密码学SM2-SM3-SM4加密标准

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

课外实践五SM2、SM3及SM4加密标准一、概述1.SM2椭圆曲线公钥密码算法加密标准SM2算法就是ECC椭圆曲线密码机制,但在签名、密钥交换方面不同于ECDSA、ECDH等国际标准,而是采取了更为安全的机制。SM2-1椭圆曲线数字签名算法,SM2-2椭圆曲线密钥交换协议,SM2-3椭圆曲线公钥加密算法,分别用于实现数字签名密钥协商和数据加密等功能。SM2算法与RSA算法不同的是,SM2算法是基于椭圆曲线上点群离散对数难题,相对于RSA算法,256位的SM2密码强度已经比2048位的RSA密码强度要高。椭圆曲线算法公钥密码所基于的曲线性质:椭圆曲线多倍点运算构成一个单向函数。在多倍点运算中,已知多倍点与基点,求解倍数的问题称为椭圆曲线离散对数问题。对于一般椭圆曲线的离散对数问题,目前只存在指数级计算复杂度的求解方法。与大数分解问题及有限域上离散对数问题相比,椭圆曲线离散对数问题的求解难度要大得多。因此,在相同安全程度要求下,椭圆曲线密码较其他公钥密码所需的秘钥规模要小得多。2.SM3哈希算法加密标准SM3是一种密码散列函数标准。密码散列函数是散列函数的一种。它被认为是一种单向函数,也就是说极其难以由散列函数输出的结果,回推输入的数据是什么。这种散列函数的输入数据,通常被称为消息,而它的输出结果,经常被称为消息摘要。SM3适用于商用密码应用中的数字签名和验证消息认证码的生成与验证以及随机数的生成,可满足多种密码应用的安全需求。为了保证杂凑算法的安全性,其产生的杂凑值的长度不应太短,例如MD5输出128比特杂凑值,输出长度太短,影响其安全性SHA-1算法的输出长度为160比特,SM3算法的输出长度为256比特,因此SM3算法的安全性要高于MD5算法和SHA-1算法。一个理想的密码散列函数应该有这些特性:对于任何一个给定的消息,它都很容易就能运算出散列数值;难以由一个已知的散列数值,去推算出原始的消息;在不更动散列数值的前提下,修改消息内容是不可行的;对于两个不同的消息,它不能给与相同的散列数值。3.SM4分组密码算法加密标准SM4算法是一个分组对称密钥算法,明文、密钥、密文都是16字节,加密和解密密钥相同。加密算法与密钥扩展算法都采用32轮非线性迭代结构。解密过程与加密过程的结构相似,只是轮密钥的使用顺序相反。SM4用于实现数据的加密/解密运算,以保证数据和信息的机密性。要保证一个对称密码算法的安全性的基本条件是其具备足够的密钥长度,SM4算法与AES算法具有相同的密钥长度分组长度128比特,因此在安全性上高于3DES算法。二、SM2加密标准1.SM2基本原理1)基础参数SM2的曲线方程为y2=x3+ax+b,其中:a:0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFCb:0x28E9FA9E9D9F5E344D5A9E4BCF6509A7F39789F515AB8F92DDBCBD414D940E93c:0xFFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFF私钥长度:32字节公钥长度:SM2非压缩公钥格式字节串长度为65字节,压缩格式长度为33字节,若公钥y坐标最后一位为0,则首字节为0x02,否则为0x03。非压缩格式公钥首字节为0x04。签名长度:64字节2)密钥对生成SM2密钥生成是指生成SM2算法的密钥对的过程,该密钥对包括私钥和与之对应的公钥。输入:一个有效的Fq(q=p且p为大于3的素数,或q=2m)上椭圆曲线系统参数的集合。输出:与椭圆曲线系统参数相关的一个密钥对(d,P)k:SM2PrivateKey,SM2私钥Q:SM2PublicKey,SM2公钥用随机数发生器产生整数d∈[1,n-2];G为基点,计算点P=(xP,yP)=[d]G密钥对是(d,P),其中d为私钥,P为公钥3)签名算法a)预处理1预处理1指使用签名方的用户身份标识和签名方公钥,通过运算得到Z值的过程,Z值用于预处理2。输入:ID字符串,用户身份标识;QSM2PublicKey,用户的公钥。输出:Z字节串,预处理1的输出。计算公式:Z=SM3(ENTL||ID||a||b||xG||yG||xA||yA)参数说明:ENTL:由两个字节标识的ID的比特长度;ID:用户身份标识,一般情况下,其长度为16字节,默认值从左至右依次是:0x31,0x32,0x33,0x34,0x35,0x36,0x37,0x38,0x31,0x32,0x33,0x34,0x35,0x36,0x37,0x38。a,b:为系统曲线参数;xG,yG为基点;xA,yA为用户的公钥。b)预处理2预处理2是指使用Z值和待签名消息,通过SM3运算得到杂凑值H的过程。杂凑值H用户SM2数字签名。输入:Z字节串;M字节串,待签名消息输出:H字节串,杂凑值计算公式:H=SM3(Z||M)c)生成签名SM2签名是指使用预处理2的结果和签名者的私钥,通过签名计算得到签名结果的过程。输入:d:SM2PrivateKey,签名者私钥;H字节串,预处理2的结果输出:sign:SM2Signature,签名值设待签名的消息为M,为了获取消息M的数字签名(r,s)(r,s)(r,s),作为签名者的用户A应实现以下运算步骤:置M’=ZA||M;计算e=Hv(M’),将e的数据类型转化为整数;用随机数发生器产生随机数k∈[1,n-1];计算椭圆曲线点(x1,y1)=[k]G,将x1的数据类型转化为整数;计算r=(e+x1)modn,若r=0或r+k=n则返回第3步;计算s=((1+dA)-1*(k-r*dA))modn,若s=0则返回第3步;将r,s转化为字节串。消息M的签名为(r,s)。d)签名验证输入:H:字节串,预处理2的结果;sign:SM2Signature,签名值;Q:PublicKey,签名者的公钥输出:为真表示验证通过,为假表示验证不通过。为了检验收到的消息M及其数字签名(r,s),作为验证者的用户B应实现以下运算步骤:A.检验r∈[1,n-1],是否成立,若不成立则验证不通过;B.检验s∈[1,n-1],是否成立,若不成立则验证不通过;C.置M’=ZA||M;D.计算e=Hv(M’),将e的数据类型转化为整数;E.将r,s的数据类型转化为整数,计算t=(r+s)modn,若t=0,则验证不通过;F.计算椭圆曲线点(x1,y1)=[s]G+[t]PA;G.将x1的数据类型转化为整数,计算R=(e+x1)modn,检验R=r是否成立,若成立则验证通过;否则验证不通过。2.SM2的应用SM2在固件安全中的应用:固件控制着整个存储系统的正常运行,倘若非法人员可以随意导入固件、修改固件,那么数据也将完全暴露,因此保护数据存储安全的首要一点就是要确保固件在导入、保存和执行过程中的安全。在固件导入过程中使用SM2算法进行验签,其中用到的公钥保存在主控芯片内部,私钥由受信用的固件厂商保存。对于要导入的固件,需要使用私钥对其进行签名,将签名和固件一起导入到盘片,带有签名的固件下载到缓存RAM后,再用公钥进行SM2验签。只有使用合法私钥签名的固件才能通过验签,成功导入,没有签名或者使用非法私钥签名的固件无法通过验签而被丢弃。如此,拥有合法私钥的用户才拥有固件的导入权限,从源头上确保了盘片内部固件的合法性。3.对比SM2与同类型算法RSA算法数学原理简单,在工程应用中比较易于实现,但它的单位安全强度相对较低。目前国际上公认的对于RSA算法最有效的攻击方法,即一般数域筛方法去破译和攻击RSA算法,它的破译或求解难度是亚指数级的。SM2算法的数学理论非常深奥复杂,在工程应用中比较难于实现,但它的单位安全强度相对较高。用国际上公认的对于SM2算法最有效的攻击方法Pollardrho去破译攻击SM2算法,它的破译或求解难度基本上是指数级的。SM2算法的单位安全强度高于RSA算法。一般认为当SM2密码体制的密钥长度为160比特时,其安全性相当于RSA使用1024比特密钥长度,密钥短意味着更短的处理时间和密钥存储空间。SM2具有安全性能更高、计算量小、处理速度快、存储空间占用小、带宽要求低和便于密码管理等优点,能在整体上提高加密过程中的速度与安全性。三、SM3加密标准1.SM3基本原理对长度为l(l2^64)比特的消息m,SM3杂凑算法经过填充和迭代压缩,生成杂凑值,杂凑值长度为256比特。1)填充假设消息m的长度为l比特。首先将比特“1”添加到消息的末尾,再添加k个“0”,k是满足l+1+k≡448mod512的最小的非负整数。然后再添加一个64位比特串,该比特串是长度l的二进制表示。填充后的消息m’的比特长度为512的倍数。2)迭代将填充后的消息m’按512比特进行分组:m’=B(0)B(1)…B(n-1),其中n=(l+k+65)/512。对m’按下列方式迭代:FORi=0TOn-1V(i+1)=CF(V(i),B(i))ENDFOR其中CF是压缩函数,V(0)为256比特初始值IV,B(i)为填充后的消息分组,迭代压缩的结果为V(n)。3)消息扩展将消息分组B(i)按以下方法扩展生成132个字W0,W1,…,W67,W0’,W1’,…,W63’,用于压缩函数CF:将消息分组B(i)划分为16个字W0,W1,…,W15FORj=16TO67WjP1(Wj-16⊕Wj-9⊕(Wj-315))⊕(Wj-137)⊕Wj-6ENDFORFORj=0TO63W’j=Wj⊕Wj+4ENDFOR4)压缩函数令A,B,C,D,E,F,G,H为字寄存器,SS1,SS2,TT1,TT2为中间变量,压缩函数Vi+1=CF(V(i),B(i)),0=i=n-1,计算过程如下:FORj=0TO63SS1((A12)+E+(Tjj))7SS2SS1⊕(A12)TT1FFj(A,B,C)+D+SS2+W’jTT2GGj(E,F,G)+H+SS1+WjDCCB9BAATT1HGGF19FEEP0(TT2)ENDFORV(i+1)ABCDEFGH⊕V(i)5)杂凑值ABCDEFGHV(n)输出256比特的杂凑值y=ABCDEFGH。2.SM3的应用SM3在芯片中的应用:芯片中有sm3函数的入口,每次只能输入8个字节(64位)的16进制数,所以要把文件拆分成N*8字节,并转为16进制,需要执行sm3函数N次前面N-1次和最后一次执行函数所用的报文不同,前面N-1次中报文的p1=01(没有返回杂凑值,但是函数中记录下迭代中间结果,作为下一次迭代输入,不输出),最后一次报文的p1=02,(结合上面迭代中间值,输出最终杂凑值)。3.对比SM3与同类型算法摘要函数在密码学中具有重要的地位,被广泛应用在数字签名,消息认证,数据完整性检测等领域。摘要函数通常被认为需要满足三个基本特性:碰撞稳固性,原根稳固性和第二原根稳固性。2005年,Wang等人给出了MD5算法和SHA-1算法的碰撞攻击方法,现今被广泛应用的MD5算法和SHA-1算法不再是安全的算法。SM3算法适用于商用密码应用中的数字签名和验证,是在SHA-256基础上改进实现的一种算法。SM3算法采用Merkle-Damgard结构,消息分组长度为512位,摘要值长度为256位。SM3算法的压缩函数与SHA-256的压缩函数具有相似的结构,但是SM3算法的设计更加复杂,比如压缩函数的每一轮都使用2个消息字。SM3的安全性相对较高。四、SM4加密标准1.SM4基本原理1)参数产生字节由8位二进制数表示,字由32位二进制数表示;S盒为固定的8比特输入和输出置换;加密密钥长度为128bit,表示为MK=(MK0,MK1,MK2,MK3),其中MKi(i=0,1,2,3)为字。轮密钥表示为rki(i=0,1,2.....

1 / 9
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功