信息安全技术 SM9标识密码算法 第1部分：总则-编制说明

PAGE2PAGE一、工作简况任务来源根据国家标准化管理委员会下达的国家标准制修订计划，由国家信息安全工程技术研究中心牵头编制《信息安全技术SM9标识密码算法第1部分：总则》（国标计划号：2017xxxx-T-xxx）。标准编制的主要成员单位项目成员单位主要有：深圳奥联信息安全技术有限公司、北京国脉信安科技有限公司、武汉大学、上海交大、中科院信息工程研究所、北方信息技术研究所等单位。参与人员主要起草人包括陈晓、程朝辉、叶顶峰、胡磊、陈建华、路贝可、季庆光、曹珍富、袁文恭、刘平、马宁、袁峰、李增欣、王学进、杨恒亮、张青坡、马艳丽、浦雨三、唐英、孙移盛、安萱。其中陈晓、程朝辉、叶顶峰、胡磊、陈建华、路贝可、季庆光、曹珍富作为国内早期IBC标识密码算法技术的研究者，陈晓、程朝辉、马宁、马艳丽等作用SM9密码算法的主要研制者，陈晓、马宁、袁峰、李增欣、王学进、杨恒亮、张青坡、浦雨三、唐英、孙移盛、安萱是标准的主要编制者。袁文恭、刘平是责任专家。主要工作过程2013年初国家密码管理局给国家信息安全工程技术研究中心下达了研制《SM9标识密码算法》GM标准的任务。2013年9月到2014年5月，包括以下四个方面工作。——IBC调研：调研2007年以来，IBC的相关研究新进展。——曲线选择：根据最新的研究进展，确定适于双线性对高效实现的、安全的椭圆曲线。——示例实现：完成新的曲线选择，采用SM3为密码杂凑函数、SM4为对称加密算法的条件下，双线性对的标识密码算法的软件实现。——文本修订：格式转成GM格式；并吸纳新的研究结果。经过上述四方面工作，完成了SM9标准文本的GM格式征求意见稿。2014年5月到2015年11月，主要任务是意见征集和文本修改。经过项目组多次会议讨论；同时通过信函审查方式征求专家委员意见；跟踪应用单位，征集工程实现过程中的意见。结合上述意见，再次研究讨论，修改文本，形成GM格式标准文本送审稿。2015年11月11日，国家密码管理局组织召开密标委主任办公会，对《SM9标识密码算法》GM标准文本进行审核。2016年4月作为密码行业标准GM/T0044-2016正式发布。2017年1月至4月，随着我国商用密码的发展和国际化战略，SM系列密码算法标准相继申报国家标准，SM9标识密码算法标准开始申报国标，2017年5月通过国标立项，8月完成草案稿。2017年8月，在对附录E算法示例进行详细验证过程中，发现了以下问题：——13页A.2，原文为3次根号下根号-2，改为sqrt(sqrt(-2))——30页D.1.4.2，原文为假设约化多项式为f(x)=x^2+n,改为f(x)=x^2-n——34页E.1原文为其输入是长度小于264的消息比特串，改为2^64更新附录E.3密钥交换数据。其中，附录E.3密钥交换数据中的将hid的值从0x02改为0x03，避免了隐含增加一种密钥类型的问题，同时修改了算法示例数据。编制组将问题以书面形式报送给了陈晓博士和国密局标准处，得到认可。2017年10月，在信安标委2017年第二全体会议工作组会议中，与会专家和工作组对SM9密码算法系列标准的内容进行了调整，将本标准附录E算法示例部分去掉，调整到《信息安全技术SM9标识密码算法第2部分：算法》中。2017年10月经修改后，形成征求意见稿。二、标准编制原则和确定主要内容的论据及解决的主要问题标准技术研制依据和论证过程A.Shamir在1984年提出了标识密码(Identity-BasedCryptography)的概念，在标识密码系统中，用户的私钥由密钥生成中心(KGC)根据主密钥和用户标识计算得出，用户的公钥由用户标识唯一确定，从而用户不需要通过第三方保证其公钥的真实性。与基于证书的公钥密码系统相比，标识密码系统中的密钥管理环节可以得到适当简化。1999年，K.Ohgishi、R.Sakai和M.Kasahara在日本提出了用椭圆曲线对(pairing)构造基于标识的密钥共享方案；2001年，D.Boneh和M.Franklin，以及R.Sakai、K.Ohgishi和M.Kasahara等人独立提出了用椭圆曲线对构造标识公钥加密算法。这些工作引发了标识密码的新发展，出现了一批用椭圆曲线对实现的标识密码算法，其中包括数字签名算法、密钥交换协议、密钥封装机制和公钥加密算法等。椭圆曲线对具有双线性的性质，它在椭圆曲线的循环子群与扩域的乘法循环子群之间建立联系，构成了双线性DH、双线性逆DH、判定性双线性逆DH、-双线性逆DH和-Gap-双线性逆DH等难题，当椭圆曲线离散对数问题和扩域离散对数问题的求解难度相当时，可用椭圆曲线对构造出安全性和实现效率兼顾的标识密码。在引入椭圆曲线双线性对(Pairing)之后，基于身份的公钥密码（IBC）成为密码学的热点研究领域，国际上出现了多种基于Pairing的IBC算法，国际标准组织在IEEEP1363.3和ISO14888-3中分别征集和采纳相关算法。2006年11月1日，国家密码管理局商密办组织成立我国的IBC标准研究组。主要任务是设计出有中国特色的、规避了知识产权的、安全的、高效率的IBC算法。标准研究组综合考虑IBC算法知识产权自主性、安全性和实现效率，设计出了特有的“指数逆”类用户私钥提取算法。在此基础上，设计了三类(五个)基于Pairing的IBC算法，其中包括签名算法SC-IBS、密钥交换算法SC-IBKE、密钥封装机制SC-IBKEM、加密算法SC-IBE1和SC-IBE2。并对所设计的IBC算法完成了安全性证明及效率分析。2007年6月19日，国密局组织了算法评估组，针对IBC标准研究组提出的SC-IBS、SC-IBKE、SC-IBKEM、SC-IBE1和SC-IBE2等提案进行分析评估工作。2007年7月11日，IBC标准研究组听取了评估意见，进行修改和论证。2007年8月12日，算法提交给文本撰写组，按照国家标准文本格式（GB格式）形成标准文本草案稿，于2007年10月12日上交商密办。11月初，撰写组征集得到国内相关专家对文本的修改意见，逐条进行了讨论，并拟定了处理意见，同时对文本再次修改，形成了GB格式的标准文本。2007年12月16日，国家密码管理局在北京组织召开会议，《基于双线性对的标识密码算法》及其GB格式标准文本进行评审。专家们认为：该算法内容体现了国际最先进的标识密码算法设计思想，尽力规避了可能出现的知识产权纠纷。三类算法均能得到高效实现。其安全性经证明分别归约到双线性对困难问题。评审组一致认为：基于双线性对的标识密码算法的设计达到了国家对商用密码算法的设计要求。在2008年-2013年期间，基于双线性对的标识密码算法作为内部试用算法存在，并在国家密码管理局取得SM9编号。编制原则知识产权独立性基于椭圆曲线双线性对的标识密码算法是国际密码学的热点研究领域，全球有不少学者和企业对该类算法的设计和应用感兴趣，为了建立我国的标识密码算法，必须充分调研国际上已有的专利和标准算法，设计出来的SM9算法必须具备独立的知识产权，为进一步推广应用争取优势。算法安全性密码算法的核心任务是维护信息系统的安全性，在SM9标识密码算法的设计中，须保证算法本身的安全性可以得到严格证明，其系统参数的选择须达到我国商用密码现阶段和不远的将来的安全性需求。实现高效性密码算法的实现效率是衡量算法有效性的一个重要指标，由于SM9算法所立足的椭圆曲线双线性对是比较复杂的数学概念，其计算原理和算法与曲线参数的选择紧密关联，SM9算法的设计、椭圆曲线参数和双线性对的选择都必须保证该算法可以得到高效实现，以确保在具体应用中满足用户签名、验签、密钥交换、密钥封装、加密、解密等算法高效实现的需求。主要内容《信息安全技术SM9标识密码算法》系列标准分为两个部分：——第1部分：总则；——第2部分：数字签名算法；本标准为第1部分：总则，描述必要的数学基础知识与相关密码技术原理和依据，以帮助实现本标准其它各部分所规定的密码机制，在附录A中给出了本标准定义的公开参数。主要内容包括：范围、规范性引用文件、术语和定义、符号和缩略语、有限域和椭圆曲线、双线性对及安全曲线、数据类型及其转换、系统参数及其验证、附录A（规范性附录）参数定义、附录B（资料性附录）关于椭圆曲线的背景知识、附录C（资料性附录）椭圆曲线上双线性对的计算、附录D（资料性附录）数论算法和参考文献。三、主要试验[或验证]情况分析标准研究组在曲线选择过程中，对双线性对的实现做了相应的研究。本标准选择基域规模为256比特的、嵌入次数k=12的BN曲线，此时双线性对值域的规模为25612=3072比特。鉴于BN曲线上R-ate对的Miller循环最短，实现效率较高。对我们推荐选用R-ate对。使用C语言实现了推荐曲线上的多倍点运算和R-ate对运算。操作系统环境：WindowsXPProfessionalSP3编译软件：VC++6.0SP6和IntelC++9.0硬件环境：IntelCorei5-3470CPU@3.20GHz3.19GHz可执行程序大小：80KB。注：扩域方幂在12次扩域计算，扩域多倍点在2次扩域计算在此基础上，在第1部分的附录中给出了数字签名算法、密钥交换协议、密钥封装机制、公钥加密算法示例，这些示例验证了SM9标准算法可以正确实现。在标准文本编制的同时，国家信息安全工程技术研究中心、深圳奥联科技有限公司、华大信息安全技术有限公司等单位均有工程实现小组进行产品研发工作，已经从软硬件实现多种角度验证了SM9算法的正确性和实现效率，为该标准的推广应用打下了良好的基础。四、知识产权情况说明经过专利查询和已有标准查询，确认我们设计的SM9标识密码算法具有独立的知识产权，与现有专利和标准没有冲突。专利查询途径：网上的公共资源，如美国的专利与商标局的政府网；中国国家知识产权与专利局等。查询结果：获得了全球范围内共计174个与标识密码和双线性对相关的专利，涉及美、日、德、法、意等国。年代2005200620072008200920102011201220132014专利个数14615152522272930标准查询途径：我国标准馆的收藏以及国际互联网资源。查询结果：与标识密码相关的国际标准为ISO/IEC14888-3，大部分国家套用ISO/IEC标准；还有IEEEP1363.3、RFC5091、5408、5409等。五、产业化情况、推广应用论证和预期达到的经济效果标识密码技术是PKI密码体系中一个重要组成部分，其特有的直接基于标识生成密钥，以及加解密、签名验证的方法，为多种应用提供了良好的快速、简便的服务，能够带动一系列新技术、新应用和新产业的发展。六、采用国际标准和国外先进标准情况在算法研制过程中研究和分析了国际上大量相关密码技术，以及IBE相关文档，提出了自己曲线和参数。本标准选择BN曲线上R-ate对，基域规模为256比特的、嵌入次数k=12的BN曲线，双线性对值域的规模为25612=3072比特。计算效率表如下（单位：毫秒）编译环境对运算扩域方幂基域多倍点扩域多倍点VC++6.010.375.621.483.59IntelC++9.04.532.650.631.56该指标经过专家多次论证，考虑到技术实现难度和计算成本，认为目前定义的各项指标在5～8年内能够满足我国实际需求，如果有进一步发展需求，可以继续增大基域规模。七、与现行相关法律、法规、规章及相关标准的协调性该标准是标识密码技术体系的算法基础标准，属于公钥密码学体系范畴，符合国家法律要求。八、重大分歧意见的处理经过和依据无。九、标准性质的建议本标准是推荐性标准。十、贯彻标准的要求和措施建议采用该标准的密码设备、系统等产品，如果要面向市场应用为确保安全和标准使用的正确性，应首先通过国家密码部门的检测和安全审查。十一、替代或废止现行相关标准的建议无。十二、其它应予说明的事项致谢：SM9标识密码算法的研究在管理部门的组织下，集中了国内的优势力量，开展了深入的调查、研究、试验和