国密合规对算法使用有哪些规定？

国密合规对算法使用有以下规定：

​​一、优先选用国产商用密码算法​​

• ​​特定算法的使用​​

明确规定在各类信息处理和密码应用场景中，应优先采用国产商用密码算法，如SM2椭圆曲线公钥密码算法、SM3哈希算法、SM4分组密码算法等。这些算法经过严格的安全性评估，能够满足国内信息安全需求。

• ​​替代国外算法​​

要求逐步替代可能存在安全风险或不符合国家战略的国外密码算法。例如，在一些对安全性要求较高的金融交易、政务信息加密等场景中，禁止使用已被证明存在安全隐患或者受国外控制的开源或商业密码算法。

​​二、算法使用的合规性要求​​

• ​​算法实现标准​​

对于选定的国密算法，在实现过程中必须遵循相关的国家标准和规范。这包括算法的数学模型实现、参数设置、运算流程等方面的标准。例如，SM4算法在分组加密时，对分组长度、密钥长度以及加密轮数等都有明确的定义，实现时必须严格按照这些标准进行。

• ​​算法性能与安全强度​​

算法的使用要满足一定的性能和安全强度要求。企业或组织在使用国密算法时，需要根据自身的应用场景评估算法的性能是否能够满足业务需求，同时要确保算法的安全强度能够抵御当前和可预见的攻击威胁。例如，在高并发的网络通信场景中，要确保SM2算法的签名和验证速度能够满足业务要求，并且其安全强度足以保护通信数据的机密性和完整性。

​​三、算法更新与维护​​

• ​​跟踪算法发展​​

企业或组织需要对国密算法的发展保持关注，及时了解算法的更新情况。随着密码学研究的不断深入和信息安全威胁的演变，国密算法可能会进行优化或改进，以应对新的安全挑战。

• ​​及时更新算法​​

在有新的国密算法版本发布或者官方推荐更新时，应及时对企业系统中的算法进行更新，以确保持续符合国密合规要求并保持系统的安全性。例如，如果SM3算法进行了优化以提高哈希计算效率或安全性，相关企业应及时将其应用到涉及哈希运算的信息系统中。