理应把sm2签名和sm4加密分开来的,但是因为正好在一个项目里就写在一起了。
sm2要比sm4复杂很多,看了看理论视频和相关文章,也没有像sm4那样搞懂理论,只是简单的理解了一下表层。
先说下sm2,sm2是ECC算法,也就是椭圆曲线加密算法。它的核心就是Q=kG,k是私钥,Q是公钥,G是基点。G和Q是曲线y²=x³+ax²+b上的两点。
首先kG的关系并不是简单的相乘,这也是我当时走入的第一个误区,如果是简单相乘是极易从公钥推断出私钥的。这个曲线有一个特点,就是曲线上一点A和曲线另一点B相连必然与曲线相交于一点C,C作垂线与曲线相较于一点D,这个D才是这次A+B的结果D,所以以上整个运算的公式为A+B=D。而2A=A+A,也就是在A点做切线,相交后在做垂线。故所谓kG,其实就是经过了k次复杂的运算后得到的一个点Q。
在实际操作中,并不是直接的一条曲线,而是取模mod将曲线离散化,具体原理我也没看懂。最终的结果就是,把任意k次运算得到的点,都落到了一个整数集合中,不会出现无限大也不会出现小数(在计算机中小数你懂得)
ECC椭圆曲线算法大概就是上面那些内容,那么SM2与ECC具体是什么关系呢?SM2其实就是ECC的一种,y²=x³+ax²+b这个曲线中,a和b这两个参数并没有给出,而怎样选取a和b更科学就是一个问题。用sm2就说明指定了固定的a和b参数。这一点在openssl更具体:EC_get_builtin_curves为获取曲线列表,EC_GROUP_new_by_curve_name生成密钥参数。
size_t EC_get_builtin_curves(EC_builtin_curve *r, size_t nitems)
{
size_t i, min;
if (r == NULL || nitems == 0)
return curve_list_length;
min = nitems < curve_list_length ? nitems : curve_list_length;
for (i = 0; i < min; i++) {
r[i].nid = curve_list[i].nid;
r[i].comment = curve_list[i].comment;
}
return curve_list_length;
}
而curve_list数组的最末尾就是sm2
/* SM2 curve */
{"SM2", NID_sm2 },
/* NID_sm2是个宏定义 */
#define SN_sm2 "SM2"
#define LN_sm2 "sm2"
#define NID_sm2 1172
#define OBJ_sm2 OBJ_sm_scheme,301L
得到sm2的nid 1172后,EC_GROUP_new_by_curve_name函数中需要将1172上送,
EC_GROUP *EC_GROUP_new_by_curve_name_ex(OSSL_LIB_CTX *libctx, const char *propq,
int nid)
{
EC_GROUP *ret = NULL;
const ec_list_element *curve;
/* 通过nid取得曲线参数 */
if ((curve = ec_curve_nid2curve(nid)) == NULL
|| (ret = ec_group_new_from_data(libctx, propq, *curve)) == NULL) {
#ifndef FIPS_MODULE
ERR_raise_data(ERR_LIB_EC, EC_R_UNKNOWN_GROUP,
"name=%s", OBJ_nid2sn(nid));
#else
ERR_raise(ERR_LIB_EC, EC_R_UNKNOWN_GROUP);
#endif
return NULL;
}
return ret;
}
而openssl考虑各种算法的兼容性,以至于他的结构体非常复杂,最后我还是参考了gmssl实现了加签验签的功能。