使用 Python 脚本执行国密 sm2 加解密

一、场景

工作中的一个场景：Go 需要对信息加解密，但是研究了 GmSSL Go API 文档之后，发现是依赖于 CGO 的，同事配了半天环境没配成功。于是换了一个方法，选择 Go 调 Python 脚本执行加解密。之前我是写过 Python 对信息使用国密 sm2 算法进行加解密的，因此比较方便。

二、代码

import sys
from gmssl import sm2
from base64 import b64encode, b64decode
# sm2的公私钥
SM2_PRIVATE_KEY = '00B9AB0B828FF68872F21A837FC303668428DEA11DCD1B24429D0C99E24EED83D5'
SM2_PUBLIC_KEY = 'B9C9A6E04E9C91F7BA880429273747D7EF5DDEB0BB2FF6317EB00BEF331A83081A6994B8993F3F5D6EADDDB81872266C87C018FB4162F5AF347B483E24620207'

sm2_crypt = sm2.CryptSM2(public_key=SM2_PUBLIC_KEY, private_key=SM2_PRIVATE_KEY)

# 加密
def encrypt(info):
    encode_info = sm2_crypt.encrypt(info.encode(encoding="utf-8"))
    encode_info = b64encode(encode_info).decode()  # 将二进制bytes通过base64编码
    return encode_info


# 解密
def decrypt(info):
    decode_info = b64decode(info.encode())  # 通过base64解码成二进制bytes
    decode_info = sm2_crypt.decrypt(info).decode(encoding="utf-8")
    return decode_info


if __name__ == "__main__":
    action = sys.argv[1]  # 取命令中的加解密动作
    contact_info = sys.argv[2]  # 取命令中需要加解密的内容
    if action == "encrypt":
        encrypted_contact_info = encrypt(contact_info)
        print(encrypted_contact_info)
    if action == "decrypt":
        decrypted_contact_info = decrypt(contact_info)
        print(decrypted_contact_info)

在 VSCode 的 Terminal 执行命令：

$ C:/Users/admin/anaconda3/envs/xxx/python.exe d:/Code/python/sm2_test.py encrypt 123456

输出加密后的内容：

H24OlVZgSTtevCW138O+C5PlZp8OiD920JnpVr7r9ndkGBWFZUVDD48iIVrZRnamgosV5910m9k0438WpIyi0guEt8F5inG7Y5A51whRfdPZ+qdvWVQxI857CBEzkb3h1bMp1ETQ

再执行解密：

$ C:/Users/admin/anaconda3/envs/xxx/python.exe d:/Code/python/sm2_test.py decrypt H24OlVZgSTtevCW138O+C5PlZp8OiD920JnpVr7r9ndkGBWFZUVDD48iIVrZRnamgosV5910m9k0438WpIyi0guEt8F5inG7Y5A51whRfdPZ+qdvWVQxI857CBEzkb3h1bMp1ETQ

输出解密后的内容：

123456

可以正确加密解密。

image

解释一下执行脚本的参数，可以参考这篇教程。

• sys.argv[0] 表示脚本名；
• sys.argv[1] 表示要调用的加解密动作；
• sys.argv[2] 表示要加解密的内容。

如上图所示，命令行参数分别对应：

• sys.argv[0]: d:/Code/python/sm2_test.py
• sys.argv[1]: encrypt
• sys.argv[2]: 123456

三、补充

展开讲讲为什么里面需要转 base64。因为经过实际测试，发现 sm2 加解密的是 bytes 类型，直接进行加密没问题，但是单独解密并不成功：

image

按住 Ctrl，再鼠标点击 decrypt 函数，直接跳到源码查看源码：

image

发现源码里会转一下 hex 类型，但是报错提示：str 对象没有 hex 属性。

但是如果把解密写在加密之后（即加完密立马解密），发现就没问题了。

from gmssl import sm2
# sm2的公私钥
SM2_PRIVATE_KEY = '00B9AB0B828FF68872F21A837FC303668428DEA11DCD1B24429D0C99E24EED83D5'
SM2_PUBLIC_KEY = 'B9C9A6E04E9C91F7BA880429273747D7EF5DDEB0BB2FF6317EB00BEF331A83081A6994B8993F3F5D6EADDDB81872266C87C018FB4162F5AF347B483E24620207'

sm2_crypt = sm2.CryptSM2(public_key=SM2_PUBLIC_KEY, private_key=SM2_PRIVATE_KEY)

# 加密
def encrypt(info):
    encode_info = sm2_crypt.encrypt(info.encode(encoding="utf-8"))
    return encode_info


# 解密
def decrypt(info):
    decode_info = sm2_crypt.decrypt(info).decode(encoding="utf-8")
    return decode_info


if __name__ == "__main__":
    info = "123456"
    encode_info = encrypt(info)
    print(encode_info)
    decode_info = decrypt(encode_info)
    print(decode_info)

输出：

b'\x9b\x19\xa8\xc6\xfb\x0b\xf9\xfc\xf15,E*\x9f\x12\xfd\xd6\xd3@\x82N.\x82|\xb2"Y\x86V\xce\x1d\x99\x0e\x8e\xa1\xf6\xfcP\x81x\xbf(:[\xb2UYq\xbc\x84\xe8\x93[\x01\t\xc1\xcf1(E\xcc\xf9{\xe2\x88\xbb(\x90t\xb2\xfa\xd7\xe9\r\x8b\x81\x98\xf9\x85z/\xd5;\x88U\x89Sc\xcfx\xa8\x84\xee,A\xb3\x9de\xa9\xe3\x8e\xd4'
123456

可以成功进行加解密。

但是现在需要的是通过 Go 调 Python 脚本来执行加解密，需要加解密可以分开（根据命令行传入的参数判断是加密还是解密），因此这个方法不行。经过查阅一些资料，才有了最开始的那段代码，通过 base64 来编码解码进行加密解密。

还考虑到一个问题是：直接以加密后的二进制存数据库，有可能会影响到 Go 那边从数据库读数据。因为以二进制 bytes 存数据库，字段采用的是 BinaryField，但是 Go 不确定有这种类型的字段，可能需要自定义。考虑到项目比较赶，马上就要提测了，没有时间研究 Go 怎么自定义类型了，于是选择了换成 CharField 类型存储到数据库。因此就是加密后的二进制 bytes 通过 base64 编码之后再存数据库。解密就是从数据库读出数据再通过 base64 解码，转成二进制 bytes 进行解密。

还有一个问题就是：看到上述加密后的二进制 bytes，发现有很多反斜杠 \，但是反斜杠是有转义功能的，比如两个反斜杠 \\ 表示的就是一个反斜杠 \（这里可以参考 C 语言基础语法）。考虑到存储读取可能也会出现这种问题，因此最终采用 base64 进行编解码再存储。

四、sm2 公私钥生成代码

from gmssl.utils import PrivateKey
priKey = PrivateKey()
pubKey = priKey.publicKey()
print(priKey.toString())
print(pubKey.toString(compressed = False))

每次生成的公私钥都不一样：

036e29c4ce1f17b5fd35c88e81793bc9de53f46b3766b779b297e062af958405
8d22779ef058a61365d8a427dfd4df5f661535cb515a05567436ab0bd7ff7803a9e31c90630d9221960e614a4228a0a5162bde4072ef3aa9a1ba6fe74d240577

五、参考

Python 命令行参数

Byte[ ]和Base64之间的转换（加密）

支持国密SM2/SM3/SM4/SM9/ZUC/SSL的OpenSSL分支

GmSSL Go API 文档