早在2018年,江南天安就基于OpenSSL實現并開源了包含國密SSL功能的TaSSL。(2018年開源TaSSL 1.0.2o;2019年開源TaSSL 1.1.1b;2021年開源TaSSL 1.1.1k)。日前,針對用戶在使用TaSSL過程中遇到的問題和提出的建議,江南天安基于2022年11月1日發布的OpenSSL 1.1.1s實現了新版本TaSSL 1.1.1s并開源。
在江南天安等眾多國產商用密碼廠商的推動下,OpenSSL 1.1.1版本開始支持國密SM2/SM3/SM4算法,這不僅降低了用戶應用國密算法的難度,也證明了國產商用密碼算法的推廣在國際上取得了巨大突破。
時下,在安全需求和相關政策的大力驅動下(需要滿足GM/T 0024-2014標準),許多用戶正在從標準TLS向國密SSL遷移。對于不熟悉SSL協議和國密算法的用戶來說,要實現國密SSL協議需要花費大量人力物力和時間。
OpenSSL是一個應用廣泛的開源庫,由SSL協議庫、應用程序、密碼算法庫三部分組成。SSL協議庫實現了TLS1.2/TLS1.3/DTLS1.2等協議;應用程序OpenSSL實現了常用算法/證書操作等功能的命令行調用;密碼算法庫實現了常用密碼算法。
密碼是國之重器,是國家的重要戰略資源,是保護網絡安全的核心技術和基礎支撐。江南天安希望新版本TaSSL的開源能讓更多的用戶能夠輕松應用國密SSL協議,助力國密算法和國密SSL協議的應用推廣。
新版特性
1.基于開源OpenSSL 1.1.1s修改。相較于之前的TaSSL 1.1.1k版本,修復了以下漏洞: CVE-2021-3711 CVE-2021-3712 CVE-2022-0778 CVE-2022-1292 CVE-2022-2068 CVE-2022-2097.
2. 支持國密SSL協議(GM/T 0024-2014)。使用原生接口加載加密證書/密鑰,對于使用OpenSSL的程序有更好的兼容性,降低應用進行國密SSL遷移的開發成本。
3.支持TLCP(GB/T 38636-2020)。增加對GCM套件的支持。
4.支持RFC 8998 ?ShangMi (SM) Cipher Suites for TLS 1.3。基于TLS1.3實現了兩個國密套件TLS_SM4_GCM_SM3/TLS_SM4_CCM_SM3。放寬了雙證的需求,使用SM2單證書;取消了在使用ECDHE算法時必須有客戶端證書的限制。
5.支持原生Nginx。TaSSL可與原生Nginx實現國密SSL的Web Server/反向代理;同時支持使用江南天安硬件產品(密碼機/密碼卡)存儲SSL長期密鑰,以保證密鑰安全性。(零代碼改造,只需修改配置)。
6.支持原生Apache。TaSSL可與原生Apache實現國密SSL的Web Server/反向代理;同時支持使用江南天安硬件產品(密碼機/密碼卡)存儲SSL長期密鑰,以保證密鑰安全性。(零代碼改造,只需修改配置)。
7.支持UKey。TaSSL支持客戶端使用UKey(客戶端私鑰/證書存儲于UKey)完成與服務端的SSL握手。
部署方案
云上SSL卸載業務的部署方案
密碼卡SSL卸載業務的部署方案
密碼機SSL卸載業務的部署方案
UKey部署方案
典型應用
Web服務器
SSL代理
堡壘機
準入系統
零信任網關
數據庫安全一體機
銀行/交易所業務系統