2021SC@SDUSC
SM2使用素数域256位椭圆曲线
椭圆曲线参数方程:
曲线参数:
p一FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFF
a一FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFC
b一28E9FA9E 9D9F5E34 4D5A9E4B CF6509A7 F39789F5 15AB8F92 DDBCBD414D940E93
n一FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 7203DF6B 21C6052B 53BBF409 39D54123
xG一32C4AE2C 1F198119 5F990446 6A39C994 8FE30BBF F2660BE1 715A4589 334C74C7
yG一BC3736A2 F4F6779C 59BDCEE3 6B692153 DOA9877C C62A4740 02DF32E5 2139F0AO
2010 年12月,为满足电子认证服务系统等应用需求,在国家商用密码管理管理办公室发布了国家密码管理局公告(第21号),发布SM2椭圆曲线公钥密码算法。加上原来的SM1商密对称算法,中国自主定义的算法终于开始以自信、大方的姿态走上商用密码舞台。
前面的文章介绍了ECDSA算法,在SM2中的椭圆曲线数字签名算法,通过查阅文章后(《国密SM2数字签名算法与ECDSA算法对比分析研究》),找到了两个算法的一些区别。
1.文章给出了SM2数字签名算法的正确性证明
先来回顾一下两个算法的签名以及验签过程:
ECDSA签名以及验签过程:
ECDSA签名的生成:
输入:参数组D(q, FR, S, a,b,P,n,h),私钥d,消息m。
输出:签名(r,s)。
(1)选择随机数k ∈[1,n-1];
(2)计算 kP=(x,y)),并将转化为整数z;
(3)计算r=z mod n,若r=0,跳至步骤1;
(4)计算e=H(m);
(5)计算 。若s=0,则跳至步骤1;
(6)返回(r,s)。
ECDSA签名的验证:
输入:参数组D(q, FR,S, a, b, P, n, h),公钥Q,消息m,签名(r,s)。
输出:判断签名是否合法。
(1)检验r,s ∈[1,n-1],若不成立,返回拒绝签名;(2)计算e=H(m);
(3)计算;
(4)计算和;
(5)计算;
(6)若,返回(“拒绝该签名”);
(7)将X的x坐标转化为整数z,计算;
(8)若v=r,则返回(“接受该签名”),否则返回(“拒绝该签名”)。
SM2椭圆曲线签名算法签名过程:
1.置
2.计算,将e转化为整数;
3.用随机数发生器产生随机数k∈[1,n-1];
4.计算椭圆曲线点,将转化为整数
5.计算,若r=0或者r+k = n,则返回3;
6.计算,若s=0,则返回3
7.将转化为字节串,消息M的签名为(r,s)。
SM2椭圆曲线数字签名算法验签步骤:
为了验证收到的消息M'及其数字签名(r',s'),作为验证者用户B实现以下运算步骤
1.检验是否成立,若不成立验证不通过;
2.检验是否成立,若不成立验证不通过;
3.置
4.计算,将e'化为整数
5.将r',s'转化为整数,计算,若t =0,则验证不能通过;
6.计算椭圆曲线点
7.将化为整数,计算,检验R=r'是否成立,若成立,验证通过,否则验证不通过。
SM2数字签名算法的签名和验证依赖于椭圆曲线的上两个点 (x1,y1)与(x1',y1')这两点应该是相等的,如果签名结果没有被篡改过,应该有。
那么如何证明 呢?
因为,,所以
2.对比分析
①对待签名消息预处理
ECDSA中,对待签名消息M不做人任何处理,但在SM2中,需要将M变为
②哈希算法
ECDSA没有规定使用哈希算法,在SM2椭圆曲线数字签名算法中使用的哈希算法是SM3
③安全性
攻击ECDSA都需要解决两个椭圆曲线离散对数问题,SM2椭圆曲线数字签名算法和ECDSA安全性是一个级别,SM2椭圆曲线数字签名算法安全性相对高一些。