信息安全技术 SM9标识密码算法 第2部分：算法-编制说明

PAGE1PAGE一、工作简况任务来源根据国家标准化管理委员会下达的国家标准制修订计划，由国家信息安全工程技术研究中心牵头编制《信息安全技术SM9标识密码算法第2部分：数字签名算法》（国标计划号：2017xxxx-T-xxx）。标准编制的主要成员单位项目成员单位主要有：深圳奥联科技有限公司、北京国脉信安科技有限公司、武汉大学、上海交大、中科院信息工程研究所、北方信息技术研究所等单位。参与人员主要起草人包括陈晓、程朝辉、叶顶峰、胡磊、陈建华、路贝可、季庆光、曹珍富、袁文恭、刘平、马宁、袁峰、李增欣、王学进、杨恒亮、张青坡、马艳丽、浦雨三、唐英、孙移盛、安萱。其中陈晓、程朝辉、叶顶峰、胡磊、陈建华、路贝可、季庆光、曹珍富作为国内早期IBC标识密码算法技术的研究者，陈晓、程朝辉、马宁、马艳丽等作用SM9密码算法的主要研制者，陈晓、马宁、袁峰、李增欣、王学进、杨恒亮、张青坡、浦雨三、唐英、孙移盛、安萱是标准的主要编制者。袁文恭、刘平是责任专家。主要工作过程2013年初国家密码管理局给国家信息安全工程技术研究中心下达了研制《SM9标识密码算法》GM标准的任务。2013年9月到2014年5月，包括以下四个方面工作。——IBC调研：调研2007年以来，IBC的相关研究新进展。——曲线选择：根据最新的研究进展，确定适于双线性对高效实现的、安全的椭圆曲线。——示例实现：完成新的曲线选择，采用SM3为密码杂凑函数、SM4为对称加密算法的条件下，双线性对的标识密码算法的软件实现。——文本修订：形成GM格式；并吸纳新的研究结果。经过上述四方面工作，完成了SM9标准文本的GM格式征求意见稿。2014年5月到2015年11月，主要任务是意见征集和文本修改。经过项目组多次会议讨论；同时通过信函审查方式征求专家委员意见；跟踪应用单位，征集工程实现过程中的意见。结合上述意见，再次研究讨论，修改文本，形成GM格式标准文本送审稿。2015年11月11日，国家密码管理局组织召开密标委主任办公会，对《SM9标识密码算法》GM标准文本进行审核。2016年4月作为密码行业标准GM/T0044-2016正式发布。2017年1月至2017年4月。随着我国商用密码的发展和国际化战略，SM系列密码算法标准相继申报国家标准，SM9标识密码算法标准完成国标申报工作。2017年5月通过国标立项，8月完成草案稿。2017年10月，在信安标委2017年第二全体会议工作组会议中，与会专家和工作组对SM9密码算法系列标准的内容进行了调整：——将本标准名称《信息安全技术SM9标识密码算法第2部分：数字签名算法》改为《信息安全技术SM9标识密码算法第2部分：算法》，将SM9数字签名、密钥交换、密钥封装、公钥加密算法合并到《第2部分：算法》中，第1部分、第2部分标准发布后，为使用者提供完整的算法实现支撑。——将《信息安全技术SM9标识密码算法第1部分：总则》标准附录E算法示例部分去掉，作为附录移动到《信息安全技术SM9标识密码算法第2部分：算法》中，为使用者给出完整的示例。2017年10月经修改后，形成征求意见稿。二、标准编制原则和确定主要内容的论据及解决的主要问题标准技术研制依据和论证过程A.Shamir在1984年提出了标识密码(Identity-BasedCryptography)的概念，在标识密码系统中，用户的私钥由密钥生成中心(KGC)根据主密钥和用户标识计算得出，用户的公钥由用户标识唯一确定，从而用户不需要通过第三方保证其公钥的真实性。与基于证书的公钥密码系统相比，标识密码系统中的密钥管理环节可以得到适当简化。1999年，K.Ohgishi、R.Sakai和M.Kasahara在日本提出了用椭圆曲线对(pairing)构造基于标识的密钥共享方案；2001年，D.Boneh和M.Franklin，以及R.Sakai、K.Ohgishi和M.Kasahara等人独立提出了用椭圆曲线对构造标识公钥加密算法。这些工作引发了标识密码的新发展，出现了一批用椭圆曲线对实现的标识密码算法，其中包括数字签名算法、密钥交换协议、密钥封装机制和公钥加密算法等。椭圆曲线对具有双线性的性质，它在椭圆曲线的循环子群与扩域的乘法循环子群之间建立联系，构成了双线性DH、双线性逆DH、判定性双线性逆DH、-双线性逆DH和-Gap-双线性逆DH等难题，当椭圆曲线离散对数问题和扩域离散对数问题的求解难度相当时，可用椭圆曲线对构造出安全性和实现效率兼顾的标识密码。在引入椭圆曲线双线性对(Pairing)之后，基于身份的公钥密码（IBC）成为密码学的热点研究领域，国际上出现了多种基于Pairing的IBC算法，国际标准组织在IEEEP1363.3和ISO14888-3中分别征集和采纳相关算法。2006年11月1日，国家密码管理局商密办组织成立我国的IBC标准研究组。主要任务是设计出有中国特色的、规避了知识产权的、安全的、高效率的IBC算法。标准研究组综合考虑IBC算法知识产权自主性、安全性和实现效率，设计出了特有的“指数逆”类用户私钥提取算法。在此基础上，设计了三类(五个)基于Pairing的IBC算法，其中包括签名算法SC-IBS、密钥交换算法SC-IBKE、密钥封装机制SC-IBKEM、加密算法SC-IBE1和SC-IBE2。并对所设计的IBC算法完成了安全性证明及效率分析。2007年6月19日，国密局组织了算法评估组，针对IBC标准研究组提出的SC-IBS、SC-IBKE、SC-IBKEM、SC-IBE1和SC-IBE2等提案进行分析评估工作。2007年7月11日，IBC标准研究组听取了评估意见，进行修改和论证。2007年8月12日，算法提交给文本撰写组，按照国家标准文本格式（GB格式）形成标准文本草案稿，于2007年10月12日上交商密办。11月初，撰写组征集得到国内相关专家对文本的修改意见，逐条进行了讨论，并拟定了处理意见，同时对文本再次修改，形成了GB格式的标准文本。2007年12月16日，国家密码管理局在北京组织召开会议，《基于双线性对的标识密码算法》及其GB格式标准文本进行评审。专家们认为：该算法内容体现了国际最先进的标识密码算法设计思想，尽力规避了可能出现的知识产权纠纷。三类算法均能得到高效实现。其安全性经证明分别归约到双线性对困难问题。评审组一致认为：基于双线性对的标识密码算法的设计达到了国家对商用密码算法的设计要求。在2008年-2013年期间，基于双线性对的标识密码算法作为内部试用算法存在，并在国家密码管理局取得SM9编号。编制原则知识产权独立性基于椭圆曲线双线性对的标识密码算法是国际密码学的热点研究领域，全球有不少学者和企业对该类算法的设计和应用感兴趣，为了建立我国的标识密码算法，必须充分调研国际上已有的专利和标准算法，设计出来的SM9算法必须具备独立的知识产权，为进一步推广应用争取优势。算法安全性密码算法的核心任务是维护信息系统的安全性，在SM9标识密码算法的设计中，须保证算法本身的安全性可以得到严格证明，其系统参数的选择须达到我国商用密码现阶段和不远的将来的安全性需求。实现高效性密码算法的实现效率是衡量算法有效性的一个重要指标，由于SM9算法所立足的椭圆曲线双线性对是比较复杂的数学概念，其计算原理和算法与曲线参数的选择紧密关联，SM9算法的设计、椭圆曲线参数和双线性对的选择都必须保证该算法可以得到高效实现，以确保在具体应用中满足用户签名、验签、密钥交换、密钥封装、加密、解密等算法高效实现的需求。主要内容《信息安全技术SM9标识密码算法》系列标准分为两个部分：——第1部分：总则；——第2部分：算法。本标准为第2部分：算法，主要规范了以下内容：数字签名，规定了一个用椭圆曲线双线性对实现的基于标识的数字签名和验签算法。该算法的签名者持有一个标识和一个相应的私钥，该私钥由密钥生成中心通过签名主私钥和签名者的标识结合产生。签名者用自身私钥对数据产生数字签名，验证者用签名者的标识验证签名的可靠性。密钥交换协议，规定了用椭圆曲线对实现的基于标识的密钥交换协议，并提供了相应的流程。该协议可以使通信双方通过对方的标识和自身的私钥经两次或可选三次信息传递过程，计算获取一个由双方共同决定的共享秘密密钥。该秘密密钥可作为对称密码算法的会话密钥。协议中选项可以实现密钥确认。密钥封装机制和公钥加密，规定了用椭圆曲线对实现的基于标识的密钥封装机制和公钥加密与解密算法，并提供相应的流程。利用密钥封装机制可以封装密钥给特定的实体。公钥加密与解密算法即基于标识的非对称密码算法，该算法使消息发送者可以利用接收者的标识对消息进行加密，唯有接收者可以用相应的私钥对该密文进行解密，从而获取消息。主要内容包括5个部分：统一的参数和6个辅助函数5算法参数与辅助函数5.1总则5.2系统参数组5.3辅助函数数字签名算法6系统签名主密钥和用户签名密钥的产生7数字签名生成算法及流程7.1数字签名生成算法7.2数字签名生成算法流程8数字签名验证算法及流程8.1数字签名验证算法8.2数字签名验证算法流程密钥交换协议9密钥交换协议及流程9.1密钥交换协议9.2密钥交换协议流程密钥封装和加密算法10系统加密主密钥和用户加密密钥的产生11密钥封装机制及流程11.1密钥封装算法及流程11.2解封装算法及流程12公钥加密算法及流程12.1加密算法及流程12.2解密算法及流程算法示例附录A（资料性附录）算法示例三、主要试验[或验证]情况分析标准研究组在曲线选择过程中，对双线性对的实现做了相应的研究。本标准选择基域规模为256比特的、嵌入次数k=12的BN曲线，此时双线性对值域的规模为25612=3072比特。鉴于BN曲线上R-ate对的Miller循环最短，实现效率较高。对我们推荐选用R-ate对。使用C语言实现了推荐曲线上的多倍点运算和R-ate对运算。操作系统环境：WindowsXPProfessionalSP3编译软件：VC++6.0SP6和IntelC++9.0硬件环境：IntelCorei5-3470CPU@3.20GHz3.19GHz可执行程序大小：80KB。注：①扩域方幂在12次扩域计算，扩域多倍点在2次扩域计算在此基础上，在第1部分的附录中给出了数字签名算法、密钥交换协议、密钥封装机制、公钥加密算法示例，这些示例验证了SM9标准算法可以正确实现。在标准文本编制的同时，国家信息安全工程技术研究中心、深圳奥联科技有限公司、华大信息安全技术有限公司等单位均有工程实现小组进行产品研发工作，已经从软硬件实现多种角度验证了SM9算法的正确性和实现效率，为该标准的推广应用打下了良好的基础。四、知识产权情况说明经过专利查询和已有标准查询，确认我们设计的SM9标识密码算法具有独立的知识产权，与现有专利和标准没有冲突。专利查询途径：网上的公共资源，如美国的专利与商标局的政府网；中国国家知识产权与专利局等。查询结果：获得了全球范围内共计174个与标识密码和双线性对相关的专利，涉及美、日、德、法、意等国。年代2005200620072008200920102011201220132014专利个数14615152522272930标准查询途径：我国标准馆的收藏以及国际互联网资源。查询结果：与标识密码相关的国际标准为ISO/IEC14888-3，大部分国家套用ISO/IEC标准；还有IEEEP1363.3、RFC5091、5408、5409等。五、产业化情况、推广应用论证和预期达到的经济效果标识密码技术是PKI密码体系中一个重要组成部分，其特有的直接基于标识生成密钥，以及加解密、签名验证的方法，为多种应用提供了良好的快速、简便的服务，能够带动一系列新技术、新应用和新产业的发展。六、采用国际标准和国外先进标准情况在算法研制过程中研究和分析了国际上大量相关密码技术，以及IBE相关文档，提出了自己曲线和参数。本标准选择BN曲线上R-ate对，基域规模为256比特的、嵌入次数k=12的BN曲线，双线性对值域的规模为25612=3072比特。计算效率表如下（单位：毫秒）编译环境对运算扩域方幂基域多倍点扩域多倍点VC++6.010.375.621.483.59IntelC++9.04.532.650.631.56该指标经过专家多次论证，考虑到技术实现难度和计算成本，认为目前定义的各项指标在5～8年内能够满足我国实际需求，如果有进一步发展需求，可以继续增大基域规模。七、与现行相关法律、法规、规章及相关标准的协调性该标准是标识密码技术体系的算法基础标准，属于公钥密码学体系范畴，符合国家法律要求。八、重大分歧意见的处理经过和依据无。九、标准性质的建议本标准是推荐性标准。十、贯彻标准的要求和措施建议采用该标准的密码设备、系统等产品，如果要面向市场应用为确保安全和标准使用的正确性，应首先通过国家密码主管部门的检测和安全审查。十一、替代或废止现行相关标准的建议无。十二、其它应予说明的事项致谢SM9标识密码算法的研究从2006年开始