《SM2橢圓曲線公鑰密碼算法第3部分密鑰交換協(xié)議》

ICS35.040

L80

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX.3—XXXX

信息安全技術(shù)SM2橢圓曲線公鑰密碼算法

第3部分：密鑰交換協(xié)議

Informationsecuritytechnology-PublickeycryptographicalgorithmSM2basedon

ellipticcurves-

Part3：Keyexchangeprotocol

點(diǎn)擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識

（征求意見稿）

在提交反饋意見時(shí)，請將您知道的相關(guān)專利連同支持性文件一并附上

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX.4—XXXX

1范圍

GB/TXXXXX的本部分規(guī)定了SM2橢圓曲線公鑰密碼算法的密鑰交換協(xié)議，并給出了密鑰交換與

驗(yàn)證示例及其相應(yīng)的流程。

本部分適用于商用密碼應(yīng)用中的密鑰交換，可滿足通信雙方經(jīng)過兩次或可選三次信息傳遞過程，計(jì)

算獲取一個(gè)由雙方共同決定的共享秘密密鑰（會(huì)話密鑰）。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/TXXXXX.1-XXXXSM2橢圓曲線公鑰密碼算法第1部分：總則

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

從A到B的密鑰確認(rèn)keyconfirmationfromAtoB

使用戶B確信用戶A擁有特定秘密密鑰的保證。

3.2

密鑰派生函數(shù)keyderivationfunction

通過作用于共享秘密和雙方都知道的其它參數(shù)，產(chǎn)生一個(gè)或多個(gè)共享秘密密鑰的函數(shù)。

3.3

發(fā)起方initiator

在一個(gè)協(xié)議的操作過程中發(fā)送首輪交換信息的用戶。

3.4

響應(yīng)方responder

在一個(gè)協(xié)議的操作過程中不是發(fā)送首輪交換信息的用戶。

3.5

可辨別標(biāo)識distinguishingidentifier

可以無歧義辨別某一實(shí)體身份的信息。

4符號

下列符號適用于本文件。

A,B使用公鑰密碼系統(tǒng)的兩個(gè)用戶。

a,bFq中的元素，它們定義Fq上的一條橢圓曲線E。

dA用戶A的私鑰。

dB用戶B的私鑰。

E(Fq)Fq上橢圓曲線E的所有有理點(diǎn)(包括無窮遠(yuǎn)點(diǎn)O)組成的集合。

Fq包含q個(gè)元素的有限域。

G橢圓曲線的一個(gè)基點(diǎn)，其階為素?cái)?shù)。

Hash()密碼雜湊算法。

Hv()消息摘要長度為v比特的密碼雜湊算法。

1

GB/TXXXXX.4—XXXX

h余因子，h=#E(Fq)/n，其中n是基點(diǎn)G的階。

IDA,IDB用戶A和用戶B的可辨別標(biāo)識。

K,KA,KB密鑰交換協(xié)議商定的共享秘密密鑰。

KDF()密鑰派生函數(shù)。

modn模n運(yùn)算。例如，23mod7=2。

n基點(diǎn)G的階(n是#E(Fq)的素因子)。

O橢圓曲線上的一個(gè)特殊點(diǎn)，稱為無窮遠(yuǎn)點(diǎn)或零點(diǎn)，是橢圓曲線加法群的單位元。

PA用戶A的公鑰。

PB用戶B的公鑰。

q有限域Fq中元素的數(shù)目。

rA密鑰交換中用戶A產(chǎn)生的臨時(shí)密鑰值。

rB密鑰交換中用戶B產(chǎn)生的臨時(shí)密鑰值。

x||yx與y的拼接，其中x、y可以是比特串或字節(jié)串。

ZA關(guān)于用戶A的可辨別標(biāo)識、部分橢圓曲線系統(tǒng)參數(shù)和用戶A公鑰的雜湊值。

ZB關(guān)于用戶B的可辨別標(biāo)識、部分橢圓曲線系統(tǒng)參數(shù)和用戶B公鑰的雜湊值。

#E(Fq)E(Fq)上點(diǎn)的數(shù)目，稱為橢圓曲線E(Fq)的階。

橢圓曲線上點(diǎn)的倍點(diǎn)，即，，是正整數(shù)。

[k]PPk[k]PPP...Pk

k個(gè)

[x,y]大于或等于x且小于或等于y的整數(shù)的集合。

x頂函數(shù)，大于或等于x的最小整數(shù)。例如，77,8.39。

x底函數(shù)，小于或等于x的最大整數(shù)。例如,77,8.38。

&兩個(gè)整數(shù)的按比特與運(yùn)算。

5算法參數(shù)與輔助函數(shù)

5.1綜述

密鑰交換協(xié)議是兩個(gè)用戶A和B通過交互的信息傳遞，用各自的私鑰和對方的公鑰來商定一個(gè)只有他

們知道的秘密密鑰。這個(gè)共享的秘密密鑰通常用在某個(gè)對稱密碼算法中。該密鑰交換協(xié)議能夠用于密鑰

管理和協(xié)商。

5.2橢圓曲線系統(tǒng)參數(shù)

m

橢圓曲線系統(tǒng)參數(shù)包括有限域Fq的規(guī)模q(當(dāng)q=2時(shí)，還包括元素表示法的標(biāo)識和約化多項(xiàng)式)；

定義橢圓曲線E(Fq)的方程的兩個(gè)元素a、bFq；E(Fq)上的基點(diǎn)G=(xG,yG)(G≠O)，其中xG和yG是Fq

中的兩個(gè)元素；G的階n及其它可選項(xiàng)(如n的余因子h等)。

橢圓曲線系統(tǒng)參數(shù)及其驗(yàn)證應(yīng)符合GB/TXXXXX.1-XXXX第5章的規(guī)定。

5.3用戶密鑰對

用戶A的密鑰對包括其私鑰dA和公鑰PA=[dA]G=(xA,yA)，用戶B的密鑰對包括其私鑰dB和公鑰

PB=[dB]G=(xB,yB)。

用戶密鑰對的生成算法與公鑰驗(yàn)證算法應(yīng)符合GB/TXXXXX.1-XXXX第6章的規(guī)定。

5.4輔助函數(shù)

5.4.1概述

在本部分規(guī)定的橢圓曲線密鑰交換協(xié)議中，涉及到三類輔助函數(shù)：密碼雜湊算法，密鑰派生函數(shù)與

隨機(jī)數(shù)發(fā)生器。這三類輔助函數(shù)的強(qiáng)弱直接影響密鑰交換協(xié)議的安全性。

5.4.2密碼雜湊算法

本部分規(guī)定使用國家密碼管理局批準(zhǔn)的密碼雜湊算法，如SM3密碼雜湊算法。

2

GB/TXXXXX.4—XXXX

5.4.3密鑰派生函數(shù)

密鑰派生函數(shù)的作用是從一個(gè)共享的秘密比特串中派生出密鑰數(shù)據(jù)。在密鑰協(xié)商過程中，密鑰派生

函數(shù)作用在密鑰交換所獲共享的秘密比特串上，從中產(chǎn)生所需的會(huì)話密鑰或進(jìn)一步加密所需的密鑰數(shù)

據(jù)。

密鑰派生函數(shù)需要調(diào)用密碼雜湊算法。

設(shè)密碼雜湊算法為Hv()，其輸出是長度恰為v比特的雜湊值。

密鑰派生函數(shù)KDF(Z,klen)：

輸入：比特串Z，整數(shù)klen(表示要獲得的密鑰數(shù)據(jù)的比特長度，要求該值小于(232-1)v)。

輸出：長度為klen的密鑰數(shù)據(jù)比特串K。

a)初始化一個(gè)32比特構(gòu)成的計(jì)數(shù)器ct=0x00000001；

b)對i從1到klen/v執(zhí)行：

b.1)計(jì)算Hai=Hv(Z||ct)；

b.2)ct++；

若是整數(shù)，令，

c)klen/vHa!klen/vHaklen/v

否則令為最左邊的比特；

Ha!klen/vHaklen/v(klen(vklen/v))

令。

d)KHa1||Ha2||||Haklen/v1||Ha!klen/v

5.4.4隨機(jī)數(shù)發(fā)生器

本部分規(guī)定使用國家密碼管理局批準(zhǔn)的隨機(jī)數(shù)發(fā)生器。

5.5用戶其它信息

用戶A具有長度為entlenA比特的可辨別標(biāo)識IDA，記ENTLA是由整數(shù)entlenA轉(zhuǎn)換而成的兩個(gè)字節(jié)；

用戶B具有長度為entlenB比特的可辨別標(biāo)識IDB，記ENTLB是由整數(shù)entlenB轉(zhuǎn)換而成的兩個(gè)字節(jié)。在

本部分規(guī)定的橢圓曲線密鑰交換協(xié)議中，參與密鑰協(xié)商的A、B雙方都需要用密碼雜湊算法求得用戶A

的雜湊值ZA和用戶B的雜湊值ZB。按GB/TXXXXX.1-XXXX中的4.2.5和4.2.6給出的方法，將橢圓

曲線方程參數(shù)a、b、G的坐標(biāo)xG、yG和PA的坐標(biāo)xA、yA的數(shù)據(jù)類型轉(zhuǎn)換為比特串，ZA=

H256(ENTLA||IDA||a||b||xG||yG||xA||yA)；按GB/TXXXXX.1-XXXX4.2.5和4.2.6給出的方法，將橢圓曲線方

程參數(shù)a、b、G的坐標(biāo)xG、yG和PB的坐標(biāo)xB、yB的數(shù)據(jù)類型轉(zhuǎn)換為比特串，ZB=

H256(ENTLB||IDB||a||b||xG||yG||xB||yB)。

6密鑰交換協(xié)議及流程

6.1密鑰交換協(xié)

設(shè)用戶A和B協(xié)商獲得密鑰數(shù)據(jù)的長度為klen比特，用戶A為發(fā)起方，用戶B為響應(yīng)方。

用戶A和B雙方為了獲得相同的密鑰，應(yīng)實(shí)現(xiàn)如下運(yùn)算步驟：

記w(log2(n)/2)1。

用戶A：

A1：用隨機(jī)數(shù)發(fā)生器產(chǎn)生隨機(jī)數(shù)rA∈[1,n-1]；

A2：計(jì)算橢圓曲線點(diǎn)RA=[rA]G=(x1,y1)；

A3：將RA發(fā)送給用戶B；

用戶B：

B1：用隨機(jī)數(shù)發(fā)生器產(chǎn)生隨機(jī)數(shù)rB∈[1,n-1]；

3

GB/TXXXXX.4—XXXX

B2：計(jì)算橢圓曲線點(diǎn)RB=[rB]G=(x2,y2)；

B3：從RB中取出域元素x2，按GB/TXXXXX.1-XXXX4.2.8給出的方法將x2的數(shù)據(jù)類型轉(zhuǎn)換為

整數(shù)，計(jì)算ww；

x22(x2&(21))

：計(jì)算；

B4tB(dBx2rB)modn

B5：驗(yàn)證RA是否滿足橢圓曲線方程，若不滿足則協(xié)商失??；否則從RA中取出域元素x1，按GB/T

ww

XXXXX.1-XXXX4.2.8給出的方法將x1的數(shù)據(jù)類型轉(zhuǎn)換為整數(shù)，計(jì)算x12(x1&(21))；

：計(jì)算橢圓曲線點(diǎn)，若是無窮遠(yuǎn)點(diǎn)，則協(xié)商失??；否則

B6V[htB](PA[x1]RA)(xV,yV)VB

按GB/TXXXXX.1-XXXX4.2.6和4.2.5給出的方法將xV、yV的數(shù)據(jù)類型轉(zhuǎn)換為比特串；

B7：計(jì)算KB=KDF(xV||yV||ZA||ZB,klen)；

B8：(選項(xiàng))按GB/TXXXXX.1-XXXX4.2.6和4.2.5給出的方法將RA的坐標(biāo)x1、y1和RB的坐標(biāo)x2、

y2的數(shù)據(jù)類型轉(zhuǎn)換為比特串，計(jì)算SB=Hash(0x02||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2))；

B9：將RB、(選項(xiàng)SB)發(fā)送給用戶A；

用戶A：

A4：從RA中取出域元素x1，按GB/TXXXXX.1-XXXX4.2.8給出的方法將x1的數(shù)據(jù)類型轉(zhuǎn)換為

整數(shù)，計(jì)算ww；

x12(x1&(21))

：計(jì)算；

A5tA(dAx1rA)modn

A6：驗(yàn)證RB是否滿足橢圓曲線方程，若不滿足則協(xié)商失??；否則從RB中取出域元素x2，按GB/T

XXXXX.1-XXXX4.2.8給出的方法將x2的數(shù)據(jù)類型轉(zhuǎn)換為整數(shù)，計(jì)算

ww；

x22(x2&(21))

：計(jì)算橢圓曲線點(diǎn)，若是無窮遠(yuǎn)點(diǎn)，則協(xié)商失??；否

A7U[htA](PB[x2]RB)(xU,yU)UA

則按GB/TXXXXX.1-XXXX4.2.6和4.2.5給出的方法將xU、yU的數(shù)據(jù)類型轉(zhuǎn)換為比特串；

A8：計(jì)算KA=KDF(xU||yU||ZA||ZB,klen)；

A9：(選項(xiàng))按GB/TXXXXX.1-XXXX4.2.6和4.2.5給出的方法將RA的坐標(biāo)x1、y1和RB的坐標(biāo)x2、

y2的數(shù)據(jù)類型轉(zhuǎn)換為比特串，計(jì)算S1=Hash(0x02||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))，并檢驗(yàn)S1=SB

是否成立，若等式不成立則從B到A的密鑰確認(rèn)失??；

A10：(選項(xiàng))計(jì)算SA=Hash(0x03||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))，并將SA發(fā)送給用戶B。

用戶B：

B10：(選項(xiàng))計(jì)算S2=Hash(0x03||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2))，并檢驗(yàn)S2=SA是否成立，若等式不

成立則從A到B的密鑰確認(rèn)失敗。

注：如果ZA、ZB不是用戶A和B所對應(yīng)的雜湊值，則自然不能達(dá)成一致的共享秘密值。密鑰交換協(xié)議過程的示例參見

附錄A。

6.2密鑰交換協(xié)議流程

密鑰交換協(xié)議流程見圖1。

4

GB/TXXXXX.4—XXXX

發(fā)起方用戶A的原始數(shù)據(jù)響應(yīng)方用戶B的原始數(shù)據(jù)

(橢圓曲線系統(tǒng)參數(shù)、ZA、ZB、dA、PA、PB)(橢圓曲線系統(tǒng)參數(shù)、ZA、ZB、dB、PB、PA)

第1步：產(chǎn)生隨機(jī)數(shù)rA∈[1,n-1]第1步：產(chǎn)生隨機(jī)數(shù)rB∈[1,n-1]

第2步：計(jì)算RA=[rA]G=(x1,y1)第2步：計(jì)算RB=[rB]G=(x2,y2)

第步：將發(fā)送給用戶第步：取ww

3RAB3x22(x2&(21))

第步：計(jì)算

4tB(dBx2rB)modn

第步：取ww

4x12(x1&(21))

第步：計(jì)算否

5tA(dAx1rA)modn

RA是否滿足曲線方程?

否

是

RB是否滿足曲線方程?

第5步：計(jì)算ww

是x12(x1&(21))

第6步：計(jì)算橢圓曲線點(diǎn)

第步：計(jì)算ww

6x22(x2&(21))

V[htB](PA[x1]RA)(xV,yV)

第7步：計(jì)算橢圓曲線點(diǎn)

是

U[htA](PB[x2]RB)(xU,yU)

V=O？

是否

U=O？

第7步：計(jì)算KB=KDF(x||y||ZA||ZB,klen)

否VV

第8步：(選項(xiàng))計(jì)算

第步：計(jì)算

8KA=KDF(xU||yU||ZA||ZB,klen)SB=Hash(0x02||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2))

第步：選項(xiàng)計(jì)算

9()第9步：將RB、(選項(xiàng)SB)發(fā)送給用戶A

S1=Hash(0x02||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))

否第10步：(選項(xiàng))計(jì)算

S1=SB？S2=Hash(0x03||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2))

是否

第10步：(選項(xiàng))計(jì)算S2=SA？

SA=Hash(0x03||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))

是

并將SA發(fā)送給用戶B。

從A到B的密鑰確認(rèn)成功

A協(xié)商失敗B協(xié)商失敗

協(xié)商失敗

圖1密鑰交換協(xié)議流程

5

GB/TXXXXX.4—XXXX

附錄A

（資料性附錄）

密鑰交換及驗(yàn)證示例

A.1綜述

本附錄選用GB/TAAAAA-AAAA《SM3密碼雜湊算法》給出的密碼雜湊算法，其輸入是長度小于

64

2的消息比特串，輸出是長度為256比特的雜湊值，記為H256()。

本附錄中，所有用16進(jìn)制表示的數(shù)，左邊為高位，右邊為低位。

設(shè)用戶A的身份是：ALICE123@YAHOO.COM。用GB/T1988編碼記IDA:414C4943453132334059

41484F4F2E434F4D。ENTLA=0090。

設(shè)用戶B的身份是：BILL456@YAHOO.COM。用GB/T1988編碼記IDB:42494C4C343536405941484F4F

2E434F4D。ENTLB=0088。

A.2Fp上橢圓曲線密鑰交換協(xié)議

橢圓曲線方程為：y2=x3+ax+b

示例1：Fp-256

素?cái)?shù)p：8542D69E4C044F18E8B92435BF6FF7DE457283915C45517D722EDB8B08F1DFC3

系數(shù)a：787968B4FA32C3FD2417842E73BBFEFF2F3C848B6831D7E0EC65228B3937E498

系數(shù)b：63E4C6D3B23B0C849CF84241484BFE48F61D59A5B16BA06E6E12D1DA27C5249A

余因子h：1

基點(diǎn)G=(xG,yG)，其階記為n。

坐標(biāo)xG：421DEBD61B62EAB6746434EBC3CC315E32220B3BADD50BDC4C4E6C147FEDD43D

坐標(biāo)yG：0680512BCBB42C07D47349D2153B70C4E5D7FDFCBFA36EA1A85841B9E46E09A2

階n：8542D69E4C044F18E8B92435BF6FF7DD297720630485628D5AE74EE7C32E79B7

用戶A的私鑰dA：6FCBA2EF9AE0AB902BC3BDE3FF915D44BA4CC78F88E2F8E7F8996D3B8CCEEDEE

用戶A的公鑰PA=(xA,yA)：

坐標(biāo)xA：3099093BF3C137D8FCBBCDF4A2AE50F3B0F216C3122D79425FE03A45DBFE1655

坐標(biāo)yA：3DF79E8DAC1CF0ECBAA2F2B49D51A4B387F2EFAF482339086A27A8E05BAED98B

用戶B的私鑰dB：5E35D7D3F3C54DBAC72E61819E730B019A84208CA3A35E4C2E353DFCCB2A3B53

用戶B的公鑰PB=(xB,yB)：

坐標(biāo)xB：245493D446C38D8CC0F118374690E7DF633A8A4BFB3329B5ECE604B2B4F37F43

坐標(biāo)yB：53C0869F4B9E17773DE68FEC45E14904E0DEA45BF6CECF9918C85EA047C60A4C

雜湊值ZA=H256(ENTLA||IDA||a||b||xG||yG||xA||yA)。

ZA：E4D1D0C3CA4C7F11BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F31

雜湊值ZB=H256(ENTLB||IDB||a||b||xG||yG||xB||yB)。

ZB：6B4B6D0E276691BD4A11BF72F4FB501AE309FDACB72FA6CC336E6656119ABD67

密鑰交換A1-A3步驟中的有關(guān)值：

產(chǎn)生隨機(jī)數(shù)rA：83A2C9C8B96E5AF70BD480B472409A9A327257F1EBB73F5B073354B248668563

計(jì)算橢圓曲線點(diǎn)RA=[rA]G=(x1,y1)：

坐標(biāo)x1：6CB5633816F4DD560B1DEC458310CBCC6856C09505324A6D23150C408F162BF0

坐標(biāo)y1：0D6FCF62F1036C0A1B6DACCF57399223A65F7D7BF2D9637E5BBBEB857961BF1A

密鑰交換B1-B9步驟中的有關(guān)值：

產(chǎn)生隨機(jī)數(shù)rB：33FE21940342161C55619C4A0C060293D543C80AF19748CE176D83477DE71C80

6

GB/TXXXXX.4—XXXX

計(jì)算橢圓曲線點(diǎn)RB=[rB]G=(x2,y2)：

坐標(biāo)x2：1799B2A2C778295300D9A2325C686129B8F2B5337B3DCF4514E8BBC19D900EE5

坐標(biāo)y2：54C9288C82733EFDF7808AE7F27D0E732F7C73A7D9AC98B7D8740A91D0DB3CF4

取127127：B8F2B5337B3DCF4514E8BBC19D900EE5

x22(x2&(21))

計(jì)算：

tB(dBx2rB)modn

2B2E11CBF03641FC3D939262FC0B652A70ACAA25B5369AD38B375C0265490C9F

取127127：E856C09505324A6D23150C408F162BF0

x12(x1&(21))

計(jì)算橢圓曲線點(diǎn)：

[x1]RA=(xA0,yA0)

坐標(biāo)xA0：2079015F1A2A3C132B67CA9075BB28031D6F22398DD8331E72529555204B495B

坐標(biāo)yA0：6B3FE6FB0F5D5664DCA16128B5E7FCFDAFA5456C1E5A914D1300DB61F37888ED

計(jì)算橢圓曲線點(diǎn)：

PA+[x1]RA=(xA1,yA1)

坐標(biāo)xA1：1C006A3BFF97C651B7F70D0DE0FC09D23AA2BE7A8E9FF7DAF32673B416349B92

坐標(biāo)yA1：5DC74F8ACC114FC6F1A75CB286864F347F9B2CF29326A27079B7D37AFC1C145B

計(jì)算：

V[htB](PA[x1]RA)(xV,yV)

坐標(biāo)xV：47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E40905

坐標(biāo)yV：2AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295

計(jì)算KB=KDF(xV||yV||ZA||ZB,klen)：

xV||yV||ZA||ZB：

47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E409052AF86EFE

732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295E4D1D0C3CA4C7F11

BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F316B4B6D0E276691BD4A11BF72

F4FB501AE309FDACB72FA6CC336E6656119ABD67

klen=128

共享密鑰KB：55B0AC62A6B927BA23703832C853DED4

計(jì)算選項(xiàng)SB=Hash(0x02||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2))：

xV||ZA||ZB||x1||y1||x2||y2：

47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E40905E4D1D0C3

CA4C7F11BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F316B4B6D0E276691BD

4A11BF72F4FB501AE309FDACB72FA6CC336E6656119ABD676CB5633816F4DD560B1DEC45

8310CBCC6856C09505324A6D23150C408F162BF00D6FCF62F1036C0A1B6DACCF57399223

A65F7D7BF2D9637E5BBBEB857961BF1A1799B2A2C778295300D9A2325C686129B8F2B533

7B3DCF4514E8BBC19D900EE554C9288C82733EFDF7808AE7F27D0E732F7C73A7D9AC98B7

D8740A91D0DB3CF4

Hash(xV||ZA||ZB||x1||y1||x2||y2)：

FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D97647

0x02||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2)：

022AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295

7

GB/TXXXXX.4—XXXX

FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D97647

選項(xiàng)SB：284C8F198F141B502E81250F1581C7E9EEB4CA6990F9E02DF388B45471F5BC5C

密鑰交換A4-A10步驟中的有關(guān)值：

取127127：E856C09505324A6D23150C408F162BF0

x12(x1&(21))

計(jì)算：236CF0C7A177C65C7D55E12D361F7A6C174A78698AC099C0

tA(dAx1rA)modn

874AD0658A4743DC

取127127：B8F2B5337B3DCF4514E8BBC19D900EE5

x22(x2&(21))

計(jì)算橢圓曲線點(diǎn)：

[x2]RB=(xB0,yB0)

坐標(biāo)xB0：668642746BFC066A1E731ECFFF51131BDC81CF609701CB8C657B25BF55B7015D

坐標(biāo)yB0：1988A7C681CE1B509AC69F49D72AE60E8B71DB6CE087AF8499FEEF4CCD523064

計(jì)算橢圓曲線點(diǎn)：

PB+[x2]RB=(xB1,yB1)

坐標(biāo)xB1：7D2B443510886AD7CA3911CF2019EC07078AFF116E0FC409A9F75A3901F306CD

坐標(biāo)yB1：331F0C6C0FE08D405FFEDB307BC255D68198653BDCA68B9CBA100E73197E5D24

計(jì)算：

U[htA](PB[x2]RB)(xU,yU)

坐標(biāo)xU：47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E40905

坐標(biāo)yU：2AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295

計(jì)算KA=KDF(xU||yU||ZA||ZB,klen)：

xU||yU||ZA||ZB：

47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E409052AF86EFE

732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295E4D1D0C3CA4C7F11

BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F316B4B6D0E276691BD4A11BF72

F4FB501AE309FDACB72FA6CC336E6656119ABD67

klen=128

共享密鑰KA：55B0AC62A6B927BA23703832C853DED4

計(jì)算選項(xiàng)S1=Hash(0x02||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))：

xU||ZA||ZB||x1||y1||x2||y2：

47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E40905E4D1D0C3

CA4C7F11BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F316B4B6D0E276691BD

4A11BF72F4FB501AE309FDACB72FA6CC336E6656119ABD676CB5633816F4DD560B1DEC45

8310CBCC6856C09505324A6D23150C408F162BF00D6FCF62F1036C0A1B6DACCF57399223

A65F7D7BF2D9637E5BBBEB857961BF1A1799B2A2C778295300D9A2325C686129B8F2B533

7B3DCF4514E8BBC19D900EE554C9288C82733EFDF7808AE7F27D0E732F7C73A7D9AC98B7

D8740A91D0DB3CF4

Hash(xU||ZA||ZB||x1||y1||x2||y2)：FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD1

54D1DE4379D97647

0x02||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2)：

022AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295

8

GB/TXXXXX.4—XXXX

FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D97647

選項(xiàng)S1：284C8F198F141B502E81250F1581C7E9EEB4CA6990F9E02DF388B45471F5BC5C

計(jì)算選項(xiàng)SA=Hash(0x03||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))：

xU||ZA||ZB||x1||y1||x2||y2：

47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E40905E4D1D0C3

CA4C7F11BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F316B4B6D0E276691BD

4A11BF72F4FB501AE309FDACB72FA6CC336E6656119ABD676CB5633816F4DD560B1DEC45

8310CBCC6856C09505324A6D23150C408F162BF00D6FCF62F1036C0A1B6DACCF57399223

A65F7D7BF2D9637E5BBBEB857961BF1A1799B2A2C778295300D9A2325C686129B8F2B533

7B3DCF4514E8BBC19D900EE554C9288C82733EFDF7808AE7F27D0E732F7C73A7D9AC98B7

D8740A91D0DB3CF4

Hash(xU||ZA||ZB||x1||y1||x2||y2)：FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD1

54D1DE4379D97647

0x03||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2)：

032AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295

FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D97647

選項(xiàng)SA：23444DAF8ED7534366CB901C84B3BDBB63504F4065C1116C91A4C00697E6CF7A

密鑰交換B10步驟中的有關(guān)值：

計(jì)算選項(xiàng)S2=Hash(0x03||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2))：

xV||ZA||ZB||x1||y1||x2||y2：

47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E40905E4D1D0C3

CA4C7F11BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F316B4B6D0E276691BD

4A11BF72F4FB501AE309FDACB72FA6CC336E6656119ABD676CB5633816F4DD560B1DEC45

8310CBCC6856C09505324A6D23150C408F162BF00D6FCF62F1036C0A1B6DACCF57399223

A65F7D7BF2D9637E5BBBEB857961BF1A1799B2A2C778295300D9A2325C686129B8F2B533

7B3DCF4514E8BBC19D900EE554C9288C82733EFDF7808AE7F27D0E732F7C73A7D9AC98B7

D8740A91D0DB3CF4

Hash(xV||ZA||ZB||x1||y1||x2||y2)：FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD1

54D1DE4379D97647

0x03||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2)：

032AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295

FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D97647

選項(xiàng)S2：23444DAF8ED7534366CB901C84B3BDBB63504F4065C1116C91A4C00697E6CF7A

A.3上橢圓曲線密鑰交換協(xié)議

F2m

橢圓曲線方程為：y2+xy=x3+ax2+b

示例2：F2m-257

基域生成多項(xiàng)式：x257+x12+1

系數(shù)a：0

系數(shù)b：00E78BCD09746C202378A7E72B12BCE00266B9627ECB0B5A25367AD1AD4CC6242B

余因子h：4

基點(diǎn)G=(xG,yG)，其階記為n。

9

GB/TXXXXX.4—XXXX

坐標(biāo)xG：00CDB9CA7F1E6B0441F658343F4B10297C0EF9B6491082400A62E7A7485735FADD

坐標(biāo)yG：013DE74DA65951C4D76DC89220D5F7777A611B1C38BAE260B175951DC8060C2B3E

階n：7FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFBC972CF7E6B6F900945B3C6A0CF6161D

用戶A的私鑰dA：4813903D254F2C20A94BC5704238496954BB5279F861952EF2C5298E84D2CEAA

用戶A的公鑰PA=(xA,yA)：

坐標(biāo)xA：008E3BDB2E11F9193388F1F901CCC857BF49CFC065FB38B9069CAAE6D5AFC3592F

坐標(biāo)yA：004555122AAC0075F42E0A8BBD2C0665C789120DF19D77B4E3EE4712F598040415

用戶B的私鑰dB：08F41BAE0922F47C212803FE681AD52B9BF28A35E1CD0EC273A2CF813E8FD1DC

用戶B的公鑰PB=(xB,yB)：

坐標(biāo)xB：0034297DD83AB14D5B393B6712F32B2F2E938D4690B095424B89DA880C52D4A7D9

坐標(biāo)yB：0199BBF11AC95A0EA34BBD00CA50B93EC24ACB68335D20BA5DCFE3B33BDBD2B62D

雜湊值ZA=H256(ENTLA||IDA||a||b||xG||yG||xA||yA)。

ZA：ECF0080215977B2E5D6D61B98A99442F03E8803DC39E349F8DCA5621A9ACDF2B

雜湊值ZB=H256(ENTLB||IDB||a||b||xG||yG||xB||yB)。

ZB：557BAD30E183559AEEC3B2256E1C7C11F870D22B165D015ACF9465B09B87B527

密鑰交換A1-A3步驟中的有關(guān)值：

產(chǎn)生隨機(jī)數(shù)rA：54A3D6673FF3A6BD6B02EBB164C2A3AF6D4A4906229D9BFCE68CC366A2E64BA4

計(jì)算橢圓曲線點(diǎn)RA=[rA]G=(x1,y1)：

坐標(biāo)x1：0181076543ED19058C38B313D739921D46B80094D961A13673D4A5CF8C7159E304

坐標(biāo)y1：01D8CFFF7CA27A01A2E88C18673748FDE9A74C1F9B45646ECA0997293C15C34DD8

密鑰交換B1-B9步驟中的有關(guān)值：

產(chǎn)生隨機(jī)數(shù)rB：1F21933387BEF781D0A8F7FD708C5AE0A56EE3F423DBC2FE5BDF6F068C53F7AD

計(jì)算橢圓曲線點(diǎn)RB=[rB]G=(x2,y2)：

坐標(biāo)x2：002A4832B4DCD399BAAB3FFFE7DD6CE6ED68CC43FFA5F2623B9BD04E468D322A2A

坐標(biāo)y2：0016599BB52ED9EAFAD01CFA453CF3052ED60184D2EECFD42B52DB74110B984C23

取127127：E8CC43FFA5F2623B9BD04E468D322A2A

x22(x2&(21))

計(jì)算：3D51D33114A453A05791DB635B45F8DBC54686D7E2212D49

tB(dBx2rB)modn

E4A717C6B10DEDB0

計(jì)算：75474CC452914E815E476D8D6D17E36F5882EE67A1CDBC26FE4122B0B741A0A3

htBmodn

取127127：B80094D961A13673D4A5CF8C7159E304

x12(x1&(21))

計(jì)算橢圓曲線點(diǎn)：

[x1]RA=(xA0,yA0)

坐標(biāo)xA0：0198AB5F14349B6A46F77FBFCBDDBFCD34320DC1F4C546D13C3A9F0E830C39B579

坐標(biāo)yA0：00BFB49224ACCE2E5104CD4519C0CBE3AD0C19BF11805BE10859069AA69317A2B7

計(jì)算橢圓曲線點(diǎn)：

PA+[x1]RA=(xA1,yA1)

坐標(biāo)xA1：0024A92F6466A37C5C12A2C68D58BFB0F032F2B97660957CB05E63F961F160FE57

坐標(biāo)yA1：00F74A4F17DC560A55FDE0F1AB168BCBF76502E240BA2D6BD6BE6E5D7916B288FC

10

GB/TXXXXX.4—XXXX

計(jì)算：

V[htB](PA[x1]RA)(xV,yV)

坐標(biāo)xV：00DADD087406221D657BC3FA79FF329BB022E9CB7DDFCFCCFE277BE8CD4AE9B954

坐標(biāo)yV：01F0464B1E81684E5ED6EF281B55624EF46CAA3B2D37484372D91610B698252CC9

計(jì)算KB=KDF(xV||yV||ZA||ZB,klen)：

xV||yV||ZA||ZB：

00DADD087406221D657BC3FA79FF329BB022E9CB7DDFCFCCFE277BE8CD4AE9B95401F046

4B1E81684E5ED6EF281B55624EF46CAA3B2D37484372D91610B698252CC9ECF008021597

7B2E5D6D61B98A99442F03E8803DC39E349F8DCA5621A9ACDF2B557BAD30E183559AEEC3

B2256E1C7C11F870D22B165D015ACF9465B09B87B527

klen=128

共享密鑰KB：4E587E5C66634F22D973A7D98BF8BE23

計(jì)算選項(xiàng)SB=Hash(0x02||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2))：

xV||ZA||ZB||x1||y1||x2||y2：

00DADD087406221D657BC3FA79FF329BB022E9CB7DDFCFCCFE277BE8CD4AE9B954ECF008

0215977B2E5D6D61B98A99442F03E8803DC39E349F8DCA5621A9ACDF2B557BAD30E18355

9AEEC3B2256E1C7C11F870D22B165D015ACF9465B09B87B5270181076