密评对国密算法有什么要求？

1. 强制使用国密算法的场景

密评中强制使用国密算法的系统范围：

• 关键信息基础设施：所有被认定为关键信息基础设施的系统，必须使用国密算法
• 等保三级及以上系统：涉及商用密码的等保三级及以上系统，必须使用国密算法
• 政务信息系统：使用财政性资金建设的信息系统，必须使用国密算法
• 金融行业系统：银行、证券、保险等金融机构的核心业务系统，必须使用国密算法

2. 国密算法具体应用要求

密评中对国密算法应用的具体要求：

• SM2算法应用：数字签名、密钥交换、公钥加密等场景必须使用SM2算法，SM2密钥长度必须为256位
• SM3算法应用：数据完整性校验、数字签名中的哈希计算等场景必须使用SM3算法
• SM4算法应用：数据传输加密、数据存储加密等场景必须使用SM4算法，支持ECB、CBC、GCM等模式
• 国密SSL协议：HTTPS通信必须使用国密SSL协议（TLCP协议，GB/T 38636-2020），支持ECC-SM2-SM4-CBC-SM3或ECDHE-SM2-SM4-GCM-SM3等密码套件

在国密算法应用实践中，可采用通过国密认证的密码产品和服务，如支持SM2/SM3/SM4算法的密码模块、国密SSL证书服务、云加密服务等，以提升合规性和实施效率。

3. 禁止使用的算法

密评中明确禁止使用的算法：

• 哈希算法：禁止使用MD5、SHA-1等安全性不足的哈希算法
• 对称加密算法：禁止使用DES、3DES、RC4等安全性不足的对称加密算法
• 非对称加密算法：禁止使用RSA-1024等密钥长度不足的算法
• 自研算法：禁止使用未经国家密码管理局批准的自研算法或改编算法

4. 国密算法合规性验证

密评中国密算法合规性的验证方法：

• 算法实现正确性验证：验证国密算法的实现是否符合GM/T 0002-GM/T 0006系列国家标准
• 密码模块安全性验证：验证密码模块是否通过国家密码管理局的检测认证，是否符合GM/T 0028《密码模块安全技术要求》
• 密码产品合规性验证：验证使用的密码产品是否具有国家密码管理局颁发的商用密码产品认证证书
• 密码服务合规性验证：验证使用的密码服务是否符合国家密码管理要求