SM2一般用到的或者第三方提供的公鑰都是壓縮過的,長度為66個長度,既33位元組。
格式如下,保密期間秘鑰内容用*代替了,從02到....3F3B共33位元組。66個長度
06:028736002931F****************43986E66********D4FF11E9936A6CB9A3F3B
14:03017459D79C*****************88D6E6D********DDF979E40170F61308FAB
15:0286933F6EF6*****************C306FCD7545CEB4DDD214049001657D1C0DE
17:02D5795D52E******************48F282DCAD5EEF129ED2DF1D8FF806626FC0
但是封裝後的接口如:
int SM2_do_verify(unsigned char* message, int len, unsigned char* xA, unsigned char* yA, unsigned char* r, unsigned char* s)
那麼如何調用呢?
壓縮公鑰中,哪個是xA? 哪個是yA? xA和yA不應該有32個位元組嗎?怎麼提供的壓縮公鑰是33位元組?
以下解答這些疑問。
前面的 06: ,17:為公鑰的索引。且為16機制的。 0x17 == 23
提供的33位元組的壓縮公鑰,最面前的02和03不是公鑰的内容,是以排除第一個位元組,後面的32位元組才是真正的壓縮公鑰。
壓縮公鑰如何解壓出xA和yA呢?其實xA沒有壓縮,排除前面的02或03,後面的32位元組就是xA. yA是根據xA算出來的。
調用以下接口即可:
int SM2_get_Py(unsigned char y0, unsigned char Px[],unsigned char Py[])
這個y0參數傳啥?是個什麼意思?
y0代表公鑰y坐标的最後一位。有兩個取值,是0還是1 。
如果公鑰X壓縮碼為02,則這個取值傳0.如果公鑰X壓縮碼為03,則這個值取1.
y0取0或取1涉及算法内部的一些翻轉操作,不能傳錯。
這樣調用key_get_y(&pubkeyX[1], 32, pubkeyY, 32, bc) 就擷取到了y坐标公鑰啦。
其實y公鑰就是從X擷取到的。X是誰呢,就是那串壓縮公鑰,原封不動。
至于内部具體怎麼解壓的,看代碼,能看出點兒端倪。
SM2的曲線方程為y2 = x3 + ax + b,其中知道了x當然就能求出y。這裡的x就是提供的壓縮公鑰。
r,s為數字簽名(r, s),相當于這個公式裡的a和b吧。
隻不過裡面涉及了大數運算,要不是有大數運算,應該很好了解吧。用上了大數運算,就得借助openssl或miral大數庫了。
Function: SM2_get_Py
Description: SM2 public key decompress to get Py
Input: public key Px,y0(Py last right bit)
Output: pubKey y // pubKey=[priKey]G
Return: 0: sucess
SM2對應RSA, SM4對應 AES或 3DES,SM3對應SHA或MD5雜湊演算法。
其實SM2 和3和4 功能和作用和RSA,3DES,SHA等是一樣的,隻是實作了國産化替代。
SM1則貌似沒有公開或者要求隻能由硬體實作,資料很少。算法安全保密強度及相關軟硬體實作性能與 AES 相當,該算法不公開,僅以 IP 核的形式存在于晶片中。
以下内容,摘自網絡,感興趣的可以了解下算法原理。
作者:島叔
連結:https://www.zhihu.com/question/290243441/answer/469697191
來源:知乎
在金融領域目前主要使用公開的SM2、SM3、SM4三類算法,分别是非對稱算法、雜湊演算法和對稱算法。
SM2算法:SM2橢圓曲線公鑰密碼算法是我國自主設計的公鑰密碼算法,包括SM2-1橢圓曲線數字簽名算法,SM2-2橢圓曲線密鑰交換協定,SM2-3橢圓曲線公鑰加密算法,分别用于實作數字簽名密鑰協商和資料加密等功能。SM2算法與RSA算法不同的是,SM2算法是基于橢圓曲線上點群離散對數難題,相對于RSA算法,256位的SM2密碼強度已經比2048位的RSA密碼強度要高。
SM3算法:SM3雜湊算法是我國自主設計的密碼雜湊算法,适用于商用密碼應用中的數字簽名和驗證消息認證碼的生成與驗證以及随機數的生成,可滿足多種密碼應用的安全需求。為了保證雜湊算法的安全性,其産生的雜湊值的長度不應太短,例如MD5輸出128比特雜湊值,輸出長度太短,影響其安全性SHA-1算法的輸出長度為160比特,SM3算法的輸出長度為256比特,是以SM3算法的安全性要高于MD5算法和SHA-1算法。
SM4算法:SM4分組密碼算法是我國自主設計的分組對稱密碼算法,用于實作資料的加密/解密運算,以保證資料和資訊的機密性。要保證一個對稱密碼算法的安全性的基本條件是其具備足夠的密鑰長度,SM4算法與AES算法具有相同的密鑰長度分組長度128比特,是以在安全性上高于3DES算法。
轉自:https://wenku.baidu.com/view/108aad77710abb68a98271fe910ef12d2bf9a945.html
概述
SM2橢圓曲線公鑰密碼算法加密标準
SM2算法就是ECC橢圓曲線密碼機制,但在簽名、密鑰交換方面不同于ECDSA、ECDH等國際标準,而是采取了更為安全的機制。SM2-1橢圓曲線數字簽名算法,SM2-2橢圓曲線密鑰交換協定,SM2-3橢圓曲線公鑰加密算法,分别用于實作數字簽名密鑰協商和資料加密等功能。SM2算法與RSA算法不同的是,SM2算法是基于橢圓曲線上點群離散對數難題,相對于RSA算法,256位的SM2密碼強度已經比2048位的RSA密碼強度要高。
橢圓曲線算法公鑰密碼所基于的曲線性質:橢圓曲線多倍點運算構成一個單向函數。在多倍點運算中,已知多倍點與基點,求解倍數的問題稱為橢圓曲線離散對數問題。對于一般橢圓曲線的離散對數問題,目前隻存在指數級計算複雜度的求解方法。與大數分解問題及有限域上離散對數問題相比,橢圓曲線離散對數問題的求解難度要大得多。是以,在相同安全程度要求下,橢圓曲線密碼較其他公鑰密碼所需的秘鑰規模要小得多。
SM3雜湊演算法加密标準
SM3是一種密碼散列函數标準。密碼散列函數是散列函數的一種。它被認為是一種單向函數,也就是說極其難以由散列函數輸出的結果,回推輸入的資料是什麼。這種散列函數的輸入資料,通常被稱為消息,而它的輸出結果,經常被稱為消息摘要。
SM3适用于商用密碼應用中的數字簽名和驗證消息認證碼的生成與驗證以及随機數的生成,可滿足多種密碼應用的安全需求。為了保證雜湊算法的安全性,其産生的雜湊值的長度不應太短,例如MD5輸出128比特雜湊值,輸出長度太短,影響其安全性SHA-1算法的輸出長度為160比特,SM3算法的輸出長度為256比特,是以SM3算法的安全性要高于MD5算法和SHA-1算法。
一個理想的密碼散列函數應該有這些特性:對于任何一個給定的消息,它都很容易就能運算出散列數值;難以由一個已知的散列數值,去推算出原始的消息;在不更動散列數值的前提下,修改消息内容是不可行的;對于兩個不同的消息,它不能給與相同的散列數值。
SM4分組密碼算法加密标準
SM4算法是一個分組對稱密鑰算法,明文、密鑰、密文都是16位元組,加密和解密密鑰相同。加密算法與密鑰擴充算法都采用32輪非線性疊代結構。解密過程與加密過程的結構相似,隻是輪密鑰的使用順序相反。
SM4用于實作資料的加密/解密運算,以保證資料和資訊的機密性。要保證一個對稱密碼算法的安全性的基本條件是其具備足夠的密鑰長度,SM4算法與AES算法具有相同的密鑰長度分組長度128比特,是以在安全性上高于3DES算法。
SM2加密标準
SM2基本原理
基礎參數
SM2的曲線方程為y2 = x3 + ax + b,其中:
a: 0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFC
b: 0x28E9FA9E9D9F5E344D5A9E4BCF6509A7F39789F515AB8F92DDBCBD414D940E93
c: 0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFF
私鑰長度:32位元組
公鑰長度:SM2非壓縮公鑰格式位元組串長度為65位元組,壓縮格式長度為33位元組,若公鑰y坐标最後一位為0,則首位元組為0x02,否則為0x03。非壓縮格式公鑰首位元組為0x04。
簽名長度:64位元組
密鑰對生成
SM2密鑰生成是指生成SM2算法的密鑰對的過程,該密鑰對包括私鑰和與之對應的公鑰。
輸入:一個有效的Fq(q=p且p為大于3的素數,或q=2m)上橢圓曲線系統參數的集合。
輸出:與橢圓曲線系統參數相關的一個密鑰對(d, P)
k: SM2PrivateKey,SM2私鑰
Q: SM2PublicKey,SM2公鑰
用随機數發生器産生整數 d∈[1, n-2];
G為基點,計算點P=(xP, yP)=[d]G
密鑰對是(d, P),其中d為私鑰,P為公鑰
簽名算法
預處理1
預處理1指使用簽名方的使用者身份辨別和簽名方公鑰,通過運算得到Z值的過程,Z值用于預處理2。
輸入:ID 字元串,使用者身份辨別;Q SM2PublicKey,使用者的公鑰。
輸出:Z 位元組串,預處理1的輸出。
計算公式:Z=SM3(ENTL||ID||a||b||xG||yG||xA||yA)
參數說明:
ENTL: 由兩個位元組辨別的ID的比特長度;
ID: 使用者身份辨別,一般情況下,其長度為16位元組,預設值從左至右依次是:0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38, 0x31, 0x32, 0x33, 0x34, 0x35, 0x36, 0x37, 0x38。
a, b: 為系統曲線參數;
xG, yG為基點;xA, yA為使用者的公鑰。
預處理2
預處理2是指使用Z值和待簽名消息,通過SM3運算得到雜湊值H的過程。雜湊值H使用者SM2數字簽名。
輸入:Z 位元組串;M 位元組串,待簽名消息
輸出:H 位元組串,雜湊值
計算公式:H=SM3(Z||M)
生成簽名
SM2簽名是指使用預處理2的結果和簽名者的私鑰,通過簽名計算得到簽名結果的過程。
輸入:d: SM2PrivateKey,簽名者私鑰;H 位元組串,預處理2的結果
輸出:sign: SM2Signature,簽名值
設待簽名的消息為M,為了擷取消息M的數字簽名(r,s)(r,s)(r,s),作為簽名者的使用者A應實作以下運算步驟:
置M’=ZA||M;計算e=Hv(M’),将e的資料類型轉化為整數;用随機數發生器産生随機數k∈[1, n-1];計算橢圓曲線點(x1, y1)=[k]G,将x1的資料類型轉化為整數;計算r=(e+x1)mod n,若r=0或r+k=n則傳回第3步;計算s=((1+dA)-1*(k-r*dA))mod n,若s=0則傳回第3步;将r, s轉化為位元組串。消息M的簽名為(r, s)。
簽名驗證
輸入:H:位元組串,預處理2的結果;sign:SM2Signature,簽名值;Q:PublicKey,簽名者的公鑰
輸出:為真表示驗證通過,為假表示驗證不通過。
為了檢驗收到的消息 M及其數字簽名(r, s),作為驗證者的使用者B應實作以下運算步驟:
檢驗r∈[1,n-1],是否成立,若不成立則驗證不通過;
檢驗s∈[1,n-1],是否成立,若不成立則驗證不通過;
置M’=ZA||M;
計算e=Hv(M’),将e的資料類型轉化為整數;
将r,s的資料類型轉化為整數,計算t=(r+s)mod n,若t=0,則驗證不通過;
計算橢圓曲線點(x1, y1)=[s]G+[t]PA;
将x1的資料類型轉化為整數,計算R=(e+x1)mod n,檢驗R=r是否成立,若成立則驗證通過;否則驗證不通過。
SM2的應用
SM2在固件安全中的應用:
固件控制着整個存儲系統的正常運作,倘若非法人員可以随意導入固件、修改固件,那麼資料也将完全暴露,是以保護資料存儲安全的首要一點就是要確定固件在導入、儲存和執行過程中的安全。
在固件導入過程中使用SM2算法進行驗簽,其中用到的公鑰儲存在主要晶片内部,私鑰由受信用的固件廠商儲存。對于要導入的固件,需要使用私鑰對其進行簽名,将簽名和固件一起導入到盤片,帶有簽名的固件下載下傳到緩存RAM後,再用公鑰進行SM2驗簽。隻有使用合法私鑰簽名的固件才能通過驗簽,成功導入,沒有簽名或者使用非法私鑰簽名的固件無法通過驗簽而被丢棄。如此,擁有合法私鑰的使用者才擁有固件的導入權限,從源頭上確定了盤片内部固件的合法性。
對比SM2與同類型算法
RSA算法數學原理簡單,在工程應用中比較易于實作,但它的機關安全強度相對較低。目前國際上公認的對于RSA算法最有效的攻擊方法,即一般數域篩方法去破譯和攻擊RSA算法,它的破譯或求解難度是亞指數級的。
SM2算法的數學理論非常深奧複雜,在工程應用中比較難于實作,但它的機關安全強度相對較高。用國際上公認的對于SM2算法最有效的攻擊方法Pollard rho去破譯攻擊SM2算法,它的破譯或求解難度基本上是指數級的。SM2算法的機關安全強度高于RSA算法。一般認為當SM2密碼體制的密鑰長度為160比特時,其安全性相當于RSA使用1024比特密鑰長度,密鑰短意味着更短的處理時間和密鑰存儲空間。
SM2具有安全性能更高、計算量小、處理速度快、存儲空間占用小、帶寬要求低和便于密碼管理等優點,能在整體上提高加密過程中的速度與安全性。
SM3加密标準
SM3基本原理
對長度為l(l < 2^64) 比特的消息m, SM3雜湊算法經過填充和疊代壓縮,生成雜湊值,雜湊值長度為256比特。
填充
假設消息m 的長度為l 比特。首先将比特“1”添加到消息的末尾,再添加k 個“0”, k是滿足l + 1 + k ≡ 448mod512 的最小的非負整數。然後再添加一個64位比特串,該比特串是長度l的二進制表示。填充後的消息m’的比特長度為512的倍數。
疊代
将填充後的消息m’按512比特進行分組:m’=B(0)B(1)…B(n-1),其中n=(l+k+65)/512。對m’按下列方式疊代:
FOR i=0 TO n-1
V(i+1)=CF(V(i), B(i))
ENDFOR
其中CF是壓縮函數,V(0)為256比特初始值IV,B(i)為填充後的消息分組,疊代壓縮的結果為V(n)。
消息擴充
将消息分組B(i)按以下方法擴充生成132個字W0, W1,…, W67 , W0’, W1’, …, W63’,用于壓縮函數CF:
将消息分組B(i)劃分為16個字W0, W1, …, W15
FOR j=16 TO 67
WjßP1(Wj-16⊕Wj-9⊕(Wj-3<<<15))⊕(Wj-13<<<7)⊕Wj-6
FOR j=0 TO 63
W’j=Wj⊕Wj+4
壓縮函數
令A,B,C,D,E,F,G,H為字寄存器,SS1,SS2,TT1,TT2為中間變量,壓縮函數Vi+1=CF(V(i), B(i)), 0<=i<=n-1,計算過程如下:
FOR j=0 TO 63
SS1ß((A<<<12)+E+(Tj<<<j))<<<7
SS2ßSS1⊕(A<<<12)
TT1ßFFj(A,B,C)+D+SS2+W’j
TT2ßGGj(E,F,G)+H+SS1+Wj
DßC
CßB<<<9
BßA
AßTT1
HßG
GßF<<<19
FßE
EßP0(TT2)
ENDFOR
V(i+1)ßABCDEFGH⊕V(i)
雜湊值
ABCDEFGHßV(n)
輸出256比特的雜湊值y=ABCDEFGH。
SM3的應用
SM3在晶片中的應用:
晶片中有sm3函數的入口,每次隻能輸入8個位元組(64位)的16進制數,是以要把檔案拆分成N*8位元組,并轉為16進制,需要執行sm3函數N次
前面N-1次和最後一次執行函數所用的封包不同,前面N-1次中封包的p1=01(沒有傳回雜湊值,但是函數中記錄下疊代中間結果,作為下一次疊代輸入,不輸出),最後一次封包的p1=02,(結合上面疊代中間值,輸出最終雜湊值)。
對比SM3與同類型算法
摘要函數在密碼學中具有重要的地位,被廣泛應用在數字簽名,消息認證,資料完整性檢測等領域。摘要函數通常被認為需要滿足三個基本特性:碰撞穩固性,原根穩固性和第二原根穩固性。2005年,Wang等人給出了MD5算法和SHA-1算法的碰撞攻擊方法,現今被廣泛應用的MD5算法和SHA-1算法不再是安全的算法。
SM3算法适用于商用密碼應用中的數字簽名和驗證,是在SHA-256基礎上改進實作的一種算法。SM3算法采用Merkle-Damgard結構,消息分組長度為512位,摘要值長度為256位。SM3算法的壓縮函數與SHA-256的壓縮函數具有相似的結構,但是SM3算法的設計更加複雜,比如壓縮函數的每一輪都使用2個消息字。SM3的安全性相對較高。
SM4加密标準
SM4基本原理
參數産生
位元組由8位二進制數表示,字由32位二進制數表示;S盒為固定的8比特輸入和輸出置換;加密密鑰長度為128bit,表示為MK=(MK0,MK1,MK2,MK3),其中MKi (i=0,1,2,3)為字。輪密鑰表示為rki(i=0,1,2.....,31)為字。FK=(FK0,FK1,FK2,FK3)為系統參數,CK=(CK0,CK1,.....,CK31)為固定參數,都為字。
輪函數
整體的加密函數為:
Xi+4=F(Xi, Xi+1, Xi+2, Xi+3, rki)=Xi⊕T(Xi+1⊕Xi+2⊕Xi+3⊕rki)
其中T為一個合成置換,由非線性變換和線性變換複合而成。
非線性變換由4個平行的S盒構成,S盒的資料均采用16進制。
線性變換公式如下,其中B為非線性變換得到的字
C=L(B)=B⊕(B<<2)⊕(B<<10)⊕(B<<18)⊕(B<<24)
密鑰擴充
已知加密密鑰MK=(MK0,MK1,MK2,MK3),系統參數FK=(FK0,FK1,FK2,FK3),固定參數CK=(CK0,CK1,.....,CK31)。rki為輪密鑰,輪密鑰由加密密鑰生成。
首先(K0, K1, K2, K3)=(MK0⊕FK0, MK1⊕FK1, MK2⊕FK2, MK3⊕FK3),然後對i=0,1,2,…,31:rki=Ki+4=Ki⊕T’(Ki+1⊕Ki+2⊕Ki+3⊕CKi),該變換與加密中的T變換基本相同,隻是将其中的線性變換改為:L’(B)=B⊕(B<<13) ⊕(B<<23),由于系統參數個固定參數是已知的,輪密鑰即可求得。
加密解密過程
加密最後一輪變換時,輸出為:
(Y0, Y1, Y2, Y3)=R(X32, X33, X34, X35)=(X35, X34, X33, X32)
最後輸出是加密的反序,解密時隻是将輪密鑰的使用順序進行逆向進行。
SM4的應用
SM4在資料安全中的應用:
以固态硬碟為例,若使用者資料的明文直接儲存在存儲媒體上,那麼隻要拿到存儲資料的存儲媒體,就能以一定的途徑擷取到其中存儲的使用者資料,比如換上其它的主要晶片、對存儲媒體上的電平進行分析等。我們可以在資料讀寫路徑上加上一道門鎖——SM4加解密:資料由主機傳輸到緩存RAM的過程中,使用SM4 算法加密,寫入到緩存上的就是密文,并最終以密文的形式儲存在存儲媒體Flash上;讀取資料時再解密出明文傳回給主機。
以上所述的加密過程對使用者是完全透明的,使用者完全感覺不到加解密過程的存在。為確定明文資料隻對授權使用者可見,需要對加解密資料的密鑰——媒體密鑰(MKey)進行保護,将其與授權使用者關聯起來。一種簡單的關聯方式如下圖所示,一方面使用SM3算法對使用者密碼進行雜湊生成密碼摘要,儲存密碼摘要用于身份鑒權;另一方面,對使用者密碼進行派生構造加密密鑰(EKey),對媒體密鑰進行加密儲存。
對比SM4與同類型算法
國際的DES算法和國産的SM4算法的目的都是為了加密保護靜态儲存和傳輸信道中的資料。從算法上看,國産SM4算法在計算過程中增加非線性變換,理論上能大大提高其算法的安全性,并且由專業機構進行了密碼分析,民間也對21輪SM4進行了差分密碼分析,安全性較高。
參考文獻
[1] 國密算法在資料存儲中的安全應用
[2] 國密标準文檔
![mysql5.7的sql優化[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)