密码技术知识点速记笔记

01、GM/T 0008《安全芯片密码检测准则》

安全等级1的安全芯片要求至少2个相互独立的物理噪声源
指令自检不属于安全登记1的安全芯片自检要求
安全等级2的安全芯片对能量分析攻击的要求的是：安全芯片须具有相应措施保证算法运算时能量消耗特征与密钥和敏感信息之间没有明显的相关性、送检单位必须通过文档或其他方式对相应的防护措施及其有效性进行描述和说明、防护措施的有效性必须通过检测
安全芯片接口分为逻辑接口、物理接口
安全等级1的安全芯片关于“审计”的要求的是安全芯片须具有唯一标识
达到安全等级1的安全芯片对计时攻击无要求
安全等级2的安全芯片不要求公钥密码算法的所有细节都采用专用硬件实现
安全芯片生成的密钥必须保证不可预测、不可逆推
安全芯片敏感信息保护部分的要求是：敏感信息的存储、敏感信息的清除、敏感信息的运算、敏感信息的传输
安全等级2的安全芯片对固件存储的要求不包含安全芯片中的固件以密文形式存数
安全等级1的安全芯片要求安全芯片对密钥和敏感信息提供基本的保护措施
安全芯片须支持以密文形式存储密钥不属于安全等级2对密钥存储的要求
GM/T 0008 《安全芯片密码检测准则》中，规定的芯片安全能力共有3个级别
达到安全等级1级的安全芯片可应用于安全芯片所部署的外部运行环境能够保障安全芯片自身物理安全和输入输出信息安全的应用场合
安全芯片支持的各种不同物理接口输入输出的密码算法的运算数据须一致
无论哪一级别的安全芯片，其源文件都必须安全存放
安全芯片固件导入时应支持导入源的身份鉴别
安全一级的安全芯片固件可以再次导入
安全等级2的安全芯片对审计的要求的是：安全芯片必须具有唯一标识、唯一标识是可校验的、安全芯片具有逻辑或物理的安全机制保证标识不被更改
安全芯片需要能够正确、有效地实现声明的功能
安全芯片固件安全部分的要求的是：固件的存储、固件的执行、固件的导入
安全等级1的安全芯片故障攻击防护无要求

02、GM/T 0012《可信计算可信密码模块接口规范》

在GM/T 0012《可信计算可信密码模块接口规范》中，SM9不是该规范中支持的算法
在GM/T 0012《可信计算可信密码模块接口规范》中，可信密码模块是硬件的集合
管理引擎不是可信密码模块内部的引擎
在GM/T 0012《可信计算可信密码模块接口规范》中，TCM2_ECC_SM2_P 256为该标准定义和使用的椭圆曲线
对称算法引擎、非对称算法引擎、杂凑算法引擎、HMAC引擎是可信密码模块内部的引擎
平台配置寄存器PCR中的数据在芯片复位或者掉电之后数据会丢失
NV（非易失性存储器）中数据在芯片复位或者掉电之后数据不会丢失
对称算法引擎是执行对称密码运算的单元
TCM2_Startup不可以允许成功多次
上电之后，需要先调用TCM2_Startup之后，才能使用其他的功能接口
GM/T 0012《可信计算可信密码模块接口规范》支持SM4加密、SM4解密、SM2签名、SM2解密接口
平台配置寄存器是可信密码模块内部用于存储平台完整性度量值的存储单元

03、GM/T 0013《可信计算可信密码模块接口符合性测试》

在GM/T 0013《可信计算可信密码模块接口符合性测试》中，非对称密钥包含签名密钥、封装密钥、迁移密钥
为实现规范符合性测试，TCM应具备能够创建静态测试向量、能够执行动态测试脚本、能够载入和执行来自至少一个其他TCM厂商的TCM数据等能力
测试向量的目的包括确保命令参数的格式正确、确保命令参数结构解释正确、确保操作的执行与规范一致
在GM/T 0013《可信计算，可信密码模块接口符合性测试》中，明确命令依赖关系是测试向量和测试脚本正确执行的根本保证
在GM/T 0013《可信计算，可信密码模块接口符合性测试》中，授权协议命令集合依赖于某个实体的授权
基于TCM厂商和评估者的不同能力，本标准建议采取联合测试常量、变量的方式对TCM进行测试
对厂商而言，TCM符合性测试属于白盒测试，可以直接对这些命令的执行的中间过程进行测试并展示其测试结果
在GM/T 0013《可信计算可信密码模块符合性检测规范》是以GM/T 0011《可信计算可信密码支撑平台功能与接口规范》为基础，定义了可信密码模块的命令测试向量，并提供有效的测试方法与灵活的测试脚本

04、GM/T 0028《密码模块安全技术要求》

安全一级密码模块的所有软件和固件部件应当使用核准的完整性技术进行保护
状态输入接口不属于密码模块接口类型
可信信道使用的物理端口应当与其它物理端口实现物理隔离
公开安全参数是与安全性相关的公开信息，一旦被修改，会威胁到密码模块安全
GM/T 0028《密码模块安全技术要求》要求，软件/固件安全域不适用于硬件密码模块
软件密码模块包括数据输入接口和控制输入接口
敏感安全参数包括：对称密钥、私钥、公钥、口令
密码算法条件自测试可以采用：已知答案测试、对比测试、错误检测测试
非入侵式攻击有：能量分析、计时分析、电磁泄露，不包含穷举攻击
LED指示灯不能作为GM/T 0028《密码模块安全技术要求》中规定的密码模块控制输入接口
密码模块硬件封装形式不包括单芯片独立式封装
密码模块三级要求不包含多因素鉴别
除申报安全等级为一级的智能IC卡产品外，测试对象至少应达到GM/T 0028 安全二级
GM/T 0028《密码模块安全技术要求》中规定的密码模块不包括混合硬件模块
GM/T 0028《密码模块安全技术要求》中的“核准的安全功能”不包括入侵检测
GM/T 0028 《密码模块安全技术要求》中对于可修改运行环境不提供三级和四级安全要求
对于安全四级，密码模块应当采用基于身份的多因素鉴别机制或者基于角色的鉴别机制以控制对模块的访问
三级及以上密码模块手动建立的敏感安全参数需要以加密的形式、通过可信信道或使用知识拆分过程输入或输出
二级及以上等级的密码模块要求基于身份的鉴别机制
三级和四级的密码模块密码边界内的所有软件和固件应当使用核准的数字签名进行保护
产品级部件不属于安全三级的“物理安全”通用要求
无论熵从密码边界内部还是外部收集，对任何一个关键安全参数，其最小熵值应当不小于256比特
运行在通用计算机上的软件密码模块处于不可修改的运行环境
密码模块的源代码不应视为软件密码模块的密码边界内的组件

05、GM/T 0035.2/5 《射频识别系统密码应用技术要求第2部分：电子标签芯片密码应用技术要求 / 第５部分：密钥管理技术要求》

电子标签的机密性保护须通过对传输的明文数据进行加密完成，可采用流加密和分组加密的方式进行
电子标签在设计时除了要考虑机密性，完整性，审计记录等安全密码要素外，还要考虑其他安全措施，如抗功耗分析、抗电磁分析、抗故障分析、抗物理攻击等
属于电子标签的密钥管理的有：密钥注入、密钥存储、密钥使用
电子标签对存储在电子标签内的敏感信息采用密码算法进行加密保护，确保除合法读写器外，其余任何读写器不能获得该数据
电子标签采用非对称密码算法产生的数字签名可用于数据完整性校验
标识类电子标签不具备密码技术保护功能，可用于物流跟踪和物品识别等应用
电子门票中所用电子标签属于防伪类电子标签
射频识别系统中的密钥体制包括3类
对称密钥体制中密钥类别包括3类
标签存储的分散密钥由根密钥和分散因子通过密码算法生成
生成、分发、注入属于密钥管理范围，混淆不属于
分散因子长度不小于4字节
完整性是电子标签的密码安全要素之一，其中存储信息完整性保护应采用密码算法，通过对存储的数据加校验码的方式进行
唯一标识符鉴别需要在电子标签中存储UID以及验证码（MAC）
验证码(MAC)是由UID与相关应用信息关联后采用密码算法计算产生，并在发行电子标签时写入
读写器对读写器的挑战响应鉴别不属于电子标签的身份鉴别方法
GM/T 0035.2《射频识别系统密码应用技术要求第2部分：电子标签芯片密码应用技术要求》附录A中示例的电子标签芯片所使用的SM7算法是一种对称算法
支持抗电子标签抵赖时，电子标签应具有产生数字签名的功能
电子标签存储信息的机密性保护应采用密码算法加密完成
抗抵赖是电子标签密码安全要素之一，它包括抗电子标签抵赖、抗读写器抵赖、抗电子标签原发抵赖
电子标签的密码安全要素包括机密性、完整性、抗抵赖、身份鉴别、访问控制、审计记录、密码配置和其它安全措施
标签密钥不可以被读出
电子标签采用密码算法对存储在电子标签内的敏感信息进行校验计算，以发现数据篡改、删除、插入等情况，确保存储数据的完整性

06、GM/T 0039《密码模块安全检测要求》

可信信道使用的逻辑接口应当与其他逻辑接口实现逻辑隔离
核准的工作模式应当定义为一组服务的集合，其中至少有一个服务使用了核准的密码算法、安全功能或过程
金融数据密码机设备安全性测试应遵照GM/T 0039《密码模块安全检测要求》
如果熵是从模块密码边界外部收集的，那么使用该熵作为输入所生成的数据流应当被视为CSP
密码模块逻辑接口可以分布在一个或多个物理端口上
非核准的密码算法或密钥生成方式可能被用来混淆数据或CSP，但是结果被视为未受保护的明文，且只能提供非安全相关功能
可信信道基于身份的鉴别应当用于所有使用可信信道的服务
密码模块除数据输入、输出接口外，还应当具备控制输入接口、状态输出接口、控制输出接口
密码模块应当采用物理安全机制以限制对模块内容的非授权物理访问，并阻止对已安装模块的非授权使用或修改，检测人员应核实模块硬件、软件、固件、数据的物理安全保护机制
对于二级及以上的多芯片独立式密码模块，如果其外壳含有任何门或封盖，则下列保护机制中可行的是：带有物理或逻辑钥匙的防撬机械锁、存迹胶带、全息封条
所有进出密码模块的逻辑信息流，都应当仅通过已定义的物理端口和逻辑接口。送检文档中应通过框图、设计规格、源代码、原理图说明密码模块的信息流和物理接入点
辐射不属于常见的错误注入技术
关于敏感安全参数（ SSP），模块应当在SSP置零完成时提供输出状态指示
安全二级增加了拆卸存迹机制的要求，以及确保无法对模块关键区域的内部操作收集信息的要求
智能密码钥匙的安全性应满足GM/T 0028《密码模块安全技术要求》，并按照GM/T 0039《密码模块安全检测要求》对其安全性进行检测和评估
时间戳服务器安全性检测应符合GM/T 0039《密码模块安全检测要求》的规定
送检单位的密码模块应包括一个密码主管角色
当密码模块被设计成允许物理访问时，需要为维护访问接口规定安全要求。拆卸检测和拆卸响应可以代替显式的拆卸证据
密码模块逻辑接口应当是相互分离的
核准的和非核准的服务和工作模式的 CSP应当相互分离
如果密码模块支持基于角色的鉴别机制，那么模块应当要求操作员隐式或显式地选择一个或多个角色
智能IC卡安全性测试项目应遵照GM/T 0039《密码模块安全检测要求》
检测人员可以使用检测机构的设备或送检单位的设备进行测试，也可监督送检单位使用送检单位的设备进行测试
密码模块逻辑接口输入数据和输出数据可以共享同一个物理端口
可信信道使用的物理端口应当与其他物理端口实现物理隔离
操作员应当能够在核准的工作模式下操作模块
每一个密码模块的实例应当能够控制和支配自己的SSP
针对多芯片嵌入式密码模块，拆卸存迹属于安全二、三级密码模块要求

07、GM/T 0051《密码设备管理对称密钥管理技术规范》

GM/T 0051《密码设备管理对称密钥管理技术规范》是密码设备管理系列规范之一，其建立密钥管理安全通道所依据的规范是GM/T 0050
密钥数据封装格式与分发方式无关
GM/T 0051《密码设备管理对称密钥管理技术规范》中，被管密钥的范围是业务密钥
完整的密钥产生和下发操作，需要的接口包含密钥生成装置接口、密钥管理应用的指令发送接口、被管设备密钥管理接口
密钥管理审计内容包含：对密钥生成、存储、分发等密钥管理事件，以及策略管理、身份认证等系统管理事件进行审计；对用户主动操作的管理事件进行审计；记录服务器状态
被管设备的对称密钥在GM/T 0051《密码设备管理对称密钥管理技术规范》中，是以原子密钥方式被传输
GM/T 0051《密码设备管理对称密钥管理技术规范》中密钥管理应用的标识为0xC0
主控模块不属于密钥管理中心的功能
密钥管理系统制定的管理策略包含密钥生成策略，包括生成装置种类、密钥数量、密钥长度等；密钥分发策略，包括在线密钥分发、离线密钥分发等；密钥封装格式、导入处理方式
密钥恢复包括用户恢复与司法恢复两种
密钥管理主机包括密钥管理应用、密码设备管理平台、密钥设备管理接口，不包括对业务提供密码服务
密钥管理系统初始化，包含密码设备管理平台功能、用户激活功能、被管设备证书注册
密码设备可被GM/T 0051《密码设备管理对称密钥管理技术规范》管理的有：密码机、密码卡、智能IC卡、智能密码钥匙
从密钥库中取出密钥并下发的过程中，待分发密钥被主密钥加密，由密码设备将待分发密钥转换为本次会话的分发保护密钥加密，对密钥进行标准封装后下发
密钥管理系统各子系统之间的通信采用基于身份验证机制的安全通信协议
密钥管理系统可为多个被管系统提供业务密钥服务
密钥管理系统应保障系统模块之间连接的安全性，包括完整性、机密性、防重放、不可否认性
密钥管理系统遵循标准化、模块化、松耦合设计原则
密钥库中的密钥必须加密存放或者采用分割明文存储方式
密钥管理系统的组成部分包括：主控管理、密钥生成/封装/存储分发管理、备份／恢复/归档管理、密管代理
GM/T 0051《密码设备管理对称密钥管理技术规范》中的原子密钥生成过程，可以由专用密钥生成装置和通用密钥生成装置生成
封装时间不属于密钥标准封装的内容
密钥管理指令PDU的类型包括分发保护密钥协商指令和密钥分发指令、密钥销毁指令、密钥启用指令、密钥申请指令
密钥在任何时候不能以明文方式导出密码设备
密钥生成模块的设计要求包括为多个系统提供业务密钥、支持外部密钥的导入、支持密钥以密文方式导出，明文密钥不可出硬件设备
密钥生成装置包含的种类有：满足规范要求的通用密钥生成装置、满足规范要求的专用密钥生成装置

08、GM/T 0062《时间戳服务器密码检测规范》

在GM/T 0123 《时间戳服务器密码检测规范》中，随机数自检应符合GM/T 0062中的E类产品的上电检测和使用检测要求
A类产品不能独立作为功能产品使用，其典型产品形态为随机数发生器芯片
B类产品用时上电，随机数检测处理能力有限，对上电响应速度有严格要求，其典型产品形态为智能IC卡
C类产品用时上电，随机数检测处理能力有限，对上电响应速度没有严格要求，其典型产品形态为智能密码钥匙
D类产品长期加电，随机数检测处理能力有限，对上电响应速度没有严格要求，其典型产品形态为POS机
E类产品长期加电，具有较强的随机数处理能力，对上电响应速度没有要求，其典型产品形态为服务器密码机
GM/T 0062《密码产品随机数检测要求》将随机数检测划分为五个不同产品形态类别
送样检测是由厂家在产品出厂前自行进行的产品随机数功能和质量检测
周期检测是产品工作过程中按照一定的时间间隔自动进行的随机数功能检测
在GM/T 0062《密码产品随机数检测要求》中，D类产品、E类产品需要对随机数进行周期检测
在GM/T 0062《密码产品随机数检测要求》中，对A类产品的随机数使用检测没有要求

09、GM/T 0078《密码随机数生成模块设计指南》

GM/T 0078 《密码随机数生成模块设计指南》中，对物理随机源输出序列进行检测能够检测到物理随机源失效
检测到物理源失效后，需要采取的措施有：产生报警信号、停止输出随机数、清除缓存中的随机数
典型的基于混沌原理的物理随机源模型包括内部状态电路、反馈电路、采样电路
基于相位抖动原理的物理随机源，主要包括慢速时钟信号采样带抖动快速振荡信号、带抖动慢速的时钟信号采样快速振荡信号
合成的多路物理随机源可以采用相同原理，也可以采用不同原理
每一路物理随机源电路是独立的
轻量级后处理算法包括冯诺依曼校正器方法、异或链方法、奇偶分组方法、m-LSB方法
随机数生成模块输出的随机数，依据GM/T 0005进行随机性检测
后处理算法基本原则是不能降低每比特的平均熵，即后处理模块输入n比特，输出m比特，必须保证n≥m，其中n=m的前提是物理随机源输出序列通过GM/T 0005检测
冯诺依曼校正器适用于l出现概率固定, 且输出的随机数序列是不相关的随机数生成模块
基于混沌原理实现物理随机源，需要考虑电路元器件受工艺偏差和寄生效应对的影响，确保电路的稳定工作
异或链方法通过将物理随机源输出序列经过多级触发器组合得到内部输出序列
随机数生成模块不提供随机数序列输出
随机数生成模块的一般模型包括物理随机源电路、物理随机源失效检测电路、后处理电路，不包括DRBG电路
基于混沌动力系统原理实现物理随机源，主要考虑混沌函数的电路实现和随机噪声的实现
混沌系统包括离散混沌和连续混沌两种
典型的基于相位抖动原理产生物理随机源模型包括振荡源、采样时钟、触发器，不包括比较器
在利用相位抖动原理实现的物理随机源电路设计中，加大电源随机干扰，提高随机性不能提高抗干扰能力
异或链级数越多，产生随机数效率越低
电阻产生的热噪声幅度，需要满足该噪声经过放大器放大后能够被比较器所识别
典型的基于热噪声直接放大原理的物理随机源的模型包括噪声源、噪声放大器、比较器，不包括反馈电路
使用分组密码算法作为后处理算法，其输入不包括摘要
基于相位抖原理的物理随机源的输出的随机比特序列质量受采样时钟的频率、振荡源输出信号的抖动的标准差、振荡源的振荡时钟频率、采样时钟信号的抖动的标准差的影响
密码函数方法的后处理算法不包括基于零知识证明的方法

10、GM/T 0079

基于椭圆曲线的直接匿名证明系统中，验证方平台功能有：验证证明数据、认证证明方平台TCM身份、请求验证TCM数字身份是否被撤销
TCM匿名凭证的申请不属于凭证颁发方的功能
基于椭圆曲线的直接匿名证明系统ECDAA中，凭证颁发方的功能有：初始化ECDAA系统参数、为TCM安全芯片颁发ECDAA凭证、验证TCM安全芯片身份是否撤销
基于椭圆曲线的直接匿名证明系统要求的安全目标包括不可伪造性、匿名性、不可关联性
基于椭圆曲线的直接匿名证明系统主要由凭证颁发方、证明方和验证方构成
基于椭圆曲线的直接匿名证明系统的基本流程为系统初始化、凭证颁发、证明和验证
TCM芯片匿名证明实现上可选择支持多个并行匿名证明会话或仅支持单个匿名证明会话
基于椭圆曲线的直接匿名证明系统ECDAA中，证明方根据ECDAA计算位置不同分为主机和 TCM安全芯片
基于椭圆曲线的直接匿名证明系统ECDAA中，TCM安全芯片的匿名身份私钥f只允许保存在TCM安全芯片内部
执行 TCM_ECDAA_Join命令不属于验证方平台功能

11、GM/T 0082

在GM/T 0082《可信密码模块保护轮廓》中，评估对象TOE面临的威胁有物理破解、导入、功能异常
在GM/T 0082《可信密码模块保护轮廓》中，评估对象TOE的安全目的包括安全密钥管理、身份标识、完整性检查，不包括安全销毁
在GM/T 0082《可信密码模块保护轮廓》中，强制性原发证明依赖于选择性原发证明
FPT_TST.1（评估对象安全功能TSF检测）中TSF自检程序不包括在初始化启动期间运行、正常工作时周期性运行、在授权用户要求时运行
ACM_SCP.1（TOE CM范围）要求中，维护记录文档不属于CM文档应说明的CM系统应能跟踪的内容
ADV_FSP.1（非形式化功能规范）中包含开发者行为元素、评估者行为元素、证据的内容和形式元素，不包含验证者行为元素
评估对象TOE面临的威胁包括攻击、旁路、冒名、无安全属性
FCS类包含的安全要求有密钥产生、密钥销毁、密码运算
FPT_FLS.1（带保存安全状态的失败）要求TOE安全功能TSF在任何密码运算的失败和任何命令或内部操作的失败的情况下应保存一个安全状态
安全威胁冒名的目的包括身份标识、安全角色、受保护的功能、安全导入
评估对象TOE面临的导出威胁是指一个用户或攻击者可能会将数据导出而不附带安全属性或附带的安全属性不够安全，导致导出的数据是错误的并且无效
安全目的的基本原理是通过安全目的与威胁之间的关系证明安全目标的合理性和完整性

12、GM/T 0083《密码模块非入侵式攻击缓解技术指南》

属于基于统计学的侧信道分析的有：互信息分析、极大似然分析、相关性分析
在非入侵式攻击测试中，若一个核心测试由于设定的重复操作次数上限而无法继续进行，则认为通过测试
简单能量/电磁泄露测试流程中，指令序列相关性的识别方法包括交叉关联方法以及聚类分析方法
根据GM/T 0083《密码模块非入侵式攻击缓解技术指南》，技术人员应当根据具体的密码算法特点、密码模块的特性、具体部署的实际场景选择缓解技术来抵抗非入侵式攻击
非入侵式攻击的工作方式包括：水平攻击、垂直攻击、矩形攻击，不包括计时攻击
简单侧信道分析和高级侧信道分析的区别是是否使用了统计分析方法
简单能量分析是对指令执行（或单个指令的执行）模式的直接（主要是可视化的）分析，它与密码模块的能耗有关，并用以获取密码操作相关的信息
采用混合缓解技术通常是为了兼顾安全性以及资源开销
在非入侵式攻击缓解技术中，时间维度的隐藏技术包括随机插入伪指令技术、伪轮运算技术、时钟随机化技术、乱序操作技术
在非入侵式攻击缓解技术中，振幅维度的隐藏技术包括双轨预充电逻辑、信号滤波与噪声叠加、低功耗技术、复合寄存器技术
在非入侵式攻击缓解技术中，关键安全参数的分类，包括密钥、鉴别数据（如口令、 PINs码、生物鉴别数据）等
对于信道泄露的高级利用主要依赖于密码设备处理的数据以及检索秘密参数时执行的操作
关键安全参数不包括个人身份证号
在非入侵式攻击缓解技术中，计时分析是对安全功能中某个操作的响应或执行时间变化进行分析，这种时间变化可能揭露出与诸如密钥或PIN等安全参数有关的信息
在非入侵式攻击缓解技术中，掩码缓解技术可分为1阶，2阶，n阶掩码方案
低功耗技术属于电磁分析攻击缓解技术
在非入侵式攻击缓解技术中，属于时间维度的隐藏技术的有：随机插入伪指令技术、伪轮运算技术、时钟随机化技术
平衡指令分支技术属于计时分析缓解技术
简单电磁分析是通过测量电磁辐射对指令执行模式和逻辑电路活动模式的直接（主要是可视化的）分析
混合缓解技术相比单一缓解技术为密码算法带来了更高的安全性
非入侵式攻击测试需要从密码模块中或者周围提取物理量
非入侵式攻击测试限制条件包括测试时间和数据收集的最大上限
GM/T 0083《密码模块非入侵式攻击缓解技术指南》中的测试内容有：计时分析攻击、简单能量分析、差分电磁分析
电磁分析是对密码模块中由于逻辑电路转化所造成的电磁辐射的分析

13、GM/T 0064《密码模块物理攻击缓解技术指南》

内部探针攻击是指通过探针直接接触电路中导体的方式，获得密码模块信息和/或对密码模块进行修改
GM/T 0084《密码模块物理攻击缓解技术指南》中规定的机械加工是指一种利用机械设备、可在短时间内完成的材料移除方法
GM/T 0084《密码模块物理攻击缓解技术指南》中定义的抛光包装不属于篡改存迹类的缓解攻击技术
GM/T 0084《密码模块物理攻击缓解技术指南》中，时钟毛刺、电磁干扰、成像方法属于能量攻击，喷砂处理不属于能量攻击
GM/T 0084《密码模块物理攻击缓解技术指南》中，篡改抵抗类技术有：坚硬的外壳、绝缘基板、不透明、特殊半导体拓扑
GM/T 0084《密码模块物理攻击缓解技术指南》中，电压传感器、超声波传感器、压电片属于篡改检测类技术，气体分析不属于篡改检测类技术
GM/T 0084《密码模块物理攻击缓解技术指南》中，RAM掉电、消磁、PUF响应属于篡改响应类技术，使用铝热剂不属于篡改响应类技术
GM/T 0084《密码模块物理攻击缓解技术指南》规定的在开发过程中可以阻止或缓解物理攻击的方法有进行安全测试、预装密钥、提供攻击反馈
GM/T 0084《密码模块物理攻击缓解技术指南》中，易碎包装、消磁不属于篡改存迹类技术
GM/T 0084《密码模块物理攻击缓解技术指南》中，手工材料移除、聚能切割、水刀加工、喷砂处理属于加工技术
GM/T 0084《密码模块物理攻击缓解技术指南》中规定的物理安全因素不包括空间和环境
GM/T 0084《密码模块物理攻击缓解技术指南》中通过将VCC变更为异常的高值或低值，在电路中诱发异常行为的攻击指的是高低压异常攻击
GM/T 0084《密码模块物理攻击缓解技术指南》中通过RFID轮询技术，能够对物理位置改变或替换攻击进行检测
GM/T 0084《密码模块物理攻击缓解技术指南》中规定的内部探针不包括震动探针
通过调整运行电压或温度，或扰乱时钟以改变频率，使设备电路超出正常运行范围的上界或下界，迫使设备进入不可预知的状态的攻击指的是设备电路失效攻击
GM/T 0084《密码模块物理攻击缓解技术指南》中规定物理安全所涉及的攻击缓解技术包含：篡改抵抗类技术、篡改响应类技术、篡改检测类技术、篡改存迹类技术
GM/T 0084《密码模块物理攻击缓解技术指南》中规定的篡改检测技术不包含剂量传感器
在密码模块发布之前，应被移除、禁用或不提供给攻击者使用的不包括出厂安装密钥
GM/T 0084《密码模块物理攻击缓解技术指南》中规定配送环节中的物理攻击缓解方法不包括对用户进行培训以保证密码模块的正确使用
GM/T 0084《密码模块物理攻击缓解技术指南》中数据印痕攻击指的是通过采取措施（例如辐射、高温等）将内存电路或包含敏感信息的设备中的数据进行固化，使得在一段时间内，不能对数据进行写入、修改等操作
GM/T 0084《密码模块物理攻击缓解技术指南》定义的防篡改是指抵抗所有已知攻击和可能的突发攻击的物理安全机制

14、GM/T 0087《浏览器密码应用接口规范》

GM/T 0087《浏览器密码应用接口规范》中的密码接口包含加密方法、解密方法、随机数生成方法，不包含派生密钥方法
GM/T 0087《浏览器密码应用接口规范》SM2签名算法的密钥接口有生成密钥、导入密钥、导出密钥、派生密钥
GM/T 0087《浏览器密码应用接口规范》定义的方法不能完成浏览器中的文档的加密、通信SSL信道的建立等密码功能
GM/T 0087《浏览器密码应用接口规范》定义了浏览器执行网页中的密码操作的JavaScript API，包括加密、解密、杂凑、签名、签名验证和随机数生成等操作。
GM/T 0087《浏览器密码应用接口规范》中SM4算法不包括签名、验签应用接口
GM/T 0087《浏览器密码应用接口规范》SM4算法的密钥接口有生成密钥、导入密钥、导出密钥
GM/T 0087《浏览器密码应用接口规范》中的密码接口提供了通用密码功能的接口，其中不包含使用真随机值作为种子的密码学强伪随机数生成器
GM/T 0087《浏览器密码应用接口规范》用于为网络应用中浏览器JavaScript脚本提供密码操作能力

15、GM/T 0088《云服务器密码机管理接口规范》

云服务器密码机管理接口API中，可获取的虚拟密码机VSM的状态包括就绪状态normal、初始状态initial、错误状态error、关机状态shutdown
每个虚拟密码机VSM都有唯一的UUID来标识
云服务器密码机管理接口API用于管理云服务器密码机CHSM和虚拟密码机VSM
服务器密码机管理接口API，在http请求的 header中包含认证信息
云服务器密码机管理接口API中，每个接口的输出中都返回的参数包括requestId请求ID、status状态码、timestamp服务器响应时间
云服务器密码机管理接口API可以使用通信协议中HTTP和TLCP协议
根据GM/T 0088《云服务器密码机管理接口规范》，允许通过调用云服务器密码机管理接口API，对VSM进行创建/删除、启动/停止、重启、重置等操作
云服务器密码机管理接口API，由云平台管理系统调用
云服务器密码机CHSM数据影像包含CHSM内所有VSM中的与用户相关的配置、密钥及敏感信息等，主要用于CHSM漂移过程
云服务器密码机管理接口API，定义的接口采用的http请求方法包括GET、POST
虚拟密码机VSM数据影像包含与用户相关的配置、密钥及敏感信息等，主要用于VSM漂移过程
云服务器密码机管理接口API，要求每个http请求必须返回状态信息
云服务器密码机的NTP（网络时间协议）服务器地址能够通过云服务器密码机管理接口API进行设置
云服务器密码机管理接口API，认证信息包含在http请求的Script中
GM/T 0088 《云服务器密码机管理接口规范》中，定义了云平台管理系统和云服务器密码机之间的通讯协议
云服务器密码机管理接口API被业务系统调用

16、GM/T 0103《随机数发生器总体框架》

熵源通过对部件、设备或者事件中的不确定性进行采样量化，得到随机源序列
随机数发生器通常包括设计、产品检测以及使用阶段，在设计阶段对熵源或随机源序列进行熵评估
随机数发生器通常包括设计、产品检测以及使用阶段，在产品检测及使用阶段对随机源序列或随机数序列进行有效性检验或随机性检验
随机数发生器产生随机数过程中，相位抖动是由时域不稳定性引起的波相位的快速、短期且具有随机特性的波动
物理熵源输出的熵应当可以被从理论上估计，并且估计值要大于一定的阈值
量子随机过程是具有内秉量子随机性的随机现象/过程
GM/T 0103 《随机数发生器总体框架》中，热噪声是在元器件中，通常情况下不希望出现的，但却内在产生的杂散电子信号
熵源是产生输出的部件、设备或事件。当该输出以某种方法捕获和处理时，产生包含熵的比特串
非物理熵源由随机数发生器所在的运行环境提供
随机数发生器熵源通过对部件、设备或者事件中的不确定性进行采样量化，得到随机源序列
随机数发生器的检测模块检测失败时，应根据检测输出做出相应处理，如产生报警信号等
密码函数后处理方法包括基于分组密码、基于杂凑函数、基于m序列等，不包括基于公钥密码
随机数发生器检测模块对随机源序列或随机数序列进行失效检验和随机性检验，以保证随机数发生器的功能正确性及质量安全性
用于产生随机数的量子随机过程一般包括单光子路径选择、相邻光子间时间间隔、激光相位噪声、放大自发辐射噪声
熵源分为物理熵源和非物理熵源
熵源常用的设计原理包括相位抖动原理、热噪声直接放大原理、混沌振荡原理、量子随机过程和其他随机事件等
冯 ·诺依曼校正器属于轻量级后处理方法
随机数发生器的后处理模块是可选的，实际中应根据随机源序列的统计特性决定是否选用
随机数发生器的后处理模块是可选的，实际应用中应保证后处理的功能正确性
随机数发生器后处理算法中属于密码函数后处理方法的有AES算法、杂凑函数、SM4算法，m-LSB不属于该方法

17、GM/T 0104《云服务器密码机技术规范》

云服务器密码机的用户密钥包括签名密钥对和加密密钥对
虚拟密码机所支持的对称密码工作模式至少包括电子密本ECB和分组密码链接CBC
云服务器密码机中的虚拟密码机自检宜包括密码算法正确性检查、随机数发生器检查、虚拟网络检查、所存储密钥和数据的完整性检查
宿主机和不同虚拟密码机可采用基于硬件或软件的虚拟化技术进行隔离
云服务密码机宿主机的初始化包括宿主机密钥的生成(恢复) 与安装、生成管理员、按照安全机制对密钥进行安全存储和备份
云服务器密码机的随机数发生器应该至少采用2个独立的物理噪声源芯片
云服务器密码机中使用虚拟密码机的租户/应用和虚拟密码机之间的身份鉴别机制需要满足双向鉴别
云服务器密码机宿主机和不同虚拟密码机应提供日志记录、查看和导出功能，日志的存储和操作应满足宿主机和不同虚拟密码机的日志记录应独立存储和操作、宿主机和不同虚拟密码机的日志记录仅能由宿主机和不同虚拟密码机自身的管理员访问、宜提供关键日志记录的完整性校验或其他防篡改功能
GM/T 0104《云服务器密码机技术规范》中要求虚拟密码机的镜像文件应进行签名保护
云服务器密码机宿主机自检功能中包含硬件部件自检、密码部件自检、虚拟化功能自检、所存储数据的完整性检查
云服务器密码机应禁止签名验证不通过的虚拟密码机镜像在云服务器密码机中运行
虚拟密码机的日志内容包括：一、管理员操作行为，如登录认证、系统配置、密钥管理等操作；二、异常事件，如认证失败、非法访问等异常事件的记录
GM/T 0104《云服务器密码机技术规范》中要求虚拟密码机应具备下列状态中的初始状态、就绪状态、关闭状态
虚拟密码机的作用是为租户和应用提供密码服务
云服务器密码机的宿主机和不同虚拟密码机的远程管理通道和维护通道应采用加密和身份鉴别等技术手段进行保护
云服务器密码机的宿主机和虚拟密码机应具有启动时自检和接收自检指令时自检的功能
虚拟密码机可由虚拟密码机所属租户自己的管理系统进行集中统一管理
宿主机不可以管理和访问虚拟密码机的密钥
云服务器密码机的通用检测内容和方法，检测应包括外观和结构检查、提交文档的检查、功能检测、性能检测
设备的管理检测包括管理操作检测、管理登录检测、管理接口检测、日志审计检测
GM/T 0104《云服务器密码机技术规范》中要求云服务器密码机宿主机应具备初始状态、就绪状态
云服务器密码机机必须至少支持3层密钥结构
宿主机和不同虚拟密码机应该具有各自完全独立的管理密钥、设备密钥、用户密钥、密钥加密密钥和会话密钥
云服务器密码机的宿主机和虚拟密码机的日志记录应该独立存储和操作
云服务器密码机在逻辑上由一个宿主机和若干个虚拟密码机组成，其中宿主机不向应用提供密码服务
云服务器密码机的宿主机和不同虚拟密码机的远程管理通道和维护通道彼应相互独立
GM/T 0104《云服务器密码机技术规范》中要求虚拟密码机应当至少支持SM2、SM3、SM4算法

18、GM/T 0105《软件随机数发生器设计指南》

GM/T 0105《软件随机数发生器设计指南》中规定，基于SM3算法和基于SM4算法的RNG设计中生成的种子的长度分别为440、256比特
熵估计的对象是熵源的输出，而非软件随机数发生器最终的输出
当软件RNG的熵源存在故障时，nonce能够在一定程度上提供额外安全保障
对安全级别二级的密码模块，当距离上一次重播种时间间隔超过60s时、当输出函数已被调用2^10次时，需要执行重播种操作
GM/T 0105《软件随机数发生器设计指南》对于安全二级和安全一级的密码模块，主要区别在于DRNG重播种时间间隔、输出函数被调用次数
GM/T 0105《软件随机数发生器设计指南》中列举的通用熵源类型有：系统时间、特定的系统中断事件、磁盘状态、人机交互输入事件
GM/T 0105《软件随机数发生器设计指南》中建议，除熵输入外，DRNG输入还可以包括个性化字符串、额外输入、nonce、设备序列号
对于GM/T 0105《软件随机数发生器设计指南》中规定的熵源，系统随机数发生器和硬件随机数发生器是可选的，系统熵源是必选的
对DRNG的自测试可以作为其所在软件密码模块自测试的一部分，也可以单独执行
熵源同一时刻只能被一个软件随机数发生器独占访问，以保证软件随机数发生器独占过程中所读取的熵源数据无法被其他实体获取
重播种计数器阈值和重播种时间阈值与安全等级有关，不同安全等级的软件随机数发生器，重播种计数器阈值和重播种时间阈值有所不同
GM/T 0105 《软件随机数发生器设计指南》以256比特的最小熵值为基准来给出软件随机数发生器的参数信息
GM/T 0105《软件随机数发生器设计指南》规定了基于SM3、SM4密码算法的确定性随机数发生器（DRNG）
GM/T 0105《软件随机数发生器设计指南》定义软件随机数发生器是软件密码模块或混合密码模块的软件部件中的随机数发生器部件
GM/T 0105《软件随机数发生器设计指南》中规定的软件随机数发生器基本模型不包括重启函数
GM/T 0105《软件随机数发生器设计指南》中建议熵池大小应大于等于512字节，但不宜超过4096字节
根据GM/T 0105 《软件随机数发生器设计指南》，熵池不属于确定性随机数发生器DRNG的组成部分
为了保障软件随机数发生器的可靠性， GM/T 0105《软件随机数发生器设计指南》建议随机性来源不少于3种
根据GM/T 0105 《软件随机数发生器设计指南》，CPU内置硬件随机数发生器不属于通用操作系统上随机性来源
为保证随机数实时产出的质量，熵估计模块需要嵌入软件随机数发生器内部
根据GM/T 0105 《软件随机数发生器设计指南》，健康测试包含上电健康测试、连续健康测试、按需健康测试三种
熵估计是对最小熵的评估
可以作为GM/T 0105《软件随机数发生器设计指南》中提及的个性化字符串的有：设备序列号、公钥信息、用户标识、网络地址

19、GM/T 0107

智能IC卡业务密钥中的对称密钥按照用途可分为管理类密钥和交易类密钥，其主要作用是保证发卡过程和交易过程的安全
IC卡业务密钥属于交易类密钥的有：安全报文认证(MAC)主密钥、安全报文加密主密钥、TAC主密钥
IC卡业务密钥属于管理类密钥的有：发卡机构主密钥、卡片主控主密钥、卡片维护主密钥、应用主控主密钥
系统保护密钥可分为系统传输保护密钥和系统存储保护密钥
已归档的密钥只能用于证明在归档前进行的交易的合法性
发卡机构密钥管理系统生成发卡机构的公私钥对，并提交相应的公钥请求文件由根密钥管理系统签发发卡机构公钥证书；同时生成和管理具体的IC卡公私钥对，并签发IC卡公钥证书
发卡机构私钥仅存储在智能IC卡密钥管理系统中，无需进行分发
IC卡私钥应分发到数据准备系统及IC卡发卡系统中，分发过程应采用系统传输保护密钥加密后分发
发卡机构公钥证书和IC卡公钥证书可直接分发到数据准备系统及IC卡发卡系统中
发卡机构公私钥对应保存在密码模块中
发卡机构公私钥对不再使用后，应进行密钥归档
根密钥管理系统负责生成和管理根公钥和根私钥，并自签根公钥证书，同时为发卡机构签发发卡机构公钥证书
已归档的密钥不应返回到操作使用中
已归档密钥不能影响在用的密钥的安全
上级机构侧的根密钥管理系统负责生成和管理IC卡业务根密钥和根公钥证书，并签发下级机构证书或者分散生成下级机构业务密钥
发卡机构侧的智能IC卡密钥管理系统负责从上级机构导入证书和密钥，生成和管理本级机构的IC卡应用密钥和机构证书，并为IC卡发卡和交易提供密钥服务
IC卡卡管系统负责管理IC卡业务数据及为IC卡发卡和交易提供服务的系统，IC卡卡管系统部署 IC卡交易类密钥（电子钱包类密钥或者电子现金密钥），通过这些密钥完成与IC卡的联机认证
发卡机构私钥用于签发IC卡公钥证书，发卡机构公钥用于验证IC卡公钥证书
上级机构侧的根密钥管理系统用于产生和管理部分业务根密钥，并分散产生发卡机构业务根密钥
智能IC卡管理类密钥包含应用维护主密钥、应用开通主密钥、卡片维护主密钥
IC卡业务密钥的对称密钥体系一般都是多级分散结构的，根密钥管理系统产生和管理部分业务根密钥并分散产生发卡机构业务根密钥
发卡机构智能IC卡密钥管理系统导入上级机构产生的部分业务根密钥，并产生部分自己独立管理和维护的业务根密钥，再经过一级或者多级分散产生IC卡密钥

20、GM/T 0111《区块链密码应用技术要求》

区块链中的数字证书包括最终用户数字证书、区块链节点数字证书
为了满足交易监管要求，通常需要做到用户匿名身份与实体身份的映射关系授权可查看、交易金额或交易信息授权可解密、交易授权可撤销三个环节
区块链中用户之间的交易数据，通常以集中账本的形式存储在节点中
为提升区块链的时效性，联盟链中支持链外交易模式
联盟链中，节点的准入或退出宜采用数字证书技术验证节点身份，并生成审计日志
区块链的技术架构从上到下分为应用层、智能合约层、激励层、共识层、网络层和数据层
区块链交易中实体鉴别是用户、设备或系统等在区块链网络中交易时，确认实体的身份是否真实。
区块链是一种物联网、供应链管理、数字资产交易领域的创新应用模式，主要用到了点对点传输、分布式数据存储、密码算法等技术
在区块链共识层中常见的共识协议包括PoW、PoS、DPoS
GM/T 0111 《区块链密码应用技术要求》重点对联盟链类型链的密码安全要素做出规定
在调用智能合约之前，应首先通过密码算法检查链上代码的完整性
GM/T 0111 《区块链密码应用技术要求》中介绍的区块链的技术架构包括数据层、网络层、应用层，不包括链路层
在区块链账本中，通常通过区块头的杂凑值识别区块，用于链接相邻区块
账本存储安全管理满足的要求包括通过区块头的杂凑值标识区块、采用加密措施保证帐本重要内容机密性、采用身份鉴别和访问控制措施保证账本数据的授权访问

21、GM/T 0118《浏览器数字证书应用接口规范》

在GM/T 0118 《浏览器数字证书应用接口规范》中，通过GM/T 0016《智能密码钥匙密码应用接口规范》（SKF）调用智能密码钥匙
访问证书存储区不需要任何权限
在GM/T 0118 《浏览器数字证书应用接口规范》中，证书关联智能密码钥匙的方式：智能密码钥匙中的相关信息，如设备名称、应用名、容器名等
在证书存储区中删除证书时不需要任何权限
对于浏览器，可以有任意多个SKF库被注册到该浏览器定义的系统环境中
在调用SSF_AddCert将用户证书添加到证书存储区的SSF_CERT_USER_STORE区（证书存储区为用户存储区）时，如果该证书已经被吊销，SSF_AddCert状态为执行成功
证书存储区定义了CRL的存储、枚举、查找、删除等功能
对于支持的终端硬件的产品形态，并不要求具体的产品形态，只要终端安全硬件的调用接口符合规范即可
对于CRL，如果同一个第三方CA颁发了多个 CRL，那么，在证书存储区里，可存储多个CRL，具体使用哪一个由上层应用决定
在将用户证书添加到证书存储区时，将自动校验用户证书的有效性，如用户证书的有效性未通过验证，则直接报错，禁止将用户证书添加到证书存储区
浏览器以外的其他应用也可以调用GM/T 0118 《浏览器数字证书应用接口规范》定义的接口规范
在GM/T 0118 《浏览器数字证书应用接口规范》中，定义了浏览器使用SM2证书进行加解密、签名验签的接口
在证书存储区中查找证书时，支持的方式有按证书序列号查找证书、按用户自定义数据查找证书、可按证书算法类型查找RSA算法证书、可按证书存储区类型、证书用途、颁发者等标志组合查找
对于浏览器，只有在智能密码钥匙插入终端设备时，才能将该智能密码钥匙对应的SKF库注册到该浏览器定义的系统环境中
LDAP、OCSP都是检查证书状态的方式
证书存储区定义了证书的存储、枚举、查找、删除等功能
在GM/T 0118 《浏览器数字证书应用接口规范》定义的证书存储区中，可以存储用户证书和根证书

22、GM/T 0122《区块链密码检测规范》

区块链密码模块对交易达成共识过程中区块的有效性验证应确保区块中记录的上一个区块杂凑值的有效性
区块链技术架构可分为数据层、网络层、共识层、激励层、智能合约层和应用层
区块链中的交易记录包含交易发起者、交易内容、交易接收者、交易发起者的用户签名等信息
区块链密码模块是以区块链技术为核心，用于用户安全、共识安全、账本保护、对等网络安全、计算和存储安全、隐私保护、身份认证和管理等的软硬件密码模块
区块链交易验证时应验证交易记录中的数字签名，确保交易发起者身份的真实性和交易记录的完整性
区块链通信可在各个节点之间、应用端与节点之间配置安全通道，以保证数据通信的安全
区块链相关密钥应采取加密或知识拆分等安全方式进行导入导出
根据GM/T 0122《区块链密码检测规范》，应确保所有节点、用户身份在区块链密码模块间的可识别性与合法性
区块链若涉及到密钥分发过程，应具备身份鉴别等保证密钥真实性的安全措施
区块链对节点之间的通信数据加密的密钥应有明确的更换周期
区块链在账户创建阶段，应生成可以标识用户的交易地址
区块链交易创建时若在区块中包含第三方可信时间戳，则应符合GM/T 0033《时间戳接口规范》
区块链交易创建后需要广播给区块链网络中的节点，然后由节点对交易进行验证，并打包成区块，运行共识协议，保证网路中的节点对所有合法交易达成共识
智能合约是存储在分布式账本中的计算机程序，由区块链用户部署，其任何执行结果都记录在分布式账本中
区块链在部署智能合约时，应检查用户是否获得相应的权限，同时应采用密码技术来保证智能合约防篡改
区块链交易创建时应验证有效交易是否能被打包进区块中，通过共识机制在节点间达成共识
区块链中创建的交易应具有唯一性，应添加nonce值计数等防重放攻击的措施
区块链中链下交易宜采用数字签名来确认交易各方的真实身份，保存所有交易的审计记录，并采用密码技术保证审计记录的完整性、链外数据的完整性
区块链中的随机数应采用经商用密码认证的密码部件或模块生成
区块链账本存储时应通过区块的杂凑值标识区块，用于链接相邻区块，保障区块数据的完整性

23、SM3

SM3密码杂凑算法可以抵抗生日攻击
SM3算法执行过程分为四个步骤：消息填充、消息扩展、迭代压缩、输出结果
SM3密码杂凑算法字的存储采用大端方式
SM3密码杂凑算法的杂凑值长度是消息分组长度的一半（515、256）
SM3密码可以用来做数据完整性检测
SM3密码杂凑算法中的P置换是线性运算
SM3密码杂凑算法一共有2个置换函数
SM3密码杂凑算法性能和安全性大致等于SHA-256，两者拥有相同长度的杂凑值和相同轮数的压缩函数
SM3算法又称杂凑函数、哈希(hash)算法、哈希函数，是把任意长的输入串转化成固定长的输出串的一种函数
SM3密码杂凑函数的迭代结构是MD结构
SM3密码杂凑算法和SHA-256的压缩函数不完全相同
SM3可以用于数字签名验证、消息鉴别码的生成与验证、随机数的生成，不能用于加解密数据方面
SM3密码杂凑算法的轮函数每次更新2个字
SM3属于不可逆加密算法
SM3密码杂凑算法的前16轮使用全异或的布尔函数
SM3密码杂凑算法最少填充65比特，最多填充576比特
SM3算法迭代压缩过程中，通过异或、循环左移等操作进行数据计算

24、SM4

SM4密钥长度为128比特（128、128）
在量子攻击下，根据Grover算法，采用SM4的分组密码CTR模式抵抗密钥恢复攻击的强度大约是2^64
SM4密钥扩展算法中的线性变换由输入及其循环左移若干比特共3项异或而成（轮函数5项）
SM4加密算法的线性变换L存在4个固定点
SM4解密算法的轮密钥也由主密钥通过密钥扩展算法生成，只是按逆序使用
SM4算法的线性变换L可逆
对于SM4算法的S盒，每一个非零的输入差分，对应127个可能的输出差分。
SM4算法中采用了异或运算、环移位运算基本运算
SM4分组密码算法广泛应用于数据保密传输、信息加密存储等应用领域
底层采用SM4算法的EMAC，输出标签的比特长度支持32、64、128
我国商用密码算法SM4迭代结构是非平衡Fesitel网络结构
SM4分组密码算法轮函数中的T置换，包括的运算有非线性变换、S盒运算、线性变换
SM4算法的轮函数包括的运算有异或、非线性变换、线性变换
SM4算法采用的8比特S盒与AES算法的S盒满足仿射等价关系
在SM4密钥扩展算法中，首先需要将主密钥与128位系统参数异或
当SM4算法采用ECB工作模式时，可以并行处理多组消息分组
SM4是我国提出的商用密码算法，SM4算法进行密钥扩展时的迭代次数是32
SM4算法的加密过程由连续的32轮迭代和一个反序变换组成
循环左移运算是SM4算法中线性变换L的基本运算
SM4 算法在电子密码本(ECB， Electronic Code Book)模式下容易受到统计分析攻击、分组重放攻击、代换攻击

25、SM9

SM9数字签名算法、密钥交换协议、密钥封装机制、公钥加密算法都需要使用密码杂凑函数和随机数发生器作为辅助函数
SM9是一种基于椭圆曲线双线性对的公钥密码算法
在2016年，中国国家密码管理局将SM9密码算法正式发布为密码行业标准
姓名不能作为SM9密码算法的标识，身份证号、手机号码、电子邮箱可以
SM9密码算法椭圆曲线无穷远点的字节串表示形式是单一零字节表示形式
SM9密码算法选用椭圆曲线的嵌入次数越大，安全性越高
SM3、SM4算法可用于做SM9数字签名算法的辅助函数
SM9密码算法主公钥由KGC通过主私钥结合系统参数产生
SM9密码算法主私钥由KGC通过随机数发生器产生
SM9密码算法用户私钥由KGC通过主私钥结合用户标识产生。
SM9密码算法用户公钥根据用户标识唯一确定
SM9密码算法的功能不包括杂凑函数
SM9密码算法涉及的数据类型有比特串、字节串、有限域元素、椭圆曲线上的点
SM9密码算法的主要内容包括数字签名算法、密钥交换协议、密钥封装机制、公钥加密算法
双线性逆、判定性双线性逆、τ-双线性逆、τ-Gap-双线性逆问题的难解性是SM9密码算法安全性的重要基础
SM9密码算法椭圆曲线非无穷远点的字节串表示形式有压缩表示形式、未压缩表示形式、混合表示形式
SM9的应用场景有：密钥封装、协商密钥、加密数据、数字签名
基于标识是SM9密码算法的特点
SM9密码算法使用256位的BN曲线
SM9密码算法的密钥派生函数需要调用Hash函数
SM9密码算法的消息认证码函数需要调用Hash函数
椭圆曲线双线性对的安全性是SM9密码算法安全性的重要基础
SM9密码算法需要保证选取的椭圆曲线上离散对数问题难解
在采用SM9数字签名算法生成/验证签名之前，需要使用Hash函数对待签/待验证消息进行压缩
SM9公钥加密算法是密钥封装机制和消息封装机制的结合
SM9密码算法采用的椭圆曲线双线性对是R-ate对
SM9密钥封装机制和公钥加密算法都需要密钥派生函数（KDF）作为辅助函数
SM9密钥封装机制封装的秘密密钥是根据解封装用户的标识生成的
SM9密码算法系统参数由KGC选择
SM9公钥加密算法使用接受者的用户标识加密数据，使用接受者私钥对数据进行解密
SM9密钥交换协议需要使用密码杂凑函数、密钥派生函数、随机数发生器作为辅助函数

26、ZUC

ZUC算法的非线性函数F的设计借鉴了分组密码的设计思想
ZUC算法非线性函数F部分两个线性变换L1和L2的矩阵均为MDS矩阵
ZUC算法非线性函数F部分使用的S-盒其中之一基于有限域逆函数构造，与AES算法的S-盒类似
ZUC算法的全称为祖冲之算法
ZUC算法密钥载入时两个记忆单元的值设置为全0比特串
ZUC算法2016年被发布为国家标准
以ZUC算法为核心的128EIA-3算法为完整性算法
ZUC算法的非线性函数F的设计采用了4个8×8比特的S盒
ZUC算法LFSR部分产生的二元序列具有较大周期
ZUC算法初始化轮数为32
通过祖冲之序列密码算法，能实现信息的机密性、完整性、真实性
ZUC算法非线性函数F部分使用的两个线性变换 L1，L2的设计与SM4算法线性扩散层的设计思想相同/类似。
以ZUC算法为核心的128EIA-3算法为MAC算法
ZUC算法在整体结构上与SNOW3G算法类似
ZUC算法LFSR部分产生二元源序列的周期约为2^{496}
ZUC序列密码算法主要用于加密手机终端与基站之间的传输的语音和数据
ZUC-128算法的密钥长度为128比特，IV值长度也为128比特
ZUC算法是中国自主设计的密码算法
ZUC算法结构的核心部分包括LFSR、比特重组BR、非线性函数F
ZUC算法在2012年被发布为国家密码行业标准
ZUC算法密钥载入时需要使用16个15比特长的常数
ZUC算法是一个基于字设计的序列密码算法
以ZUC算法为核心的128EEA-3算法为保密性算法
ZUC算法比特重组BR层主要使用了软件实现友好的字符串连接操作
ZUC算法是一个自同步序列密码算法
ZUC算法的LFSR部分采用线性移位寄存器产生算法的源序列
ZUC算法LFSR部分可以产生素域上的m序列作为算法的源序列
ZUC算法的LFSR部分中移位寄存器总长度为496比特
ZUC算法LFSR部分由16个31 比特的字单元变量构成

27、工作模式

分组密码工作模式中，在解密过程中不需要调用分组密码逆运算的有CTR、OFB、CFB
CFB、OFB和CTR模式在加密时不需要填充操作
当SM4算法采用ECB、CTR工作模式时，可以采用流水线技术优化实现
分组密码工作模式，属于认证加密模式的有CCM、EAX
ECB、CBC、OFB是DES的工作模式
对于SM4分组密码，当采用CTR工作模式时，具有良好的硬件和软件效率、能进行随机访问、可以在明文到来之前计算密钥流
分组密码工作模式在使用过程中，密钥等参数必须严格保密
当SM4算法采用ECB工作模式时，可以并行处理多组消息分组
在ECB模式下，若某些密文分组比特错误，则解密后对应的明文分组也会出错
分组密码工作模式中，加密过程只能串行计算的有CBC、OFB、CFB
CCM是CTR工作模式和CBC-MAC消息鉴别码以 MAC-then-Encrypt 的形式进行结合
分组密码工作模式的安全性与底层分组密码的分组长度有关
分组密码的分组长度是衡量分组密码工作模式设计质量的参数之一
EtM是可鉴别的加密模式
底层采用SM4算法的生日界安全分组密码工作模式，抵抗区分攻击的强度接近于2^64
分组密码算法有ECB、CBC、CFB、OFB工作模式
加密算法的工作模式中，ECB指的是电码本模式
分组密码工作模式中，解密之前可以进行伪随机流预计算的有CTR、OFB
在CBC分组密码加密工作模式中，存在密文传输错误扩散
CFB模式与OFB模式的区别仅在于密码算法的输入
OFB、CBC分组密码算法的工作模式IV要求每个消息必须唯一，不能重用，且不可预测
分组密码工作模式在使用前，需要消息（或密文）收发双方共享对称密钥
为保障分组密码工作模式的实用安全性，通常采用的措施有控制明文长度上限、经常更新加密密钥、多次加密同一明文、规范使用Nonce、IV等参数
CBC、CFB分组密码工作模式中，加密不能并行但解密可并行
分组密码工作模式，能够保护数据完整性的是CBC-MAC、OMAC、GCM
分组密码工作模式，能够保护数据机密性的是CTR、GCM、OFB
根据密码模块相关标准，用于核准的工作模式的非安全相关的算法、安全功能、过程和部件的实现应当不干扰或破坏密码模块核准的工作模式的运行
ECB和CTR模式的加密和解密过程均支持并行计算

28、GB/T 38636

TLCP协议用到的密码算法包含非对称密码算法、分组密码算法、数据扩展函数和伪随机函数、密码杂凑算法
TLCP协议用到的密钥种类包含服务端密钥、客户端密钥、预主密钥和主密钥、工作密钥
非对称密码算法的用途有身份鉴别、数字签名、密钥交换
分组密码算法用于密钥交换数据的加密保护和报文数据的加密保护。可采用的工作模式有GCM、CBC
主密钥（master_secret）由预主密钥、客户端随机数、服务端随机数、常量字符串参数组成，并计算生成的48字节密钥素材，用于生成工作密钥
TLCP包括记录层协议和握手协议族，记录层协议族包括密码规格变更协议、报警协议、握手协议类型
记录层协议接收将要被传输的消息，将数据进行分块、计算HMAC、加密、传输处理
连接状态是记录层协议的操作环境，典型的连接状态有当前读状态、当前写状态、未决的读状态、未决的写状态
报警消息的长度为两个字节，分别为报警级别和报警内容
预主密钥（pre_master_secret）是双方协商生成的密钥素材，用于生成主密钥
握手协议是在记录层协议之下的协议，用于协商安全参数
GB/T 38636 《信息安全技术传输层密码协议（TLCP）》中规定了握手协议族，不包含在握手协议族内的协议是密码规格变更协议、报警协议、握手协议
密码杂凑算法的用途为对称密钥生成、完整性校验
GB/T 38636 《信息安全技术传输层密码协议（TLCP）》中规定了主密钥长度为48个字节
在校验算法数据处理时，计算校验码使用的算法是密码杂凑算法
服务端密钥为非对称密码算法的密钥对，包括的密钥类型有签名密钥对、加密密钥对
记录层接收从高层来的任意大小的非空连续数据，在进行压缩后的数据长度最多只能增加1024个字节
记录层接收从高层来的任意大小的非空连续数据，将数据分段、压缩、计算校验码、加密，然后传输，接收到的数据经过解密、验证、解压缩、重新封装然后传送给高层应用
服务端如果找不到与客户端匹配的密码套件，服务端将回应handshake failure报警消息
GB/T 38636 《信息安全技术传输层密码协议（TLCP）》中规定Certificate Verify消息用于鉴别客户端是否为证书的合法持有者
除非出现致命报警，客户端和服务端任何一方在结束连接之前发送关闭通知消息
>>>——The end！
>>>祝大家考试顺利！
>>>秋风木叶
>>>2023年7月14日