SM2椭圆曲线公钥密码算法

翁才杰

已于 2024-05-01 10:54:15 修改

阅读量1.8k

点赞数 21

分类专栏：密码技术文章标签：密码学安全

于 2024-03-16 12:36:22 首次发布

本文链接：https://blog.csdn.net/realcjweng/article/details/136662911

版权

密码技术专栏收录该内容

8 篇文章 0 订阅

订阅专栏

1. 摘要

SM2椭圆曲线公钥密码算法(elliptic curve cryptography，ECC)，简称 SM2算法，是我国公钥密码算法标准（2010年12月首次公开发布，2012年成为中国商用密码标准，2016年成为中国国家密码标准），本文详细描述了SM2算法的主要内容，包括数字签名算法、密钥交换协议和公钥加密算法。

2. SM2系统参数

SM2系统参数为有限域上的椭圆曲线及相关参数，包括：有限域 $F_{q}$ 的规模 $q$ ；定义椭圆曲线 $E\left (F _{q} \right )$ 方程（ $y^{2}=x^{3}+ax+b$ ）的2个元素 $a,b\in F_{q}$ ； $E\left (F _{q} \right )$ 上的基点 $G=\left (x _{G}, y_{G}\right )\left ( G\neq O \right )$ ， $x_{G}$ 和 $y_{G}$ 是 $F_{q}$ 中的2个元素； $G$ 的阶 $n$ 及其他可选项（如 $n$ 的余因子 $h$ 等）。

3. SM2数字签名算法

作为签名者的用户A的密钥对包括私钥 $d_{A}$ 和公钥 $P_{A}=\left [ d_{A} \right ]G=\left ( x_{A},y_{A} \right )$ ，用户A具有 $entlen_{A}$ 位长的标识 $ID_{A}$ ，记 $ENTL_{A}$ 是整数 $entlen_{A}$ 转换而来的 $2B$ 数据，签名者和验证者都用SM3密码杂凑算法计算A的杂凑值 $Z_{A}=SM3\left ( ENTL_{A}||ID_{A}||a||b||x_{G}||y_{G}||x_{A}||y_{A} \right )$ 。

3.1 数字签名生成算法

签名者用其私钥生成消息 $M$ 的数字签名，具体步骤如下：

（1）计算 $\overline{M}=Z_{A}||M$ ，其中 $Z_{A}$ 为A的杂凑值；

（2）计算 $e=H_{v}\left ( \overline{M} \right )$ ，并将 $e$ 转换为整数，其中 $H_{v}$ 为密码杂凑函数；

（3）生成随机数 $k\in \left [ 1,n-1 \right ]$ ，其中为椭圆曲线基点 $G$ 的阶；

（4）计算椭圆曲线上的点 $\left (x_{1},y_{1} \right )=k\left [ G \right ]$ ，并将 $x_{1}$ 转换为整数；

（5）计算 $r=\left ( e+x_{1} \right )mod\, n$ ，若 $r=0$ 或 $r+k=n$ 则返回步骤（3）；

（6）计算 $s=\left (\frac{k-r\cdot d_{A}}{1+d_{A}} \right )mod\, n$ ，若 $s=0$ 则返回步骤（3）；

（7）将 $r$ ， $s$ 转换为字节串， $\left ( r,s \right )$ 即为消息 $M$ 的签名。

3.2 数字签名验证算法

用 ${M}'$ 和 $\left ( {r}' ,{s}'\right )$ 表示验证者B接收到的A的消息及签名，签名验证步骤如下：

（1）检验 ${r}'\in \left [ 1,n-1 \right ]$ 是否成立，若不成立则验证不通过；

（2）检验 ${s}'\in \left [ 1,n-1 \right ]$ 是否成立，若不成立则验证不通过；

（3）计算 ${\overline{M}}'=Z_{A}||{M}'$ ，其中 $Z_{A}$ 为A的杂凑值；

（4）计算 ${e}'=H_{v}\left ( {\overline{M} }'\right )$ ，并将 ${e}'$ 转换为整数，其中 $H_{v}$ 为密码杂凑函数；

（5）将 ${r}'$ ， ${s}'$ 转换为整数，计算 $t=\left ( {r}'+{s}' \right )mod\, n$ ，若 $t=0$ ，验证不通过；

（6）计算椭圆曲线上的点 $\left ({ x_{1}}',{y_{1}}' \right )=\left [ {s}' \right ]G+\left [ t \right ]P_{A}$ ；

（7）将 ${x_{1}}'$ 转换为整数，计算 $R=\left ( {e}' +{x_{1}}'\right )mod\, n$ ，检验 $R={r}'$ 是否成立，若成立则验证通过；否则验证不通过。

4. SM2密钥交换协议

用户A和B进行密钥协商，用户A的密钥对包括其私钥 $d_{A}$ 和公钥 $P_{A}=\left [ d_{A} \right ]G=\left ( x_{A},y_{A} \right )$ ，用户B的密钥对包括其私钥 $d_{B}$ 和公钥 $P_{B}=\left [ d_{B} \right ]G=\left ( x_{B},y_{B} \right )$ ；用户A具有 $entlen_{A}$ 位长的标识 $ID_{A}$ ，记 $ENTL_{A}$ 是由整数 $entlen_{A}$ 转换而来的 $2B$ 数据，用户B具有 $entlen_{B}$ 位长的标识 $ID_{B}$ ，记 $ENTL_{B}$ 是由整数 $entlen_{B}$ 转换而来的 $2B$ 数据；A和B都用SM3密码杂凑算法计算双方的杂凑值 $Z_{A}=SM3\left ( ENTL_{A}||ID_{A}||a||b||x_{G}||y_{G}||x_{A}||y_{A} \right )$ 、 $Z_{A}=SM3\left ( ENTL_{A}||ID_{A}||a||b||x_{G}||y_{G}||x_{A}||y_{A} \right )$ 。

4.1. 密钥派生函数

SM2密钥交换协议中使用的密钥派生函数 $KDF\left ( Z,klen \right )$ 的输入为比特串 $Z$ （共享的秘密）、整数 $klen$ （输出的密钥数据位长），输出位长为 $klen$ 的密钥数据比特串 $K$ ，具体如下：

（1）初始化1个由32 $b$ 数据构成的计数器 $ct=0x00000001$ ；

（2）计算 $Ha_{i}=H_{v}\left ( Z||\left (ct+i \right )\right )$ ， $0\leqslant i< \left \lceil \frac{klen}{v} \right \rceil$ ， $H_{v}$ 为密码杂凑函数；

（3）计算 $Ha!_{\left \lceil klen/v \right \rceil}$ ，若 $klen/v$ 的值为整数，则 $Ha!_{\left \lceil klen/v \right \rceil}=Ha_{\left \lceil klen/v \right \rceil}$ ，否则 $Ha!_{\left \lceil klen/v \right \rceil}$ 为 $Ha_{\left \lceil klen/v \right \rceil}$ 最左边的 $\left ( klen-\left ( v\times \left \lfloor klen/v \right \rfloor \right ) \right )$ 比特数据；

（4） $K=Ha_{1}||Ha_{2}||\cdots ||Ha_{\left \lceil klen/v \right \rceil-1}||Ha!_{\left \lceil klen/v \right \rceil}$ ， $K$ 即为根据共享秘密派生出的密钥数据。

4.2 密钥交换协议

记 $w=\left \lceil \left ( \left \lceil lb\left ( n \right ) \right \rceil/2 \right ) \right \rceil-1$ 。

用户A

（1）生成随机数 $r_{A}\in \left [ 1,n-1 \right ]$ ；

（2）计算 $R_{A}=\left [ r_{A} \right ]G=\left ( x_{1},y_{1} \right )$ ；

（3）将 $R_{A}$ 发送给用户B。

用户B

（1）生成随机数 $r_{B}\in \left [ 1,n-1 \right ]$ ；

（2）计算 $R_{B}=\left [ r_{B} \right ]G=\left ( x_{2},y_{2} \right )$ ；

（3）从 $R_{B}$ 中提取出元素 $x_{2}$ ，将其转换为整数，计算 $\overline{x_{2}}=2^{w}+\left ( x_{2}\&\left ( 2^{w}-1 \right ) \right )$ ；

（4）计算 $t_{B}=\left ( d_{B}+\overline{x_{2}}\cdot r_{B} \right )mod\, n$ ；

（5）验证 $R_{A}$ 是否满足椭圆曲线方程，若不满足则协商失败；否则从 $R_{A}$ 中提取出元素 $x_{1}$ ，将其转换为整数，计算 $\overline{x_{1}}=2^{w}+\left ( x_{1}\&\left ( 2^{w}-1 \right ) \right )$ ；

（6）计算 $V=\left [ h\cdot t_{B} \right ]\left ( P_{A}+\left [ \overline{x_{1}} \right ] R_{A}\right )=\left ( x_{V},y_{V} \right )$ ，若 $V$ 为无穷远点则协商失败；否则将 $x_{V}$ 、 $y_{V}$ 转换为比特串；

（7）计算 $K_{B}=KDF\left ( x_{V}||y_{V}||Z_{A}||Z_{B},klen \right )$ ；

（8）（选项）将 $R_{A}$ 的坐标 $x_{1}$ 、 $y_{1}$ 和 $R_{B}$ 的坐标 $x_{2}$ 、 $y_{2}$ 转换为比特串，计算 $S_{B}=Hash\left ( 0x02||y_{V}||Hash\left ( x_{V}||Z_{A}||Z_{B}||x_{1}||y_{1}||x_{2}||y_{2} \right ) \right )$ ；

（9）将将 $R_{B}$ ，（选项 $S_{B}$ ）发送给用户A。

用户A

（4）从 $R_{A}$ 中提取出元素 $x_{1}$ ，将其转换为整数，计算 $\overline{x_{1}}=2^{w}+\left ( x_{1}\&\left ( 2^{w}-1 \right ) \right )$ ；

（5）计算 $t_{A}=\left ( d_{A}+\overline{x_{1}}\cdot r_{A} \right )mod\, n$ ；

（6）验证 $R_{B}$ 是否满足椭圆曲线方程，若不满足则协商失败；否则从 $R_{B}$ 中提取出元素 $x_{2}$ ，将其转换为整数，计算 $\overline{x_{2}}=2^{w}+\left ( x_{2}\&\left ( 2^{w}-1 \right ) \right )$ ；

（7）计算 $U=\left [ h\cdot t_{A} \right ]\left ( P_{B}+\left [ \overline{x_{2}} \right ] R_{B}\right )=\left ( x_{U},y_{U} \right )$ ，若 $V$ 为无穷远点则协商失败；否则将 $x_{V}$ 、 $y_{V}$ 转换为比特串；

（8）计算 $K_{A}=KDF\left ( x_{U}||y_{U}||Z_{A}||Z_{B},klen \right )$ ；

（9）（选项）将 $R_{A}$ 的坐标 $x_{1}$ 、 $y_{1}$ 和 $R_{B}$ 的坐标 $x_{2}$ 、 $y_{2}$ 转换为比特串，计算 $S_{1}=Hash\left ( 0x02||y_{U}||Hash\left ( x_{U}||Z_{A}||Z_{B}||x_{1}||y_{1}||x_{2}||y_{2} \right ) \right )$ ，检验 $S_{1}=S_{B}$ 是否成立，若等式不成立，则从B到A的密钥确认失败；

（10）（选项）计算 $S_{A}=Hash\left ( 0x03||y_{U}||Hash\left ( x_{U}||Z_{A}||Z_{B}||x_{1}||y_{1}||x_{2}||y_{2} \right ) \right )$ ，并将 $S_{A}$ 发送给用户B。

用户B

（10）（选项）计算 $S_{2}=Hash\left ( 0x03||y_{V}||Hash\left ( x_{V}||Z_{A}||Z_{B}||x_{1}||y_{1}||x_{2}||y_{2} \right ) \right )$ ，检验 $S_{2}=S_{A}$ 是否成立，若等式不成立，则从A到B的密钥确认失败。

5. SM2公钥加密算法

设待加密消息 $M$ 的位长为 $klen$ ，A为加密者，B为解密者。

5.1 加密算法

（1）生成随机数 $k\in \left [ 1,n-1 \right ]$ ；

（2）计算 $C_{1}=\left [ k \right ]G=\left ( x_{1},y_{1} \right )$ ，将 $C_{1}$ 转换为比特串；

（3）计算 $S=\left [ h \right ]P_{B}$ ，若 $S$ 为无穷远点，则报错并退出；

（4）计算 $\left [ k \right ]P_{B}=\left ( x_{2},y_{2} \right )$ ，将坐标 $x_{2}$ 、 $y_{2}$ 转换为比特串；

（5）计算 $t=KDF\left ( x_{2}||y_{2},klen \right )$ ，若 $t$ 为全0比特串，则返回步骤（1）；

（6）计算 $C_{2}=M\oplus t$ ；

（7）计算 $C_{3}=Hash\left ( x_{2}||M||y_{2} \right )$ ；

（8）输出密文 $C=C_{1}||C_{3}||C_{2}$ 。

5.2 解密算法

设用户B接收到的数据为 $C{}'$ 。

（1）从 ${C}'$ 中提取出比特串 ${C_{1}}'$ ，将 ${C_{1}}'$ 转换为椭圆曲线上的点，验证 ${C_{1}}'$ 是否满足椭圆曲线方程，若不满足，则报错并退出；

（2）计算 ${S}'=\left [ h \right ]{C_{1}}'$ ，若 ${S}'$ 为无穷远点，则报错并退出；

（3）计算 $\left [ d_{B} \right ]{C_{1}}'=\left ( {x_{2}}',{y_{2} }'\right )$ ，将坐标 ${x_{2}}'$ 、 ${y_{2}}'$ 转换为比特串；

（4）计算 ${t}'=KDF\left ( {x_{2}}'|{|y_{2}}',klen \right )$ ，若 ${t}'$ 为全0比特串，则报错并退出；

（5）从 ${C}'$ 中提取比特串 ${C_{2}}'$ ，计算 ${M}'={C_{2}}'\oplus {t}'$ ；

（6）计算 $u=Hash\left ( {x_{2}}'||{M}'||{y_{2}}' \right )$ ，从 ${C}'$ 中提取比特串 ${C_{3}}'$ ，若 $u\neq {C_{3}}'$ 则报错并退出；

（7）输出明文 ${M}'$ 。

6. 参考文献

[1]汪朝晖,张振峰. SM2椭圆曲线公钥密码算法综述 [J]. 信息安全研究, 2016, 2 (11): 972-982.

翁才杰

关注

21
点赞
踩
19

收藏

觉得还不错? 一键收藏
0
评论
SM2椭圆曲线公钥密码算法

SM2椭圆曲线公钥密码算法(elliptic curve cryptography，ECC)，简称 SM2算法，是我国公钥密码算法标准（2010年12月首次公开发布，2012年成为中国商用密码标准，2016年成为中国国家密码标准），本文详细描述了SM2算法的主要内容，包括数字签名算法、密钥交换协议和公钥加密算法。
复制链接

扫一扫