sm2格式数字信封
0、参考链接
密码行业标准化技术委员会http://www.gmbz.org.cn/main/bzlb.html
SM2密码算法使用规范http://www.gmbz.org.cn/main/viewfile/2018011001400692565.html
SM2密码算法应用分析https://blog.csdn.net/arlaichin/article/details/23708155?utm_source=itdadao&utm_medium=referral
技术科普 | 国密算法在Ultrain区块链中的运用 https://blog.csdn.net/Tramp_1/article/details/111603396
1、sm2数字信封格式:
有效部分
公钥:04|X|Y,共65字节
私钥:整数,共32字节
SM2EnvelopedKey ::= SEQUENCE {symalgid AlgorithmIdentifier, -- 对称算法IDsymalgkey SM2Cipher, -- 对称算法密钥(被签名证书公钥加密)asympubkey BIT STRING, -- 加密证书公钥asymprvkey BIT STRING -- 加密证书私钥(被对称算法加密)
}
typedef struct SM2Cipher_st {ASN1_INTEGER *xCoordinate; // x分量(随机,非公钥)ASN1_INTEGER *yCoordinate; // y分量(随机,非公钥)ASN1_OCTET_STRING *hash; // 杂凑值ASN1_OCTET_STRING *cipherText; // 密文
} SM2Cipher;
AlgorithmIdentifier ::= SEQUENCE {algorithm OBJECT IDENTIFIER,parameters ANY DEFINED BY algorithm OPTIONAL
}区分普通的数字信封格式,见下图(openssl暂不支持sm2算法的私钥p7信封格式生成,但是支持sm2算法私钥的p7解密,生成p7可以在外部使用gmssl命令行生成)
typedef struct pkcs7_enveloped_st {ASN1_INTEGER *version; STACK_OF(PKCS7_RECIP_INFO) *recipientinfo;PKCS7_ENC_CONTENT *enc_data;
} PKCS7_ENVELOPE;
typedef struct pkcs7_recip_info_st {ASN1_INTEGER *version; PKCS7_ISSUER_AND_SERIAL *issuer_and_serial;X509_ALGOR *key_enc_algor;ASN1_OCTET_STRING *enc_key;X509 *cert; const PKCS7_CTX *ctx;
} PKCS7_RECIP_INFO;
typedef struct pkcs7_enc_content_st {ASN1_OBJECT *content_type;X509_ALGOR *algorithm;ASN1_OCTET_STRING *enc_data; const EVP_CIPHER *cipher;const PKCS7_CTX *ctx;
} PKCS7_ENC_CONTENT;
typedef struct pkcs7_st {unsigned char *asn1;long length;
# define PKCS7_S_HEADER 0
# define PKCS7_S_BODY 1
# define PKCS7_S_TAIL 2int state; int detached;ASN1_OBJECT *type;union {char *ptr;ASN1_OCTET_STRING *data;PKCS7_SIGNED *sign;PKCS7_ENVELOPE *enveloped;PKCS7_SIGN_ENVELOPE *signed_and_enveloped;PKCS7_DIGEST *digest;PKCS7_ENCRYPT *encrypted;ASN1_TYPE *other;} d;PKCS7_CTX ctx;
} PKCS7;
2、代码中sm2数字信封加密解密步骤
加密(将加密私钥明文转换为sm2信封格式密文)
1、将加密证书私钥转换为der格式(二进制)
2、设置对称算法ID,公钥有效数据部分,私钥有效数据部分对称算法ID默认为0x2a, 0x81, 0x1c, 0xcf, 0x55, 0x01, 0x68, 0x01(即sm4_ecb,1.2.156.10197.1.104.1)公钥数据前缀为0xa1, 0x44, 0x03, 0x42, 0x00,截取65字节明文私钥数据前缀为0x02, 0x01, 0x01, 0x04, 0x20,截取32字节明文
3、创建对称密钥,加密私钥有效数据部分使用sm4_ecb算法和创建的128位随机密钥,加密私钥32字节得到32字节密文
4、使用签名公钥加密对称密钥,密文转换为二进制使用sm2算法加密128位对称密钥,得到对称密钥密文(此处我使用了openssl已实现的sm2算法加密,因此不需要按照国标文档里深入底层计算预处理结果Za)
5、将对称算法ID,对称密钥密文,公钥,私钥密文转换为信封格式数据(此处可以参考openssl内部代码实现结构体和i2d格式转换)
6、将der二进制信封转换为pem格式(base64),输出
解密(将sm2数字信封格式转换为加密私钥)
1、p7(pem格式)转二进制
2、解析二进制,得到对称算法ID,对称算法密钥密文,加密证书公钥,加密证书私钥密文二进制
3、对称算法ID转具体算法名称二进制字符串ID转换为OID(1.2.156.10197.1.104.1)进行匹配
4、签名私钥解密,得到对称算法密钥使用sm2算法解密对称密钥密文,得到对称密钥明文
5、对称算法解密,得到加密私钥有效数据,32字节使用sm4_ecb算法和对称密钥明文,解密私钥32字节密文得到32字节明文
6、拼接公钥,私钥得到完整加密私钥der二进制格式,有两种方式(此处拼接方法是我自己创造的,有什么其他好方法欢迎共享)
(1)"30770201010420"+32字节私钥+"a00a06082a811ccf5501822da144034200"+65字节公钥 (2)"308187020100301306072A8648CE3D020106082A811CCF5501822D046D306B0201010420"+32字节私钥+"A144034200"+65字节公钥
7、转换der得到pem格式文件
3、sm2数字信封格式详解
p7pem格式(base64)
MIHtMAkGByqBHM9VAWgweQIgMtHF6qRZOKJxnT5MYSv4eK/LjJHmp7b/p7AaP6cqigkCIQCFpr2MmakaMxVH1u+Yzxf+oJSFETwiZacB4j3NohlbHwQgO50Hic8tDYBLedIbuqsS2lXvPDYtyuLUrQKyGRI1Y9gEEA5lnd3Yxujfedxk6Cam9ygDQgAEnrxloYKoCRYc3Lh96OYupmT7V7X/BBgdcfCMQnsB7nQhD6FVwgKoN0JMwMqHXGg6l891FCfuTh5N51YqOAqBwwMhAHiB9UgemN+Xz39qsdMeVl4SKdmHHkPkKmNOBJjoqHorp7二进制
3081ED300906072A811CCF5501683079022032D1C5EAA45938A2719D3E4C612BF878AFCB8C91E6A7B6FFA7B01A3FA72A8A0902210085A6BD8C99A91A331547D6EF98CF17FEA09485113C2265A701E23DCDA2195B1F04203B9D0789CF2D0D804B79D21BBAAB12DA55EF3C362DCAE2D4AD02B219123563D804100E659DDDD8C6E8DF79DC64E826A6F728034200049EBC65A182A809161CDCB87DE8E62EA664FB57B5FF04181D71F08C427B01EE74210FA155C202A837424CC0CA875C683A97CF751427EE4E1E4DE7562A380A81C30321007881F5481E98DF97CF7F6AB1D31E565E1229D9871E43E42A634E0498E8A87A2B主要包含(1)(2)(3)(4)3081ed30090607
(1)对称算法ID:sms4 2a811ccf550168
(2)对称算法密钥密文(sm2加密): 3079022032d1c5eaa45938a2719d3e4c612bf878afcb8c91e6a7b6ffa7b01a3fa72a8a0902210085a6bd8c99a91a331547d6ef98cf17fea09485113c2265a701e23dcda2195b1f04203b9d0789cf2d0d804b79d21bbaab12da55ef3c362dcae2d4ad02b219123563d804100e659dddd8c6e8df79dc64e826a6f728拆解后:
30790220
x:32d1c5eaa45938a2719d3e4c612bf878afcb8c91e6a7b6ffa7b01a3fa72a8a09
022100
y:85a6bd8c99a91a331547d6ef98cf17fea09485113c2265a701e23dcda2195b1f
0420
m:3b9d0789cf2d0d804b79d21bbaab12da55ef3c362dcae2d4ad02b219123563d8
0410
c:0e659dddd8c6e8df79dc64e826a6f728
(c结构密文)
04|x|y|m|c
0432D1C5EAA45938A2719D3E4C612BF878AFCB8C91E6A7B6FFA7B01A3FA72A8A0985A6BD8C99A91A331547D6EF98CF17FEA09485113C2265A701E23DCDA2195B1F3B9D0789CF2D0D804B79D21BBAAB12DA55EF3C362DCAE2D4AD02B219123563D80E659DDDD8C6E8DF79DC64E826A6F728使用sm2签名私钥解密(2)后得到
对称密钥明文:EP/+Xo55MBhI3e1GTyghhQ==:10FFFE5E8E79301848DDED464F282185
(3)加密证书公钥:
034200
有效数据明文(65B):049ebc65a182a809161cdcb87de8e62ea664fb57b5ff04181d71f08c427b01ee74210fa155c202a837424cc0ca875c683a97cf751427ee4e1e4de7562a380a81c3
(4)加密证书私钥(加密):
032100
有效数据密文(32B):7881f5481e98df97cf7f6ab1d31e565e1229d9871e43e42a634e0498e8a87a2b使用(2)中对称密钥解密得到sm2私钥有效数据明文
cipher.txt.bin:7881f5481e98df97cf7f6ab1d31e565e1229d9871e43e42a634e0498e8a87a2b #需要将十六进制转换为二进制文件
openssl enc -d -sm4-ecb -in cipher.txt.bin -K 10FFFE5E8E79301848DDED464F282185 -p -out plain.txt.bin #解密得到明文
加密验证
plain.txt.bin:71e49d78b44c6fd54331869f343c537c0a736954ae22cd50277ae587a7e6762e #需要将十六进制转换为二进制文件
openssl enc -e -sm4-ecb -nopad -in plain.txt.bin -K 10FFFE5E8E79301848DDED464F282185 -p -out cipher.txt.bin #使用明文加密得到加密证书公钥der:
3059301306072a8648ce3d020106082a811ccf5501822d034200
049ebc65a182a809161cdcb87de8e62ea664fb57b5ff04181d71f08c427b01ee74210fa155c202a837424cc0ca875c683a97cf751427ee4e1e4de7562a380a81c3加密证书私钥der(格式1):
308187020100301306072A8648CE3D020106082A811CCF5501822D046D306B0201010420
私钥有效数据 71E49D78B44C6FD54331869F343C537C0A736954AE22CD50277AE587A7E6762EA144034200
公钥有效数据049EBC65A182A809161CDCB87DE8E62EA664FB57B5FF04181D71F08C427B01EE74210FA155C202A837424CC0CA875C683A97CF751427EE4E1E4DE7562A380A81C3加密证书私钥der(格式2):
30770201010420
私钥有效数据 71e49d78b44c6fd54331869f343c537c0a736954ae22cd50277ae587a7e6762e
a00a06082a811ccf5501822da144034200
公钥有效数据 049ebc65a182a809161cdcb87de8e62ea664fb57b5ff04181d71f08c427b01ee74210fa155c202a837424cc0ca875c683a97cf751427ee4e1e4de7562a380a81c3
