strawberrydafu 最近的时间轴更新
strawberrydafu

strawberrydafu

V2EX 第 495762 号会员,加入于 2020-06-21 23:31:50 +08:00
strawberrydafu 最近回复了
@Daiwf 是的。这也和我所接触到的情况一致。

SM2 的问题。SM2 就只是换了个曲线参数?基本正确。但曲线参数是可能安插后门的。NIST 提供了一些曲线,但并没有全部给出选择的依据。当然 SM2 与 NIST 提供的其他曲线参数目前都是国际认可的标准,这也意味着目前没人能找到这些参数的后门,后门是否存在是一个无法证明也无法证伪的问题。
这就涉及到一个信任问题:你的项目是信任 NIST 制定的曲线参数,或是国内制定的曲线参数呢?就国内企业的视角而言(只讨论安全性),这个问题应该是偏向 SM2 的。至少从国家层面选出新参数是必要的。(题外话,如果二者都不相信可以试着选择 edwards25519 ,很多区块链项目选择的就是这条曲线。https://en.wikipedia.org/wiki/Curve25519

GM 的强制使用问题。首先等保三级以上单位是必须要使用国密的。此外目前密码法正在做这件事:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估”。具体会如何实施就无从知晓了。

目前国密的生态确实很糟糕,使用国密的成本比使用其他算法的成本高出太多。像国内比较知名的 GmSSL 项目,我之前在配置时也是感觉很痛苦。这个问卷一定程度上也是想直接地询问实际的项目开发者的想法
VDF
睡眠唤不醒我之前也经常遇到。现在的解决办法是禁止自动睡眠,只启用休眠,体验好不少。
只允许休眠的情况下唤醒是没问题的,但睡眠有时候会有睡死的问题
另外服务器相关的方案不太清楚开销是否能承受(项目要跑大量应用),直觉上讲优先级可能比较低
谢谢各位回复。
我最开始是比较想知道如何编译出 android studio 中提供的镜像( android9 & 11 兼容 arm ),不过看起来 houdini 和 anbox 也满足需求,我这两天先尝试一下。
项目需要修改密码学库代码( JCE & JCA ),还不太清楚 Anbox 是否能够容易地进行相应修改
@winterbells 研究是要对国内应用进行检测。检测的环境需要通过修改安卓系统来进行构建(获取部分库的调用信息)。因此需要跑的是国内的应用,但很多国内应用都没办法在 apkmirror 里找到。
目前来说最方便的方法就是从部分应用商店的网页爬,这时没办法选择架构,默认下载下来的版本就是对应 arm 架构的。如果能下载到 x86 架构的应用,这个问题也能绕过去。(我试着联系过几家国内的应用商店,不过都石沉大海了
关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2420 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 220ms · UTC 04:00 · PVG 12:00 · LAX 21:00 · JFK 00:00
Developed with CodeLauncher
♥ Do have faith in what you're doing.