GmSSL概述

GmSSL是一個開源的密碼工具箱，支持SM2/SM3/SM4/SM9/ZUC等國密(國家商用密碼)算法、SM2國密數字證書及基于SM2證書的SSL/TLS安全通信協議，支持國密硬件密碼設備，提供符合國密規范的編程接口與命令行工具，可以用于構建PKI/CA、安全通信、數據加密等符合國密標準的安全應用。GmSSL項目是OpenSSL項目的分支，并與OpenSSL保持接口兼容。因此GmSSL可以替代應用中的OpenSSL組件，并使應用自動具備基于國密的安全能力。GmSSL項目采用對商業應用友好的類BSD開源許可證，開源且可以用于閉源的商業應用。

GmSSL項目由北京大學關志副研究員的密碼學研究組開發維護，項目源碼托管于GitHub。自2014年發布以來，GmSSL已經在多個項目和產品中獲得部署與應用，并獲得2015年度“一銘杯”中國linux軟件大賽二等獎(年度最高獎項)與開源中國密碼類推薦項目。GmSSL項目的核心目標是通過開源的密碼技術推動國內網絡空間安全建設。

GmSSL關鍵特性

• 支持SM2/SM3/SM4/SM9/ZUC等全部已公開國密算法
• 支持國密SM2雙證書SSL套件和國密SM9標識密碼套件
• 高效實現在主流處理器上可完成4.5萬次SM2簽名
• 支持動態接入具備SKF/SDF接口的硬件密碼模塊
• 支持門限簽名、秘密共享和白盒密碼等高級安全特性
• 支持JAVA、Go、php等多語言接口綁定和REST服務接口

國密算法概述

國密算法是國家商用密碼算法的簡稱。自2012年以來，國家密碼管理局以《中華人民共和國密碼行業標準》的方式，陸續公布了SM2/SM3/SM4等密碼算法標準及其應用規范。其中“SM”代表“商密”，即用于商用的、不涉及國家秘密的密碼技術。

SM2為基于橢圓曲線密碼的公鑰密碼算法標準，包含數字簽名、密鑰交換和公鑰加密，用于替換RSA/Diffie-Hellman/ECDSA/ECDH等國際算法。

SM3為密碼哈希算法，用于替代MD5/SHA-1/SHA-256等國際算法。

SM4為分組密碼，用于替代DES/AES等國際算法。

ZUC算法(祖沖之算法集)是由我國學者自主設計的加密和完整性算法，包括祖沖之算法、加密算法128-EEA3和完整性算法128-EIA3，已經被國際組織3GPP推薦為4G無線通信的第三套國際加密和完整性標準的侯選算法。

SM9為基于身份的密碼算法，可以替代基于數字證書的PKI/CA體系。通過部署國密算法，可以降低由弱密碼和錯誤實現帶來的安全風險和部署PKI/CA帶來的開銷。

快速上手

快速上手指南介紹GmSSL的編譯、安裝和gmssl命令行工具的基本指令。

下載源代碼(zip)，解壓縮至當前工作目錄

$ unzip GmSSL-master.zip

編譯與安裝

$ ./config no-saf no-sdf no-skf no-sof no-zuc
$ make
$ sudo make install

安裝之后可以執行gmssl命令行工具檢查是否成功

$ gmssl version
GmSSL 2.0 - OpenSSL 1.1.0d

SM4加密文件

$ gmssl sms4 -e -in <yourfile> -out <yourfile>.sms4
enter sms4-cbc encryption password: <your-password>
Verifying - enter sms4-cbc encryption password: <your-password>

解密

$ gmssl sms4 -d -in <yourfile>.sms4
enter sms4-cbc decryption password: <your-password>

生成SM3摘要

$ gmssl sm3 <yourfile>
SM3(yourfile)= 66c7f0f462eeedd9d1f2d46bdc10e4e24167c4875cf2f7a2297da02b8f4ba8e0

生成SM2密鑰并簽名

$ gmssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:sm2p256v1 
 -out signkey.pem
$ gmssl pkeyutl -sign -pkeyopt ec_scheme:sm2 -inkey signkey.pem 
 -in <yourfile> -out <yourfile>.sig