ICS35.040 L80 中华人民共和国国家标准 GB/T32918.3—2016 信息安全技术 SM2椭圆曲线公钥 密码算法 第3部分:密钥交换协议 Informationsecuritytechnology—Publickeycryptographicalgorithm SM2basedonellipticcurves—Part3:Keyexchangeprotocol 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 符号和缩略语 1 …………………………………………………………………………………………… 5 算法参数与辅助函数 2 …………………………………………………………………………………… 5.1 综述 2 ………………………………………………………………………………………………… 5.2 椭圆曲线系统参数 2 ………………………………………………………………………………… 5.3 用户密钥对 3 ………………………………………………………………………………………… 5.4 辅助函数 3 …………………………………………………………………………………………… 5.5 用户其他信息 3 ……………………………………………………………………………………… 6 密钥交换协议及流程 4 …………………………………………………………………………………… 6.1 密钥交换协议 4 ……………………………………………………………………………………… 6.2 密钥交换协议流程 5 ………………………………………………………………………………… 附录A(资料性附录) 密钥交换及验证示例 6 …………………………………………………………… A.1 综述 6 ………………………………………………………………………………………………… A.2 Fp上椭圆曲线密钥交换协议 6 …………………………………………………………………… A.3 F2m上椭圆曲线密钥交换协议 9 …………………………………………………………………… 参考文献 13 …………………………………………………………………………………………………… ⅠGB/T32918.3—2016 前 言 GB/T32918《信息安全技术 SM2椭圆曲线公钥密码算法》分为5个部分: ———第1部分:总则; ———第2部分:数字签名算法; ———第3部分:密钥交换协议; ———第4部分:公钥加密算法; ———第5部分:参数定义。 本部分为GB/T32918的第3部分。 本部分按照GB/T1.1—2009给出的规则起草。 本部分由国家密码管理局提出。 本部分由全国信息安全标准化技术委员会(SAC/TC260)归口。 本部分起草单位:北京华大信安科技有限公司、中国人民解放军信息工程大学、中国科学院数据与 通信保护研究教育中心。 本部分主要起草人:陈建华、祝跃飞、叶顶峰、胡磊、裴定一、彭国华、张亚娟、张振峰。 ⅢGB/T32918.3—2016 引 言 N.Koblitz和V.Miller在1985年各自独立地提出将椭圆曲线应用于公钥密码系统。椭圆曲线公 钥密码所基于的曲线性质如下: ———有限域上椭圆曲线在点加运算下构成有限交换群,且其阶与基域规模相近; ———类似于有限域乘法群中的乘幂运算,椭圆曲线多倍点运算构成一个单向函数。 在多倍点运算中,已知多倍点与基点,求解倍数的问题称为椭圆曲线离散对数问题。对于一般椭圆 曲线的离散对数问题,目前只存在指数级计算复杂度的求解方法。与大数分解问题及有限域上离散对 数问题相比,椭圆曲线离散对数问题的求解难度要大得多。因此,在相同安全程度要求下,椭圆曲线密 码较其他公钥密码所需的密钥规模要小得多。 SM2是国家密码管理局组织制定并提出的椭圆曲线密码算法标准。GB/T32918的主要目标 如下: ———GB/T32918.1定义和描述了SM2椭圆曲线密码算法的相关概念及数学基础知识,并概述了 该部分同其他部分的关系。 ———GB/T32918.2描述了一种基于椭圆曲线的签名算法,即SM2签名算法。 ———GB/T32918.3描述了一种基于椭圆曲线的密钥交换协议,即SM2密钥交换协议。 ———GB/T32918.4描述了一种基于椭圆曲线的公钥加密算法,即SM2加密算法,该算法需使用 GB/T32905—2016定义的SM3密码杂凑算法。 ———GB/T32918.5给出了SM2算法使用的椭圆曲线参数,以及使用椭圆曲线参数进行SM2运算 的示例结果。 本部分为GB/T32918的第3部分,规定了SM2椭圆曲线密码系统的密钥交换过程。 ⅣGB/T32918.3—2016 信息安全技术 SM2椭圆曲线公钥 密码算法 第3部分:密钥交换协议 1 范围 GB/T32918的本部分规定了SM2椭圆曲线公钥密码算法的密钥交换协议,并给出了密钥交换与 验证示例及其相应的流程。 本部分适用于商用密码应用中的密钥交换,可满足通信双方经过两次或可选三次信息传递过程,计 算获取一个由双方共同决定的共享秘密密钥(会话密钥)。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T32918.1—2016 信息安全技术 SM2椭圆曲线公钥密码算法 第1部分:总则 GB/T32905—2016 信息安全技术 SM3密码杂凑算法 3 术语和定义 下列术语和定义适用于本文件。 3.1 从A到B的密钥确认 keyconfirmationfromAtoB 使用户B确信用户A拥有特定秘密密钥的保证。 3.2 密钥派生函数 keyderivationfunction 通过作用于共享秘密和双方都知道的其他参数,产生一个或多个共享秘密密钥的函数。 3.3 发起方 initiator 在一个协议的操作过程中发送首轮交换信息的用户。 3.4 响应方 responder 在一个协议的操作过程中不是发送首轮交换信息的用户。 3.5 可辨别标识 distinguishingidentifier 可以无歧义辨别某一实体身份的信息。 4 符号和缩略语 下列符号适用于本文件 A,B 使用公钥密码系统的两个用户。 1GB/T32918.3—2016 dA 用户A的私钥。 dB 用户B的私钥。 E(Fq) Fq上椭圆曲线E的所有有理点(包括无穷远点O)组成的集合。 Fq 包含q个元素的有限域。 G 椭圆曲线的一个基点,其阶为素数。 Hash() 密码杂凑算法。 Hv() 消息摘要长度为v比特的密码杂凑算法。 h 余因子,h=#E(Fq)/n,其中n是基点G的阶。 IDA,IDB 用户A和用户B的可辨别标识。 K,KA,KB 密钥交换协议商定的共享秘密密钥。 KDF() 密钥派生函数。 modn 模n运算。例如,23mod7=2。 n 基点G的阶(n是#E(Fq)的素因子)。 O 椭圆曲线上的一个特殊点,称为无穷远点或零点,是椭圆曲线加法群的单位元。 PA 用户A的公钥。 PB 用户B的公钥。 q 有限域Fq中元素的数目。 a,b Fq中的元素,它们定义Fq上的一条椭圆曲线E。 rA 密钥交换中用户A产生的临时密钥值。 rB 密钥交换中用户B产生的临时密钥值。 x‖y x与y的拼接,其中x、y可以是比特串或字节串。 ZA 关于用户A的可辨别标识、部分椭圆曲线系统参数和用户A公钥的杂凑值。 ZB 关于用户B的可辨别标识、部分椭圆曲线系统参数和用户B公钥的杂凑值。 #E(Fq) E(Fq)上点的数目,称为椭圆曲线E(Fq)的阶。 [k]P 椭圆曲线上点P的k倍点,即,[k]P=P+P+…+P􀮩􀮫 􀮪􀪁􀪁􀪁􀪁􀪁􀪁 k个,k是正整数。 [x,y] 大于或等于x且小于或等于y的整数的集合。 x 顶函数,大于或等于x的最小整数。例如, 7 =7, 8.3 =9。 ⌊x 底函数,小于或等于x的最大整数。例如,⌊7 =7,⌊8.3 =8。 & 两个整数的按比特与运算。 5 算法参数与辅助函数 5.1 综述 密钥交换协议是两个用户A和B通过交互的信息传递,用各自的私钥和对方的公钥来商定一个只 有他们知道的秘密密钥。这个共享的秘密密钥通常用在某个对称密码算法中。该密钥交换协议能够用 于密钥管理和协商。 5.2 椭圆曲线系统参数 椭圆曲线系统参数包括有限域Fq的规模q(当q=2m时,还包括元素表示法的标识和约化多项 式);定义椭圆曲线E(Fq)的方程的两个元素a、b∈Fq;E(Fq)上的基点G=(xG,yG)(G≠O),其中 xG和yG是Fq中的两个元素;G的阶n及其他可选项(如n的余因子h等)。 椭圆曲线系统参数及其验证应符合GB/T32918.1—2016第5章的规定。 2GB/T32918.3—2016 5.3 用户密钥对 用户A的密钥对包括其私钥dA