知道 JRE 是啥。
JRE 是 Java Runtime Environment，Java 运行时环境。JAR 是 Java ARchive 。没有运行时环境，你拿头运行？

@boris93 哦，JRE 也一样，就是说这个加密好像写在底层了。不是纯 java 实现的，是效率问题还是用到了什么 cpu 指令

好处是各种正确。
nodejs 的 crypto 已经支持某些国密算法了

@ic2y 有些加密算法，国内研究过改用其他常数，结论是加密强度都不如使用本来规定的内置常数，但是怎么定出来的还是不知道，所以一直不放心

Blake2, ChaCha20Poly1305, Ed25519, X25519
如果信不过 NSA 和国密，就用上面的。我就这样……

@xuanbg 然而公开的加密算法也可以有后门

自主可控

国密是个好东西 , 政企的已经在大力推广国密了

有理由期待国密更抗别国的 NSA

缺点同样

我司最近对接腾讯的支付业务(新的事业部)，用的是国密 sm4.腾讯用的是 java 我们用的是 py.py 的库好像没有 java 支持的算法多.感觉要等死了

业务和党政企有关的应该多少都有接触过吧

@Twain 美国的加密技术出口管制了解下

用过 SM4，好像有些政企项目对加密算法有要求

实际工作没用的???不至于吧....
做点跟金融相关的项目,都要接触国密吧..这玩意国家强推

@fatpower openssl 支持国密了吗？ 是哪个版本啊

没人做过 fips 兼容吗?

只要有库直接调用都好说。

@enenaaa 百度：GMSSL

SM2 目前也已经陆续有指令加速了，国密算法最显著的优势是合规性。

@Twain #6 确实理解错了，比如 SM1 就是不公开的，要用芯片调用接口

另外就算是 rsa，芯片里面有后门你是没办法的，也只能用

@ic2y 美国的 B29 轰炸机曾经因为故障不得已迫降到了苏联，被苏联拆解后仿制，连机身上的个别孔洞（实际是弹孔）都被仿了。这些常数就和弹孔差不多。

最大的好处就是没有国外的组织比如 nsa 的后门了吧

目前从事国密算法行业，金融领域基本已完成了国密改造，其他行业也已开始，国家密码法颁布，会进一步推动国密的发展。

@singerll 三级也不用保密欧

@myqoo 建议不了解密码的人不要张口来。
（理论上这样作答适用于任何对 gov 不满的问题，但恰恰除了“宣泄”之外没什么价值）

也许一般软件开发里很少有人选择国密算法，不过实际上在国内安全产品和安全设备，很早以前都是已经支持国密算法。而最近 SM2 国密算法也被 Linux 内核社区接受了,可能在 5.10 内核版本中正式发布。

https://github.com/intel/isa-l_crypto/commit/374d57fe17ecc5ee745fe86d5ffdb35b1c2b4cc0
推荐下 isa-l_crypto avx512 版本的 SM3..16 个 lane，10+倍快乐 :)

另外回答下 lz 的问题，

SM2 和 ECC 原理一样，椭圆曲线选取不一样。
SM3 和 SHA256 一样的数据长度，IV 不一样，中间过程也很多不一样。

其他的系列忘了。优点：有些 benchmark 说 xx 场景更快,更安全。我不太认同。。。

什么场景下必须用：需要 ZF 认证的项目。类似于合作项目，必须用国密。

一套算法如果不宣称自己有多么可靠和高效, 却强调国产, 是不是背离了其初衷?

算法的开发者, 捐助者是有背景的. 更应该宣称的是自己没有收到背景影响而努力做到安全, 而不是宣称自己多么有背景吧.

当然, 以上是我作为一名普通开发者考虑的, 不是作为国家主人翁在考虑.

金融 IC 卡领域有应用，给你推荐一篇文章：

https://blog.csdn.net/pony_maggie/article/details/39780825

上面要求啥用就完事了，

@enenaaa #29
Major changes between OpenSSL 1.1.0i and OpenSSL 1.1.1 [11 Sep 2018] 应该这个版本。
但是 openssl 在同类开源库中，性能最低 :)

@iugo 对于普通开发者，可以认为一样安全。
对于国家主人翁，事实上“非国密”是美国背景，所以用中国背景去替代他是最好的“排除美国背景可能性”的方法

主要是国企的软件用到的多一点，其实 SM2 和 SM3 已经很成熟了，为了通过一些软件测试才会用吧

@iugo 你这回复的最后一句。。就好像说我知道是在抬杠但是我就要抬😂

@lsylsy2 为什么要排除美国背景？美国不好吗？

属于国家标准，特定场合按规定必须使用国密算法，一方面知根知底用着放心，另一方面统一标准有助于各方面评估量化。

如果没有强制要求必须使用国密，就以实际需求选取算法就好了，像有些算法是可以硬件加速的，如目前主流 CPU 都提供了 AES 、SHA 相关指令。

@reus 可以尝试去建议美国机要系统使用国密，看看别人怎么回复你

和行李箱上那个钥匙孔一样的道理。不过国内的隐私保护。。。。

招标采购的时候好投标

楼上那些杠精简直了。

国密算法的应用推广目前来时是大趋势，法规也规定，等保 3 级以上、关键信息基础设施中必须适用国密，
至于怎么用，其实很多领域都还比较困惑，比如工业领域，怎么改造既有系统和设备是大问题。
但是不用国密，实在不让人放心。
韩国、日本等国家也事实上在关基中推行自己的加密算法，
美国我没记错的话也是规定政#府系统必须用 AES 算法。

棱#镜事件还不够让各位清醒一些，也是够可以的。

@showkin 因为只有滋油冥煮的西方世界才能有“国家安全”邪恶的东方国家不配。

本质上就是洋奶喝多了

@lozzow 哈哈哈那个杠的是真的没道理，人 47 楼都已经说明前提条件了

我们是普通开发者 只能提供对应类库给调用就可以了
什么加密方式是根据客户需求来的
做国内项目很多是要求执行国密标准的
以前早期项目不支持的现在需要改进支持
其实相对比加密方式 更头疼的是某些破公司给政府部门开发的垃圾接口
->特别是各地海关的接口

美国黑历史太多了。。。棱镜门，NSA 一堆黑料，还有控制瑞士的加密公司 Crypto AG，做后门，窃听 120 多个国家的通信。。。离谱

@love 你自己根据算法原理做个实现，哪来的后门？椭圆算法有后门还是大数分解有后门？

我得理解是算法原理是 公开的，具体实现有不同方式。那么所谓的后门是在哪个层面？

如果是前者，纯数学原理，怎么加后门？如果是后者，自己实现就完事了。

可是目前的国密强调的是算法啊。

国标加密算法， 政府项目新项目都要求上，旧项目也会被要求上，只要还有人 /公司在维护。 问题是做加密的公司貌似还没有充分考虑到国内云的趋势，都在强推 SM1 的密码机，一个项目也被要求上密码机。

加密算法选择 nothing up my sleeve number 作常数，但也可以造后门，Wiki 上就有写

@xuanbg 算法也可以有后门呀，比如某椭圆曲线加密算法

普通密码和核心密码一般人接触不到，一般公众能接触的就是商用密码。
为什么要用？国家相关法法法规和一些行业标准规定。
比如某些场合，你（只）用 SHA256 之流的就是不行，想做杂凑，就得（能选）用 SM3 。

不然你就没有销售许可，或者过不了等级保护测评，或者会触犯网络安全法、刑法等。

养活了一大堆中介。。。

听起来多牛逼，尤其是做政府项目

@enenaaa #28 从 1.1.1 开始就支持了

@wangxiaoaer 因为只能拿算法说事。。。
密码产品除了算法就是算法实现，算法实现的问题没法说啊。所以只能说自己的算法更先进，事实上也确实稍微先进那么一点。难道还能公开宣称人家的密码产品都有后门吗？这话说出去不好听啊，撕破脸做什么呢，自己心里明白就行了。

爱国爱党

我以为你要说国测局的地图坐标

@showkin 棱镜门那是 DES，后来的 AES 是比利时人开发的。。。

这方面有石锤的:
"美国国安局(NSA)“棱镜门”监听丑闻又有新进展。据路透社报道，NSA 曾与加密技术公司 RSA 达成了 1000 万美元的协议，要求在移动终端广泛使用的加密技术中放置后门。"
新闻链接: https://www.oschina.net/news/47098/rsa-backdoor

所以国密算法的存在和发展还是很有必要的.

@myqoo #5 你这样阴阳怪气也太局限了

@liangfei 我了解 tz 内，但我也支持他宣泄。

任何制度都有其优点与缺点，受益了夸一下，被坑了吐个槽，人之常情。

好处就是有些项目必须用
国际上认可度不高
如果实际工作用不到，就是你基本没接触过企事业单位和政府项目

像美国还有一些加密技术都限制出口，说明加密技术的重要性，特别是在军事领域

央视“开讲啦”节目，有期请的大佬就是北大还是清华的一个破解美国那个什么加密算法的。

以前做的项目要求采购某国企的加密机，一台很贵性能还很差

@laminux29 你这....有点上纲上线了哈，我说啥了怎么就上升到 zhidu 了？？？咱不是在讨论国密吗...
（唉..没有对线的意思哈，我的意思是既然讨论的是国密，最好知道国密是个啥，我支持理性宣泄，但不是先入为主的怪声怪气）

@OATAO 我想你说的应该是王小云院士
（老师第一节课就讲她，所以印象很深，05 年理论破解 MD5 、SHA1，后 Google 实现证实，感兴趣的话可以搜一下）

那么在意隐私的 V2er 居然对美国人那么放心。 果然是为了反对而反对啊

话说。。。我一直以为 RSA 这些算法都是公布所有细节的来着
不是说现代加密算法都是披露细节的吗

SM2 签名算法没啥问题，强度接近 NIST P-256 ECC，后者是目前主流的 ECC 算法标准，但因为 NIST 并没有为 P-256 曲线参数的来历给出很合理的解释，被认为可能存在弱点（也就是没实锤）。SM@拿来替换 RSA 是没问题的，

不过如果没什么兼容和合规需要，直接用 Curve25519 最好，现在任何新系统都不应该考虑使用 RSA 。

@learningman 只是那家 RSA Security 公司的产品有问题。至于 RSA 算法本身，弱点是找了一大批了，例如弱密钥（就是部分生成的密钥对达不到与其长度匹配的强度），都不算致命问题。

我一直认为加密算法什么的, 你觉得不好就改, 无可厚非. 但开源做了这么久, 无论是对称加密还是非对称加密, 一些流行的算法及实现本身应该是不存在后门的.

有人给出所谓美国产加密方案存在后门的石锤, 我去看了新闻, 我没找相关维基解密的原文, 但从新闻可知, 是 NSA 新创了一个小众加密方案, 让权威组织认证为安全, 再让大家去用而已, 并非我们使用的主流加密方案(可能大多数与美国公司有关)有后门. (RSA 目前在全球拥有 8000 万客户, 而超过 500 家公司在逾 1000 种应用软件安装有 RSA BSafe 软件, 8000 万客户, 有 500 家安装了包含后门的软件)

并没有证据说明有主流的标准化的加密方案存在后门. 因为加密的数学原理其实挺简单的, 除非有人在数学上有所突破但藏着掖着, 否则不能说有后门.

国内有自己的加密算法也无可厚非, 就像如果国家队在 GitHub 上开个 fork 也是很正常的. 但数学原理应该也是一样的. 私有加密方案的确更安全, 虽然价格过高让人觉得有猫腻.

当初与 react 的协议不满, 有人(Google 工程师)开了 preact. 主打更加开放的协议和轻巧高效.

既然主题讨论国密优点, 我觉得如果有人能拿出科普文或者 benchmark 来分享一定会对大家都许多帮助.

我目前看大家的讨论, 除了政府项目是刚需, 觉得国密也没什么好处, 就是另一种选择罢了. 在普通的应用场景下, 我更愿意使用流行的库.

@xuanbg @wangxiaoaer
关键词：Dual_EC_DRBG
公开的算法藏后门并没什么稀奇的。尽管 NIST 和 NSA 并未承认后门，但这个算法确实被发现存在安全缺陷。

美国对加密算法有出口管制， 国外组织如果要使用需要先查询是否在管制列表，如果在列表内需要向美国申请备案。国内如果是重要领域的加密算法怎么也得自己搞一套，不然被制裁了还是得自己造个轮子。这就是国密的好处之一了。

密码学算法的开源实现，比如 OpenSSL 、libressl 、gnutls，那么多人 /公司盯着，有漏洞绝对是一个大新闻，前几年 OpenSSL heartbeat 这种都是一个轰动性事件，更别提原理上的了。

早期 des 是可能存在后门，因为 s 盒数选取的不透明（ IBM 设计），但现在的 AES 、RSA 、ECC 这种，开源的实现不可能存在基础上的漏洞。

拿 RSA security 公司说事的，它用的是公开的实现不？
密码学的安全从来不建立在闭源实现上。


至少短期，用国密就是没事找事，没有芯片做硬件加速，没有软件做优化，性能在这摆着。

SM2 就是 ECC 椭圆曲线算法，只不过参数不一样，用 ECC 的库将 SM2 的参数放进去就是 SM2 的实现。
SM4 是对称加密算法，不过设计的轮函数执行次数比较多，性能相比 AES 较慢，现在有通过仿射变换调用 AES-NI 指令加速的方法。

@iugo #85 私有加密方案不是更安全，恰恰想反。

@wdlth 仿射变换应该是投影变换。

那个公开算法有美国后门的传言难以置信。算法这个是数学问题，我能肯定的是美国相关密码部门的数学家不可能强过此外全世界的数学家。

@VeryEase

算法怎么可能限制？限制的是实现算法的软硬件

@liangfei 应该是找到碰撞 并不是破解

评论有些评论挺不错，但是有些一开口就阴阳怪气就真无语

@feather12315
Dual_EC_DRBG 的缺陷是算法本身问题，不是实现的问题。这个算法是公开的且后来被标准化。

OpenSSL 即使号称那么多人和公司盯着，heartbleed 漏洞被引入后照样过了两年才被公开。

公开的算法相比封闭算法或许更容易发现缺陷，但不意味着公开的就是安全的。

密码学算法本身的安全性都是基于某个困难问题，该问题以目前已知的方法都无法有效解决，但并不意味着可能存在未知方法可以解决该问题（或者在某种限制条件下显著降低难度）。只是不知道这个“未知方法”是没人知道，还是有人知道但不说...
//一种安全算法可以被证明是安全的，直到它后来被发现是不安全的。
//当然大部分安全算法直到设计应用寿命结束依然是安全的。像 SHA-1 实际碰撞也是用的很多年前的攻击方法。

@snw Dual_EC_DRBG 本身就被很多人批评其不够可靠，有存在后门的可能性。现在都已经被废弃了。这种不可靠的算法为什么一定要去用呢？明明还有其他可靠的算法可用。在密码领域，可靠性永远是第一位的，然后才是强度和效率的平衡。都不可靠了，加密不是形同虚设吗，再快又有什么用？

@EIJAM #35
不知道您是从事什么研究的，对于现代密码而言，这些常数是非常重要的。这是一个很基础并广为人知的事情，比如：
https://en.wikipedia.org/wiki/S-box
词条提到 DES 的 S 盒被发现是精心设计的，细小的调整就会显著削弱加密。这个 S 盒就是比随机矩阵的非线性好，但这么关键的构件，却偏偏不公开设计思路。

@liveoppo #92
即使是明明白白的开放源码，OpenSSL 实现时的漏洞也好几次被利用成了筛子而无人修复，更何况密码学算法本身的一些设计无异于“编译”后的结果，即使专家学者不断进行针对性地研究，找到设计中留下的便门难度也是很大的。


我个人认为，当然得做，如果指望大新闻来提供安全性，那就会成为新闻主角国。
最大的问题可能只在于，国密本身与这些算法仍然是相似的，我们不一定真的吃透了。

另外这里很多网友的认知与现实已经脱节了。
对你们很多人而言，什么算法都只是调个库，出了事大不了升个级，DRY 已经写进 DNA 里了，另起炉灶是可耻和没有必要的，等到需要的时候自然而然就发现开源的全面利用了、有风险的自主研发了、有劣势迎头赶上了——怎么可能。看看国产手机出海的情况吧，这算是非常成功的领域了，禁得起 Google 禁运吗？
至于很多人认为的劳民伤财，Gov.采购本来就是一种调控和分配手段啊。谁不知道做事找 BAT 华为会更顺利？在座一定有同仁公司没了官家的订单不能活，难道是这些公司比华为强吗？如果公司垮了饭碗没了，你乐意去华为卷奋斗人吗？

很多事情不会因为隔了个太平洋就有所不同，要说花钱对岸更夸张。评价标准应该是一致的，事情最终做成了就算不错。