PAGE1PAGE一、工作簡況任務(wù)來源根據(jù)國家標(biāo)準(zhǔn)化管理委員會下達(dá)的國家標(biāo)準(zhǔn)制修訂計劃，由國家信息安全工程技術(shù)研究中心牽頭編制《信息安全技術(shù)SM9標(biāo)識密碼算法第2部分：數(shù)字簽名算法》（國標(biāo)計劃號：2017xxxx-T-xxx）。標(biāo)準(zhǔn)編制的主要成員單位項(xiàng)目成員單位主要有：深圳奧聯(lián)科技有限公司、北京國脈信安科技有限公司、武漢大學(xué)、上海交大、中科院信息工程研究所、北方信息技術(shù)研究所等單位。參與人員主要起草人包括陳曉、程朝輝、葉頂峰、胡磊、陳建華、路貝可、季慶光、曹珍富、袁文恭、劉平、馬寧、袁峰、李增欣、王學(xué)進(jìn)、楊恒亮、張青坡、馬艷麗、浦雨三、唐英、孫移盛、安萱。其中陳曉、程朝輝、葉頂峰、胡磊、陳建華、路貝可、季慶光、曹珍富作為國內(nèi)早期IBC標(biāo)識密碼算法技術(shù)的研究者，陳曉、程朝輝、馬寧、馬艷麗等作用SM9密碼算法的主要研制者，陳曉、馬寧、袁峰、李增欣、王學(xué)進(jìn)、楊恒亮、張青坡、浦雨三、唐英、孫移盛、安萱是標(biāo)準(zhǔn)的主要編制者。袁文恭、劉平是責(zé)任專家。主要工作過程2013年初國家密碼管理局給國家信息安全工程技術(shù)研究中心下達(dá)了研制《SM9標(biāo)識密碼算法》GM標(biāo)準(zhǔn)的任務(wù)。2013年9月到2014年5月，包括以下四個方面工作?！狪BC調(diào)研：調(diào)研2007年以來，IBC的相關(guān)研究新進(jìn)展?！€選擇：根據(jù)最新的研究進(jìn)展，確定適于雙線性對高效實(shí)現(xiàn)的、安全的橢圓曲線?！纠龑?shí)現(xiàn)：完成新的曲線選擇，采用SM3為密碼雜湊函數(shù)、SM4為對稱加密算法的條件下，雙線性對的標(biāo)識密碼算法的軟件實(shí)現(xiàn)?！谋拘抻啠盒纬蒅M格式；并吸納新的研究結(jié)果。經(jīng)過上述四方面工作，完成了SM9標(biāo)準(zhǔn)文本的GM格式征求意見稿。2014年5月到2015年11月，主要任務(wù)是意見征集和文本修改。經(jīng)過項(xiàng)目組多次會議討論；同時通過信函審查方式征求專家委員意見；跟蹤應(yīng)用單位，征集工程實(shí)現(xiàn)過程中的意見。結(jié)合上述意見，再次研究討論，修改文本，形成GM格式標(biāo)準(zhǔn)文本送審稿。2015年11月11日，國家密碼管理局組織召開密標(biāo)委主任辦公會，對《SM9標(biāo)識密碼算法》GM標(biāo)準(zhǔn)文本進(jìn)行審核。2016年4月作為密碼行業(yè)標(biāo)準(zhǔn)GM/T0044-2016正式發(fā)布。2017年1月至2017年4月。隨著我國商用密碼的發(fā)展和國際化戰(zhàn)略，SM系列密碼算法標(biāo)準(zhǔn)相繼申報國家標(biāo)準(zhǔn)，SM9標(biāo)識密碼算法標(biāo)準(zhǔn)完成國標(biāo)申報工作。2017年5月通過國標(biāo)立項(xiàng)，8月完成草案稿。2017年10月，在信安標(biāo)委2017年第二全體會議工作組會議中，與會專家和工作組對SM9密碼算法系列標(biāo)準(zhǔn)的內(nèi)容進(jìn)行了調(diào)整：——將本標(biāo)準(zhǔn)名稱《信息安全技術(shù)SM9標(biāo)識密碼算法第2部分：數(shù)字簽名算法》改為《信息安全技術(shù)SM9標(biāo)識密碼算法第2部分：算法》，將SM9數(shù)字簽名、密鑰交換、密鑰封裝、公鑰加密算法合并到《第2部分：算法》中，第1部分、第2部分標(biāo)準(zhǔn)發(fā)布后，為使用者提供完整的算法實(shí)現(xiàn)支撐?！獙ⅰ缎畔踩夹g(shù)SM9標(biāo)識密碼算法第1部分：總則》標(biāo)準(zhǔn)附錄E算法示例部分去掉，作為附錄移動到《信息安全技術(shù)SM9標(biāo)識密碼算法第2部分：算法》中，為使用者給出完整的示例。2017年10月經(jīng)修改后，形成征求意見稿。二、標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題標(biāo)準(zhǔn)技術(shù)研制依據(jù)和論證過程A.Shamir在1984年提出了標(biāo)識密碼(Identity-BasedCryptography)的概念，在標(biāo)識密碼系統(tǒng)中，用戶的私鑰由密鑰生成中心(KGC)根據(jù)主密鑰和用戶標(biāo)識計算得出，用戶的公鑰由用戶標(biāo)識唯一確定，從而用戶不需要通過第三方保證其公鑰的真實(shí)性。與基于證書的公鑰密碼系統(tǒng)相比，標(biāo)識密碼系統(tǒng)中的密鑰管理環(huán)節(jié)可以得到適當(dāng)簡化。1999年，K.Ohgishi、R.Sakai和M.Kasahara在日本提出了用橢圓曲線對(pairing)構(gòu)造基于標(biāo)識的密鑰共享方案；2001年，D.Boneh和M.Franklin，以及R.Sakai、K.Ohgishi和M.Kasahara等人獨(dú)立提出了用橢圓曲線對構(gòu)造標(biāo)識公鑰加密算法。這些工作引發(fā)了標(biāo)識密碼的新發(fā)展，出現(xiàn)了一批用橢圓曲線對實(shí)現(xiàn)的標(biāo)識密碼算法，其中包括數(shù)字簽名算法、密鑰交換協(xié)議、密鑰封裝機(jī)制和公鑰加密算法等。橢圓曲線對具有雙線性的性質(zhì)，它在橢圓曲線的循環(huán)子群與擴(kuò)域的乘法循環(huán)子群之間建立聯(lián)系，構(gòu)成了雙線性DH、雙線性逆DH、判定性雙線性逆DH、-雙線性逆DH和-Gap-雙線性逆DH等難題，當(dāng)橢圓曲線離散對數(shù)問題和擴(kuò)域離散對數(shù)問題的求解難度相當(dāng)時，可用橢圓曲線對構(gòu)造出安全性和實(shí)現(xiàn)效率兼顧的標(biāo)識密碼。在引入橢圓曲線雙線性對(Pairing)之后，基于身份的公鑰密碼（IBC）成為密碼學(xué)的熱點(diǎn)研究領(lǐng)域，國際上出現(xiàn)了多種基于Pairing的IBC算法，國際標(biāo)準(zhǔn)組織在IEEEP1363.3和ISO14888-3中分別征集和采納相關(guān)算法。2006年11月1日，國家密碼管理局商密辦組織成立我國的IBC標(biāo)準(zhǔn)研究組。主要任務(wù)是設(shè)計出有中國特色的、規(guī)避了知識產(chǎn)權(quán)的、安全的、高效率的IBC算法。標(biāo)準(zhǔn)研究組綜合考慮IBC算法知識產(chǎn)權(quán)自主性、安全性和實(shí)現(xiàn)效率，設(shè)計出了特有的“指數(shù)逆”類用戶私鑰提取算法。在此基礎(chǔ)上，設(shè)計了三類(五個)基于Pairing的IBC算法，其中包括簽名算法SC-IBS、密鑰交換算法SC-IBKE、密鑰封裝機(jī)制SC-IBKEM、加密算法SC-IBE1和SC-IBE2。并對所設(shè)計的IBC算法完成了安全性證明及效率分析。2007年6月19日，國密局組織了算法評估組，針對IBC標(biāo)準(zhǔn)研究組提出的SC-IBS、SC-IBKE、SC-IBKEM、SC-IBE1和SC-IBE2等提案進(jìn)行分析評估工作。2007年7月11日，IBC標(biāo)準(zhǔn)研究組聽取了評估意見，進(jìn)行修改和論證。2007年8月12日，算法提交給文本撰寫組，按照國家標(biāo)準(zhǔn)文本格式（GB格式）形成標(biāo)準(zhǔn)文本草案稿，于2007年10月12日上交商密辦。11月初，撰寫組征集得到國內(nèi)相關(guān)專家對文本的修改意見，逐條進(jìn)行了討論，并擬定了處理意見，同時對文本再次修改，形成了GB格式的標(biāo)準(zhǔn)文本。2007年12月16日，國家密碼管理局在北京組織召開會議，《基于雙線性對的標(biāo)識密碼算法》及其GB格式標(biāo)準(zhǔn)文本進(jìn)行評審。專家們認(rèn)為：該算法內(nèi)容體現(xiàn)了國際最先進(jìn)的標(biāo)識密碼算法設(shè)計思想，盡力規(guī)避了可能出現(xiàn)的知識產(chǎn)權(quán)糾紛。三類算法均能得到高效實(shí)現(xiàn)。其安全性經(jīng)證明分別歸約到雙線性對困難問題。評審組一致認(rèn)為：基于雙線性對的標(biāo)識密碼算法的設(shè)計達(dá)到了國家對商用密碼算法的設(shè)計要求。在2008年-2013年期間，基于雙線性對的標(biāo)識密碼算法作為內(nèi)部試用算法存在，并在國家密碼管理局取得SM9編號。編制原則知識產(chǎn)權(quán)獨(dú)立性基于橢圓曲線雙線性對的標(biāo)識密碼算法是國際密碼學(xué)的熱點(diǎn)研究領(lǐng)域，全球有不少學(xué)者和企業(yè)對該類算法的設(shè)計和應(yīng)用感興趣，為了建立我國的標(biāo)識密碼算法，必須充分調(diào)研國際上已有的專利和標(biāo)準(zhǔn)算法，設(shè)計出來的SM9算法必須具備獨(dú)立的知識產(chǎn)權(quán)，為進(jìn)一步推廣應(yīng)用爭取優(yōu)勢。算法安全性密碼算法的核心任務(wù)是維護(hù)信息系統(tǒng)的安全性，在SM9標(biāo)識密碼算法的設(shè)計中，須保證算法本身的安全性可以得到嚴(yán)格證明，其系統(tǒng)參數(shù)的選擇須達(dá)到我國商用密碼現(xiàn)階段和不遠(yuǎn)的將來的安全性需求。實(shí)現(xiàn)高效性密碼算法的實(shí)現(xiàn)效率是衡量算法有效性的一個重要指標(biāo)，由于SM9算法所立足的橢圓曲線雙線性對是比較復(fù)雜的數(shù)學(xué)概念，其計算原理和算法與曲線參數(shù)的選擇緊密關(guān)聯(lián)，SM9算法的設(shè)計、橢圓曲線參數(shù)和雙線性對的選擇都必須保證該算法可以得到高效實(shí)現(xiàn)，以確保在具體應(yīng)用中滿足用戶簽名、驗(yàn)簽、密鑰交換、密鑰封裝、加密、解密等算法高效實(shí)現(xiàn)的需求。主要內(nèi)容《信息安全技術(shù)SM9標(biāo)識密碼算法》系列標(biāo)準(zhǔn)分為兩個部分：——第1部分：總則；——第2部分：算法。本標(biāo)準(zhǔn)為第2部分：算法，主要規(guī)范了以下內(nèi)容：數(shù)字簽名，規(guī)定了一個用橢圓曲線雙線性對實(shí)現(xiàn)的基于標(biāo)識的數(shù)字簽名和驗(yàn)簽算法。該算法的簽名者持有一個標(biāo)識和一個相應(yīng)的私鑰，該私鑰由密鑰生成中心通過簽名主私鑰和簽名者的標(biāo)識結(jié)合產(chǎn)生。簽名者用自身私鑰對數(shù)據(jù)產(chǎn)生數(shù)字簽名，驗(yàn)證者用簽名者的標(biāo)識驗(yàn)證簽名的可靠性。密鑰交換協(xié)議，規(guī)定了用橢圓曲線對實(shí)現(xiàn)的基于標(biāo)識的密鑰交換協(xié)議，并提供了相應(yīng)的流程。該協(xié)議可以使通信雙方通過對方的標(biāo)識和自身的私鑰經(jīng)兩次或可選三次信息傳遞過程，計算獲取一個由雙方共同決定的共享秘密密鑰。該秘密密鑰可作為對稱密碼算法的會話密鑰。協(xié)議中選項(xiàng)可以實(shí)現(xiàn)密鑰確認(rèn)。密鑰封裝機(jī)制和公鑰加密，規(guī)定了用橢圓曲線對實(shí)現(xiàn)的基于標(biāo)識的密鑰封裝機(jī)制和公鑰加密與解密算法，并提供相應(yīng)的流程。利用密鑰封裝機(jī)制可以封裝密鑰給特定的實(shí)體。公鑰加密與解密算法即基于標(biāo)識的非對稱密碼算法，該算法使消息發(fā)送者可以利用接收者的標(biāo)識對消息進(jìn)行加密，唯有接收者可以用相應(yīng)的私鑰對該密文進(jìn)行解密，從而獲取消息。主要內(nèi)容包括5個部分：統(tǒng)一的參數(shù)和6個輔助函數(shù)5算法參數(shù)與輔助函數(shù)5.1總則5.2系統(tǒng)參數(shù)組5.3輔助函數(shù)數(shù)字簽名算法6系統(tǒng)簽名主密鑰和用戶簽名密鑰的產(chǎn)生7數(shù)字簽名生成算法及流程7.1數(shù)字簽名生成算法7.2數(shù)字簽名生成算法流程8數(shù)字簽名驗(yàn)證算法及流程8.1數(shù)字簽名驗(yàn)證算法8.2數(shù)字簽名驗(yàn)證算法流程密鑰交換協(xié)議9密鑰交換協(xié)議及流程9.1密鑰交換協(xié)議9.2密鑰交換協(xié)議流程密鑰封裝和加密算法10系統(tǒng)加密主密鑰和用戶加密密鑰的產(chǎn)生11密鑰封裝機(jī)制及流程11.1密鑰封裝算法及流程11.2解封裝算法及流程12公鑰加密算法及流程12.1加密算法及流程12.2解密算法及流程算法示例附錄A（資料性附錄）算法示例三、主要試驗(yàn)[或驗(yàn)證]情況分析標(biāo)準(zhǔn)研究組在曲線選擇過程中，對雙線性對的實(shí)現(xiàn)做了相應(yīng)的研究。本標(biāo)準(zhǔn)選擇基域規(guī)模為256比特的、嵌入次數(shù)k=12的BN曲線，此時雙線性對值域的規(guī)模為25612=3072比特。鑒于BN曲線上R-ate對的Miller循環(huán)最短，實(shí)現(xiàn)效率較高。對我們推薦選用R-ate對。使用C語言實(shí)現(xiàn)了推薦曲線上的多倍點(diǎn)運(yùn)算和R-ate對運(yùn)算。操作系統(tǒng)環(huán)境：WindowsXPProfessionalSP3編譯軟件：VC++6.0SP6和IntelC++9.0硬件環(huán)境：IntelCorei5-3470CPU@3.20GHz3.19GHz可執(zhí)行程序大?。?0KB。注：①擴(kuò)域方冪在12次擴(kuò)域計算，擴(kuò)域多倍點(diǎn)在2次擴(kuò)域計算在此基礎(chǔ)上，在第1部分的附錄中給出了數(shù)字簽名算法、密鑰交換協(xié)議、密鑰封裝機(jī)制、公鑰加密算法示例，這些示例驗(yàn)證了SM9標(biāo)準(zhǔn)算法可以正確實(shí)現(xiàn)。在標(biāo)準(zhǔn)文本編制的同時，國家信息安全工程技術(shù)研究中心、深圳奧聯(lián)科技有限公司、華大信息安全技術(shù)有限公司等單位均有工程實(shí)現(xiàn)小組進(jìn)行產(chǎn)品研發(fā)工作，已經(jīng)從軟硬件實(shí)現(xiàn)多種角度驗(yàn)證了SM9算法的正確性和實(shí)現(xiàn)效率，為該標(biāo)準(zhǔn)的推廣應(yīng)用打下了良好的基礎(chǔ)。四、知識產(chǎn)權(quán)情況說明經(jīng)過專利查詢和已有標(biāo)準(zhǔn)查詢，確認(rèn)我們設(shè)計的SM9標(biāo)識密碼算法具有獨(dú)立的知識產(chǎn)權(quán)，與現(xiàn)有專利和標(biāo)準(zhǔn)沒有沖突。專利查詢途徑：網(wǎng)上的公共資源，如美國的專利與商標(biāo)局的政府網(wǎng)；中國國家知識產(chǎn)權(quán)與專利局等。查詢結(jié)果：獲得了全球范圍內(nèi)共計174個與標(biāo)識密碼和雙線性對相關(guān)的專利，涉及美、日、德、法、意等國。年代2005200620072008200920102011201220132014專利個數(shù)14615152522272930標(biāo)準(zhǔn)查詢途徑：我國標(biāo)準(zhǔn)館的收藏以及國際互聯(lián)網(wǎng)資源。查詢結(jié)果：與標(biāo)識密碼相關(guān)的國際標(biāo)準(zhǔn)為ISO/IEC14888-3，大部分國家套用ISO/IEC標(biāo)準(zhǔn)；還有IEEEP1363.3、RFC5091、5408、5409等。五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果標(biāo)識密碼技術(shù)是PKI密碼體系中一個重要組成部分，其特有的直接基于標(biāo)識生成密鑰，以及加解密、簽名驗(yàn)證的方法，為多種應(yīng)用提供了良好的快速、簡便的服務(wù)，能夠帶動一系列新技術(shù)、新應(yīng)用和新產(chǎn)業(yè)的發(fā)展。六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)情況在算法研制過程中研究和分析了國際上大量相關(guān)密碼技術(shù)，以及IBE相關(guān)文檔，提出了自己曲線和參數(shù)。本標(biāo)準(zhǔn)選擇BN曲線上R-ate對，基域規(guī)模為256比特的、嵌入次數(shù)k=12的BN曲線，雙線性對值域的規(guī)模為25612=3072比特。計算效率表如下（單位：毫秒）編譯環(huán)境對運(yùn)算擴(kuò)域方冪基域多倍點(diǎn)擴(kuò)域多倍點(diǎn)VC++6.010.375.621.483.59IntelC++9.04.532.650.631.56該指標(biāo)經(jīng)過專家多次論證，考慮到技術(shù)實(shí)現(xiàn)難度和計算成本，認(rèn)為目前定義的各項(xiàng)指標(biāo)在5～8年內(nèi)能夠滿足我國實(shí)際需求，如果有進(jìn)一步發(fā)展需求，可以繼續(xù)增大基域規(guī)模。七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性該標(biāo)準(zhǔn)是標(biāo)識密碼技術(shù)體系的算法基礎(chǔ)標(biāo)準(zhǔn)，屬于公鑰密碼學(xué)體系范疇，符合國家法律要求。八、重大分歧意見的處理經(jīng)過和依據(jù)無。九、標(biāo)準(zhǔn)性質(zhì)的建議本標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn)。十、貫徹標(biāo)準(zhǔn)的要求和措施建議采用該標(biāo)準(zhǔn)的密碼設(shè)備、系統(tǒng)等產(chǎn)品，如果要面向市場應(yīng)用為確保安全和標(biāo)準(zhǔn)使用的正確性，應(yīng)首先通過國家密碼主管部門的檢測和安全審查。十一、替代或廢止現(xiàn)行相關(guān)標(biāo)準(zhǔn)的建議無。十二、其它應(yīng)予說明的事項(xiàng)致謝SM9標(biāo)識密碼算法的研究從2006年開始