大家好,我是孙岩。
对于准备参加商用密码合规与安全性评估(密评)相关考试的同学来说,法律法规的细节字眼和密码算法的工程底层逻辑往往是丢分的“重灾区”。
本文精心挑选了30道极具代表性的高频易错题,涵盖政策法规、网络安全法、分组密码、序列密码、公钥密码等核心模块,每题配以最简解析,并在文末附带核心考点速记口诀,助你快速通关!
第一部分:高频易错真题精讲
01. 行政许可事项清单(多选题·题号45)
题干: 按照《法律、行政法规、国务院决定设定的行政许可事项清单(2023年版)》,其中涉及密码领域的许可事项包括( )。
A. 商用密码技术审查鉴定 B. 商用密码检测机构资质认定 C. 电子认证服务使用密码许可 D. 电子政务电子认证服务机构资质认定 正确答案: CD 最简解析: 注意限定条件!在“国务院2023年版清单”中,国密局负责的字面项目明确只有4项(965-968项),选项中仅包含C和D。若题干问的是“国密局自身权责清单”,则全选。
02. 行政许可事项数量(判断题·题号47)
题干: 根据《法律、行政法规、国务院决定设定的行政许可事项清单》,国家密码管理局负责的行政许可事项有四项。
A. 正确 B. 错误 正确答案: A 最简解析: 核心结论直接背:在此官方清单中,明确归属国家密码管理局的行政许可事项数量确实为四项。
03. 商密标准体系权责(多选题·题号158)
题干: 根据《密码法》,关于我国商用密码标准化体系,下列表述正确的是( )。
A. 国家标准由国家密码管理局组织制定 B. 团体标准代号为GM C. 行业标准需要报国家标准化管理委员会备案 D. 企业标准由商业密码企业制定或企业联合制定 正确答案: CD 最简解析: 国家标准(GB)由国家标准委组织制定;行业标准(GM)才由国家密码管理局组织制定并报国标委备案。
04. 密码管理部门标准权责(多选题·题号159)
题干: 根据《密码法》,国家密码管理部门依据职责制定的商用密码标准不属于( )。
A. 国家标准 B. 行业标准 C. 团体标准 D. 企业标准 正确答案: ACD 最简解析: 转换思维!国家密码管理局依据职责只能组织制定“行业标准”,因此国标、团标、企标都不由它直接制定。
05. 商密产品认证证书(多选题·题号207)
题干: 根据《商用密码产品认证规则》,以下对商用密码认证证书的说法正确的是( )。
A. 商用密码产品认证证书的有效期为五年 B. 认证机构定期监督认定不符合证书保持条件的,可以撤销认证证书 C. 认证证书覆盖产品变更的,认证证书有效期不变 D. 认证证书覆盖产品扩展的,认证证书有效期自动终止 正确答案: ABC 最简解析: 无论是产品“变更”还是“扩展”,认证证书的有效期均保持不变,选项D说自动终止是错误的。
06. 密码三大分类定义(多选题·题号223)
题干: 根据《密码法》,关于密码分类的说法正确的是( )。
A. 密码分为核心密码、普通密码和商用密码 B. 核心密码、普通密码和商用密码都是采用特定变换的方法对信息等进行加密保护、安全认证 C. 核心密码和商用密码属于一类 D. 普通密码和商用密码属于一类 正确答案: AB 最简解析: 密码法明确密码分三类。三类的底层定义完全相同(特定变换、加密保护、安全认证),但它们属于并列独立的关系,不相互隶属。
07. 关键信息基础设施违法处罚(多选题·题号230)
题干: 根据《密码法》,密码管理部门发现关键信息基础设施运营者甲未按照法律规定开展商用密码应用安全性评估,因此责令其改正,并给予警告。但甲认为其安全措施绝对安全,无需进行安全性评估。对此,密码管理部门可对其进行的处罚有( )。
A. 直接处50万元罚款 B. 直接处200万元罚款 C. 对直接负责的主管人员处10万罚款 D. 对直接负责的主管人员处20万罚款 正确答案: AC 最简解析: 拒不改正的处罚红线:单位处10万以上100万以下罚款;主管人员处1万以上10万以下罚款。选项AC正好落在各自的法定区间内。
08. 商密管理条例发布历史(判断题·题号257)
题干: 1999年,国务院正式公布《商用密码管理条例》,自公布之日起施行。商用密码的名称开始为社会所熟知和广泛使用。
A. 正确 B. 错误 正确答案: A 最简解析: 历史事实题。我国第一版《商用密码管理条例》于1999年10月7日颁布并施行,标志着“商用密码”走向社会大众。
09. 电子认证信任源管理(判断题·题号280)
题干: 负责国家电子认证信任源的规划和管理的是国家密码管理部门和国务院工业和信息化部门。
A. 正确 B. 错误 正确答案: B 最简解析: 根据修订后的《商用密码管理条例》,电子认证信任源的规划和管理仅由国家密码管理局负责,不包含工信部。
10. 政务信息化建设惩罚细节(单选题·题号327)
题干: 根据《国家政务信息化项目建设管理办法》,有关项目建设单位新建、改建、扩建政务信息系统的表述,错误的是( )。
A. 对于未按要求共享数据资源或者重复采集数据的政务信息系统,项目建设单位不得新建、改建、扩建政务信息系统 B. 对于未纳入国家政务信息系统总目录的系统,项目建设单位不得新建、改建、扩建政务信息系统 C. 对于不符合密码应用和网络安全要求的系统,项目建设单位不得新建、改建、扩建政务信息系统 D. 对于存在重大安全隐患的政务信息系统,项目建设单位不得新建、改建、扩建政务信息系统 正确答案: B 最简解析: 文字游戏陷阱!对于“未纳入总目录”的系统,惩罚措施是“不安排运行维护经费”,而不是禁止“新建、改建、扩建”。
11. 网络产品漏洞检测规范(多选题·题号363)
题干: 关于网络产品的密码相关漏洞,以下说法正确的是( )。
A. 产品提供者发现其网络产品存在漏洞等风险,应采取补救措施 B. 密码产品提供者应当在产品的质保期内持续提供安全维护 C. 产品提供者可以通过委托网络安全服务机构对使用中的密码产品直接进行漏洞检测评估 D. 密码漏洞不属于《网络安全法》规定的网络产品、服务漏洞 正确答案: AB 最简解析: 对于已经在客户业务中上线使用的产品,提供者绝不能“直接”进行检测,必须取得客户的明确授权。
12. 关键信息基础设施报告时限(单选题·题号419)
题干: 根据《关键信息基础设施商用密码使用管理规定》,保护工作部门应当于每年( )前向国家密码管理部门、国家网信部门、国务院公安部门报告上一年度本行业、本领域关键信息基础设施商用密码使用管理情况。
A. 2026/12/30 B. 2026/1/1 C. 2026/1/31 D. 2026/3/31 正确答案: D 最简解析: 行业保护工作部门向上级报告上一年度密码管理情况的法定期限是每年的3月31日前。
13. 商密算法国际化(多选题·题号608)
题干: 下列我国商密算法中,被纳入国际标准化组织ISO/IEC的包括( )。
A. SM2数字签名算法 B. SM3密码杂凑算法 C. SM4分组密码算法 D. 祖冲之密码算法 正确答案: ABCD 最简解析: 我国四大核心商用密码算法(SM2签名、SM3、SM4、ZUC)均已成功纳入ISO/IEC国际标准体系。
14. 密码应用标识规范(多选题·题号645)
题干: GB/T 33560《信息安全技术 密码应用标识规范》中,包括( )的公钥密码算法的标识。
A. RSA B. SM2 C. ECDSA D. SM9 正确答案: ABD 最简解析: 在该规范中,明确定义了我国商密算法(SM2、SM9)以及传统国际标准算法(RSA)的标识,但未包含ECDSA。
15. SM4算法基本运算(多选题·题号845)
题干: SM4算法中采用了下述( )基本运算。
A. 异或运算 B. 模幂运算 C. 移位运算 D. 循环移位运算 正确答案: AD 最简解析: SM4的基本运算只有两个:32比特异或(XOR)和32比特循环左移。普通的移位运算(空缺补0)不属于其基本运算。
16. 分组密码模式安全陷阱(多选题·题号862)
题干: 以下操作方式,可能出现安全问题的是( )。
A. 使用ECB对于RGB图片进行加密 B. 使用固定IV的CBC模式进行性别的加密 C. 明文传递CTR模式的计数器值 D. 未采用可靠方式传递根CA的自签名证书 正确答案: ABD 最简解析: CTR模式的计数器本身就不需要保密(公开传递安全);而ECB加图片会漏轮廓、固定IV加性别(高重复率)会泄露明文规律、根CA自签名证书未安全传递会导致中间人攻击。
17. CBC-MAC量子不安全性(判断题·题号876)
题干: 黑盒模型下具备生日界的CBC-MAC,在量子攻击下不再安全。
A. 正确 B. 错误 正确答案: A 最简解析: 现代密码学前沿结论。在量子叠加态查询(Q2模型)下,利用量子周期寻找算法,传统的CBC-MAC等对称模式不再安全。
18. SM4整体结构分类(判断题·题号890)
题干: SM4在整体结构上采用的是Target-Heavy型广义Feistel结构。
A. 正确 B. 错误 正确答案: B 最简解析: SM4属于Source-Heavy型广义Feistel结构(因为控制变化的输入源比例大占3个,被改变的目标比例小占1个)。
19. ZUC算法反馈抽头位置(单选题·题号940)
题干: ZUC算法驱动部分LFSR的反馈抽头位置不包括( )。
A. s15 B. s10 C. s7 D. s0 正确答案: C 最简解析: 记住ZUC的LFSR反馈多项式公式:参与反馈的寄存器位置固定为s15, s13, s10, s4, s0。里面根本没有s7。
20. ZUC非线性函数运算(多选题·题号995)
题干: ZUC算法非线性函数F部分使用的非线性运算包括( )。
A. S-盒变换 B. 模2^32的加法 C. 模2^31-1的加法 D. 比特串异或运算 正确答案: AB 最简解析: 异或在GF(2)上是线性的;模2^31-1的加法属于LFSR线性部分;只有S盒和模2^32加法为F函数提供非线性能力。
21. 杂凑函数攻击方法(多选题·题号1096)
题干: 攻击杂凑函数的方法有( )。
A. 穷举攻击法 B. 生日攻击 C. 中途相遇攻击 D. 伪造攻击 正确答案: ABC 最简解析: 针对哈希/杂凑函数的标准密码分析攻击方法包括穷举、生日攻击(找碰撞)、中途相遇攻击。“伪造攻击”属于针对签名或MAC的攻击。
22. 杂凑函数安全分类(多选题·题号1108)
题干: 根据杂凑函数的安全水平,人们将杂凑函数分为两大类,分别是( )。
A. 弱碰撞自由的杂凑函数 B. 强碰撞自由的杂凑函数 C. 强杂凑函数 D. 弱杂凑函数 正确答案: AB 最简解析: 经典密码学理论中,根据抗碰撞级别,哈希函数严格分为:弱碰撞自由(抗第二原像)和强碰撞自由(抗任意两个明文碰撞)。
23. SM2密文长度逆推(单选题·题号1246)
题干: 如果SM2的密文长度是2048比特,那么相应明文长度是( )比特。
A. 1024 B. 1280 C. 2048 D. 2816 正确答案: B 最简解析: 记住SM2密文公式:密文长度 = C1(512位) + C2(与明文等长) + C3(256位)。 因此:明文长度 = 2048 - 512 - 256 = 1280。
24. 2017年底国密国际化进度(多选题·题号1274)
题干: 截至2017年底,( )没有被ISO/IEC通过为国际标准。
A. SM2数字签名算法 B. SM2密钥交换协议 C. SM9数字签名算法 D. SM9密钥交换协议 正确答案: BD 最简解析: 2017年11月,第一批被ISO成功接纳的是SM2和SM9的“数字签名算法”,此时它们的“密钥交换协议”尚未通过。
25. SM2算法规范定义数据格式(多选题·题号1276)
题干: SM2算法涉及到的数据格式包括( )。
A. 椭圆曲线点 B. 有限域元素 C. 比特串 D. 字符串 正确答案: ABC 最简解析: 根据 GMT 0003.1 规范,标准定义的数据类型包括:比特串、字节串、域元素、椭圆曲线上的点和整数。不包含通用的“字符串”。
26. SM2加密安全特性(多选题·题号1290)
题干: SM2的安全特性主要体现在( )方面。
A. 算法具备单向性(从密文直接计算出明文计算不可行) B. 密文不可区分性 C. 密文具有抗碰撞性 D. 密文具有不可延展性 正确答案: ABD 最简解析: 别混淆!“抗碰撞性”是单向杂凑函数(如SM3)的核心安全特性,而公钥加密体制追求的是单向性、不可区分性(IND-CCA2)和不可延展性。
27. SM9算法辅助函数(多选题·题号1291)
题干: ( )算法用于SM9密码算法的辅助函数。
A. SM1 B. SM2 C. SM3 D. SM4 正确答案: CD 最简解析: 规范原文:SM9在执行标识加密、密钥封装等机制时,使用的辅助函数明确为 SM3(杂凑) 和 SM4(对称加密)。
28. RSA算法算力不对称性(多选题·题号1293)
题干: 以下说法正确的是( )。
A. RSA算法加密速度比解密速度快 B. RSA算法加密速度比解密速度慢 C. RSA算法签名速度比验签速度快 D. RSA算法签名速度比验签速度慢 正确答案: AD 最简解析: RSA中公钥指数e选得很小,私钥d极大。由于公钥负责“加密”和“验签”,私钥负责“解密”和“签名”,所以结论一定是:加密快于解密,验签快于签名。
29. SM2签名DER编码幽灵字节(多选题·题号1331)
题干: SM2签名结果用ASN.1 DER表示时,如果签名值为71字节,可能的情形是( )。
A. 签名值中,r的最高位为1,s的最高位为0 B. 签名值中,r的最高位为0,s的最高位为1 C. 签名值中,r的最高位为0,s的最高位为0 D. 签名值中,r的最高位为1,s的最高位为1 正确答案: AB 最简解析: 裸签名本是64字节(R和S各32)。转DER编码时,大整数若最高位为1,为防止变负数必须在前面强行补一个 0x00字节。总长71字节,意味着R和S中有且仅有一个最高位为1。
30. SM9标准主要构成(多选题·题号1336)
题干: SM9密码算法的主要内容包括( )。
A. 数字签名算法 B. 密钥交换协议 C. 密钥封装机制 D. 公钥加密算法 正确答案: ABCD 最简解析: 核心常识。GM/T 0044《SM9标识密码算法》全套标准完整包含了这四大核心机制。
第二部分:核心考点高分速记归纳
为了方便大家临考前快速背诵,我们将上述30道题的硬核考点浓缩为以下三大“考点对子”与口诀:
1. 政策法规“找茬”口诀
国标行标看组织:国标(GB)归标准委,行标(GM)归国密局(且行标需向国标委备案)。 变更扩展证依旧:商密产品证书无论是“覆盖变更”还是“扩展”,有效期通通保持不变。 目录系统扣运维:政务系统未按要求纳入总目录的,惩罚是“不给运维经费”,而不是不让改建扩建。 漏洞检测莫擅自:对于“使用中”的系统,产品提供者必须先经运营者同意才可以扫,不可直接盲扫。 时限卡死331:保护工作部门每年向国密、网信、公安报告上一年度情况的期限是 3月31日前。
2. 对称与序列算法“内功心法”
SM4 结构与基本功:它是 Source-Heavy 广义Feistel结构(3比1);基本运算只认 32位异或 和 循环左移(注意必须是“循环”移位)。 ZUC 抽头与非线性:LFSR反馈抽头位置为 0、4、10、13、15(没有7!);非线性F函数靠的是 S盒 和 模2^32加法(异或在线性空间是线性的)。 杂凑分类两兄弟:抗第二原像是弱碰撞自由,抗任意两明文碰撞是强碰撞自由;抗碰撞性属于哈希,不属于公钥加密!
3. 公钥密码“数字计算与工程”
SM2密文逆推明文:固定公式背下来:(即减去 的512和 的256)。 RSA快慢不对称:公钥(加密、验签)快;私钥(解密、签名)慢。 SM2的DER编码幽灵长度:裸签名 64 字节: R、S最高位均为0 70字节 R、S有一位为1 71字节 R、S两位均为1 72字节
冲刺倒计时!密评备考特训群,最后的名额!
大家好,我是孙岩。
目前,密评考试还没有正式公布考试日期。大家是不是都疲沓了……不过越是这样,越不能放松警惕,万一来个突然袭击,再复习可来不及了……
最近,后台每天都能收到大量小伙伴的焦急留言:
“孙老师,我现在题库才看了一半,感觉题做完了再还是错,怎么办?” “我找的题库解析驴唇不对马嘴,感觉答案是错的,找AI问又经常胡说八道,能不能出个精准的指导?” “有没有备考群?想跟着你们的节奏一起突击一下!” “马上就要考试了,现在再跟着您学还来得及吗?”
大家的焦虑我非常理解。密评考试不是一个简单的考试,23年的考试通过率只有27%,24年据说只有11%。官方的题库有5075道题,还不包括实务部分30%左右的题目,真的是一个很难的考试。
应对这个考试,我们首先要做的事情,一定是把整个题库要多看几遍!不要相信他人说的,这个题库最终的出题概率不到50%、30%。真正的考试一定是基于这个题库,即便有的不是原题,也是题库里内容的变形。再次提醒,只看一遍、两遍题库,是无法通过考试的!一定要多看几遍!
其次,官方的题库没有官方的答案和解析!任何的题库答案和解析都不见得是全部正确的!题库本身有的题干和选项就是有问题的!因为密码相关的标准更新很多,文件之间本来也有些冲突,题目跟不上变化的节奏,数量又多,这也很正常。而基本所有的培训机构,也没有那么多全面的专家,既了解法规政策,又懂算法技术产品,还会密评,也太全能了。所以不要迷信任何的题库或者机构,只要掌握对了基本的理论知识,一些超难的题不要太较真,毕竟我们不是要冲着得100分去的,60分及格拿到证书就好。
第三,备考千万不要放弃,即使时间感觉不够用,再坚持一下!以我本人举例,24年备考只有短短的几天时间,白天还有工作要完成,晚上拼命刷题,也就记熟了2700道题左右,再靠着发挥和运气顺利通过拿到证书。
最后要说,学习群是有的,有个小小的门槛,100元,没有其他费用,服务持续到本次考试结束为止。群里有校对过的题库全部答案解析,核心考点的分析与总结,高频考题和重点难题的讲解,视频资料,第五部分实务题的备考思路和题目讲解,以及实时的考题答疑与陪伴,考试经验分享等等。
时间紧,任务重。如果你不想在考场上因为一两分之差而后悔,不想在浩如烟海的标准中迷失方向,欢迎加入我们的冲刺阵营。
(扫码添加小助手,或添加管理员微信账号:ca3199。备注“密评入群”,支付100元后即可进群)
最后时刻,咱们咬紧牙关,一鼓作气。我是孙岩,我们在群里见!
