平台地址
潮密密码应用安全检测平台 http://mima.tidesec.com/
建设背景
为解决当前密码应用存在的突出问题,国家颁布实施了《网络安全法》、《密码法》、《网络安全审查办法》、《国家政务信息化项目建设管理办法》等一系列法律法规,对密码的应用安全性提出要求,促进商用密码的使用和管理规范。
潮密密码应用安全检测平台是山东新潮信息技术有限公司在深入分析和研究最新密码安全、攻防研究经验、风险评估项目经验以及目前被广泛应用的攻击技术基础上,结合信息安全密码安全相关标准总结归纳大量的安全漏洞信息和攻击方式后,为密码的安全性检测研制开发的一款产品。
潮密密码应用安全检测平台,具有规范检查、工具调用、结果展示等功能。以密码安全制度为核心集成定制有专门的安全检查工具,配备了包含密码安全检查专业检查指标和检查方法的检查知识库。检查过程符合测评、检查实际工作需要,检查完毕可以直接符合测评规范的标准测评报告。同时也可以通过快速检查对目标系统进行针对性体检,及时定位网络安全隐患。
平台功能
潮密密码应用安全检测平台将配置核查和技术脆弱性检查工具通过“密码安全检查知识库”、管理要求访谈内容,与GBT 39786-2021《信息安全技术 信息系统密码应用基本要求》完美结合,将密码安全基本要求落地,使信息系统运营和使用单位从技术和管理角度明确了自身系统与密码安全相关等级要求的具体差异,是密码安全整改,也是网络安全建设的最佳依据。
潮密密码应用安全检测平台内置多维业务模块,包括通信协议检测、随机数检测、密码算法检测、数字证书检测、电子印章检测、国密SSL通道检测。
整体框架:本系统采用了一种由浏览器端、扫描控制台端和扫描代理端组成的三层分布式的网络指纹扫描体系作为系统框架。其中,扫描代理服务器被部署到网络的各个逻辑子网中,并由扫描控制台端进行集中管理和控制。通过这种方式可实现分布式网络漏洞扫描,用户的所有操作只需要打开浏览器即可完成。
目前平台主要实现了如下功能:
密码加解密:常用密码算法(AES、DES、RC4、Rabbit、TripleDes)和国密(SM2、SM3、SM4)加解密。
HTTPS检测:检测网站的SSL证书是否安全,是否达到SSL行业标准,符合苹果ATS规范等。
检查工具:包括通信协议检测、随机数检测、密码算法检测、数字证书检测、电子印章检测和国密SSL通道检测。
密码加解密
常用密码算法(AES、DES、RC4、Rabbit、TripleDes)和国密(SM2、SM3、SM4)加解密。
HTTPS检测
用户通过浏览器输入待检测的URL地址,可检测部署SSL/TLS的服务是否符合行业最佳实践,PCI DSS支付卡行业安全标准,Apple ATS规范。并枚举出相关域名地址、证书详细信息、证书链详细信息、当前支持协议、加密套件详细信息等。为更安全的配置和部署提供参考信息。
通信协议检测工具
通信协议检测工具是协助密评工作中对系统通信过程中的密码应用检测,主要用于检测通信过程中对密码算法、安全协议、数字证书的使用是否合规进行测评。为确保协议实现的正确性和网络产品的互操作性,符合对应网络安全协议的产品在投入使用之前都应先通过相应的网络安全协议测试。目前,针对网络安全协议的测试一般都是采用抓包分析的方法,测试平台先捕获包括被测设备在内的各相关设备执行网络安全协议时接收和发出数据包,再对捕获的数据包进行分析。
1、网络通信包解析
解析TCP/IP协议,以及SSL/TLS、IPSec等加密协议;
支持通过采集和分析网络通信包,来检测通信过程是否使用了加密协议;
2、SSL VPN网关设备检测
通过采集和分析网络通信包,来检测SSL VPN设备是否符合相关国密标准要求(GMT 0024);
3、IPSec VPN网关设备检测
通过采集和分析网络通信包,来检测IPSec VPN设备是否符合相关国密标准要求(GMT 0023);
4、密码算法检测
通过采集和分析网络通信包,来检测通信过程中使用的加密算法;
5、数字证书检测
通过采集和分析网络通信包,来检测通信过程中使用的数字证书。
通信协议分析结果:
通信协议握手过程:
数字证书信息:
随机数检测工具
随机数检测工具是协助密评工作中对系统使用的秘钥等随机数的随机性进行检测,以GB/T32915-2016信息安全技术 二元序列随机性检测方法为依据,进行15项技术检测。
包括:单比特频数检测、块内频数检测、游程总数检测、块内最大1游程检测、矩阵秩检测、离散傅立叶变换检测、Maurer通用统计检测、线性复杂度检测、重叠子序列检测、近似熵检测、累加和检测。
以及国密有4个专有检测项:扑克检测、游程分布检测、二元推导检测、自相关检测。
密码算法检测工具
计算机系统通过密码技术保护数据的机密性,因此密码算法的强度对数据安全至关重要。在实际的软件密码算法实现中,密码算法往往以黑盒的方式提供服务。密码算法检测工具是协助密评工作中对系统所使用的密码算法进行正确性检测。
密码算法检测工具用于验证商密算法实现的正确性,支持算法包括SM2、SM3、SM4,另外也支持部分国际算法,包括RSA、DES、AES、SHA1、SHA256、MD5等。对于任一支持算法可选择输入明文、密钥和密文,工具根据输入的明文或密钥针对以上类型的加密算法进行加密,加密结果与用户输入的密文进行比对,针对生成随机加密数据的算法进行密文逆推,比对明文数据。从而获取该检测系统的加密算法。
数字证书检测工具
数字证书检测是协助密评工作中对系统中使用的数字证书进行合规性检测,通过对证书进行解析,分析其使用的算法,从时间、签名、证书链等多角度判断证书的有效性。
本地证书检测:
本地证书链检测:
验证远程有效性检测:
电子印章检测工具
电子印章检测是实现电子签章文档的完整性校验及解析能力,从签章文档中解析电子签章数据等,实现签章验证服务功能,提供电子签章、印章验证能力,产生验证结果与验证详情。
国密SSL通道检测工具
国密SSL通信协议流程和传统的使用RSA证书的TLS协议流程基本一致,但是过程中使用的核心算法已经全部切换到国密相关的算法实现上,保证了通信的安全。
国密SSL证书采用了我国自主研发的SM2公钥算法体系,支持SM2、SM3、SM4等国产密码算法及国密SSL安全协议。国产密码算法(国密算法)是指国家密码局认定的国产商用密码算法,在金融领域目前主要使用公开的SM2、SM3、SM4三类算法,分别是非对称算法、哈希算法和对称算法,密钥长度和分组长度均为128位。传统SSL证书通常是RSA算法。
国密SSL通道检测工具包含以下检测项:协商结果,协议类型,国密算法套件,国密SSL证书有效性(证书链),抗重放攻击,通道应用数据检测功能,包含以下检测项:机密性和完整性。
检查结果:
国密SSL证书信息:
平台登陆
会员用户在登录SSO平台后,可直接跳转。
统一登录认证平台 http://sso.tidesec.com
往期推荐
E
N
D
知识星球产品及服务
团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......
星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享
星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......
星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......
扫码加入一起学习吧~
继续阅读
阅读原文