本篇文章介绍如何一步步实现国密 SM2 签名算法,用于学习目的,目前是第 1 部分。为了简化教程,本文不涉及密钥生成和验签算法,会简单描述 SM2 签名算法的流程,所以我们需要使用 GmSSL 库(https://github.com/guanzhi/GmSSL)来帮助我们生成密钥和测试签名的正确性。
下载源码
$ git clone https://github.com/guanzhi/GmSSL.git
$ cd GmSSL
编译安装
$ mkdir build
$ cd build
$ cmake ..
$ make
$ make test
$ sudo make install
SM2签名及验签
$ gmssl sm2keygen -pass 1234 -out sm2.pem -pubout sm2pub.pem
$ echo hello | gmssl sm2sign -key sm2.pem -pass 1234 -out sm2.sig -id 1234567812345678
$ echo hello | gmssl sm2verify -pubkey sm2pub.pem -sig sm2.sig -id 1234567812345678
由于 GmSSL 库强制对私钥进行了加密,为了让教程更加清晰,我不会在 Python 中对私钥进行解密,所以我们修改一下 GmSSL/tools/sm2sign.c 的源码,因为 gmssl sm2sign 命令第一步就是解密私钥(这里涉及到一个SM2的原理:通过私钥可以计算出公钥):
// 1. 解密私钥
if (sm2_private_key_info_decrypt_from_pem(&key, pass, keyfp) != 1) {
fprintf(stderr, "gmssl %s: private key decryption failure\n", prog);
goto end;
}
我们在它的后面加上打印密钥的逻辑:
...
// 打印解密后的密钥
if (sm2_key_print(stdout, 0, 0, "Decrypted Key", &key) != 1) {
fprintf(stderr, "gmssl %s: failed to print key\n", prog);
goto end;
}
重新运行 echo hello | gmssl sm2sign -key sm2.pem -pass 1234 -out sm2.sig -id 1234567812345678,我们可以得到类似如下输出:
Decrypted Key
publicKey: CB06F5F57DA022626BA8D5C176CF4078B420E581C5A09F18CD79CCD3260D5AD1019B4186FC66CA86AE123181D3044AE070CF5D12C6001257829ECB29579C382E
privateKey: d14b13327d0b6402267ae053131d519c072f82f90dfe4ecf2897d9d7617040e2
接下来我们将写一个 Python 程序来生成 sm2.sig,我们定义一下 SM2 签名的调用方式:
from gmssl2 import sm2
# 上一步获取的公钥和私钥,16进制
public_key = 'CB06F5F57DA022626BA8D5C176CF4078B420E581C5A09F18CD79CCD3260D5AD1019B4186FC66CA86AE123181D3044AE070CF5D12C6001257829ECB29579C382E'
private_key = 'D14B13327D0B6402267AE053131D519C072F82F90DFE4ECF2897D9D7617040E2'
# 使用公钥和私钥初始化 SM 类
sm2_obj = sm2.SM2(
public_key=public_key,
private_key=private_key
)
# 待签名消息
data = b"hello\n" # bytes类型
sign = sm2_obj.sign(data)
# 将16进制字符串转换为字节串
sign_bytes = bytes.fromhex(sign)
# 将签名写入文件
with open('sm2.sig', 'wb') as outfp:
outfp.write(sign_bytes)
这里有一个坑需要注意一下,echo 命令会在消息最后追加一个 \n,所以我们在 Python 的时候也需要追加这个 \n。
我们在 http://www.gmbz.org.cn/main/bzlb.html 找到《SM2 椭圆曲线公钥密码算法第2部分:数字签名算法》,跳到 6.1 章节:
4DD787C5C26754762E07A644BA11CE49.png
所以第一步我们需要计算这个 Z_A 值,定义在 5.5 章节:
image.png
|| 的意思是字符串拼接。为了区分于官方的 GmSSL,命名为 gmssl2,因此我们写出如下代码:
from abc import ABC
# 这段参数是从 GmSSL/src/sm2_z256.c 的 SM2 parameters 部分获取
ECC_PARAMETERS = {
'n': 'FFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFF7203DF6B21C6052B53BBF40939D54123',
'p': 'FFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFF',
'g': '32c4ae2c1f1981195f9904466a39c9948fe30bbff2660be1715a4589334c74c7'
'bc3736a2f4f6779c59bdcee36b692153d0a9877cc62a474002df32e52139f0a0',
'a': 'fffffffeffffffffffffffffffffffffffffffff00000000fffffffffffffffc',
'b': '28e9fa9e9d9f5e344d5a9e4bcf6509a7f39789f515ab8f92ddbcbd414d940e93',
}
class SM2(ABC):
def __init__(self, public_key, private_key):
self.public_key = public_key
self.private_key = private_key
def sign(self, data, user_id="1234567812345678"):
z = self.get_z(data, user_id)
print(f"拼接字符串为: {z}")
def get_z(self, data, user_id):
# A, B: 使用公钥密码系统两个用户
# ENTL_A: ID 的比特长度,1 个 ASCII 字符为 1 字节( 8 比特)
ENTL_A = '%04x' % (len(user_id) * 8)
# ID_A: 用户 A 的可辨别标识
ID_A = user_id.encode().hex()
# F_q: 包含 q 个元素的有限域
# a: F_q 中的元素,椭圆曲线的参数之一
a = ECC_PARAMETERS['a']
# b: F_q 中的元素,椭圆曲线的参数之一
b = ECC_PARAMETERS['b']
# G: 椭圆曲线的一个基点,其阶为素数
# G 的坐标: x_G 和 y_G
x_G = ECC_PARAMETERS['g'][:64]
y_G = ECC_PARAMETERS['g'][64:]
# P_A: 用户 A 的公钥
# P_A 的坐标: x_A 和 y_A
x_A = self.public_key[:64]
y_A = self.public_key[64:]
z = ENTL_A + ID_A + a + b + x_G + y_G + x_A + y_A
return z
我们写出调用代码,:
from gmssl2 import sm2
#16进制的公钥和私钥
public_key = 'CB06F5F57DA022626BA8D5C176CF4078B420E581C5A09F18CD79CCD3260D5AD1019B4186FC66CA86AE123181D3044AE070CF5D12C6001257829ECB29579C382E'
private_key = 'D14B13327D0B6402267AE053131D519C072F82F90DFE4ECF2897D9D7617040E2'
sm2_obj = sm2.SM2(
public_key=public_key,
private_key=private_key
)
data = b"hello\n" # bytes类型
sign = sm2_obj.sign(data)
运行得到结果:
拼接字符串为: 008031323334353637383132333435363738fffffffeffffffffffffffffffffffffffffffff00000000fffffffffffffffc28e9fa9e9d9f5e344d5a9e4bcf6509a7f39789f515ab8f92ddbcbd414d940e9332c4ae2c1f1981195f9904466a39c9948fe30bbff2660be1715a4589334c74c7bc3736a2f4f6779c59bdcee36b692153d0a9877cc62a474002df32e52139f0a0CB06F5F57DA022626BA8D5C176CF4078B420E581C5A09F18CD79CCD3260D5AD1019B4186FC66CA86AE123181D3044AE070CF5D12C6001257829ECB29579C382E
为了简化本教程,我不会实现 SM3 杂凑算法,后续有机会单独讲解,在这里我们会使用 GmSSL-Python(https://github.com/GmSSL/GmSSL-Python)的 SM3 实现:
import binascii
from gmssl import Sm3
def H_256(msg: str):
sm3 = Sm3()
sm3.update(msg)
dgst = sm3.digest()
return dgst.hex()
class SM2(ABC):
def sign(self, data: bytes, user_id: str="1234567812345678"):
z = self.get_z(data, user_id)
# 将16进制字符串转换为字节串
z = binascii.a2b_hex(z)
# H_v: 消息摘要长度为 v 比特的密码杂凑函数,SM2 中一般使用 SM3
Z_A = H_256(z)
# M_ = Z_A || M
# M: 待签名消息
M_ = (Z_A + data.hex()).encode('utf-8')
M_ = binascii.a2b_hex(M_)
e = H_256(M_)
至此,我们得到了文档中第 2 步描述的 e 值:
image.png
接下来我们写一个安全的随机数生成函数,用于第 3 步产生随机数:
import os
def random_hex(x: int):
# SM2 需要 256 比特的随机数,即 32 字节
nbytes = (x + 1) // 2 # 向上取整,确保生成足够的字节数
return os.urandom(nbytes).hex()[:x]
# n: 基点 G 的阶
# 产生的随机数区间: [1, n-1]
para_len = len(ECC_PARAMETERS['n'])
random_hex_str = random_hex(para_len)
因为时间关系,SM2 签名的教程暂时写到这里,后续抽空我会把后面几步一并写出来,后面将涉及到大数运算和签名计算(R 和 S)。
