商密软件栈SIG 8月份运营月报 | 龙蜥SIG

商密软件栈SIG ：基于 Anolis Linux，在整个系统软件层面（包括硬件，固件，bootloader，内核以及 OS）实现以国密算法为主的全栈国密操作系统，结束一直以来国密算法生态碎片化的状况，在技术方面打造社区和生态，在资质合规方面致力于为行业提供基于国密的信息安全标准。

欢迎更多开发者加入商密软件栈SIG：

网址：https://openanolis.cn/sig/crypto

邮件列表：tc@lists.openanolis.cn

相关文章阅读：

商密软件栈SIG 7月份运营月报｜龙蜥SIG

技术解析：一文看懂 Anolis OS 国密生态 | 龙蜥专场

SIG 目标

基于 Anolis Linux，在整个系统软件层面（包括硬件，固件，bootloader，内核以及 OS）实现以国密算法为主的全栈国密操作系统，结束一直以来国密算法生态碎片化的状况，在技术方面打造社区和生态，在资质合规方面致力于为行业提供基于国密的信息安全标准。

本月进展

1、Anolis 商密版镜像, YUM 源已经准备就绪下再进行最后的测试和验证工作；

2、BabaSSL 升级到 8.2.1，修复了最近的几个安全更新；

3、内核 SM4 算法 avx2 指令集优化进入上游社区，至此内核 SM4 在 x86 平台的软件层面优化（avx/avx2）基本完成，相比于纯软件实现，性能提升接近 8 倍，这会大幅降低商密的产业化成本，使得大规模商用变得可能；

4、内核添加SM4 GCM/CCM模式的测试用例，支持SM4算法的AEAD功能。

SIG 长期规划

全栈国密涉及到众多的上下游组件、团队、外部合作伙伴、上游社区、要尽可能团结其它团队的力量，消除不必要的重复开发，扩大推广和影响力，成为国密事实标准。

全栈国密要求先具备从 boot 到业务运行环节各安全链路上所需的国密算法，再针对各组件做针对性的优化，在社区版本扩大精力影响力后，也让未来商业版相比社区版本带来差异化优势。协助 BabaSSL 申请国密资质，为应用系统提供必要的合规属性，也为有此需求的用户可以迁移到这个系统上来，增加用户的使用黏性，这也是一个主要的竞争优势。

规划支持的国密场景：

• IMA 场景下使用国密算法替代国际算法
• 内核模块签名认证流程的国密化支持
• Web 场景下的 RFC 8998 协议支持，即 TLS v1.3 协议中支持使用国密算法套件
• 使用国密算法支持 luks，dm-crypt 场景
• SecureBoot 中使用国密算法替换国际算法
• 内核 SM4 算法的指令集加速实现
• coreutils 支持 sm3sum 工具
• SM2 优化，类似于 NIST，主要优化点是 SM2 所用曲线的快速取模算法
• 集成 intel QAT 方案，大量哈希算法加速 daemon
• 集成 AMD，Hygon CCP 加速方案
• 积极参与 OpenSSL 3.0.0 dev 开发，加速 release
• coreboot 等未来可能替代 UEFI 的固件支持 SM 系统算法
  

Milestone

8 月提供第一版全栈国密 OS 镜像，提供默认国密算法的系统基础组件：

• 使用 BabaSSL 替换系统默认的 OpenSSL1.1.1，提供国密的系统运行支持，也提供给开发者无门槛的国密应用二次开发体验
  
• 内置sm3sum工具，用于计算文件SM3哈希算法，提供与md5sum，sha256sum一致的用户体验
• IMA全场景支持国密算法，包括 ima-evm-utils 使用国密算法签名，内核使用相应算法认证签名的合法性
• 内核模块签名支持使用国密算法
  

12 月第二版本国密 OS 镜像：

• 基于 5.10 内核的国密镜像
• 内核支持 SM4 的 avx/avx2 加速实现，性能是纯软件实现的五倍左右，为商用提供必要支持
• Web场景支持 RFC 8998 协议，在 TLS v1.3 中支持使用国密套件，以及提供给用户最佳实践，可以在国密 OS上开发自己的国密应用
• 争取更多的自研 patch 进入上游社区，减少由此导致的自定义 rpm 数量
  

当前国密软件栈的整体支持情况

当前相关的主要开源软件栈对国密的支持情况以及社区回馈统计：

• ✅ 表示由 OpenAnolis 开发并已经贡献到开源软件中的特性
• “开发中”表示由 OpenAnolis 开发中的、或是开源软件正在进行 review 的特性
• “Y”表示开源软件已经支持且不是由 OpenAnolis 开发的
• ❌ 表示开源软件尚未支持
• “-”表示开源软件无需支持

——完——

关于龙蜥社区 SIG

SIG 是开放的，并争取让交付成果成为社区发行的一部分，由组内核心成员主导治理，可通过邮件列表和组内的成员进行交流。龙蜥社区SIG目前已超 20 个，包括跟踪诊断技术 SIG、商密软件栈、高性能存储技术 SIG、Java 语言与虚拟机 SIG、Cloud Kernel、OceanBase SIG 等。

SIG网址：https://openanolis.cn/sig

加入龙蜥社群

加入微信群：添加社区助理-龙蜥社区小龙（微信：openanolis_assis），备注【龙蜥】拉你入群；加入钉钉群：扫描下方钉钉群二维码。欢迎开发者/用户加入龙蜥社区（OpenAnolis）交流，共同推进龙蜥社区的发展，一起打造一个活跃的、健康的开源操作系统生态！

Anolis商密软件栈钉钉群           龙蜥社区钉钉交流群