SM2：公钥加密

国家标准全文公开系统：http://openstd.samr.gov.cn/

本文参考：http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=370AF152CB5CA4A377EB4D1B21DECAE0

系统参数

• 域$F_q$的描述
• 椭圆曲线的两个定义元$a,b\in F_q$
• $E(F_q)$的基点$G=(x_G,y_G)\ne O$，其中$x_G,y_G\in F_q$
• $G$的阶$n$，$[n]G=O$
• 其他可选项，如$n$的余因子$h:=\frac{\#E(F_q)}{n}$
• 用户$B$的密钥对：私钥$d_B$，公钥$P_B=[d_B]G$
• 用户$A$可以获得$P_B$以及其他系统参数

辅助函数

• 密码学杂凑函数，如$SM3$

• 密钥派生算法：确定性算法，要用到密码学杂凑函数，从一个共享的秘密比特串中派生出密钥数据。在密钥协商过程中，密钥派生函数作用在密钥交换所获共享的秘密比特串上，从中产生所需的会话密钥或进一步加密所需的密钥数据。

  $KDF(Z,len)$

  输入：比特串$Z$，整数$len$

  输出：$len$比特的密钥数据

  • 初始化32比特计数器$ct=0x00000001$
  • 对于$i\in [1,2,\cdots ,\lceil \frac{len}{v}\rceil ]$执行
    • $K_i=H(Z\Vert ct)$，这里$H$是输出$v$比特的哈希函数
    • $ct=ct+1$，计数器自增
  • 令$\bar{K}=K_1\Vert K_2\Vert \cdots \Vert K_{\lceil \frac{len}{v}\rceil }$
  • 截取$\bar{K}$最左边的$len$比特作为$K$

• 伪随机数生成器$PRG$

公钥加密算法

• 加密$En{c}_{pk}(M)$，其中明文$M$为$len$长的比特串

  $B_1$：计算椭圆曲线点$S=[h]P_B$，若$S=O$则报错退出
  $B_2$：使用$PRG$得到$k\in [1,n)\cap Z$
  $B_3$：计算椭圆曲线点$C_1=[k]G=(x_1,y_1)$，转化为比特串
  $B_4$：计算椭圆曲线点$C_2=[k]P_B=(x_2,y_2)$，转化为比特串
  $B_5$：计算$t=KDF(x_2\Vert y_2,len)$，若$t=0$则重新生成$k$
  $B_6$：计算差分$C_3=M\oplus t$
  $B_7$：计算摘要$C_4=H(x_2\Vert M\Vert y_2)$
  $B_8$：输出密文$C=C_1\Vert C_4\Vert C_3=(x_1,y_1)\Vert H(x_2\Vert M\Vert y_2)\Vert M\oplus t$

• 解密$De{c}_{sk}(C)$，其中$C=C_1\Vert C_4\Vert C_3$，$C_3$为$len$长比特串

  $A_1$：取出点$C_1$，验证是否满足椭圆曲线方程，不满足则报错退出
  $A_2$：计算椭圆曲线点$[d_B]C_1=(x_2,y_2)$，转化为比特串
  $A_3$：计算$t=KDF(x_2\Vert y_2,len)$，若$t=0$则报错退出
  $A_4$：计算差分$M^{\prime }=C_3\oplus t$
  $A_5$：计算摘要$C_4^{\prime }=H(x_2\Vert M^{\prime }\Vert y_2)$
  $A_6$：验证是否满足$C_4^{\prime }=C_4$，不满足则报错退出
  $A_7$：输出$len$长比特串$M^{\prime }$