6. 签名流程
- M’ = ZA || Msg
- e = Hash(M’),并转为大数;
- 生成随机数k,范围0<k<n;
- 计算kG = (x1, y1)
- r = (e + x1) mod n, 若r0或(r+kn)则重新生成k;
- s = (k-rd) / (1+d) mod n,若s==0则重新生成k;
- 返回签名(r, s)
ZA:关于用户A的可辨别标识、部分椭圆曲线系统参数和用户A公钥的杂凑值。
7. 验签流程
- 检查r, s范围,>0 && < n
- M’ = ZA || Msg
- e = Hash(M’), 并转为大数;
- t = (r + s) mod n,若t==0,则验证不通过;
- (x1, y1) = sG + tQ
- 计算R = (e + x1) mod n == r是否成立,成立则验签通过。
推导:
sG + tQ
= ((k-rd) / (1+d)) G + (r + s) dG
= ((k-rd) / (1+d)) G + ( ((r+rd) + (k-rd))/(d+1) ) dG
= ((k-rd) / (1+d)) G + ( (r + k)/(d+1) ) dG
= ((k-rd) / (1+d)) G + ( (dr + dk)/(d+1) ) G
= (k+dk) / (1+d)) G
= kG
= (x1, y1)
整个流程其实和ecdsa相似,区别在于:
- 消息前追加发送者的标识
- r和s的计算有点差异。
实现
https://github.com/C0deStarr/CryptoImp/tree/main/pubkey/ecc
- sm2.g
- sm2.c
实现时有一个坑,s的符号大概率是负的,但big_to_bytes接口并不会存储符号,需要手动记录。
参考资料
国家密码管理局关于发布《SM2椭圆曲线公钥密码算法》公告(国密局公告第21号)_国家密码管理局 (sca.gov.cn)