开源之夏-8(ext)

闲谈杂记。

• 基础安全更像“幕后筑墙者”，要求攻防+底层技术深度；
• 大安全更像“前线哨兵”，要求业务理解+算法+数据驱动。

接触开源项目隐语：
如果你大二就开始追这个论坛，建议先把 SPU（Secure Processing Unit）白皮书 + 官方 tutorial 跑通，再把其中的 PSI、SS-LR 例子改写成 Rust/Go 版本提 PR——社区活跃度足够高，你的 patch 很容易就被 merge；后续无论是校招还是社招，基础安全部都会把这类开源贡献直接当“技术简历”看。

铜锁库

一句话总结：
蚂蚁集团今天的“密码学底座”≈ 90 % 自研铜锁（Tongsuo） + 10 % 场景化 OpenSSL/GmSSL 补丁；OpenSSL 只是血缘起点，Tongsuo 才是经国密认证、内部统一落地的“主粮”，GmSSL 仅作算法补充。

---

1. 铜锁（Tongsuo）——蚂蚁的“主发动机”

• 起源：2019 年从 OpenSSL 1.1.1 fork，内部称 BabaSSL，2022 更名为 Tongsuo 并捐赠给开放原子开源基金会。
• 覆盖场景：支付宝、网商、OceanBase、隐语隐私计算框架等，全部 TLS 链路默认走 Tongsuo。
• 合规：已拿到国密 GM/T 0028 安全一级认证（Android / iOS / Linux 三平台）。
• 能力：除 TLS 1.3、QUIC、国密套件外，还内置半同态、零知识证明、后量子算法实验分支，为隐语、可信计算提供原语。

2. OpenSSL——“血缘提供者”

• 仅在早期 fork 阶段保留接口兼容；实际代码已大量重写（内存管理、国密实现、性能优化）。
• 生产环境不会直接链接 vanilla OpenSSL，而是内部统一构建的 Tongsuo 版本。

3. GmSSL——“算法词典”

• 早期参考了 GmSSL 的国密实现思路，但蚂蚁最终选择自研国密指令集优化（ARM SM4/SM3 NEON、x86 AVX-512），不再依赖 GmSSL 主线。
• 隐语或特定合规场景如需“纯国密算法库”时，会按需静态链接 GmSSL 的算法子集，但不做默认依赖。

4. 硬件与芯片层

• 自研密码芯片、加密板卡与 Tongsuo 对接，实现国密算法硬件卸载，性能提升 5–10×。

因此，问“蚂蚁的密码学能力来自哪儿”，标准答案是：
核心在自研并通过国密认证的铜锁（Tongsuo），OpenSSL/GmSSL 只是早期算法参考或局部补丁，生产流量已全部切换到铜锁。

把“日支付量”拆成两个口径看，就能一眼找出真正能和支付宝对撞的对手：

1. 中国大陆市场
   • 支付宝：2024 年全年 ≈ 200 万亿元人民币 → 日均 ≈ 5,500 亿元
   • 微信支付：同年 ≈ 120 万亿元人民币 → 日均 ≈ 3,300 亿元
   → 国内只有微信支付能与支付宝在同一数量级，其余玩家（云闪付、京东支付、抖音支付等）日交易规模都在百亿或更低量级，差了一个数量级以上。

2. 全球场景（含跨境）
   • 支付宝：2023 年跨境 10.4 万亿元，占全球第三方移动支付 42%
   • 微信支付：同年跨境 7.6 万亿元，占 31%
   全球范围内，PayPal、Apple Pay、Google Pay 在境外交易量虽高，但以美元计价，且多走卡组织通道，与人民币为主的支付宝/微信支付统计口径不同，直接比较意义有限。

结论
在中国大陆，唯一能与支付宝在“日支付量”上匹敌的只有微信支付；放眼全球，尚未出现能在同一人民币口径上与其等量齐观的第三方移动支付对手。