简单网站建设运营广州最新消息

目录

1.国密算法背景

2.SM2的数字签名

3. 小结

翻了下之前一直没写国密相关的内容，鉴于前期椭圆曲线的知识已经有铺垫了，索性也把这块给聊了。

1.国密算法背景

国产密码算法在2007年启动研发，原因很简单，其一为了打破垄断，其二不能确信国际密码算法真的没有后门；于是2010年12月17日，国密局正式发布SM2椭圆曲线公钥密码算法，与SM1/SM3/SM4共同构成中国商用密码标准体系，其中“SM”代表“商密”，数字“2”标识序列。

SM2在2012年被纳入国家密码标准开始试点，在2016年优化，2017年发布GB/T 35276-2017:SM2密码算法使用规范，明确算法参数SM2P25V1、基点G坐标、密钥格式及加密/签名流程。大家可以在全国标准信息公共服务平台查询标准：

很明显，SM2包含了加解密、数字签名、密钥交换等功能，由于属于椭圆曲线的一类，也逃不过大数运算的框架，所以该算法整体架构如下图所示：

2.SM2的数字签名

既然是椭圆曲线，那么SM2的安全基础也就依赖椭圆曲线离散对数问题​，简单来说就是：给定一个起点（基点G）和终点（公钥Q），但很难有人能能逆向算出到达终点后走了多少步（私钥d）。

这样，SM2的方程样式基本就确定了，如下：

y² ≡ x³ + ax + b (mod p)

 其中，

• 素数域模数 p
  FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFF

• ​系数 a
  FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFC

• ​系数 b
  28E9FA9E 9D9F5E34 4D5A9E4B CF6509A7 F39789F5 15AB8F92 DDBCBD41 4D940E93
  （经国密局严格筛选，规避已知数学漏洞）

除此之外，还有我们的老朋友基点G和阶数n，如下：

• ​基点 G
  坐标 (x, y) 为：
  ​Gx: 32C4AE2C 1F198119 5F990446 6A39C994 8FE30BBF F2660BE1 715A4589 334C74C7
  ​Gy: BC3736A2 F4F6779C 59BDCEE3 6B692153 D0A9877C C62A4740 02DF32E5 2139F0A0

• ​阶数 n
  FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 7203DF6B 21C6052B 53BBF409 39D54123
  （即椭圆曲线群的循环子群大小，用于密钥生成范围限制）

• ​余因子 h
  1

有了这个基本概念，我们就来看看数字签名，大家都知道，数字签名一般来说就是用私钥对消息的摘要进行加密，验签就是使用公钥进行解密，那么SM2也不例外，只是在这个基础上，SM2新增了更多的玩法，加入了所谓的数字身份指纹ZA。具体如下：

Step1：签名者A需要使用lenA比特长度的ID，联合方程参数、公钥计算一个身份指纹ZA，公式如下：ZA = SM3(ENTL || ID || a || b || Gx || Gy || Px || Py)，ENTL是ID长度的比特数高位补零，例如16位ID对应ENTL=0x00 0x10

Step2：生成随机数k，必须在[1,n-1]之间；

Step3：利用G点和K，生成坐标Q = k*G =(x1, y1)；

Step4：将ZA和原始M拼接，计算其Hash值，e = SM3(ZA || M);

Step5：然后进行双模运算，r = (e+x1) mod n，值得注意，如果r = 0或者r+k = n，就必须重新计算k，防止信息泄露；

Step6：通过模逆运算再次构建签名，s = (k -r*d)*(1+d)^(-1) mod n，如果s=0，仍然要重新生成k

Step7：导出签名(r，s)

 想了下，还是画个图更简单，如下图所示：

验签过程就更简单了，首先检查r与s是否在[1,n-1]之间，这是第一道防线；通过后计算 t = (r+s) mod n，利用得到的t去计算椭圆曲线点，公式R(x',y') = s * G + t * Pa，注意，Pa = d* G，这里面有一个很神奇的变换，如下：

 s * G + t * Pa = s* G +(r+s) * d * G = [s + d*(r+s)] * G，

还记得签名的step6吗？s = （k - r*d)/(1+d) mod n，其实很容易得出 s(1+d)≡k - r*d mod n ，从而得到s + sd +rd ≡ k mod n ，进而得到s+d(r+s) ≡ k mod n，所以，上述公式[s + d*(r+s)] * G ≡ k*G ≡Q，

接着计算e‘ = SM3(ZA || M)，使用生成的Q的x1'进行计算得到 r ≡（e‘ + x1’） mod n，比较r，如果与签名值r相等，那就验签通过了。

3. 小结

原理看起来就是这么简单和朴实无华，SM2验签通过巧妙的数学构造，将k的验证隐含在公钥和签名值的代数关系中。

我们只需关注验签公式的输入参数（r、s、公钥、消息），无需追溯k的生成过程。

好了，就酱！