ICS35.040 L80 中华人民共和国国家标准 GB/T32918.2—2016 信息安全技术 SM2椭圆曲线公钥 密码算法 第2部分:数字签名算法 Informationsecuritytechnology—PublickeycryptographicalgorithmSM2 basedonellipticcurves—Part2:Digitalsignaturealgorithm 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 符号和缩略语 1 …………………………………………………………………………………………… 5 数字签名算法 2 …………………………………………………………………………………………… 5.1 综述 2 ………………………………………………………………………………………………… 5.2 椭圆曲线系统参数 2 ………………………………………………………………………………… 5.3 用户密钥对 2 ………………………………………………………………………………………… 5.4 辅助函数 3 …………………………………………………………………………………………… 5.5 用户其他信息 3 ……………………………………………………………………………………… 6 数字签名的生成算法及流程 3 …………………………………………………………………………… 6.1 数字签名的生成算法 3 ……………………………………………………………………………… 6.2 数字签名生成算法流程 3 …………………………………………………………………………… 7 数字签名的验证算法及流程 4 …………………………………………………………………………… 7.1 数字签名的验证算法 4 ……………………………………………………………………………… 7.2 数字签名验证算法流程 5 …………………………………………………………………………… 附录A(资料性附录) 数字签名与验证示例 7 …………………………………………………………… A.1 综述 7 ………………………………………………………………………………………………… A.2 Fp上的椭圆曲线数字签名 7 ………………………………………………………………………… A.3 F2m上的椭圆曲线数字签名 8 ……………………………………………………………………… 参考文献 10 ……………………………………………………………………………………………………GB/T32918.2—2016 前 言 GB/T32918《信息安全技术 SM2椭圆曲线公钥密码算法》分为5个部分: ———第1部分:总则; ———第2部分:数字签名算法; ———第3部分:密钥交换协议; ———第4部分:公钥加密算法; ———第5部分:参数定义。 本部分为GB/T32918的第2部分。 本部分按照GB/T1.1—2009给出的规则起草。 本部分由国家密码管理局提出。 本部分由全国信息安全标准化技术委员会(SAC/TC260)归口。 本部分起草单位:北京华大信安科技有限公司、中国人民解放军信息工程大学、中国科学院数据与 通信保护研究教育中心。 本部分主要起草人:陈建华、祝跃飞、叶顶峰、胡磊、裴定一、彭国华、张亚娟、张振峰。 ⅠGB/T32918.2—2016 引 言 N.Koblitz和V.Miller在1985年各自独立地提出将椭圆曲线应用于公钥密码系统。椭圆曲线公 钥密码所基于的曲线性质如下: ———有限域上椭圆曲线在点加运算下构成有限交换群,且其阶与基域规模相近; ———类似于有限域乘法群中的乘幂运算,椭圆曲线多倍点运算构成一个单向函数。 在多倍点运算中,已知多倍点与基点,求解倍数的问题称为椭圆曲线离散对数问题。对于一般椭圆 曲线的离散对数问题,目前只存在指数级计算复杂度的求解方法。与大数分解问题及有限域上离散对 数问题相比,椭圆曲线离散对数问题的求解难度要大得多。因此,在相同安全程度要求下,椭圆曲线密 码较其他公钥密码所需的密钥规模要小得多。 SM2是国家密码管理局组织制定并提出的椭圆曲线密码算法标准。GB/T32918的主要目标 如下: ———GB/T32918.1定义和描述了SM2椭圆曲线密码算法的相关概念及数学基础知识,并概述了 该部分同其他部分的关系。 ———GB/T32918.2描述了一种基于椭圆曲线的签名算法,即SM2签名算法。 ———GB/T32918.3描述了一种基于椭圆曲线的密钥交换协议,即SM2密钥交换协议。 ———GB/T32918.4描述了一种基于椭圆曲线的公钥加密算法,即SM2加密算法,该算法需使用 GB/T32905—2016定义的SM3密码杂凑算法。 ———GB/T32918.5给出了SM2算法使用的椭圆曲线参数,以及使用椭圆曲线参数进行SM2运算 的示例结果。 本部分为GB/T32918的第2部分,描述了基于椭圆曲线的数字签名算法。 ⅡGB/T32918.2—2016 信息安全技术 SM2椭圆曲线公钥 密码算法 第2部分:数字签名算法 1 范围 GB/T32918的本部分规定了SM2椭圆曲线公钥密码算法的数字签名算法,包括数字签名生成算 法和验证算法,并给出了数字签名与验证示例及其相应的流程。 本部分适用于商用密码应用中的数字签名和验证,可满足多种密码应用中的身份鉴别和数据完整 性、真实性的安全需求。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T32918.1—2016 信息安全技术 SM2椭圆曲线公钥密码算法 第1部分:总则 GB/T32905—2016 信息安全技术 SM3密码杂凑算法 3 术语和定义 下列术语和定义适用于本文件。 3.1 消息 message 任意有限长度的比特串。 3.2 签名消息 signedmessage 由消息以及该消息的签名部分所组成的一组数据项。 3.3 签名密钥 signaturekey 在数字签名生成过程中由签名者专用的秘密数据项,即签名者的私钥。 3.4 签名生成过程 signaturegenerationprocess 输入消息、签名密钥和椭圆曲线系统参数,并输出数字签名的过程。 3.5 可辨别标识 distinguishingidentifier 可以无歧义辨别某一实体身份的信息。 4 符号和缩略语 下列符号和缩略语适用于本文件。 A,B 使用公钥密码系统的两个用户。 1GB/T32918.2—2016 dA 用户A的私钥。 E(Fq) Fq上椭圆曲线E的所有有理点(包括无穷远点O)组成的集合。 e 密码杂凑算法作用于消息M的输出值。 e' 密码杂凑算法作用于消息M'的输出值。 Fq 包含q个元素的有限域。 G 椭圆曲线的一个基点,其阶为素数。 Hv( ) 消息摘要长度为v比特的密码杂凑算法。 IDA 用户A的可辨别标识。 M 待签名消息。 M' 待验证消息。 modn 模n运算。例如,23mod7=2。 n 基点G的阶(n是#E(Fq)的素因子)。 O 椭圆曲线上的一个特殊点,称为无穷远点或零点,是椭圆曲线加法群的单位元。 PA 用户A的公钥。 q 有限域Fq中元素的数目。 a,b Fq中的元素,它们定义Fq上的一条椭圆曲线E。 x‖y x与y的拼接,其中x、y可以是比特串或字节串。 ZA 关于用户A的可辨别标识、部分椭圆曲线系统参数和用户A公钥的杂凑值。 (r,s) 发送的签名。 (r',s') 收到的签名。 [k]P 椭圆曲线上点P的k倍点,即,[k]P=P+P+…+P􀮩􀮫 􀮪􀪁􀪁􀪁􀪁􀪁􀪁 k个,k是正整数。 [x,y] 大于或等于x且小于或等于y的整数的集合。 5 数字签名算法 5.1 综述 数字签名算法由一个签名者对数据产生数字签名,并由一个验证者验证签名的可靠性。每个签名 者有一个公钥和一个私钥,其中私钥用于产生签名,验证者用签名者的公钥验证签名。在签名的生成过 程之前,要用密码杂凑算法对M(包含ZA和待签消息M)进行压缩;在验证过程之前,要用密码杂凑算 法对M'(包含ZA和待验证消息M')进行压缩。 5.2 椭圆曲线系统参数 椭圆曲线系统参数包括有限域Fq的规模q(当q=2m时,还包括元素表示法的标识和约化多项式); 定义椭圆曲线E(Fq)的方程的两个元素a、bÎFq;E(Fq)上的基点G=(xG,yG)(G≠O),其中xG和 yG是Fq中的两个元素;G的阶n及其他可选项(如n的余因子h等)。 椭圆曲线系统参数及其验证应符合GB/T32918.1—2016第5章的规定。 5.3 用户密钥对 用户A的密钥对包括其私钥dA和公钥PA=[dA]G=(xA,yA)。 用户密钥对的生成算法与公钥验证算法应符合GB/T32918.1—2016第