早在2018年,江南天安就基于OpenSSL实现并开源了包含国密SSL功能的TaSSL。(2018年开源TaSSL 1.0.2o;2019年开源TaSSL 1.1.1b;2021年开源TaSSL 1.1.1k)。日前,针对用户在使用TaSSL过程中遇到的问题和提出的建议,江南天安基于2022年11月1日发布的OpenSSL 1.1.1s实现了新版本TaSSL 1.1.1s并开源。
在江南天安等众多国产商用密码厂商的推动下,OpenSSL 1.1.1版本开始支持国密SM2/SM3/SM4算法,这不仅降低了用户应用国密算法的难度,也证明了国产商用密码算法的推广在国际上取得了巨大突破。
时下,在安全需求和相关政策的大力驱动下(需要满足GM/T 0024-2014标准),许多用户正在从标准TLS向国密SSL迁移。对于不熟悉SSL协议和国密算法的用户来说,要实现国密SSL协议需要花费大量人力物力和时间。
OpenSSL是一个应用广泛的开源库,由SSL协议库、应用程序、密码算法库三部分组成。SSL协议库实现了TLS1.2/TLS1.3/DTLS1.2等协议;应用程序OpenSSL实现了常用算法/证书操作等功能的命令行调用;密码算法库实现了常用密码算法。
密码是国之重器,是国家的重要战略资源,是保护网络安全的核心技术和基础支撑。江南天安希望新版本TaSSL的开源能让更多的用户能够轻松应用国密SSL协议,助力国密算法和国密SSL协议的应用推广。
新版特性
1.基于开源OpenSSL 1.1.1s修改。相较于之前的TaSSL 1.1.1k版本,修复了以下漏洞: CVE-2021-3711 CVE-2021-3712 CVE-2022-0778 CVE-2022-1292 CVE-2022-2068 CVE-2022-2097.
2. 支持国密SSL协议(GM/T 0024-2014)。使用原生接口加载加密证书/密钥,对于使用OpenSSL的程序有更好的兼容性,降低应用进行国密SSL迁移的开发成本。
3.支持TLCP(GB/T 38636-2020)。增加对GCM套件的支持。
4.支持RFC 8998 ShangMi (SM) Cipher Suites for TLS 1.3。基于TLS1.3实现了两个国密套件TLS_SM4_GCM_SM3/TLS_SM4_CCM_SM3。放宽了双证的需求,使用SM2单证书;取消了在使用ECDHE算法时必须有客户端证书的限制。
5.支持原生Nginx。TaSSL可与原生Nginx实现国密SSL的Web Server/反向代理;同时支持使用江南天安硬件产品(密码机/密码卡)存储SSL长期密钥,以保证密钥安全性。(零代码改造,只需修改配置)。
6.支持原生Apache。TaSSL可与原生Apache实现国密SSL的Web Server/反向代理;同时支持使用江南天安硬件产品(密码机/密码卡)存储SSL长期密钥,以保证密钥安全性。(零代码改造,只需修改配置)。
7.支持UKey。TaSSL支持客户端使用UKey(客户端私钥/证书存储于UKey)完成与服务端的SSL握手。
部署方案
云上SSL卸载业务的部署方案
密码卡SSL卸载业务的部署方案
密码机SSL卸载业务的部署方案
UKey部署方案
典型应用
Web服务器
SSL代理
堡垒机
准入系统
零信任网关
数据库安全一体机
银行/交易所业务系统