CN107147495A - 二元扩域上sm2加密算法的实现方法 - Google Patents

Abstract

本发明公开了二元扩域上SM2椭圆曲线公钥加密算法的实现方法，属于信息安全及密码算法实现领域，本发明使得算法的运算速度、占用内存空间以及安全性方面都有所改进。为了对明文M进行加密，作为加密者的用户A实现以下步骤：A1：产生随机数k∈[1,n‑1]；A2：计算椭圆曲线点C1＝[k]G＝(x1,y1)，G为椭圆曲线的一个基点，将C1的数据类型转换为比特串；A3：计算椭圆曲线点S＝[h]PB，若S是无穷远点，则报错并退出，PB为用户B的公钥；A4：计算椭圆曲线点S1＝[k]PB＝(x2,y2)，将坐标x2、y2的数据类型转换为比特串；A5：计算t＝KDF(x2∥y2,klen)，若t为全0比特串，则返回A1；A6：计C2＝M⊕t，其中⊕为长度相等的两个比特串按比特的异或运算；A7：计算C3＝Hash(x2∥M∥y2)；A8：输出密文C＝C1∥C2∥C3。

Description

二元扩域上SM2加密算法的实现方法

技术领域

本发明具体涉及二元扩域F₂m上SM2椭圆曲线公钥密码算法的公钥加密算法实现。

背景技术

椭圆曲线密码算法的快速实现一直是椭圆曲线密码体制研究的重点，基于有限域上的椭圆曲线可以实现数据加密等密码方案。

二元扩域上椭圆曲线可以用仿射坐标、标准射影坐标、Jacobian加重射影坐标以及Lopez&Dahab射影坐标表示，根据椭圆曲线特点和坐标的具体形式对点加和倍点运算进行优化，通过对几种情况下的优化，由图1得到Lopez&Dahab射影坐标下的点加和倍点运算的运算速度最快。

多倍点运算是椭圆曲线密码算法的核心运算。对于多倍点运算的实现方式有很多种，其中，基于k的有符号二进制展开的滑动窗口算法的实现速度最快。

椭圆曲线公钥加密算法中涉及到的杂凑函数使用SM3模块来实现，这个模块主要包括顶层模块、controller控制器、消息扩展模块、消息压缩模块以及结果读取。降低了电路开销，总体上提升了整个算法流程的速度。

发明内容

本发明所要解决的技术问题是：针对上述存在的问题，提供了一种二元扩域F₂m上SM2椭圆曲线公钥密码算法的公钥加密算法实现方法，通过提高点乘和杂凑函数等的计算速度来有效的提升SM2公钥加密算法的性能。

为解决上述技术问题，本发明的SM2公钥加密算法的实现方法，包括如下步骤：

步骤一：用随机数发生器产生随机数k∈[1,n-1]；

步骤二：计算椭圆曲线点C1＝[k]G＝(x1,y1)，将C1的数据类型转换为比特串，其中G为椭圆曲线的一个基点；

步骤三：计算椭圆曲线点S＝[h]PB，若S是无穷远点，则报错并退出，其中PB为用户B的公钥；

步骤四：计算椭圆曲线点S1＝[k]PB＝(x2,y2)，将坐标x2、y2的数据类型转换为比特串；

步骤五:计算t＝KDF(x2∥y2,klen)，若t为全0比特串，则返回步骤一，其中KDF(Z，klen)为密钥派生函数，x∥为x与y的拼接；

步骤六：计C2＝M⊕t，其中⊕为长度相等的两个比特串按比特的异或运算；

步骤七：计算C3＝Hash(x2∥M∥y2)，其中Hash()为密码杂凑函数；

步骤八：输出密文C＝C1∥C2∥C3。

本发明在二元扩域上使用LD投影坐标运算，对于点乘运算采用快速的基于k的有符号的二进制展开的滑动窗口算法以及使用集成的SM3模块计算杂凑值，可以提升SM2公钥加密算法的性能。

附图说明

下面结合附图与具体实施方式对本发明作进一步详细的说明：

图1是所述SM2公钥加密算法的实现方法的流程图；

图2是计算C1＝[k]G＝(x1,y1)的流程图。

图3是SM3模块的端口设计图。

具体实施方式

二元扩域F₂m上SM2椭圆曲线公钥密码算法的公钥加密算法实现方法如图1所示。

步骤一：用随机数发生器产生随机数k∈[1,n-1]；

步骤二：在LD坐标下计算椭圆曲线点C1＝[k]G＝(x1,y1)，将C1的数据类型转换为比特串；

对于步骤二，通过如下步骤来实现：

步骤(1)：设需要存储的点的个数r>1,G₁＝G，G₂＝[2]G₁；

步骤(2)：i从1增加到r-1计算G_2i+1＝C_2i-1+G₂，(i为控制循环的中间计算量，)步骤(3)：NAF(k)＝(k_i-1，,k_i-2,k₁,k₀)；(其中Ki为随机数k的从右数第i+1位，正整数k的宽度为w的)；

步骤(4)：令j＝l-1,C₁＝O；当j≥0时；

(1)若K_j＝0,则C₁＝[2]C₁，j＝j-1；

(2)否则：

(2.1)令t是使且k_t＝1或k＝-1的最小整数；

(2.2)

(2.3)如果h_j>0,否则

(2.4)令j＝t-1；(其中j,t,hj,等都是计算的中间量，l为宽度为w的NAF的长度)；

步骤(5)：输出C₁；

步骤(6)：设是y₁，从最左边到最右边的比特；

设Mk-1；Mk-2；···；M0是M从最左边到最右边的字节，则 其中0≤i<k，当8i+j≥m，0<j≤7时，其中y₁，为长度为m的比特串。M为长度为k的字节串，其中(顶函数，大于或等于x的最小整数。)

步骤(7)：令PC＝04；字节串S＝PC∥X1∥Y1；

步骤(8)：设S_k-1，S_k-2,…,S₀是S从最左边到最右边的字节；

设是C₁从最左边到最右边的比特，则是S_i右起第i-8j+1比特，其中(底函数，小于或等于x的最大整数。)其中输入S为长度为k的字节串。输出C₁为长度为m的比特串，其中m＝8k。

步骤三：计算椭圆曲线点S＝[h]P_B，若S是无穷远点，则报错并退出；

步骤三通过如下步骤来实现：

步骤(1)：设需要存储的点的个数r>1,P_B1＝P_B，(P_Bi为中间量)

步骤(2)：i从1增加到r-1计算

步骤(3)：NAF(h)＝(h_i-1,h_i-2,h₁,h₀)；

步骤(4)：令j＝l-1,S＝O；当j≥0时；

(1)若h_j＝0,则S＝[2]S，j＝j-1；

(2)否则：

(2.1)令t是使且h_t＝1或h_t＝-1的最小整数；

(2.2)

(2.3)如果k_j>0,否则

(2.4)令j＝t-1；

步骤(5)：输出S；

步骤四：计算椭圆曲线点S1＝[k]PB＝(x2,y2)，将坐标x2、y2的数据类型转换为比特串；步骤四的过程按照以下步骤计算：

步骤(1)：设需要存储的点的个数r>1,P_B1＝P_B，

步骤(2)：i从1增加到r-1计算

步骤(3)：NAF(k)＝(k_i-1，,k_i-2,k₁,k₀)；

步骤(4)：令j＝l-1,S1＝O；当j≥0时；

(1)若k_j＝0,则S1＝[2]S1，j＝j-1；

(2)否则：

(2.1)令t是使且k_t＝1或k_t＝-1的最小整数；

(2.2)

(2.3)如果h_j>0,否则

(2.4)令j＝t-1；

步骤(5)：输出S1；

关于对坐标x2、y2的数据类型转换为比特串的计算通过以下步骤来实现：

步骤(1)：设是y₂，从最左边到最右边的比特；

设Mk-1；Mk-2；···；M0是M从最左边到最右边的字节，则 其中0≤i<k，当8i+j≥m，0<j≤7时，其中y₂，为长度为m的比特串。M为长度为k的字节串，

设M_k-1，M_k-2,…,M₀是S从最左边到最右边的字节；

设是C₂从最左边到最右边的比特，则是M_j右起第i-8j+1比特，其中其中输入M为长度为k的字节串。输出C₂为长度为m的比特串，其中m＝8k。

步骤五:计算t＝KDF(x2∥y2,klen)，若t为全0比特串，则返回步骤一；

步骤六：计算C2＝M⊕t；

步骤七：计算C3＝Hash(x2∥M∥y2)；

步骤七的过程由以下步骤来完成：

步骤(1)：令m＝x2∥M∥y2；首先将比特“1”添加到消息的末尾，再添加k个“0”，其中k是满足l+1+k＝448mod 512的最小的非负整数，m的长度为k比特。

步骤(2)：再添加一个64位比特串，该比特串是长度l的二进制表示；[0061]步骤(3)：将消息分组B^(is)划分为16个字W₀,W₁,…,W₁₅。

步骤(4)：从j＝16到j＝67循环，

W_j←P1(W_j-16⊕W_j-9⊕(W_j-3＜＜15))⊕(W_j-13＜＜7)⊕W_j-6

步骤(5)：从j＝0到j＝63循环，

W’_j←W_j⊕W_j+4；

步骤(6)：令A,B,C,D,E,F,G,H为字寄存器,SS1,SS2,TT1,TT2为中间变量；

步骤(7)：压缩函数Vⁱ⁺¹＝CF(V⁽ⁱ⁾,B⁽ⁱ⁾),0≤i≤n-1；

步骤(8)：ABCDEFGH←V(i)，“←”为左向赋值运算符

步骤(9)：从j＝0到j＝63循环；

SS1←((A＜＜12)+E+(Tj＜＜j))＜＜7

SS2←SS1⊕(A＜＜12)

TT1←FFj(A,B,C)+D+SS2+W’_j

TT2←GGj(E,F,G)+H+SS1+W_j

D←C

C←B＜＜9

B←A

A←TT1

H←G

G←F＜＜19

F←E

E←P0(TT2)

V⁽ⁱ⁺¹⁾←ABCDEFGH⊕V⁽ⁱ⁾

步骤(10)：对m’按512比特进行分组：m’＝B⁽⁰⁾B⁽¹⁾,…,B^(n-1)其中n＝(l+k+65)/512。

步骤(11)：从i＝0到j＝n-1循环，V⁽ⁱ⁺¹⁾＝CF(V⁽ⁱ⁾,B⁽ⁱ⁾)

其中CF是压缩函数，V⁽⁰⁾为256比特初始值IV，B⁽ⁱ⁾为填充后的消息分组，迭代压缩的结果为V⁽ⁿ⁾

步骤(12)：ABCDEFGH←V⁽ⁿ⁾,输出256比特的杂凑值y＝ABCDEFGH.

不同坐标系下，点加和倍点运算的复杂度见表1，因此在LD坐标系下计算点加和倍点复杂度最小，点乘运算速度最快。

表1

使用SM3密码杂凑算法进行计算，这个步骤主要包括顶层模块、controller控制器、消息扩展模块、消息压缩模块以及结果读取模块如图3所示。其中，控制模块采用标准的三段式FSM结构设计，控制其他模块电路的执行；消息扩展模块主要生成相应的132个字，供后续算法压缩电路模块使用；消息压锁模块主要实现消息的压缩，并最终得到相应的256位加密哈希值；结果读取模块主要实现从256位的结果寄存器中，以32位形式读取与输出。同时，由于寄存器会带来大量的面积和功耗开销，所以为了进一步降低功耗的开销，使用寄存器复用的方法，尽量优化并减少了寄存器的个数。通过调度优化，使得扩展和压缩模块的进程是可以嵌套的，这样扩展和压缩模块即可共用同一个控制器产生的控制信号，这样既减少了控制电路的复杂度，也降低了控制电路的开销。

虽然本发明披露如上，但本发明并非限定于此。任何本领域技术人员，在不脱离本发明的精神和范围内，均可作各种更动与修改，因此本发明的保护范围应当以权利要求所限定的范围为准。

Claims (5)

1.一种二元扩域上SM2椭圆曲线公钥加密算法的实现方法，包括以下步骤：

步骤一：用随机数发生器产生随机数k∈[1,n-1]；

步骤二：计算椭圆曲线点C1＝[k]G＝(x1,y1)，将C1的数据类型转换为比特串，其中G为椭圆曲线的一个基点；

步骤三：计算椭圆曲线点S＝[h]PB，若S是无穷远点，则报错并退出，其中PB为用户B的公钥；

步骤四：计算椭圆曲线点S1＝[k]PB＝(x2,y2)，将坐标x2、y2的数据类型转换为比特串；

步骤五:计算t＝KDF(x2∥y2,klen)，若t为全0比特串，则返回步骤一，其中KDF(Z，klen)为密钥派生函数，x∥y为x与y的拼接，

步骤六：计C2＝M⊕t，其中⊕为长度相等的两个比特串按比特的异或运算；

步骤七：计算C3＝Hash(x2∥M∥y2)，其中Hash()为密码杂凑函数；

步骤八：输出密文C＝C1∥C2∥C3。

2.如权利要求1所述的方法，其特征在于：所有的计算都基于LD射影坐标，在射影投影坐标下，椭圆曲线的投影方程为：y²+xyz＝x³z+ax²z²+bz⁴，a，b为椭圆曲线参数，在这种坐标系下，点加和倍点的运算量最少。

3.如权利要求1所述的方法，其特征在于：所述步骤二时采用如下方法：

设需要存储的点的个数r>1,

步骤(1):G₁＝G，G₂＝[2]G₁；其中G为椭圆曲线的一个基点，G₁为计算的中间量；

步骤(2)：i从1增加到r-1计算G_2i+1＝G_2i-1+G₂；其中i为控制循环计算的中间量；

步骤(3)：NAF(k)＝(k_i-1，,k_i-2,k₁,k₀)；其中Ki为随机数k的从右数第i+1位，正整数k的宽度为w的

步骤(4)：令j＝l-1,C₁＝O；当j≥0时；

若K_j＝0,则C₁＝[2]C₁，j＝j-1；

否则：

令t是使且k_t＝1或k＝-1的最小整数；

<mrow> <msub> <mi>h</mi> <mi>j</mi> </msub> <mo>=</mo> <msubsup> <mi>&amp;Sigma;</mi> <mrow> <mi>i</mi> <mo>=</mo> <mn>0</mn> </mrow> <mrow> <mi>j</mi> <mo>-</mo> <mi>t</mi> </mrow> </msubsup> <msub> <mi>k</mi> <mrow> <mi>t</mi> <mo>+</mo> <mi>i</mi> </mrow> </msub> <msup> <mn>2</mn> <mi>i</mi> </msup> <mo>;</mo> </mrow>

如果h_j>0,否则

令j＝t-1；其中j,t,hj,等都是计算的中间量，l为宽度为w的NAF的长度；

步骤(5)：输出C₁；

步骤(6)：将C₁的数据类型转换为比特串。

4.如权利要求2所述的方法，其特征在于：

倍点运算按如下公式计算：

<mrow> <msub> <mi>Z</mi> <mrow> <mn>2</mn> <mi>m</mi> </mrow> </msub> <mo>=</mo> <msubsup> <mi>X</mi> <mi>m</mi> <mn>2</mn> </msubsup> <mo>*</mo> <msubsup> <mi>Z</mi> <mi>m</mi> <mn>2</mn> </msubsup> <mo>;</mo> </mrow>

<mrow> <msub> <mi>X</mi> <mrow> <mn>2</mn> <mi>m</mi> </mrow> </msub> <mo>=</mo> <msubsup> <mi>X</mi> <mi>m</mi> <mn>4</mn> </msubsup> <mo>+</mo> <msubsup> <mi>bZ</mi> <mi>m</mi> <mn>4</mn> </msubsup> <mo>;</mo> </mrow> 1

<mrow> <msub> <mi>Y</mi> <mrow> <mn>2</mn> <mi>m</mi> </mrow> </msub> <mo>=</mo> <msubsup> <mi>bZ</mi> <mi>m</mi> <mn>4</mn> </msubsup> <msub> <mi>Z</mi> <mrow> <mn>2</mn> <mi>m</mi> </mrow> </msub> <mo>+</mo> <msub> <mi>X</mi> <mrow> <mn>2</mn> <mi>m</mi> </mrow> </msub> <mo>*</mo> <mrow> <mo>(</mo> <msub> <mi>aZ</mi> <mi>m</mi> </msub> <mo>+</mo> <msubsup> <mi>Y</mi> <mi>m</mi> <mn>2</mn> </msubsup> <mo>+</mo> <msubsup> <mi>bZ</mi> <mi>m</mi> <mn>4</mn> </msubsup> <mo>)</mo> </mrow> <mo>;</mo> </mrow>

点加运算按如下公式计算：

<mrow> <mi>A</mi> <mo>=</mo> <msub> <mi>Y</mi> <mrow> <mi>m</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <msubsup> <mi>Z</mi> <mi>m</mi> <mn>2</mn> </msubsup> <mo>+</mo> <msub> <mi>Y</mi> <mi>m</mi> </msub> <mo>;</mo> </mrow>

B＝X_m+1Z_m+X_m；

C＝Z_mB；

<mrow> <mi>D</mi> <mo>=</mo> <msup> <mi>B</mi> <mn>2</mn> </msup> <mrow> <mo>(</mo> <mi>C</mi> <mo>+</mo> <msubsup> <mi>aZ</mi> <mi>m</mi> <mn>2</mn> </msubsup> <mo>)</mo> </mrow> <mo>;</mo> </mrow>

Z_2m+1＝C²；

E＝AC；

X_2m+1＝A²+D+E；

F＝X_2m+1+X_m+1Z_2m+1；

<mrow> <mi>G</mi> <mo>=</mo> <mrow> <mo>(</mo> <msub> <mi>X</mi> <mrow> <mi>m</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mo>+</mo> <msub> <mi>Y</mi> <mrow> <mi>m</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> <msubsup> <mi>Z</mi> <mrow> <mn>2</mn> <mi>m</mi> <mo>+</mo> <mn>1</mn> </mrow> <mn>2</mn> </msubsup> <mo>;</mo> </mrow>

Y_2m+1＝(E+Z_2m+1)F+G；

其中，a，b为椭圆曲线参数，X1代表基点G的X坐标，Y1代表基点G的Y坐标，Z1代表基点G的Z坐标，Xm代表第m点的X坐标，Ym代表第m点的Y坐标，Zm代表第m点的Z坐标。

5.如权利要求1所述的方法，其特征在于：步骤七使用SM3密码杂凑算法进行计算。