SM2 - 公钥加密算法

符号
A,B：使用公钥密码系统的两个用户。
$a, b$ ： $F_{q}$ 中的元素，他们定义 $F_{q}$ 上的一条椭圆曲线 $E$ 。
$d_{B}$ ：用户B的私钥。
$E (F_{q})$ ： $F_{q}$ 上椭圆曲线 $E$ 的所有有理点（包括无穷远点 $O$ ）组成的集合。
$F_{q}$ ：包含 $q$ 个元素的有限域。
$G$ ：椭圆曲线的一个基点，其阶为素数。
$H a s h ()$ ：密码杂凑函数。
$H_{v} ()$ ：消息摘要长度为 $v$ 比特的密码杂凑函数。
$K D F ()$ ：密钥派生函数。
$M$ ：待加密的消息。
$M^{'}$ ：解密得到的消息。
$n$ ：基点 $G$ 的阶（ $n$ 是 $♯ E (F_{q})$ 的素因子）。
$O$ ：椭圆曲线上的一个特殊点，称为无穷远点或零点，是椭圆曲线加法群的单位元。
$P_{B}$ ：用户B的公钥。
$q$ ：有限域 $F_{q}$ 中元素的数目。
$x ‖ y$ ： $x$ 与 $y$ 的拼接，其中 $x$ 和 $y$ 是比特串或字节串。
$[k] P$ ：椭圆曲线上点 $P$ 的 $k$ 倍点，即： $[k] P = \underset{k 个}{\underset{⏟}{P + P + \dots + P}}$ ，其中 $k$ 是正整数。
$[x, y]$ ：大于或等于 $x$ 且小于或等于 $y$ 的整数的集合。
$⌈ x ⌉$ ：顶函数，大于或等于 $x$ 的最小整数。例如， $⌈ 7 ⌉ = 7$ ， $⌈ 8.3 ⌉ = 9$ 。
$⌊ x ⌋$ ：底函数，小于或等于 $y$ 的最大整数。例如， $⌊ 7 ⌋ = 7$ ， $⌊ 8.3 ⌋ = 8$ 。
$♯ E (F_{q})$ ： $E (F_{q})$ 上点的数目，称为椭圆曲线 $E (F_{q})$ 的阶。

密钥派生函数
设密码杂凑函数为 $H_{v} ()$ ，其输出是长度为 $v$ 比特的杂凑值。
密钥派生函数 $K D F (Z, k l e n)$ ：
输入：比特串 $Z$ ，整数 $k l e n$ （表示要获得的密钥数据的比特长度，要求该值小于 $(2^{32} - 1) v$ ）。
输出：长度为 $k l e n$ 的密钥数据比特串 $K$ 。

初始化一个32比特构成的计数器 $c t = 0x 00000001$ ；
对 $i$ 从 $1$ 到 $⌈ k l e n ⁄ v ⌉$ 执行：
2.1. 计算 $H a_{i} = H_{v} (Z ‖ c t)$ ；
2.2. $c t + +$ ；
若 $k l e n ⁄ v$ 是整数，令 $H a!_{⌈ k l e n ⁄ v ⌉} = H a_{⌈ k l e n ⁄ v ⌉}$ ，否则令 $H a!_{⌈ k l e n ⁄ v ⌉}$ 为 $H a_{⌈ k l e n ⁄ v ⌉}$ 最左边的 $(k l e n - (v \times ⌊ k l e n ⁄ v ⌋))$ 比特；
令 $K = H a_{1} ‖ H a_{2} ‖ \dots ‖ H a_{⌈ k l e n ⁄ v ⌉ - 1} ‖ H a!_{⌈ k l e n ⁄ v ⌉}$ 。

加密算法
设需要发送的消息为比特串 $M$ ， $k l e n$ 为 $M$ 的比特长度。
为了对明文 $M$ 进行加密，作为加密者的用户A应实现以下运算步骤：

用随机数发生器产生随机数 $k \in [1, n - 1]$ ；
计算椭圆曲线点 $C_{1} = [k] G = (x_{1}, y_{1})$ ；
计算椭圆曲线点 $S = [h] P_{B}$ ，若 $S$ 是无穷远点，则报错并退出；
计算椭圆曲线点 $[k] P_{B} = (x_{2}, y_{2})$ ；
计算 $t = K D F (x_{2} ‖ y_{2}, k l e n)$ ，若 $t$ 为全0比特串，则返回步骤1；
计算 $C_{2} = M \oplus t$ ；
计算 $C_{3} = H a s h (x_{2} ‖ M ‖ y_{2})$ ；
输出密文 $C = C_{1} ‖ C_{2} ‖ C_{3}$ 。

解密算法
设 $k l e n$ 为密文中 $C_{2}$ 的比特长度。
为了对密文 $C = C_{1} ‖ C_{2} ‖ C_{3}$ 进行解密，作为解密者的用户B应实现以下运算步骤：

从 $C$ 中取出比特串 $C_{1}$ ，验证 $C_{1}$ 是否满足椭圆曲线方程，若不满足则报错并退出；
计算椭圆曲线点 $S = [h] C_{1}$ ，若 $S$ 是无穷远点，则报错并退出；
计算 $[d_{B}] C_{1} = (x_{2}, y_{2})$ ；
计算 $t = K D F (x_{2} ‖ y_{2}, k l e n)$ ，若 $t$ 为全0比特串，则报错并退出；
从 $C$ 中取出比特串 $C_{2}$ ，计算 $M^{'} = C_{2} \oplus t$ ；
计算 $u = H a s h (x_{2} ‖ M^{'} ‖ y_{2})$ ，从 $C$ 中取出比特串 $C_{3}$ ，若 $u \neq C_{3}$ ，则报错并退出；
输出明文 $M^{'}$ 。