SM2加解密、签名验签

导论

SM2是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法，在我们国家商用密码体系中被用来替换RSA算法。
国产SM2算法，是基于ECC的，但二者在签名验签、加密解密过程中或许有些许区别，目前鄙人还不太清楚，后期有机会的话会回来补充。

普通的软密钥，在签名验签、加密解密时，使用的0009规范；
如果是硬密钥，例如密码钥匙是0016规范（SKF），密码设备是0018规范（SDF）；
在涉及一方签，另一方验时，需注意规范问题！！！

SM2基于椭圆曲线，公钥是曲线上的一点（x,y），即公钥由x和y分量组成。

ps：1024位的RSA算法，已经不安全了。

涉及标准文件

《GM_T 0003.1-2012SM2 椭圆曲线公钥密码算法第1部分：总则》
《GM_T 0003.2-2012SM2 椭圆曲线公钥密码算法第2部分：数字签名算法》
《GM_T 0003.3-2012SM2 椭圆曲线公钥密码算法第3部分：密钥交换协议》
《GM_T 0003.4-2012SM2 椭圆曲线公钥密码算法第4部分：公钥加密算法》
《GM_T 0003.5-2012SM2 椭圆曲线公钥密码算法第5部分：参数定义》
《GMT 0009-SM2 密码算法使用规范-报批稿》
《GMT 0016-智能密码钥匙密码应用接口规范》
《GMT 0018-密码设备应用接口规范》

ECC椭圆曲线

BC库实现了一种C1||C2||C3的ECC加密方式，密文格式：C1||C2||C3，C1是带有04的公钥格式
对于这种，明确一下每一段的长度就很有必要了：

• C1: 公钥长度65字节，格式：04||x||y
• C3: hash长度32字节
• C2: 密文长度与明文长度一致

SM2

推荐的椭圆曲线、参数
椭圆曲线方程：y2 = x3 + ax + b
p= FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFF
a= FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFC
b= 28E9FA9E 9D9F5E34 4D5A9E4B CF6509A7 F39789F5 15AB8F92 DDBCBD41 4D940E93
n= FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 7203DF6B 21C6052B 53BBF409 39D54123
Gx= 32C4AE2C 1F198119 5F990446 6A39C994 8FE30BBF F2660BE1 715A4589 334C74C7
Gy= BC3736A2 F4F6779C 59BDCEE3 6B692153 D0A9877C C62A4740 02DF32E5 2139F0A0

加密解密

参照SM2算法的第4部分：《GM_T 0003.4-2012SM2 椭圆曲线公钥密码算法第4部分：公钥加密算法》
涉及：《GM-T 0009》 9.2、9.3、7.2、7.4部分

截取了几份同一公钥加密的结果，发现x/y分量不一定是正好32字节（0x20），可能多一个补位，或者少一位。
补位原因：以x分量值举例，因为x的第一字节值大于128（0x80），所以需要在前面加上0x00。

如果有朋友要把asn1编码的加密值转为C1C3C2时，注意一下补位问题哈。

签名验签

SM2签名

涉及：《GM-T 0009》 9.4、9.5、7.3部分

按照国密的规范，SM2签名结果r||s长度应该是(r:32字节)+(s:32字节)64字节，就算加个04头字节，也是65个字节。
r：随机数
s：签名值

但是，我参考网上有限的资料发现sign1签名MEQCIC24h6tnaKcOnxNZe93rtLFrKEqM9R3yG8/Ba2+tyE+3AiBTG46yfxJziYDlaH1WZjrCfRloIuMnfx5oyEVuwgbV0A==长度为96字节，这一看就是base64加密数据，源签名长度96/4*3=72字节。

SM2签名结果长度为64字节，为什么出来的是72字节？我咨询过好几个过35114的博客主，回复都是，我们是硬加密。/(ㄒoㄒ)/~~

其实，SM2签名结果数据是要经过asn.1(der格式)编码的，编码结果长度在70-72变化。

ASN1将签名产生的 r 和 s 看作两个整数，若其第一个字节最高位为 1，则在整数前插入0x00。

ECC签名

密钥长度：
公钥0x41(65字节) 私钥0x20(32字节)

签名格式：TLV嵌套格式。
签名的主体分为R和S两部分。R(或S)的长度等于ECC私钥长度。R(或S)前的T为0x02，签名T为0x30。总体格式如下：
30 + LEN1 + 02 + LEN2 + 00 (optional) + r + 02 + LEN3 + 00(optional) + s
*当r或s的第1字节大于0x80时，需要在r或s前加1字节0x00。
LEN3为，0x00(optional) + s 的字节长度。
LEN2为，0x00(optional) + r 的字节长度。
LEN1为，LEN2+LEN3+4字节长度。

参考链接：https://blog.csdn.net/m0_71405746/article/details/128253831

ASN1编码后，格式如下：
00 30 44 02 20 … 02 20 …

附：一个经三未加密机ECC签名的印章结构，详看签名值，硬件签名签名值可能不够64字节，为凑长度首为补0，此时我们系统的软验签就过不了。解决方式：如果首位是0，就让硬件再签一次吧。

其中：
第1字节：若第一个字节最高位为 1，则在整数前插入0x00（有待验证）
第2字节：0x30表示一种通用的格式
第3字节：0x44表示后面跟了68个字节的数据
第4字节：0x02表示后面是一个整数
第5字节：0x20表示整数长度是32个字节

第38字节：0x02表示后面是个整数
第39字节：0x20表示整数长度是32个字节
第40字节：0x00表示签名值不足32位，首位补0了。

第40字节的0x00，即s的首位，就是软验证不过的问题所在吧。

SM2和ECC的区别

SM2基于ECC，却又不完全一样，有博主称：SM2与ecc的区别主要在于曲线参数的选择不同，另外在签名，验签的过程中也有一点区别，SM2的官方文档以及官方推荐参数可以参考
http://www.oscca.gov.cn/News/201012/News_1197.htm 。

《GM-T 0009》规范

相当于是《GM-T 0003》的补充用法。

密钥数据格式

私钥256位，公钥x/y分量各256位
注意：公钥内容为 04 || X || Y
公钥分量：x和y理论上是需要256位，即32字节。但实际上，也许是具体实现的误差，导致生成的公钥x、y分量不足32字节，发生补位情况，也会有33字节的情况。

公钥：理论是64字节（只含xy分量），也有可能是65字节（多个04、或者x多一字节、或y多一字节）

加解密

《GM-T 0009》 7.2部分的定义：加密数据格式
该规范要求输出的密文符合asn1标准，其中：
c1: x/y分量
c3: hash
c2:cipherText

c1/c2/c3这种叫法是《GMT 0003.4》定义的

注意：这里的xy分量是Integer类型，据说在ASN1编码规范中，对于Integer类型的数，有一个规则：如果数字的最高位是1，则需要再前面补充一个全0的八位组。

《GM-T 0009》 7.4部分的定义：密钥对保护数据格式（数字信封？）

签名验签

《GM-T 0009》 7.3部分的定义：签名数据格式

《GMT 0003.4》

加解密

小剧场

java世界里，如何判断一个字节最高位是否是1？

十进制：128
二进制：1000 0000
十六进制：0x80

由于1000 0000值的特殊性，除了最高位是1，其余位全是0，任何值与其做【与】操作，低位都会被抵消为0。

举例：( x & 0x80)

• 结果等于0x80，则表示x最高位为1，即大于等于128；
• 不等于0x80，则x最高位为0，即小于128；