GM/T 0093-2020 证书与密钥交换格式规范

ICS35.040

CCSL80

中华人民共和国密码行业标准

/—

GMT00932020

证书与密钥交换格式规范

Certificateandkeexchaneformatsecification

ygp

2020-12-28发布2021-07-01实施

国家密码管理局发布

/—

GMT00932020

目次

前言…………………………Ⅲ

引言…………………………Ⅳ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4缩略语……………………2

5OID定义…………………2

6基本类型定义……………3

6.1CKX类型……………3

6.2AuthenticatedSafe类型……………4

6.3SafeContents类型…………………4

6.4SafeBa类型…………………………5

g

7证书与密钥交换基本流程………………7

7.1创建CKX数据单元…………………7

7.2从一个CKX数据单元中导入密钥和证书等………8

8扩展属性…………………8

()………………………

附录A规范性ASN.1语法标记9

()…………

附录资料性双证书及私钥导入导出示例

B12

参考文献……………………17

Ⅰ

/—

GMT00932020

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由密码行业标准化技术委员会提出并归口。

:、、

本文件起草单位北京信安世纪科技股份有限公司格尔软件股份有限公司北京数字认证股份有

、、、、

限公司长春吉大正元信息技术股份有限公司兴唐通信科技有限公司卫士通信息产业股份有限公司

、、、

国家信息安全工程技术研究中心山东得安信息技术有限公司北京创原天地科技有限公司西安西电

捷通无线网络通信股份有限公司。

:、、、、、、、、、、、

本文件主要起草人汪宗斌刘婷郑强傅大鹏赵丽丽王妮娜赵闪罗俊张旭周淑静张庆勇

、、、。

焦靖伟史晓峰马洪富杜志强

Ⅲ

/—

GMT00932020

引言

(),,

本文件的内容参照个人信息交换语法RFC7292PKCS#12按照我国相关密码政策和规范结

,。

合我国实际应用需求及产品生产厂商的实践经验定义了基于SM2密码算法的证书与密钥交换格式

,。

对于需要传递的证书与密钥等用户个人信息涉及信息机密性和完整性保护方法机密性保护使

,。

用加密技术来防止个人信息被暴露完整性保护则防止个人信息被篡改

本文件支持机密性保护方法和完整性保护方法的四种组合。

,。

所述机密性保护有以下两种方法

———:,

公钥机密性保护方法在源平台上使用已知可信的目标平台的加密公钥以数字信封的形式来

。。

封装用户个人信息这个数字信封可以被对应的加密私钥打开

———:。

口令机密性保护方法用从机密性口令派生的对称密钥加密用户个人信息如果同时使用口

,。

令完整性保护方法机密性保护口令和完整性保护口令可以相同也可以不相同

,。

所述完整性保护有以下两种方法

———:。

公钥完整性保护方法通过对AuthenticatedSafe内容的数字签名来保证完整性在源平台

,。,。

上使用签名私钥产生数字签名在目标平台上使用对应的签名公钥来验证签名

———:()。

口令完整性保护方法通过保密的完整性口令产生消息鉴别码MAC来保证完整性如果口

,,

令方式的机密性保护方法被同时采用机密性保护口令和完整性保护口令可以相同也可以

不同。

,。

注意这里讨论的密钥仅指用于传递用户个人信息的密钥用户可能希望把个人密钥从一个平台

(),

传递到另外一个平台可以保存在PDU中但不要将这里讨论的用于传递用户个人信息的密钥与用

户的个人密钥混淆。

,

本文件通过基于公钥的机密性和完整性保护方法提供高层次的安全防护需要源平台和目标平台

;,

分别具有可用于数字签名和加密的可信密钥对同时也支持略低的安全需求基于口令的机密性和完整

,。

性保护方法用于不能提供可信密钥对的环境

Ⅳ

/—

GMT00932020

证书与密钥交换格式规范

1范围

,、、、

本文件规定了证书与密钥等信息的传递语法包括私钥证书证书撤销列表各种形式的秘密值及

其扩展的标准化封装。

本文件适用于个人的SM2算法证书与密钥等信息在不同平台之间迁移的应用场景。

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/—:

信息技术安全技术消息鉴别码第部分采用专用杂凑函数的机制

GBT15852.220122

/—信息安全技术密码算法加密签名消息语法规范

GBT352752017SM2

/—信息安全技术密码算法使用规范

GBT352762017SM2

/—信息安全技术密码应用标识规范

GBT335602017

/—基于口令的密钥派生规范

GMT00912020

/密码术语

GMZ4001

3术语和定义

/和/—界定的术语和定义适用于本文件。

GMZ4001GMT00912020

3.1

属性attribute

,()。

一个ASN.1类型标识一个属性类型通过一个对象标识符及其相关的属性值

3.2

平台latform

p

、。

机器硬件操作系统和应用软件组成的集合

:。,。,

注用户在这些环境中行使他的个人标识在这里应用是指使用用户个人信息的软件如果机器硬件不同或者

,。,。

软件不同即为平台不同在多用户系统中每个用户至少有一个平台

3.3

源平台sourcelatform

p

最终要传递到目标平台上的个人信息的起源平台。

3.4

目标平台taretlatform

gp

源平台上产生的个人信息要传递到的最终目的平台。

3.5

目的加密密钥对destinationencrtionkeair

ypyp

用于公钥机密性保护方法中的特定平台的密钥对。

1