原创代码:https://github.com/ZZMarquis/gm
引用时,请导入原创代码库。本文仅以注释方式详解代码逻辑,供学习研究使用。
对原创代码的修改内容
- 修改了部分常量、变量、结构体属性的名称, 以便与GO语言标准包规范相统一
- 加入中文注释,解释代码逻辑
- 将PublicKey设置为PrivateKey的成员属性,与GO语言标准包规范统一
注释者及联系邮箱
Paul Lee
paul_lee0919@163.com
// sm2Signature 代表SM2算法的数字签名类。
type sm2Signature struct {
R, S *big.Int
}
// MarshalCipher 为SM2算法密文对象序列化公共函数:
// (1) 将字节数组中保存的SM2密文对象截取出来
// (2) 将截取出来的数据赋值给SM2密文对象的各相关属性
// (3) 将SM2密文对象序列化为符合ASN.1标准DER编码规则的密文字节串
// (4) SM2密文对象的具体规范请见国标(GB/T 35276-2017)
func MarshalCipher(in []byte, cipherTextType CipherTextType) ([]byte, error) {
// 将椭圆曲线的位数转化为字节数
byteLen := (sm2P256V1.Params().BitSize + 7) >> 3
c1x := make([]byte, byteLen)
c1y := make([]byte, byteLen)
// 将in[]按C1,C2,C3长度进行拆分
c2Len := len(in) - (1 + byteLen*2) - sm3.Size
c2 := make([]byte, c2Len)
c3 := make([]byte, sm3.Size)
pos := 1
// 拆分获取c1x, c1y
copy(c1x, in[pos:pos+byteLen])
pos += byteLen
copy(c1y, in[pos:pos+byteLen])
pos += byteLen
nc1x := new(big.Int).SetBytes(c1x)
nc1y := new(big.Int).SetBytes(c1y)
// 根据新旧国标的格式标识拆分C2和C3
if cipherTextType == C1C2C3 {
copy(c2, in[pos:pos+c2Len])
pos += c2Len
copy(c3, in[pos:pos+sm3.Size])
result, err := asn1.Marshal(sm2CipherC1C2C3{nc1x, nc1y, c2, c3})
if err != nil {
return nil, err
}
return result, nil
} else if cipherTextType == C1C3C2 {
copy(c3, in[pos:pos+sm3.Size])
pos += sm3.Size
copy(c2, in[pos:pos+c2Len])
result, err := asn1.Marshal(sm2CipherC1C3C2{nc1x, nc1y, c3, c2})
if err != nil {
return nil, err
}
return result, nil
} else {
return nil, errors.New("unknown cipherTextType:" + string(cipherTextType))
}
}
MarshalCipher( ) 为SM2算法密文对象序列化公共函数:
- (1) 将字节数组中保存的SM2密文对象截取出来
- (2) 将截取出来的数据赋值给SM2密文对象的各相关属性
- (3) 将SM2密文对象序列化为符合ASN.1标准DER编码规则的密文字节串
- (4) SM2密文对象的具体规范请见国标(GB/T 35276-2017)
// UnmarshalCipher 为SM2算法密文对象反序列化公共函数:
// (1) 将符合ASN.1标准DER编码规则的密文字节串反序列化为SM2密文对象
// (2) 将SM2密文对象的各相关属性的值读出来并按规范存入字节数组
// (3) SM2密文对象的具体规范请见国标(GB/T 35276-2017)
func UnmarshalCipher(in []byte, cipherTextType CipherTextType) (out []byte, err error) {
if cipherTextType == C1C2C3 {
cipher := new(sm2CipherC1C2C3)
_, err = asn1.Unmarshal(in, cipher)
if err != nil {
return nil, err
}
c1x := cipher.X.Bytes()
c1y := cipher.Y.Bytes()
c1xLen := len(c1x)
c1yLen := len(c1y)
c2Len := len(cipher.C2)
c3Len := len(cipher.C3)
result := make([]byte, 1+c1xLen+c1yLen+c2Len+c3Len)
pos := 0
result[pos] = UnCompress
pos += 1
copy(result[pos:pos+c1xLen], c1x)
pos += c1xLen
copy(result[pos:pos+c1yLen], c1y)
pos += c1yLen
copy(result[pos:pos+c2Len], cipher.C2)
pos += c2Len
copy(result[pos:pos+c3Len], cipher.C3)
return result, nil
} else if cipherTextType == C1C3C2 {
cipher := new(sm2CipherC1C3C2)
_, err = asn1.Unmarshal(in, cipher)
if err != nil {
return nil, err
}
c1x := cipher.X.Bytes()
c1y := cipher.Y.Bytes()
c1xLen := len(c1x)
c1yLen := len(c1y)
c2Len := len(cipher.C2)
c3Len := len(cipher.C3)
result := make([]byte, 1+c1xLen+c1yLen+c2Len+c3Len)
pos := 0
result[pos] = UnCompress
pos += 1
copy(result[pos:pos+c1xLen], c1x)
pos += c1xLen
copy(result[pos:pos+c1yLen], c1y)
pos += c1yLen
copy(result[pos:pos+c3Len], cipher.C3)
pos += c3Len
copy(result[pos:pos+c2Len], cipher.C2)
return result, nil
} else {
return nil, errors.New("unknown cipherTextType:" + string(cipherTextType))
}
}
UnmarshalCipher( ) 为SM2算法密文对象反序列化公共函数:
- (1) 将符合ASN.1标准DER编码规则的密文字节串反序列化为SM2密文对象
- (2) 将SM2密文对象的各相关属性的值读出来并按规范存入字节数组
- (3) SM2密文对象的具体规范请见国标(GB/T 35276-2017)
// getZ 为SM2签名算法的第1步预处理函数,即,以签名方身份标识和公钥信息为基础获取Z值:
// (1) 首2个字节存储用户ID的比特长度ENTL
// (2) 之后存储用户ID的字节串
// (3) 之后顺次存储a, b, XG, YG四个椭圆曲线定义参数
// (4) 之后顺次存储签名方公钥PA点的坐标XA和YA
// (5) 输入参数的接口类hash.Hash,将由SM3算法具体实现,详见调用来源
// (6) 具体算法见国标2-5.5
func getZ(digest hash.Hash, curve *P256V1Curve, pubX *big.Int, pubY *big.Int, userID []byte) []byte {
digest.Reset()
userIDLen := uint16(len(userID) * 8)
var userIDLenBytes [2]byte
binary.BigEndian.PutUint16(userIDLenBytes[:], userIDLen)
digest.Write(userIDLenBytes[:])
if userID != nil && len(userID) > 0 {
digest.Write(userID)
}
digest.Write(curve.A.Bytes())
digest.Write(curve.B.Bytes())
digest.Write(curve.Gx.Bytes())
digest.Write(curve.Gy.Bytes())
digest.Write(pubX.Bytes())
digest.Write(pubY.Bytes())
return digest.Sum(nil)
}
getZ( ) 为SM2签名算法的第1步预处理函数,即,以签名方身份标识和公钥信息为基础获取Z值:
- (1) 首2个字节存储用户ID的比特长度ENTL
- (2) 之后存储用户ID的字节串
- (3) 之后顺次存储a, b, XG, YG四个椭圆曲线定义参数
- (4) 之后顺次存储签名方公钥PA点的坐标XA和YA
- (5) 输入参数的接口类hash.Hash,将由SM3算法具体实现,详见调用来源
- (6) 具体算法见国标2-5.5
// calculateE 为SM2签名算法的第2步预处理函数,即,以Z值和带签名消息为基础获取哈希值H:
// (1) 将第1步预处理获得的Z值写入SM3哈希函数
// (2) 将拟签名消息M写入SM3哈希函数
// (3) 获取哈希值H
// (4) 输入参数的接口类hash.Hash,将由SM3算法具体实现,详见调用来源
// (5) 具体算法见国标2-6.1
func calculateE(digest hash.Hash, curve *P256V1Curve, pubX *big.Int, pubY *big.Int, userID []byte, src []byte) *big.Int {
z := getZ(digest, curve, pubX, pubY, userID)
digest.Reset()
digest.Write(z)
digest.Write(src)
eHash := digest.Sum(nil)
return new(big.Int).SetBytes(eHash)
}
calculateE( ) 为SM2签名算法的第2步预处理函数,即,以Z值和带签名消息为基础获取哈希值H:
- (1) 将第1步预处理获得的Z值写入SM3哈希函数
- (2) 将拟签名消息M写入SM3哈希函数
- (3) 获取哈希值H
- (4) 输入参数的接口类hash.Hash,将由SM3算法具体实现,详见调用来源
- (5) 具体算法见国标2-6.1
// MarshalSign 为SM2将签名对象(r, s)序列化函数,即将签名对象序列化为符合ASN.1标准DER编码规则的字节串。
func MarshalSign(r, s *big.Int) ([]byte, error) {
result, err := asn1.Marshal(sm2Signature{r, s})
if err != nil {
return nil, err
}
return result, nil
}
MarshalSign ( ) 为SM2将签名对象(r, s)序列化函数,即将签名对象序列化为符合ASN.1标准DER编码规则的字节串。
// UnmarshalSign 为SM2将签名对象反序列化函数,即将符合ASN.1标准DER编码规则的字节串反序列化为SM2签名对象。
func UnmarshalSign(sign []byte) (r, s *big.Int, err error) {
sm2Sign := new(sm2Signature)
_, err = asn1.Unmarshal(sign, sm2Sign)
if err != nil {
return nil, nil, err
}
return sm2Sign.R, sm2Sign.S, nil
}
UnmarshalSign( ) 为SM2将签名对象反序列化函数,即将符合ASN.1标准DER编码规则的字节串反序列化为SM2签名对象。
// SignToRS 为SM2签名算法的核心函数:
// (1) 以私钥(d倍数)为基础推算公钥点PA(XA, YA)
// (2) 调用预处理函数获取H值
// (3) 调用标准包crypto/rand获取随机数k (国标2-6.1.A3)
// (4) 推算曲线点(x1, y1) = [k]G (国标2-6.1.A4)
// (5) 调用标准包math/big封装的加和取模函数计算r = (e + x1) mod n,
// 并校验r<>0, 且r+k<>n (国标2-6.1.A5)
// (6) 调用标准包math/big封装的取乘法逆元和取模函数计算s = ((1+d)^(-1) * (k - rd)) mod n,
// 并校验s <> 0 (国标2-6.1.A6)
// (7) 返回计算结果(r, s)
func SignToRS(priv *PrivateKey, userID []byte, in []byte) (r, s *big.Int, err error) {
digest := sm3.New()
pubX, pubY := priv.Curve.ScalarBaseMult(priv.D.Bytes())
if userID == nil {
userID = sm2SignDefaultUserID
}
e := calculateE(digest, &priv.Curve, pubX, pubY, userID, in)
intZero := new(big.Int).SetInt64(0)
intOne := new(big.Int).SetInt64(1)
for {
var k *big.Int
var err error
for {
k, err = nextK(rand.Reader, priv.Curve.N)
if err != nil {
return nil, nil, err
}
px, _ := priv.Curve.ScalarBaseMult(k.Bytes())
r = util.Add(e, px)
r = util.Mod(r, priv.Curve.N)
rk := new(big.Int).Set(r)
rk = rk.Add(rk, k)
if r.Cmp(intZero) != 0 && rk.Cmp(priv.Curve.N) != 0 {
break
}
}
dPlus1ModN := util.Add(priv.D, intOne)
dPlus1ModN = util.ModInverse(dPlus1ModN, priv.Curve.N)
s = util.Mul(r, priv.D)
s = util.Sub(k, s)
s = util.Mod(s, priv.Curve.N)
s = util.Mul(dPlus1ModN, s)
s = util.Mod(s, priv.Curve.N)
if s.Cmp(intZero) != 0 {
break
}
}
return r, s, nil
}
SignToRS( ) 为SM2签名算法的核心函数:
- (1) 以私钥(d倍数)为基础推算公钥点PA(XA, YA)
- (2) 调用预处理函数获取H值
- (3) 调用标准包crypto/rand获取随机数k (国标2-6.1.A3)
- (4) 推算曲线点(x1, y1) = [k]G (国标2-6.1.A4)
- (5) 调用标准包math/big封装的加和取模函数计算r = (e + x1) mod n, 并校验r<>0, 且r+k<>n (国标2-6.1.A5)
- (6) 调用标准包math/big封装的取乘法逆元和取模函数计算s = ((1+d)^(-1) * (k - rd)) mod n, 并校验s <> 0 (国标2-6.1.A6)
- (7) 返回计算结果(r, s)
// Sign 为封装后的SM2签名算法公共函数:
// (1) 输入参数为: 签名用户的私钥、ID和待签名信息
// (2) 调用SignToRS函数推算签名结果(r,s)
// (3) 调用MarshalSign函数将签名对象序列化为符合ASN.1标准DER编码规则的字节数组
func Sign(priv *PrivateKey, userID []byte, in []byte) ([]byte, error) {
r, s, err := SignToRS(priv, userID, in)
if err != nil {
return nil, err
}
return MarshalSign(r, s)
}
Sign( ) 为封装后的SM2签名算法公共函数:
- (1) 输入参数为: 签名用户的私钥、ID和待签名信息
- (2) 调用SignToRS函数推算签名结果(r,s)
- (3) 调用MarshalSign函数将签名对象序列化为符合ASN.1标准DER编码规则的字节数组
// VerifyByRS 为SM2验证签名算法的核心函数,输入参数为消息来源方公钥、用户ID、原始消息:
// (1) 调用math/big标准包(以下略)校验 1 <= r' < n (国标2-7.1.B1)
// (2) 校验 1 <= s' < n (国标2-7.1.B1)
// (3) 调用预处理函数,制备e' = Hash (Z||M') (国标2-7.1.B3-B4)
// (4) 计算 t = (r' + s') mod n, 并校验t<>0 (国标2-7.1.B5)
// (5) 调用elliptic标准包计算曲线上点(x1', y1') = [s']G + [t]PA, 并校验是否为无穷远点O(其实没必要) (国标2-7.1.B5)
// (6) 计算R = (e' + x1') mod n
// (7) 若 R = r' 则通过校验
func VerifyByRS(pub *PublicKey, userID []byte, src []byte, r, s *big.Int) bool {
intOne := new(big.Int).SetInt64(1)
if r.Cmp(intOne) == -1 || r.Cmp(pub.Curve.N) >= 0 {
return false
}
if s.Cmp(intOne) == -1 || s.Cmp(pub.Curve.N) >= 0 {
return false
}
digest := sm3.New()
if userID == nil {
userID = sm2SignDefaultUserID
}
e := calculateE(digest, &pub.Curve, pub.X, pub.Y, userID, src)
intZero := new(big.Int).SetInt64(0)
t := util.Add(r, s)
t = util.Mod(t, pub.Curve.N)
if t.Cmp(intZero) == 0 {
return false
}
sgx, sgy := pub.Curve.ScalarBaseMult(s.Bytes())
tpx, tpy := pub.Curve.ScalarMult(pub.X, pub.Y, t.Bytes())
x, y := pub.Curve.Add(sgx, sgy, tpx, tpy)
if util.IsEcPointInfinity(x, y) {
return false
}
expectedR := util.Add(e, x)
expectedR = util.Mod(expectedR, pub.Curve.N)
return expectedR.Cmp(r) == 0
}
VerifyByRS( ) 为SM2验证签名算法的核心函数,输入参数为消息来源方公钥、用户ID、原始消息:
- (1) 调用math/big标准包(以下略)校验 1 <= r’ < n (国标2-7.1.B1)
- (2) 校验 1 <= s’ < n (国标2-7.1.B1)
- (3) 调用预处理函数,制备e’ = Hash (Z||M’) (国标2-7.1.B3-B4)
- (4) 计算 t = (r’ + s’) mod n, 并校验t<>0 (国标2-7.1.B5)
- (5) 调用elliptic标准包计算曲线上点(x1’, y1’) = [s’]G + [t]PA, 并校验是否为无穷远点O(其实没必要) (国标2-7.1.B5)
- (6) 计算R = (e’ + x1’) mod n
- (7) 若 R = r’ 则通过校验
// Verify 为SM2封装后的签名验证函数,
// 输入参数为签名人的公钥、ID、原始消息和DER编码字节数组形式的签名(r, s),
// 反序列化签名后调用核心算法函数VerifyByRS校验签名。
func Verify(pub *PublicKey, userID []byte, src []byte, sign []byte) bool {
r, s, err := UnmarshalSign(sign)
if err != nil {
return false
}
return VerifyByRS(pub, userID, src, r, s)
}
Verify( ) 为SM2封装后的签名验证函数, 输入参数为签名人的公钥、ID、原始消息和DER编码字节数组形式的签名(r, s), 反序列化签名后调用核心算法函数VerifyByRS校验签名。
(未完待续)