在一次行业交流会中,某国产操作系统厂商的技术负责人坦言:“我们虽然建立了自主的操作系统,但硬件驱动的数字签名仍普遍采用RSA密码体系,这在技术上仍存在依赖和受制于人。” 笔者当时的回应是:这真的不是什么事了,绝对不是什么受制于人的事情!我国不仅是硬件制造大国,更是密码技术应用大国,完全有能力构建自主可控的商密代码签名体系。通过推进“双算法双签名”技术方案—驱动程序同时携带RSA和SM2双算法签名,我国可以在兼容现有生态的同时,逐步实现技术自主。但这不仅是技术问题,更是标准制定与生态协同的系统工程。
当前,国产操作系统在党政、金融、交通等关键领域加速推广,其安全机制的完善迫在眉睫。为构建可信可控的操作系统环境,必须建立覆盖开发、分发、运行全流程的代码签名保障体系。本文将结合我国代码签名应用现状,探讨国产操作系统代码签名的发展路径与实施建议。
Windows通过三级签名机制构建了完整的软件信任链:
该机制从应用、驱动到内核实现全链路可信验证,为国产系统代码签名应用提供了成熟的安全架构参考。
目前主流国产操作系统已在代码签名方面取得阶段性进展,同时相关标准体系正在逐步完善:
我国已初步形成覆盖密码算法、证书管理、系统安全的多层标准框架:
当前挑战在于:尚未形成如Windows WHQL认证那样的强制性生态签名规范,双算法兼容机制缺乏统一标准;不同国产系统间的签名互认体系尚未建立。这是一个生态建设问题,我国应该参考国际体系。首先是必须有CA机构依据相关的密码行业标准签发SM2算法代码签名证书,其次是操作系统厂商必须信任这些CA机构签发代码签名证书的根证书,可以采用直接信任国家根的方式简化根证书信任体系,只需预置信任国家根即可。操作系统厂商必须实施强制要求所有应用软件包括硬件驱动程序都必须有可信数字签名和时间戳签名,只有这样,软件开发商和硬件厂商才会去申请商密代码签名证书实现代码签名。
为助力国产系统在兼容现有代码签名生态的同时构建自主签名体系,零信技术计划在单国际算法代码签名云服务基础上推出“双算法双签名代码签名云服务”:
该方案旨在通过技术手段弥合生态断层,大大减轻软件开发商和硬件厂商的代码签名负担,推动商密代码签名在渐进式升级中落地应用。
同时,零信代码签名云服务计划第一时间免费升级支持后量子密码(PQC)算法数字签名,可行的方案是传统密码算法和后量子密码算法双签名,不仅确保了老系统的兼容,而且确保了企业的软件供应链能够抵御未来的量子计算威胁,这是传统硬件证书签名难以灵活实现的巨大优势。
为系统推进国产操作系统代码签名体系建设,建议从以下方面着手:
推动《操作系统代码签名技术规范》等专项标准尽快出台,明确双算法签名格式、验签优先级、兼容性测试等要求,并建立标准动态更新机制。
建立国产系统间代码签名互认机制,推动“一次签名,多系统运行”。这个互认机制实现并不难,因为国内CA都有一个统一的国家根证书,只要操作系统厂商预置信任国家根证书,并能按照《操作系统代码签名技术规范》来验证代码签名即可。
结合网络安全法、等保2.0、关基保护条例等政策,在党政、金融、能源等重点领域率先推行强制代码签名要求,不仅能真正有效保障使用国产操作系统的系统安全,而且还能给代码签名产业形成示范效应。
鼓励第三方服务商提供低成本、自动化的双算法签名服务和签名工具,降低开发者使用门槛;推动CA机构、测试认证中心、安全厂商协同共建代码可信服务生态。
代码签名是密码的重要应用之一,代码签名是操作系统安全体系的基石,只有代码签名技术才能真正做到让攻击者“进不去、拿不到、改不了、瘫不成、赖不掉”的防护效果,代码签名应该成为构建自主可控信息技术生态的关键环节。当前,国产操作系统代码签名在技术实践、标准建设、生态协同等方面已具备一定基础,正处在从“试用”到“可用”再向“好用、强用”迈进的关键阶段。
我们应抓住国产化替代的历史窗口,从起步阶段就要构建以商密算法为核心、兼容现有生态、强制可信验证的代码签名体系。这需要技术突破、标准引领、政策推动与生态共建的多轮驱动。唯有如此,国产操作系统才能在安全可控的轨道上行稳致远,真正支撑起数字中国建设的宏伟蓝图。
