國(guó)產(chǎn)密碼算法與應(yīng)用

國(guó)產(chǎn)密碼算法及應(yīng)用商用密碼，是指能夠?qū)崿F(xiàn)商用密碼算法的加密、解密和認(rèn)證等功能的技術(shù)。（包括密碼算法編程技術(shù)和密碼算法芯片、加密卡等的實(shí)現(xiàn)技術(shù)）。商用密碼技術(shù)是商用密碼的核心，國(guó)家將商用密碼技術(shù)列入國(guó)家秘密，任何單位和個(gè)人都有責(zé)任和義務(wù)保護(hù)商用密碼技術(shù)的秘密。商用密碼的應(yīng)用領(lǐng)域十分廣泛，主要用于對(duì)不涉及國(guó)家秘密容但又具有敏感性的部信息、行政事務(wù)信息、經(jīng)濟(jì)信息等進(jìn)行加密保護(hù)。比如各種安全認(rèn)證、網(wǎng)上銀行、數(shù)字簽名等。為了保障商用密碼安全，國(guó)家商用密碼管理辦公室制定了一系列密碼標(biāo)準(zhǔn)，包括SSF33、SM1（SCB2）、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法等等。其中SSF33、SM1、SM4、SM7、祖沖之密碼是對(duì)稱算法；SM2、SM9是非對(duì)稱算法；SM3是哈希算法。目前已經(jīng)公布算法文本的包括SM2橢圓曲線公鑰密碼算法、SM3密碼雜湊算法、SM4分組密碼算法等。國(guó)密算法簡(jiǎn)介SM1對(duì)稱密碼國(guó)密SM1算法是由國(guó)家密碼管理局編制的一種商用密碼分組標(biāo)準(zhǔn)對(duì)稱算法，分組長(zhǎng)度為128位，密鑰長(zhǎng)度都為128比特，算法安全強(qiáng)度及相關(guān)軟硬件實(shí)現(xiàn)性能與AES相當(dāng)，算法不公開，僅以IP核的形式存在于芯片中。采用該算法已經(jīng)研制了系列芯片、智能IC卡、智能密碼鑰匙、加密卡、加密機(jī)等安全產(chǎn)品，廣泛應(yīng)用于電子政務(wù)、電子商務(wù)及國(guó)民經(jīng)濟(jì)的各個(gè)應(yīng)用領(lǐng)域（包括國(guó)家政務(wù)通、警務(wù)通等重要領(lǐng)域）。SM2橢圓曲線公鑰密碼算法SM2算法就是ECC橢圓曲線密碼機(jī)制，但在簽名、密鑰交換方面不同于ECDSA、ECDH等國(guó)際標(biāo)準(zhǔn)，而是采取了更為安全的機(jī)制。國(guó)密SM2算法標(biāo)準(zhǔn)包括4個(gè)部分，第1部分為總則，主要介紹了ECC基本的算法描述，包括素?cái)?shù)域和二元擴(kuò)域兩種算法描述，第2部分為數(shù)字簽名算法，這個(gè)算法不同于ECDSA算法，其計(jì)算量大，也比ECDSA復(fù)雜些，也許這樣會(huì)更安全吧，第3部分為密鑰交換協(xié)議，與ECDH功能相同，但復(fù)雜性高，計(jì)算量加大，第4部分為公鑰加密算法，使用ECC公鑰進(jìn)行加密和ECC私鑰進(jìn)行加密算法，其實(shí)現(xiàn)上是在ECDH上分散出流密鑰，之后與明文或者是密文進(jìn)行異或運(yùn)算，并沒有采用第3部分的密鑰交換協(xié)議產(chǎn)生的密鑰。對(duì)于SM2算法的總體感覺，應(yīng)該是國(guó)家發(fā)明，其計(jì)算上比國(guó)際上公布的ECC算法復(fù)雜，相對(duì)來說算法速度可能慢，但可能是更安全一點(diǎn)。設(shè)需要發(fā)送的消息為比特串M，len為M的比特長(zhǎng)度。為了對(duì)明文M進(jìn)行加密，作為加密者的用戶應(yīng)實(shí)現(xiàn)以下運(yùn)算步驟：步驟1：用隨機(jī)數(shù)發(fā)生器產(chǎn)生隨機(jī)數(shù)k∈[1，n-1]；步驟2：計(jì)算橢圓曲線點(diǎn)C1=[k]G=(X1，Y1)，將C1的數(shù)據(jù)類型轉(zhuǎn)換為比特串；步驟3：計(jì)算橢圓曲線點(diǎn)S=[h]P，若S是無(wú)窮遠(yuǎn)點(diǎn)，則報(bào)錯(cuò)；步驟4：計(jì)算橢圓曲線點(diǎn)[k]P=(X2，Y2)，將坐標(biāo)X2，Y2的數(shù)據(jù)類型轉(zhuǎn)換為比特串；步驟5：計(jì)算t=KDF(x2lly2，len)，若t為全0比特串，則返回步驟1；步驟6：計(jì)算C2=M⊕t；步驟7：計(jì)算C3=Hash(x2llMlly2)；步驟8：輸出密文C=C1llC2llC3。2010年底，國(guó)家密碼管理局公布了我國(guó)自主研制的“橢圓曲線公鑰密碼算法”（SM2算法）。為保障重要經(jīng)濟(jì)系統(tǒng)密碼應(yīng)用安全，國(guó)家密碼管理局于2011年發(fā)布了《關(guān)于做好公鑰密碼算法升級(jí)工作的通知》，要求“自2011年3月1日期，在建和擬建公鑰密碼基礎(chǔ)設(shè)施電子認(rèn)證系統(tǒng)和密鑰管理系統(tǒng)應(yīng)使用SM2算法。自2011年7月1日起，投入運(yùn)行并使用公鑰密碼的信息系統(tǒng)，應(yīng)使用SM2算法?！苯?，人民銀行組織召開多次專題會(huì)議討論研究金融領(lǐng)域國(guó)產(chǎn)加密算法升級(jí)改造的相關(guān)工作。SM3雜湊算法又叫文摘算法，也有叫雜湊算法的。功能與MD5，SHA-1相同。產(chǎn)生256位的編碼。該算法位不可逆的算法。具體算法也是。SM3密碼雜湊算法給出了雜湊函數(shù)算法的計(jì)算方法和計(jì)算步驟，并給出了運(yùn)算示例。此算法適用于商用密碼應(yīng)用中的數(shù)字簽名和驗(yàn)證，消息認(rèn)證碼的生成與驗(yàn)證以及隨機(jī)數(shù)的生成，可滿足多種密碼應(yīng)用的安全需求。在SM2、SM9標(biāo)準(zhǔn)中使用。此算法對(duì)輸入長(zhǎng)度小于2的64次方的比特消息，經(jīng)過填充和迭代壓縮，生成長(zhǎng)度為256比特的雜湊值，其中使用了異或，模，模加，移位，與，或，非運(yùn)算，由填充，迭代過程，消息擴(kuò)展和壓縮函數(shù)所構(gòu)成。SM3算法包括預(yù)處理、消息擴(kuò)展和計(jì)算Hash值三部分。預(yù)處理部分由消息填充和消息分組兩部分組成。首先將接收到的消息末尾填充一個(gè)“1”，再添加k個(gè)“0”，使得填充后的數(shù)據(jù)成為滿足length=448mod512bit的數(shù)據(jù)長(zhǎng)度，再在末尾附上64bit消息長(zhǎng)度的二進(jìn)制表示數(shù)，然后將消息分成512bit的子塊，最后將每個(gè)512bit的消息子塊擴(kuò)展成132個(gè)字用于Hash值的計(jì)算。SM3算法計(jì)算流程圖如圖所示。SM3算法的Hash運(yùn)算主要是在壓縮函數(shù)部分，壓縮函數(shù)共包含64輪，每輪包括12步運(yùn)算，64輪循環(huán)計(jì)算結(jié)束后，再將計(jì)算結(jié)果與輸入到本輪計(jì)算的初始數(shù)據(jù)進(jìn)行異或運(yùn)算，即上一次Hash運(yùn)算的Hash值輸出與輸入到本輪計(jì)算的初始數(shù)據(jù)異或得到本次Hash值輸出，Hn即為最終的Hash值，H0為設(shè)計(jì)者提供的初始值IV。圖SM3算法流程圖SM4對(duì)稱算法此算法是一個(gè)分組算法，用于無(wú)線局域網(wǎng)產(chǎn)品。該算法的分組長(zhǎng)度為128比特，密鑰長(zhǎng)度為128比特。加密算法與密鑰擴(kuò)展算法都采用32輪非線性迭代結(jié)構(gòu)。解密算法與加密算法的結(jié)構(gòu)相同，只是輪密鑰的使用順序相反，解密輪密鑰是加密輪密鑰的逆序。定義反序變換R為：R（A0，A1，A2，A3）=（A3，A2，A1，A0），Ai∈Z322，i=0,1，2,3。設(shè)明文輸入為（X0，X1，X2，X3）∈（Z322）4，密文輸出為（Y0，Y1，Y2，Y3）∈（Z322）4，輪密鑰為rki∈Z322。則本算法的加密變換為：Xi+4=F（Xi,Xi+1,Xi+2,Xi+3,rki）=Xi⊕T（Xi+1⊕Xi+2⊕Xi+3⊕rki），i=0,1,2,3…，31.（Y0，Y1，Y2，Y3）=R（X32，X33，X34，X35）=（X35，X34，X33，X32）。本算法的解密變換與加密變換結(jié)構(gòu)相同，不同的僅是輪密鑰的使用順序。加密時(shí)輪密鑰的使用順序?yàn)椋海╮k0,rk1,…,rk31）。解密時(shí)輪密鑰的使用順序?yàn)椋海╮k31,rk30,…,rk0）。SM4算法的優(yōu)點(diǎn)是軟件和硬件實(shí)現(xiàn)容易，運(yùn)算速度快，但該算法的缺點(diǎn)是消息安全取決于對(duì)密鑰的保護(hù)，泄漏密鑰就意味著任何人都能對(duì)消息進(jìn)行密碼和解密。由于其加密過程和解密過程互逆，這兩個(gè)過程均使用相同的密鑰，使得對(duì)稱密鑰加密體制的適用圍受到了很大限制。SM7對(duì)稱密碼SM7算法是一種分組密碼算法，分組長(zhǎng)度為128比特，密鑰長(zhǎng)度為128比特。SM7的算法文本目前沒有公開發(fā)布。SM7適用于非接IC卡應(yīng)用包括身份識(shí)別類應(yīng)用（門禁卡、工作證、參賽證），票務(wù)類應(yīng)用（大型賽事門票、展會(huì)門票），支付與通卡類應(yīng)用（積分消費(fèi)卡、校園一卡通、企業(yè)一卡通、公交一卡通）。SM9非對(duì)稱算法SM9是基于對(duì)的標(biāo)識(shí)密碼算法，與SM2類似，包含四個(gè)部分：總則，數(shù)字簽名算法，密鑰交換協(xié)議以及密鑰封裝機(jī)制和公鑰加密算法。在這些算法中使用了橢圓曲線上的對(duì)這一個(gè)工具，不同于傳統(tǒng)意義上的SM2算法，可以實(shí)現(xiàn)基于身份的密碼體制，也就是公鑰與用戶的身份信息即標(biāo)識(shí)相關(guān)，從而比傳統(tǒng)意義上的公鑰密碼體制有許多優(yōu)點(diǎn)，省去了證書管理等。雙線性對(duì)的雙線性的性質(zhì)是基于對(duì)的標(biāo)識(shí)密碼SM2中的總則部分同樣適用于SM9，由于SM9總則中添加了適用于對(duì)的相關(guān)理論和實(shí)現(xiàn)基礎(chǔ)。SM9給出了數(shù)字簽名算法（包括數(shù)字簽名生成算法，數(shù)字簽名驗(yàn)證算法），密鑰交換協(xié)議，以及密鑰封裝機(jī)制和公鑰加密算法（包括密鑰封裝算法，加密盒解密算法）。數(shù)字簽名算法適用于接收者通過簽名者的標(biāo)識(shí)驗(yàn)證數(shù)據(jù)的完整性和數(shù)據(jù)發(fā)送者的身份，也適用于第三方確定簽名及所簽數(shù)據(jù)的真實(shí)性。密鑰交換協(xié)議可以使用通信雙方通過雙方的標(biāo)識(shí)和自身的私鑰經(jīng)過兩次或者可選三次信息傳遞過程，計(jì)算獲取一個(gè)由雙方共同決定的共享秘密密鑰。密鑰封裝機(jī)制和公鑰加密算法中，利用密鑰封裝機(jī)制可以封裝密鑰給特定的實(shí)體。公鑰加密和解密算法即基于標(biāo)識(shí)的非對(duì)稱秘密算法，該算法使消息發(fā)送者可以利用接收者的標(biāo)識(shí)對(duì)消息進(jìn)行加密，唯有接收者可以用相應(yīng)的私鑰對(duì)該密文進(jìn)行解密，從而獲取消息?；趯?duì)的算法中同樣使用了國(guó)家密管理局批準(zhǔn)的SM3密碼雜湊算法和隨機(jī)數(shù)發(fā)生器，密鑰封裝機(jī)制和公鑰加密算法中使用了國(guó)家密碼管理局批準(zhǔn)的對(duì)稱密碼算法和消息認(rèn)證碼函數(shù)。祖沖之對(duì)稱算法祖沖之密碼算法由中國(guó)科學(xué)院等單位研制，運(yùn)用于下一代移動(dòng)通信4G網(wǎng)絡(luò)LTE中的國(guó)際標(biāo)準(zhǔn)密碼算法。祖沖之密碼算法（ZUC）的名字源于我國(guó)古代數(shù)學(xué)家祖沖之，祖沖之算法集是由我國(guó)學(xué)者自主設(shè)計(jì)的加密和完整性算法，是一種流密碼。它是兩個(gè)新的LTE算法的核心，這兩個(gè)LTE算法分別是加密算法128-EEA3和完整性算法128-EIA3。ZUC算法由3個(gè)基本部分組成，依次為：1、比特重組；2、非線性函數(shù)F；3、線性反饋移位寄存器(LFSR)。國(guó)密算法行業(yè)應(yīng)用2014年，中國(guó)銀聯(lián)發(fā)布了《中國(guó)銀聯(lián)IC卡技術(shù)規(guī)》和《中國(guó)銀聯(lián)銀行卡聯(lián)網(wǎng)聯(lián)合技術(shù)規(guī)》，在兼容最新國(guó)際通用技術(shù)標(biāo)準(zhǔn)的基礎(chǔ)上支持國(guó)產(chǎn)密碼，豐富了安全算法體系，促進(jìn)了信息安全，自主可控水平實(shí)現(xiàn)提高。銀行銀行是首批開展國(guó)密算法金融IC卡試點(diǎn)銀行之一，此次發(fā)行金融IC卡中采用了我全可控的國(guó)密算法芯片。應(yīng)用在銀行金融IC卡上的大唐CE3D系列雙界面金融安全芯片采用了32位CPU核，擁有高達(dá)80KB的EEPROM數(shù)據(jù)存儲(chǔ)空間，符合PBOC3.0中SM2/3/4算法升級(jí)要求，支持JAVA操作技術(shù)，具有高安全、高性能、低功耗的特點(diǎn)，實(shí)現(xiàn)國(guó)密算法的金融IC卡成功跨行交易。銀行2014年5月12日，PBOC3.0國(guó)密多應(yīng)用金融IC卡項(xiàng)目產(chǎn)品展示會(huì)暨示應(yīng)用推廣研討會(huì)在召開。在本次研討會(huì)上，全球首加載PBOC3.0國(guó)產(chǎn)密碼算法的金融IC卡正式亮相，并在銀行實(shí)現(xiàn)了首批試商用發(fā)卡。作為國(guó)產(chǎn)智能卡芯片的佼佼者，同方微電子為本次發(fā)卡提供了符合規(guī)的芯片產(chǎn)品——THD86。該項(xiàng)目通過推進(jìn)金融信息系統(tǒng)國(guó)產(chǎn)密碼的應(yīng)用，將為打破國(guó)外密碼算法及產(chǎn)品在金融領(lǐng)域應(yīng)用的壟斷局面、全面帶動(dòng)國(guó)信息安全及金融服務(wù)相關(guān)產(chǎn)業(yè)發(fā)展提供有力保障，實(shí)現(xiàn)國(guó)家金融安全的重大戰(zhàn)略。金融IC卡國(guó)產(chǎn)密碼算法應(yīng)用示項(xiàng)目自2013年5月份開始已取得了階段性的成果，分別完成了支持國(guó)產(chǎn)密碼算法的銀行端系統(tǒng)改造、ATM、POS、刷卡器、加密機(jī)、IC卡芯片等一系列產(chǎn)品的研發(fā)和接入銀行系統(tǒng)，組成了包括芯片廠商、COS廠商、卡商、密碼設(shè)備供應(yīng)商、支撐系統(tǒng)提供商及銀行核心系統(tǒng)供應(yīng)商等的金融IC卡國(guó)產(chǎn)密碼應(yīng)用的完整產(chǎn)業(yè)鏈。同方微電子在此項(xiàng)目中應(yīng)用的THD86是國(guó)首款32位CPU雙界面卡芯片，國(guó)首款通過銀聯(lián)芯片安全認(rèn)證的雙界面卡芯片，國(guó)率先通過國(guó)密二級(jí)認(rèn)證的雙界面卡芯片，支持金融應(yīng)用擴(kuò)展，符合PBOC3.0標(biāo)準(zhǔn)，支持國(guó)外密碼算法和國(guó)產(chǎn)密碼雙算法體系。THD86在PBOC3.0國(guó)密多應(yīng)用金融IC卡示應(yīng)用中的成功，將對(duì)我國(guó)普及推廣該項(xiàng)目成果具有重要的示作用。工商銀行工商銀行根據(jù)國(guó)密算法應(yīng)用實(shí)施總體規(guī)劃，從2012年下半年開始，工商銀行啟動(dòng)國(guó)密算法及產(chǎn)品的相關(guān)研究和測(cè)評(píng)工作，并于2013年開始在電子認(rèn)證、網(wǎng)上銀行、金融IC卡及移動(dòng)支付等關(guān)鍵領(lǐng)域率先啟動(dòng)國(guó)密算法應(yīng)用試點(diǎn)工作。客戶電子認(rèn)證系統(tǒng)是工商銀自建的為網(wǎng)上銀行客戶提供電子認(rèn)證服務(wù)的系統(tǒng)，在2013年8月完成國(guó)密算法應(yīng)用改造以及機(jī)房、網(wǎng)絡(luò)等環(huán)境改造。改造后增加了國(guó)密SM2算法證書的后臺(tái)管理功能，并配合網(wǎng)上銀行實(shí)現(xiàn)國(guó)密U盾的簽發(fā)和交易數(shù)據(jù)簽名驗(yàn)簽功能。該系統(tǒng)在2013年11月通過國(guó)密局安全審查，成為金融領(lǐng)域自建電子認(rèn)證系統(tǒng)第一家通過國(guó)家密碼管理局安全性審查的單位。同時(shí)，工商銀行還在網(wǎng)上銀行、金融IC卡及移