SM2算法学习

ECC算法

SM2非对称加密算法先从ECC算法开始。
Elliptic Curve Cryptography 椭圆曲线满足函数：y²=x³+ax+b (4a³+27b² $\ne$ 0) ，
限定条件保证曲线不包含奇点。
椭圆曲线算法的基本要求：1）给定私钥k和椭圆曲线基点G，容易得到Q=k$\cdot$G；2）给定G和Q，求k的值很难。

ECC算法步骤：

1. 选择椭圆曲线，在椭圆曲线上选择基点G；
2. 生成随机数k（作为私钥），生成公钥Q=k$\cdot$G;
3. 【加密】生成随机数r，明文M，密文C，C=（rG，M+rQ）
4. 【解密】已知C，Q，求解M。M+rQ-k(rG)=M+r$\cdot$k$\cdot$G-k$\cdot$r$\cdot$G=M

SM2公钥加密算法

设：私钥d_B，公钥P_B，其中P_B=d_B$\cdot$G，明文M，解密后明文$\hat{M}$，密文C，C由3部分拼接组成，C${}_1$,C${}_2$,C${}_3$，明文长度klen。

公钥加密步骤：

1. 生成随机数k；
2. 计算C${}_1$=k$\cdot$G；
3. 计算点N（x${}_2$，y${}_2$），N=k$\cdot$P_B；
4. 计算t=KDF(x${}_2$||y${}_2$,klen)，KDF是密钥派生函数，生成和明文等长的t，用于和明文异或运算；
5. 计算C${}_2$=M$⨁$t；
6. 计算C${}_3$=Hash(x${}_2$ || M || y${}_2$)；
7. 拼接得到密文C=（C${}_1$ || C${}_2$ || C${}_3$）。

私钥解密步骤：

1. 拆分密文C，得到C${}_1$,C${}_2$,C${}_3$；
2. 利用C${}_1$得到点N（x${}_2$，y${}_2$），N=d_B$\cdot$C${}_1$=d_B$\cdot$k$\cdot$G=k$\cdot$P_B；
3. 计算t=KDF(x${}_2$||y${}_2$,klen)；
4. 计算明文$\hat{M}$ = C${}_2$$⨁$t；
5. 检验明文 Hash(x${}_2$ || M || y${}_2$)是否等于C${}_3$。

公钥加密算法需要双方共同知道的数据：明文长度，Hash函数，密钥派生函数。

SM2数字签名算法

SM2数字签名算法使用，A想发送消息M，把M和P${}_A$的杂凑值打包，进行非对称加密，得到数字签名（r,s），把M和（r,s）发送出去，收到消息的进行解密，如果正确，就采用M，如果不正确，说明M和P${}_A$存在错误。

签名过程：

1. 置$\bar{M}$=Z${}_A$ || M；
2. e=H${}_v$($\bar{M}$)，长度为v的Hash；
3. 生成随机数k；
4. 计算点N（x${}_1$，y${}_1$）=k$\cdot$G；
5. 计算r=(e+x${}_1$) mod n；
6. 计算s=((1+d${}_A$)${}^{-}1$ $\cdot$(k-r$\cdot$$d_A$)) mod n；
7. 得到的（r,s）是签名，发送M和（r,s）。

验签过程：

1. 验签方收到M${}^{\ast }$和（r${}^{\ast }$,s${}^{\ast }$），先检验r${}^{\ast }$、s${}^{\ast }$是否满足条件；
2. 计算$\bar{M}$${}^{\ast }$=Z${}_A$ || M${}^{\ast }$，Z${}_A$是通过P${}_A$计算得来的，是公开的；
3. 计算e${}^{\ast }$=H${}_v$($\bar{M}$${}^{\ast }$)；
4. 计算t=(r${}^{\ast }$+s${}^{\ast }$) mod n;
5. N${}^{\ast }$=（x${}_1$${}^{\ast }$，y${}_1$${}^{\ast }$）=[s${}^{\ast }$]G+[t]P${}_A$；
6. 计算R=（e${}^{\ast }$+x${}_1$${}^{\ast }$） mod n，如果计算得到的R和收到的r${}^{\ast }$相等，说明验签成功。

数字签名算法主要是验证收到的消息和发消息的人，主要原理是通过对N点的加密和验证，通过验证k$\cdot$G=[s${}^{\ast }$]G+[t]P${}_A$，其中
P${}_A$=d_AG；
S=((1+d${}_A$)${}^{-}1$ $\cdot$(k-r$\cdot$$d_A$)) ；
t=(r${}^{\ast }$+s${}^{\ast }$)；
化简之后得到kG=kG-rd_AG+rd_AG，验证发送方和接收方的点N相同。

SM2密钥交换协议

SM2中的密钥交换协议，通信双方信息传递，计算获得一个由双方共同决定的共享秘密密钥，通信两次或者三次确定这个密钥。

A和B确定一个共享密钥，A用随机数生成$R_A$，发给B，同时利用$R_A$经过一系列运算得到$t_A$。
B也产生一个$R_B$，利用$R_B$经过一系列运算得到$t_B$。B用$R_A$和$t_B$经过一些列计算，得到$S_B$，把$R_B$和$S_B$发送给A，其中$S_B$是可选项，如果发送$S_B$，通信两次就可以确认，如果不发送，还得通信一次。
A收到$R_B$和$S_B$，利用$R_B$和$t_A$经过一系列计算，得到$S_1$，对比$S_1$和$S_B$，如果相等，就说明协商成功，用计算S的中间变量得到$K_A$和$K_B$(这两个相等)就是协商的密钥。

以发送两次为例，具体过程如下：

1. A产生随机数$r_A$；
2. A计算$R_A$=[$r_A$]G=($x_1$,$y_1$)，发送给B；
3. B产生随机数$r_B$；
4. B计算计算$R_B$=[$r_B$]G=($x_2$,$y_2$)；
5. B计算$\overline{x2}$=$2^w$+($x_2$ & ($2^w$-1))；
6. B计算$t_B$=($d_B$+$\overline{x2}$ $\cdot$$r_B$)mod n；
7. B收到$R_A$，用$x_1$计算$\overline{x1}$=$2^w$+($x_1$ & ($2^w$-1))；
8. B计算点V=([h]$\cdot$$t_B$)($P_A$+$\overline{x1}$$R_A$)=($x_v$,$y_v$),其中h是余因子，可以取1，$t_B$只有B知道，剩下的是从A获得的；
9. B计算$K_B$=$KDF$($x_v$||$y_v$||$Z_A$||$Z_B$,klen)；
10. B计算$S_B$=Hash(0x02 || $y_v$ || Hash($y_v$||$Z_A$||$Z_B$||$x_1$||$y_1$||$x_2$||$y_2$))，把$R_B$和$S_B$发送给A；
11. A用自己的$R_A$计算$\overline{x1}$=$2^w$+($x_1$ & ($2^w$-1))；
12. A用$\overline{x1}$结合私钥$d_A$计算$t_A$=($d_A$+$\overline{x1}$ $\cdot$$r_A$)mod n；
13. A用收到的$R_B$计算$\overline{x2}$=$2^w$+($x_2$ & ($2^w$-1))；
14. A用$\overline{x2}$计算点U=([h]$\cdot$$t_A$)($P_B$+$\overline{x2}$$R_B$)=($x_u$,$y_u$);
15. A计算$K_A$=$KDF$($x_u$||$y_u$||$Z_A$||$Z_B$,klen)；
16. A计算$S_1$=Hash(0x02 || $y_u$ || Hash($y_u$||$Z_A$||$Z_B$||$x_1$||$y_1$||$x_2$||$y_2$))，如果$S_1$=$S_B$，则协商成功，公共密钥就是$K_A$、$K_B$，二者相等。

密钥协商算法的关键在于计算的U、V两点相同，假设余因子取1，即需证明：
$t_A$($P_B$+$\overline{x2}$$R_B$)=$t_B$($P_A$+$\overline{x1}$$R_A$)
化简之后，两边项都是：
$d_A$$d_B$G+$\overline{x1}$$r_A$$d_B$G+$\overline{x2}$$r_B$$d_A$G+$\overline{x1}$$\overline{x2}$$r_A$$r_B$G
所以U、V两点相同。

参考

信息安全技术 SM2椭圆曲线公钥密码算法 第2部分：数字签名算法

信息安全技术 SM2椭圆曲线公钥密码算法 第4部分：公钥加密算法

信息安全技术 SM2椭圆曲线公钥密码算法 第3部分：密钥交换协议