github.com/emmansun/gmsm@v0.29.1/docs/sm9.md (about) 1 # SM9标识密码算法应用指南 2 3 ## 参考标准 4 * 《GB/T 38635.1-2020 信息安全技术 SM9标识密码算法 第1部分:总则》 5 * 《GB/T 38635.2-2020 信息安全技术 SM9标识密码算法 第2部分:算法》 6 * 《GB/T 41389-2022 信息安全技术 SM9密码算法使用规范》 7 * 《GM/T 0086-2020 基于SM9标识密码算法的密钥管理系统技术规范》 8 9 您可以从[国家标准全文公开系统](https://openstd.samr.gov.cn/)在线阅读这些标准。 10 11 ## 概述 12 SM9算法是一种基于双线性对的标识密码算法(简称“IBC”),由数字签名算法、标识加密算法、密钥协商协议三部分组成,相比于传统密码体系,SM9密码系统号称的**最大的优势就是无需证书、易于使用、易于管理、总体拥有成本低**,但这显然过于理想化: 13 * **KGC**中心的标准化与权威性。标志密码算法依然需要主密钥,需要中心化的KGC,私有系统可能自己搞个简单点的服务就行,但作为公共、公开服务系统,没有标准化与权威性是不行的。 14 * 用户私钥依然有被盗、遗失的风险,所以依然有用户标识作废、重新启用等需求。这也意味着客户端依然需要访问**KGC**的公开参数服务,查询用户标识状态。 15 * **《GM/T 0086-2020 基于SM9标识密码算法的密钥管理系统技术规范》** 定义了相关规范,但不知道有没有建成相关系统。且这和传统的公钥体系(PKI)相比有何优势? 16 17 同时,SM9标识密码算法还有以下问题: 18 * 基于双线性对的标识密码算法的实现复杂度和性能问题(本软件库的SM9实现,其签名、验签性能不到SM2的十分之一)。 19 * SM9标识密码算法选择的bn256曲线安全问题:[128位安全性挑战](https://moderncrypto.org/mail-archive/curves/2016/000740.html)? 20 21 上述只是简单的探讨,没有贬低SM9标识密码算法的意思。 22 23 ## 主公私钥对 24 SM9标识密码算法用于签名和加密的主公私钥对是分开的,需要各自独立生成: 25 * ```sm9.GenerateSignMasterKey```用于生成签名主密钥对。 26 * ```sm9.GenerateEncryptMasterKey```用于生成加密主密钥对。 27 28 其中签名主公钥是G2上的点,加密主公钥是G1上的点,而签名、加密主私钥都是一个随机大整数。 29 30 主公私钥的ASN.1数据格式定义请参考《GB/T 41389-2022 信息安全技术 SM9密码算法使用规范》,和椭圆曲线的公私钥ASN.1数据格式类似。本软件实现了相应的Marshal/Unmarshal方法。 31 32 ## 用户私钥 33 用户的签名私钥由签名主私钥、用户标识生成:```(master *SignMasterPrivateKey) GenerateUserKey(uid []byte, hid byte) (*SignPrivateKey, error)```,它是G1上的点。 34 35 用户的加密私钥由加密主私钥、用户标识生成:```func (master *EncryptMasterPrivateKey) GenerateUserKey(uid []byte, hid byte) (*EncryptPrivateKey, error)```,它是G2上的点。 36 37 《GB/T 41389-2022 信息安全技术 SM9密码算法使用规范》中 hid 定义如下: 38 * hid = 1,签名 39 * hid = 3,加密 40 41 本软件实现没有硬编码**hid**的值。 42 43 用户签名、加密私钥的ASN.1数据格式定义请参考《GB/T 41389-2022 信息安全技术 SM9密码算法使用规范》,和椭圆曲线点的ASN.1数据格式类似。本软件实现了相应的Marshal/Unmarshal方法。 44 45 目前```smx509```中实现的```MarshalPKCS8PrivateKey/ParsePKCS8PrivateKey```没有相关标准,只是为了和[gmssl](https://github.com/guanzhi/GmSSL)互操作验证,请参考[sm9:【feature】是否考虑支持 pem 格式的公私钥输出](https://github.com/emmansun/gmsm/issues/86)。 46 ```go 47 func TestMarshalPKCS8SM9SignPrivateKey(t *testing.T) { 48 masterKey, err := sm9.GenerateSignMasterKey(rand.Reader) 49 if err != nil { 50 t.Fatal(err) 51 } 52 privateKey, err := masterKey.GenerateUserKey([]byte("emmansun"), 0x01) 53 if err != nil { 54 t.Fatal(err) 55 } 56 res, err := MarshalPKCS8PrivateKey(privateKey) 57 if err != nil { 58 t.Fatal(err) 59 } 60 privateKey1, err := ParsePKCS8PrivateKey(res) 61 if err != nil { 62 t.Fatal(err) 63 } 64 privateKey2, ok := privateKey1.(*sm9.SignPrivateKey) 65 if !ok { 66 t.Fatalf("not expected key") 67 } 68 if !privateKey.PrivateKey.Equal(privateKey2.PrivateKey) || 69 !privateKey.MasterPublicKey.Equal(privateKey2.MasterPublicKey) { 70 t.Fatalf("not same key") 71 } 72 } 73 74 func TestMarshalPKCS8SM9EncPrivateKey(t *testing.T) { 75 masterKey, err := sm9.GenerateEncryptMasterKey(rand.Reader) 76 if err != nil { 77 t.Fatal(err) 78 } 79 privateKey, err := masterKey.GenerateUserKey([]byte("emmansun"), 0x01) 80 if err != nil { 81 t.Fatal(err) 82 } 83 res, err := MarshalPKCS8PrivateKey(privateKey) 84 if err != nil { 85 t.Fatal(err) 86 } 87 privateKey1, err := ParsePKCS8PrivateKey(res) 88 if err != nil { 89 t.Fatal(err) 90 } 91 privateKey2, ok := privateKey1.(*sm9.EncryptPrivateKey) 92 if !ok { 93 t.Fatalf("not expected key") 94 } 95 if !privateKey.PrivateKey.Equal(privateKey2.PrivateKey) || 96 !privateKey.MasterPublicKey.Equal(privateKey2.MasterPublicKey) { 97 t.Fatalf("not same key") 98 } 99 } 100 101 func TestMarshalPKCS8SM9SignMasterPrivateKey(t *testing.T) { 102 masterKey, err := sm9.GenerateSignMasterKey(rand.Reader) 103 if err != nil { 104 t.Fatal(err) 105 } 106 res, err := MarshalPKCS8PrivateKey(masterKey) 107 if err != nil { 108 t.Fatal(err) 109 } 110 masterKey1, err := ParsePKCS8PrivateKey(res) 111 if err != nil { 112 t.Fatal(err) 113 } 114 masterKey2, ok := masterKey1.(*sm9.SignMasterPrivateKey) 115 if !ok { 116 t.Fatalf("not expected key") 117 } 118 masterKey2.MasterPublicKey.Marshal() 119 if !(masterKey.D.Cmp(masterKey2.D) == 0 && masterKey.MasterPublicKey.Equal(masterKey2.MasterPublicKey)) { 120 t.Fatalf("not same key") 121 } 122 } 123 124 func TestMarshalPKCS8SM9EncMasterPrivateKey(t *testing.T) { 125 masterKey, err := sm9.GenerateEncryptMasterKey(rand.Reader) 126 if err != nil { 127 t.Fatal(err) 128 } 129 res, err := MarshalPKCS8PrivateKey(masterKey) 130 if err != nil { 131 t.Fatal(err) 132 } 133 masterKey1, err := ParsePKCS8PrivateKey(res) 134 if err != nil { 135 t.Fatal(err) 136 } 137 masterKey2, ok := masterKey1.(*sm9.EncryptMasterPrivateKey) 138 if !ok { 139 t.Fatalf("not expected key") 140 } 141 masterKey2.MasterPublicKey.Marshal() 142 if !(masterKey.D.Cmp(masterKey2.D) == 0 && masterKey.MasterPublicKey.Equal(masterKey2.MasterPublicKey)) { 143 t.Fatalf("not same key") 144 } 145 } 146 ``` 147 148 ## 数字签名 149 使用用户签名私钥进行签名,使用签名主公钥和用户标识进行验签: 150 ```go 151 func ExampleSignPrivateKey_Sign() { 152 // real user sign private key should be from secret storage. 153 kb, _ := hex.DecodeString("0130E78459D78545CB54C587E02CF480CE0B66340F319F348A1D5B1F2DC5F4") 154 var b cryptobyte.Builder 155 b.AddASN1BigInt(new(big.Int).SetBytes(kb)) 156 kb, _ = b.Bytes() 157 masterkey := new(sm9.SignMasterPrivateKey) 158 err := masterkey.UnmarshalASN1(kb) 159 if err != nil { 160 fmt.Fprintf(os.Stderr, "Error from UnmarshalASN1: %s\n", err) 161 return 162 } 163 hid := byte(0x01) 164 uid := []byte("Alice") 165 userKey, err := masterkey.GenerateUserKey(uid, hid) 166 if err != nil { 167 fmt.Fprintf(os.Stderr, "Error from GenerateUserKey: %s\n", err) 168 return 169 } 170 171 // sm9 sign 172 hash := []byte("Chinese IBS standard") 173 sig, err := userKey.Sign(rand.Reader, hash, nil) 174 if err != nil { 175 fmt.Fprintf(os.Stderr, "Error from Sign: %s\n", err) 176 return 177 } 178 179 // Since sign is a randomized function, signature will be 180 // different each time. 181 fmt.Printf("%x\n", sig) 182 } 183 184 func ExampleVerifyASN1() { 185 // get master public key, can be from pem 186 masterPubKey := new(sm9.SignMasterPublicKey) 187 keyBytes, _ := hex.DecodeString("03818200049f64080b3084f733e48aff4b41b565011ce0711c5e392cfb0ab1b6791b94c40829dba116152d1f786ce843ed24a3b573414d2177386a92dd8f14d65696ea5e3269850938abea0112b57329f447e3a0cbad3e2fdb1a77f335e89e1408d0ef1c2541e00a53dda532da1a7ce027b7a46f741006e85f5cdff0730e75c05fb4e3216d") 188 err := masterPubKey.UnmarshalASN1(keyBytes) 189 if err != nil { 190 fmt.Fprintf(os.Stderr, "Error from UnmarshalASN1: %s\n", err) 191 return 192 } 193 hid := byte(0x01) 194 uid := []byte("Alice") 195 hash := []byte("Chinese IBS standard") 196 sig, _ := hex.DecodeString("30660420b0d0c0bb1b57ea0d5b51cb5c96be850b8c2eef6b0fff5fcccb524b972574e6eb03420004901819575c9211c7b4e6e137794d23d0095608bcdad5c82dbff05777c5b49c763e4425acea2aaedf9e48d4784b4e4a5621cc3663fe0aae44dcbeac183fee9b0f") 197 ok := sm9.VerifyASN1(masterPubKey, uid, hid, hash, sig) 198 199 fmt.Printf("%v\n", ok) 200 // Output: true 201 } 202 203 func ExampleSignMasterPublicKey_Verify() { 204 // get master public key, can be from pem 205 masterPubKey := new(sm9.SignMasterPublicKey) 206 keyBytes, _ := hex.DecodeString("03818200049f64080b3084f733e48aff4b41b565011ce0711c5e392cfb0ab1b6791b94c40829dba116152d1f786ce843ed24a3b573414d2177386a92dd8f14d65696ea5e3269850938abea0112b57329f447e3a0cbad3e2fdb1a77f335e89e1408d0ef1c2541e00a53dda532da1a7ce027b7a46f741006e85f5cdff0730e75c05fb4e3216d") 207 err := masterPubKey.UnmarshalASN1(keyBytes) 208 if err != nil { 209 fmt.Fprintf(os.Stderr, "Error from UnmarshalASN1: %s\n", err) 210 return 211 } 212 hid := byte(0x01) 213 uid := []byte("Alice") 214 hash := []byte("Chinese IBS standard") 215 sig, _ := hex.DecodeString("30660420b0d0c0bb1b57ea0d5b51cb5c96be850b8c2eef6b0fff5fcccb524b972574e6eb03420004901819575c9211c7b4e6e137794d23d0095608bcdad5c82dbff05777c5b49c763e4425acea2aaedf9e48d4784b4e4a5621cc3663fe0aae44dcbeac183fee9b0f") 216 ok := masterPubKey.Verify(uid, hid, hash, sig) 217 218 fmt.Printf("%v\n", ok) 219 // Output: true 220 } 221 ``` 222 签名结果ASN.1格式请参考参考《GB/T 41389-2022 信息安全技术 SM9密码算法使用规范》。 223 224 ## 密钥封装 225 使用加密主公钥和目标用户标识进行密钥封装,使用用户加密私钥和用户标识进行解封: 226 ```go 227 func ExampleEncryptMasterPublicKey_WrapKey() { 228 // get master public key, can be from pem 229 masterPubKey := new(sm9.EncryptMasterPublicKey) 230 keyBytes, _ := hex.DecodeString("03420004787ed7b8a51f3ab84e0a66003f32da5c720b17eca7137d39abc66e3c80a892ff769de61791e5adc4b9ff85a31354900b202871279a8c49dc3f220f644c57a7b1") 231 err := masterPubKey.UnmarshalASN1(keyBytes) 232 if err != nil { 233 fmt.Fprintf(os.Stderr, "Error from UnmarshalASN1: %s\n", err) 234 return 235 } 236 hid := byte(0x03) 237 uid := []byte("Bob") 238 key, cipherDer, err := masterPubKey.WrapKey(rand.Reader, uid, hid, 32) 239 if err != nil { 240 fmt.Fprintf(os.Stderr, "Error from WrapKeyASN1: %s\n", err) 241 return 242 } 243 244 // Since WrapKey is a randomized function, result will be 245 // different each time. 246 fmt.Printf("%s %s\n", hex.EncodeToString(key), hex.EncodeToString(cipherDer)) 247 } 248 249 func ExampleEncryptPrivateKey_UnwrapKey() { 250 // real user encrypt private key should be from secret storage, e.g. password protected pkcs8 file 251 kb, _ := hex.DecodeString("038182000494736acd2c8c8796cc4785e938301a139a059d3537b6414140b2d31eecf41683115bae85f5d8bc6c3dbd9e5342979acccf3c2f4f28420b1cb4f8c0b59a19b1587aa5e47570da7600cd760a0cf7beaf71c447f3844753fe74fa7ba92ca7d3b55f27538a62e7f7bfb51dce08704796d94c9d56734f119ea44732b50e31cdeb75c1") 252 userKey := new(sm9.EncryptPrivateKey) 253 err := userKey.UnmarshalASN1(kb) 254 if err != nil { 255 fmt.Fprintf(os.Stderr, "Error from UnmarshalASN1: %s\n", err) 256 return 257 } 258 259 cipherDer, _ := hex.DecodeString("0342000447689629d1fa57e8def447f42b75e28518a1b692891528ca596f7bcbf581c7cf429ed01b114ce157ed4eadd0b2ded9a7e475e347f67b6affa3a6cf654573f978") 260 key, err := userKey.UnwrapKey([]byte("Bob"), cipherDer, 32) 261 if err != nil { 262 fmt.Fprintf(os.Stderr, "Error from UnwrapKey: %s\n", err) 263 return 264 } 265 fmt.Printf("%s\n", hex.EncodeToString(key)) 266 // Output: 270c42505bca90a8084064ea8af279364405a8195f30664082ead3d6991ed70f 267 } 268 ``` 269 270 密钥封装结果ASN.1格式请参考参考《GB/T 41389-2022 信息安全技术 SM9密码算法使用规范》。 271 272 ## 公钥加密算法 273 使用加密主公钥和目标用户标识进行加密,使用用户加密私钥和用户标识进行解密: 274 ```go 275 func ExampleEncryptMasterPublicKey_Encrypt() { 276 // get master public key, can be from pem 277 masterPubKey := new(sm9.EncryptMasterPublicKey) 278 keyBytes, _ := hex.DecodeString("03420004787ed7b8a51f3ab84e0a66003f32da5c720b17eca7137d39abc66e3c80a892ff769de61791e5adc4b9ff85a31354900b202871279a8c49dc3f220f644c57a7b1") 279 err := masterPubKey.UnmarshalASN1(keyBytes) 280 if err != nil { 281 fmt.Fprintf(os.Stderr, "Error from UnmarshalASN1: %s\n", err) 282 return 283 } 284 hid := byte(0x03) 285 uid := []byte("Bob") 286 287 ciphertext, err := masterPubKey.Encrypt(rand.Reader, uid, hid, []byte("Chinese IBE standard"), sm9.DefaultEncrypterOpts) 288 if err != nil { 289 fmt.Fprintf(os.Stderr, "Error from Encrypt: %s\n", err) 290 return 291 } 292 // Since Encrypt is a randomized function, result will be 293 // different each time. 294 fmt.Printf("%s\n", hex.EncodeToString(ciphertext)) 295 } 296 297 298 func ExampleEncryptPrivateKey_Decrypt() { 299 // real user encrypt private key should be from secret storage. 300 kb, _ := hex.DecodeString("038182000494736acd2c8c8796cc4785e938301a139a059d3537b6414140b2d31eecf41683115bae85f5d8bc6c3dbd9e5342979acccf3c2f4f28420b1cb4f8c0b59a19b1587aa5e47570da7600cd760a0cf7beaf71c447f3844753fe74fa7ba92ca7d3b55f27538a62e7f7bfb51dce08704796d94c9d56734f119ea44732b50e31cdeb75c1") 301 userKey := new(sm9.EncryptPrivateKey) 302 err := userKey.UnmarshalASN1(kb) 303 if err != nil { 304 fmt.Fprintf(os.Stderr, "Error from UnmarshalASN1: %s\n", err) 305 return 306 } 307 uid := []byte("Bob") 308 cipherDer, _ := hex.DecodeString("307f020100034200042cb3e90b0977211597652f26ee4abbe275ccb18dd7f431876ab5d40cc2fc563d9417791c75bc8909336a4e6562450836cc863f51002e31ecf0c4aae8d98641070420638ca5bfb35d25cff7cbd684f3ed75f2d919da86a921a2e3e2e2f4cbcf583f240414b7e776811774722a8720752fb1355ce45dc3d0df") 309 plaintext, err := userKey.DecryptASN1(uid, cipherDer) 310 if err != nil { 311 fmt.Fprintf(os.Stderr, "Error from Decrypt: %s\n", err) 312 return 313 } 314 fmt.Printf("%s\n", plaintext) 315 // Output: Chinese IBE standard 316 } 317 ``` 318 319 密文封装结果ASN.1格式请参考参考《GB/T 41389-2022 信息安全技术 SM9密码算法使用规范》。 320 321 SM9公钥加密算法支持多种对称加密算法,不像SM2公钥加密算法,只支持XOR。不过由于非XOR对称加密算法有几个需要IV,而规范没有定义,所以会有互操作问题, 322 * [关于SM9 非XOR加密标准问题](https://github.com/emmansun/gmsm/discussions/112)。 323 * 《GB/T 41389-2022 信息安全技术 SM9密码算法使用规范》6.1.5 加密数据格式。 324 325 ## 密钥交换 326 在这里不详细介绍使用方法,一般只有tls/tlcp才会用到,普通应用通常不会涉及这一块,请参考[API Document](https://godoc.org/github.com/emmansun/gmsm)。