ICS35.030 CCSL80 中华人民共和国国家标准 GB/T43578—2023 信息安全技术 通用密码服务接口规范 Informationsecuritytechnology—Universalcryptographyservice interfacespecification 2023-12-28发布 2024-07-01实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 1 …………………………………………………………………………………………………… 5 通用密码服务接口描述 2 ………………………………………………………………………………… 5.1 通用密码服务接口在公钥密码应用技术体系框架中的位置 2 …………………………………… 5.2 通用密码服务接口组成和功能说明 2 ……………………………………………………………… 6 通用密码服务接口函数定义 3 …………………………………………………………………………… 6.1 算法标识和数据结构 3 ……………………………………………………………………………… 6.2 环境类函数 5 ………………………………………………………………………………………… 6.3 证书类函数 8 ………………………………………………………………………………………… 6.4 密码运算类函数 18 …………………………………………………………………………………… 6.5 消息类函数 44 ………………………………………………………………………………………… 7 验证方法 56 ………………………………………………………………………………………………… 7.1 验证环境 56 …………………………………………………………………………………………… 7.2 密码服务环境操作验证 56 …………………………………………………………………………… 7.3 证书类函数功能验证 57 ……………………………………………………………………………… 7.4 签名验签验证 60 ……………………………………………………………………………………… 7.5 摘要计算验证 63 ……………………………………………………………………………………… 7.6 非对称加解密验证 64 ………………………………………………………………………………… 7.7 对称加解密验证 65 …………………………………………………………………………………… 7.8 生成密钥对验证 67 …………………………………………………………………………………… 7.9 PKCS#7运算验证 68 ……………………………………………………………………………… 7.10 SM2消息类运算验证 68 …………………………………………………………………………… 7.11 Base64编码验证 69 ………………………………………………………………………………… 附录A(资料性) 通用密码服务接口函数汇总 71 ………………………………………………………… 附录B(规范性) SM9密码算法数据结构和接口函数 74 ………………………………………………… 附录C(规范性) 通用密码服务接口错误代码定义 87 …………………………………………………… 参考文献 89 …………………………………………………………………………………………………… ⅠGB/T43578—2023 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:北京数字认证股份有限公司、无锡江南信息安全工程技术中心、中国电力科学研 究院、中国电子技术标准化研究院、博雅中科(北京)信息技术有限公司、山东得安信息技术有限公司、上 海市数字证书认证中心有限公司、北京信安世纪科技股份有限公司、智巡密码(上海)检测技术有限公 司、格尔软件股份有限公司、中科信息安全共性技术国家工程研究中心有限公司、数安时代科技股份有 限公司、阿里云计算有限公司、郑州信大捷安信息技术股份有限公司、中电科网络安全科技股份有限公 司、中移(杭州)信息技术有限公司、浙江九州量子信息技术股份有限公司、航天信息股份有限公司、OP- PO广东移动通信有限公司、深圳市不动产登记中心。 本文件主要起草人:赵松、王银平、程磊、夏鲁宁、侯鹏亮、李述胜、刘平、李智虎、黄晶晶、程科伟、 浦雨三、马洪富、袁中林、许涛、王玉林、焦靖伟、韩玮、谭武征、高振鹏、杜志强、肖淑婷、梁松涛、刘为华、 王中武、王晨光、张文科、董亮亮、李根、路晓明、杨倩媚、颜海龙。 ⅢGB/T43578—2023 信息安全技术 通用密码服务接口规范 1 范围 本文件规定了通用密码服务接口的数据结构、接口描述、函数定义要求,描述了相应验证方法。 本文件适用于公开密钥应用技术体系下密码应用服务的开发,密码应用支撑平台的研制及检测,密 码设备的应用系统的开发。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T20518 信息安全技术 公钥基础设施数字证书格式 GB/T25069 信息安全技术 术语 GB/T32918.1 信息安全技术 SM2椭圆曲线公钥密码算法 第1部分:总则 GB/T33560 信息安全技术 密码应用标识规范 GB/T35275 信息安全技术 SM2密码算法加密签名消息语法规范 GB/T35276 信息安全技术 SM2密码算法使用规范 GB/T35291 信息安全技术 智能密码钥匙应用接口规范 GB/T36322 信息安全技术 密码设备应用接口规范 GB/T41389 信息安全技术 SM9密码算法使用规范 GM/T0094—2020 公钥密码应用技术体系框架规范 GM/Z4001 密码术语 PKCS#1 RSA密码编译标准(RSACryptographyStandard) PKCS#7 密码消息语法标准(CryptographicMessageSyntaxStandard) 3 术语和定义 GB/T25069、GM/Z4001界定的以及下列术语和定义适用于本文件。 3.1 密钥容器 keycontainer 密码设备中用于保存密钥唯一性存储空间。 4 缩略语 下列缩略语适用于本文件。 CA:证书认证机构(CertificationAuthority) CRL:证书撤销列表(CertificateRevocationList) 1GB/T43578—2023 CSP:加密服务提供者(CryptographicServiceProvider) DER:可区分编码规则(DistinguishedEncodingRules) ECB:电子密码本(ElectronicCodeBook) IV:初始化向量(initializationvector) LDAP:轻量级目录访问协议(LightweightDirectoryAccessProtocol) MAC:消息鉴别码(MessageAuthenticationCode) OCSP:在线证书状态协议(OnlineCertificateStatusProtocol) OID:对象标识符(ObjectIdentifier) RSA:非对称加密算法(Rivest-Shamir-AdlemanAlgorithm) 5 通用密码服务接口描述 5.1 通用密码服务接口在公钥密码应用技术体系框架中的位置 公钥密码应用技术体系框架由应用层、典型密码应用支撑层、通用密码应用支撑层、基础设施安全 支撑平台、密码设备服务层组成。通用密码服务接口属于通用密码应用支撑层中通用密码服务,向典型 密码服务层和应用层提供证书解析、证书认证、信息的机密性、完整性和不可否认性通用密码服务,将上 层应用的密码服务请求转化为具体的基础密码操作请求,通过统一的密码设备应用接口调用相应的密 码设备实现具体的密码运算和密钥操作,通用密码服务在公钥密码应用技术框架内的位置应遵循 GM/T0094—2020的第4章。 5.2 通用密码服务接口组成和功能说明 5.2.1 概述 通用密码服务接口由以下部分组成: a) 环境类函数; b) 证书类函数; c) 密码运算类函数; d) 消息类函数。 通用密码服务接口函数汇总信息详见附录A。本文件中的相关接口,均采用C语言形式定义,作 为参考。 5.2.2 环境类函数 环境类函数负责创建和管理程序空间中所需的各种资源、信号,并确保程序空间在应用程序运行期 间不会被非法访问,造成信息泄露。环境类函数负责完成与密码设备的安全连接,确保后续的操作是在 安全的程序空间中进行。环境类函数还负责在用户与密码设备之间创建和管理应用接口句柄。可创建 两种