信息安全技术
SM2密码算法使用规范
GB/T 35276-2017
引言
SM2椭圆曲线公钥密码算法(以下简称SM2)是电GB/T32918给出的一组非对称算法,其中包括SM2-1椭圆曲线数字签名算法、SM2-2椭圆曲线密钥协商协议、SM2-3椭圆曲线加密算法。
本标准的目标是保证SM2使用的正确性,为SM2密码算法的使用制定统一的数据格式和使用方法。
本标准中涉及的SM3算法是指GB/T32905给出的一种密码杂凑算法。
本标准仅从算法应用的角度给出SM2密码算法的使用说明,不涉及SM2密码算法的具体编制细节。
¶ 一、范围
本标准规定了SM2密码算法的使用方法,以及密钥、加密与签名等的数据格式。
本标准适用于SM2密码算法的使用,以及支持SM2密码算法的设备和系统的研发和检测。
¶ 二、规范性引用文件
二、下列文件对于本文件的应用是必不可少的。凡是注目期的引用文件,仅注目期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
- GB/T32905-2016 信息安全技术SM3密码杂凑算法
- GB/T32918.1-2016 信息安全技术SM2椭圆曲线公钥密码算法第1部分:总则
- GB/T32918.2-2016 信息安全技术SM2椭圆曲线公钥密码算法第2部分:数字签名算法
- GB/T32918.3-2016 信息安全技术SM2椭圆曲线公钥密码算法第3部分:密钥交换协议
- GB/T32918.4-2016 信息安全技术SM2椭圆曲线公钥密码算法第4部分:公钥加密算法
- GB/T32918.5-2017 信息安全技术SM2椭圆曲线公钥密码算法第5部分:参数定义
¶ 三、术语和定义
下列术语和定义适用于本文件。
-
算法标识 algorithmidentifier
用于标明算法机制的数字化信息。 -
SM2密码算法 SM2cryptographicalgorithm
由GB/T32918(所有部分)定义的一种算法。 -
SM3密码算法 SM3cryptographic algorithm
由GB/T32905-2016定义的一种算法。
¶ 四、缩略语
下列缩略语适用于本文件。
- ECB:电码本模式(Electronics CodeBook)
- ECC:椭圆曲线密码算法(Elliptic Curve Cryptography)
¶ 五、 SM2的密钥对
¶ 5.1 SM2私钥
SM2私钥是大于1且小于n-1的整数(n为SM2算法的阶,其值见GB/T32918.5-2017的第2章),简记为k,长度为256位。
¶ 5.2 SM2公钥
SM2公钥是SM2曲线上的一个点,由横坐标和纵坐标两个分量来表示,记为(x,y),简记为Q,每个分量的长度为256位。
¶ 六、 数据转换
¶ 6.1 位串到8位字节串的转换
位串长度若不是8的整数倍,需先在它的左边补0,以保证它的长度为8的倍数,然后构造8位字节串,转换过程如下:
- 输入:一个长度为blen的位串B。
- 输出:一个长度为mlen的字节串M,其中mlen的取值为(blen + 7)/ 8的整数部分。
- 动作:将位串 B =B0 B1 B2 ... B blen-1 转换到8位字节串M = M0 M1 M2 ... Mmlen-1采用如下方法:
- 从1 ≤ i ≤ mlen - 1,设置:
M i = B blen-8-8(mlen-1-i) - B blen-7-8(mlen-1-i) ...... B blen-1-8(mlen-1-i) - 对于 M0 ,最左边8 - blen % 8位设置为0,右边设置为B =B0 B1 B2 ... B 8-8(blen)+blen-1
- 从1 ≤ i ≤ mlen - 1,设置:
- 输出M。
¶ 6.2 8位字节串到位串的转换
8位字节串到位串转换过程如下:
- 输入:一个长度为
mlen的8位字节串M。 - 输出:一个长度为
blen = (8 * mlen)的位串B。 - 动作:将8位字节串 M0 M1 M2 ... Mmlen-1 转换到位串 B =B0 B1 B2 ... B blen-1 采用如下方法:
- 从0 ≤ i ≤ mlen - 1,设置: B8i+0 B8i+1 ........ B8i+7 = Mi
- 输出B。
¶ 6.3 整数到8位字节串的转换
一个整数转换为8位字节串,基本方法是将其先使用二进制表达,然后把结果位串再转换为8位字节串。以下是转换流程:
- 输入:一个非负整数,期望的8位字节串长度
mlen。基本限制为:
2 8(mlen) > x - 输出:一个长度为
mlen的8位字节串M。 - 动作:将基于28的幂次为256的x值 x=xmlen-128mlen-1+ x(mlen-2)28(mlen-2)+......+ x128+ x0
- 从0 ≤ i ≤ mlen - 1,设置: M i = x(mlen-1-i)
- 输出M。
¶ 6.4 8位字节串到整数的转换
可以简单地把8位字节串看成以256为基表示的整数,转换过程如下:
- 输入:一个长度
mlen的8位字节串M。 - 输出:一个整数n。
动作:将一个8位字节串 M0 M1 M2 ... Mmlen-1 转换为整数x的方法如下:
将Mi看作[0~255]中的一个整数。
输出X 。
¶ 七、 数据格式
¶ 7.1 密钥数据格式
SM2算法私钥数据格式的ASN.1定义为:
SM2PrivateKey :: = INTEGER
SM2算法公钥数据格式的ASN.1定义为:
SM2PublicKey :: = BIT STRING
SM2PublicKey为BITSTRING类型,内容为04 || X || Y,其中,X和Y分别标识公钥的x分量和y分量,其长度各为256位。
¶ 7.2 加密数据格式
SM2算法加密后的数据格式的ASN.1定义为:
SM2Cipher :: = SEQUENCE {
XCoordinate INTEGER, -- x分量
YCoordinate INTEGER, -- y分量
HASH OCTET STRING SIZE(32), -- 杂凑值
CipherText OCTET STRING -- 密文
}
其中,HASH为使用SM3算法对明文数据运算得到的杂凑值,其长度固定为256位。CipherText是与明文对应的密文。
¶ 7.3 签名数据格式
SM2算法签名数据格式的ASN.1定义为:
SM2Signature :: = SEQUENCE {
R INTEGER, -- 签名值的第一部分
S INTEGER -- 签名值的第二部分
}
¶ 7.4 密钥对保护数据格式
在SM2密钥对传递时,需要对SM2密钥对进行加密保护。具体的保护方法为:
- a) 产生一个对称密钥;
- b) 按对称密码算法标识指定的算法对SM2私钥进行加密,得到私钥的密文。若对称算法为分组算法,则其运算模式为ECB;
- c) 使用外部SM2公钥加密对称密钥得到对称密钥密文;
- d) 将私钥密文、对称密钥密文封装到密钥对保护数据中。
SM2密钥对的保护数据格式的ASN.1定义为:
SM2EnvelopedKey :: = SEQUENCE {
symAlgID Algorithmldentifie , --对称密码算法标识
symEncryptedKey SM2Cipher, --对称密钥密文
Sm2PublicKey SM2PublicKey, --SM2公钥
Sm2EncryptedPrivateKey BIT STRING --SM2私钥密文
}
¶ 八、 预处理
¶ 8.1 预处理1
预处理1是指使用签名方的用户身份标识和签名方公钥,通过运算得到Z值的过程。Z值用于预处理2,也用于SM2密钥协商协议。
- 输入:
ID字节串:用户身份标识QSM2PublicKey:用户的公钥
- 输出:
Z字节串:预处理1的输出
计算公式为:
其中:
ENTL为由2个字节表示的ID的比特长度;x00 x80ID为用户身份标识;十进制 1234567812345678 二进制 x31 x32 x33 x34 x35 x36 x37 x38 x31 x32 x33 x34 x35 x36 x37 x38a、b为系统曲线参数;- XG、YG 为基点;
- XA、YA 为用户的公钥。
SM2使用素数域256位圆曲线
椭圆曲线方程: y 2 =x3+ax+b
曲线参数:
p=fffffffeffffffffffffffffffffffffffffffff00000000ffffffffffffffff
a=fffffffeffffffffffffffffffffffffffffffff00000000fffffffffffffffc
b=28e9fa9e9d9f5e344d5a9e4bcf6509a7f39789f515ab8f92ddbcbd414d940e93
n=fffffffeffffffffffffffffffffffff7203df6b21c6052b53bbf40939d54123
xG=32c4ae2c1f1981195f9904466a39c9948fe30bbff2660be1715a4589334c74c7
yG=bc3736a2f4f6779c59bdcee36b692153d0a9877cc62a474002df32e52139f0a0
详细的计算过程见GB/T32918.2-2016的5.5和GB/T32905-2016的第5章。
¶ 8.2 预处理2
预处理2是指使用Z值和待签名消息,通过SM3运算得到杂凑值H的过程。杂凑值H用于SM2数字签名。
- 输入:
Z字节串:预处理2的输入M字节串:待签名消息
- 输出:
H字节串:杂凑值
计算公式为:
详细的计算过程见GB/T32918.2-2016的6.1和GB/T32905-2016的第5章。
¶ 九、 计算过程
¶ 9.1 生成密钥
SM2密钥生成是指生成SM2算法的密钥对的过程,该密钥对包括私钥和与之对应的公钥。
- 输入:无
- 输出:
kSM2PrivateKey:SM2私钥QSM2PublicKey:SM2公钥
详细的计算过程见GB/T32918.1-2016的6.1。
¶ 9 计算过程
¶ 9.2 加密
SM2加密是指使用指定公开密钥对明文进行特定的加密计算,生成相应密文的过程。该密文只能由该指定公开密钥对应的私钥解密。
- 输入:
QSM2PublicKey:SM2公钥m字节串:待加密的明文数据
- 输出:
cSM2Cipher:密文
其中:
- 输出参数
c的格式由本规范7.2中定义; - 输出参数
c的XCoordinate、YCoordinate为随机产生的公钥的x分量和y分量。 - 输出参数
c中的HASH的计算公式为:
x, y——Q的x分量和y分量;- 输出参数
c中CipherText为加密密文,其长度等于明文的长度。
详细的计算过程见GB/T32918.4-2016的6.1。
¶ 9.3 解密
SM2解密是指使用指定私钥对密文进行解密计算,还原对应明文的过程。
- 输入:
dSM2PrivateKey:SM2私钥CSM2Cipher:密文
- 输出:
m字节串:与密文对应的明文
m为SM2Cipher经过解密运算得到的明文,该明文的长度与输入参数c中CipherText的长度相同。
详细的计算过程见GB/T32918.4-2016的7.1。
¶ 9.4 数字签名
SM2签名是指使用预处理2的结果和签名者私钥,通过签名计算得到签名结果的过程。
- 输入:
dSM2PrivateKey:签名者私钥H字节串:预处理2的结果
- 输出:
signSM2Signature:签名值
详细的计算过程见GB/T32918.2-2016的6.1。
¶ 9.5 签名验证
SM2签名验证是指使用预处理2的结果、签名值和签名者的公钥,通过验签计算确定签名是否通过验证的过程。
- 输入:
H字节串:预处理2的结果signSM2Signature:签名值QPublicKey:签名者的公钥
- 输出:
- 为“真”表示“验证通过”,为“假”表示“验证不通过”。
详细的计算过程见GB/T32918.2-2016的7.1。
¶ 9.6 密钥协商
密钥协商是在两个用户之间建立一个共享秘密密钥的协商过程,通过这种方式能够确定一个共享秘密密钥的值。
设密钥协商双方为A、B,双方的密钥对分别为(dA,QA)和(dB,QB),双方需要获得的密钥数据的比特长度为klen。密钥协商协议分为两个阶段。
¶ 第一阶段:产生临时密钥对
¶ 用户A:
- 调用生成密钥算法产生临时密钥对(rA,RA),将RA和用户A的用户身份标识IDA发送给用户B。
¶ 用户B:
- 调用生成密钥算法产生临时密钥对(rB,RB),将RB和用户B的用户身份标识IDB发送给用户A。
¶ 第二阶段:计算共享秘密密钥
¶ 用户A:
- 输入参数:
- QA SM2PublicKey:用户A的公钥
- QB SM2PublicKey:用户B的公钥
- RA SM2PublicKey:用户A的临时公钥
- IDA OCTET STRING:用户A的用户身份标识
- RB SM2PublicKey:用户B的临时公钥
- IDB OCTET STRING:用户B的用户身份标识
- da SM2PrivateKey:用户A的私钥
- rA SM2PrivateKey:用户A的临时私钥
klenINTEGER:需要输出的密钥数据的比特长度
- 输出参数:
KOCTET STRING:位长为klen的密钥数据
- 步骤:
a) 用IDA和QA作为输入参数,调用预处理1得到ZA;
b) 用IDB和QB作为输入参数,调用预处理1得到ZB;
c) 以klen、ZA、ZB、da、rA、RA、QB、RB为输入参数,进行运算得到K。
¶ 用户B:
-
输入参数:
- QB SM2PublicKey:用户B的公钥
- QA SM2PublicKey:用户A的公钥
- RB SM2PublicKey:用户B的临时公钥
- IDB OCTET STRING:用户B的用户身份标识
- RA SM2PublicKey:用户A的临时公钥
- IDA OCTET STRING:用户A的用户身份标识
- db SM2PrivateKey:用户B的私钥
- rB SM2PrivateKey:用户B的临时私钥
klenINTEGER:需要输出的密钥数据的比特长度
-
输出参数:
KOCTET STRING:位长为klen的密钥数据。 -
步骤:
a) 用 IDA 和 QA 作为输入参数,调用预处理1得到 ZA ;
b) 用 IDB 和 QB 作为输入参数,调用预处理1得到 ZB ;
c) 以klen、 ZA 、 ZB 、 dA 、 rA 、 RA 、 QB、 RB 为输入参数,进行运算得到K。
详细的计算过程见GB/T32918.3-2016的6.1。
¶ 十、 用户身份标识ID的默认值
无特殊约定的情况下,用户身份标识ID的长度为16字节,其默认值从左至右依次为:0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38,0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38
¶ 十一、 SM2 椭圆曲线数字签名模拟
椭圆曲线方程: y 2 =x3+ax+b
曲线参数:
素数p=fffffffe ffffffff ffffffff ffffffff ffffffff 00000000 ffffffff ffffffff
系数a=fffffffe ffffffff ffffffff ffffffff ffffffff 00000000 ffffffff fffffffc
系数b=28e9fa9e 9d9f5e34 4d5a9e4b cf6509a7 f39789f5 15ab8f92 ddbcbd41 4d940e93
阶n=fffffffeffffffffffffffffffffffff7203df6b21c6052b53bbf40939d54123
坐标xG=32c4ae2c1f1981195f9904466a39c9948fe30bbff2660be1715a4589334c74c7
坐标yG=bc3736a2f4f6779c59bdcee36b692153d0a9877cc62a474002df32e52139f0a0
