标准编号:	GB/T 32918.5-2017
中文名称:	信息安全技术 SM2椭圆曲线公钥密码算法 第5部分：参数定义
英文名称:	Information security technology―Public key cryptographic algorithm SM2 based on elliptic curves―Part 5:Parameter definition
中标分类:	L80    数据加密
行业分类:	GB    国家标准
ICS分类:	35.040 35.040    字符集和信息编码 35.040
发布机构:	中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会
发布日期:	2017-05-12
实施日期:	2017-12-1
标准状态:	现行
翻译语言:	英文
文件格式:	PDF
中文字符数:	15000 字
翻译价格(元):	290.00 元
交付时间:	付款后 1 个工作日

GB/T 32918 consists of the following parts, under the general title Information Security Technology — Public Key Cryptographic Algorithm SM2 Based on Elliptic Curves:



— Part 1: General;



— Part 2: Digital Signature Algorithm;



— Part 3: Key Exchange Protocol;



— Part 4: Public Key Encryption Algorithm;



— Part 5: Parameter Definition.



This part is Part 5 of GB/T 32918.



This part is developed in accordance with the rules given in GB/T 1.1-2009.



Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. The issuing body of this document shall not be held responsible for identifying any or all such patent rights.



This part was proposed by the State Cryptography Administration of the People’s Republic of China.



This part is under the jurisdiction of SAC/TC 260 (National Technical Committee 260 on Information Technology Security of Standardization Administration of China).



Drafting organizations of this part: Beijing Huada Infosec Technology Co., Ltd., The PLA Information Engineering University and DCS Center of Chinese Academy of Sciences.



Chief drafting staff of this part: Chen Jianhua, Zhu Yuefei, Ye Dingfeng, Hu Lei, Pei Dingyi, Peng Guohua, Zhang Yajuan and Zhang Zhenfeng.



 

Introduction



N.Koblitz and V.Miller proposed the application of elliptic curves to public key cryptography respectively in 1985. The nature of the curve on which the public key cryptography of elliptic curve is based is as follows:



— The elliptic curve on the finite field constitutes a finite exchange group under the point addition operation, and its order is similar to the base field size;



— Similar to the power operation in the finite field multiplication group, the elliptic curve multi-point operation constitutes a one-way function.



In the multi-point operation, the multiple points and the base point are known, and the problem of solving the multiple is called the discrete logarithm of elliptic curve. For the discrete logarithm problem of general elliptic curves, there is only a solution method for exponential computational complexity. Compared with the large number decomposition problems and the discrete logarithm problems on the finite field, the discrete logarithm problem of elliptic curve is much more difficult to solve. Therefore, elliptic curve ciphers are much smaller than other public key ciphers at the same level of security.



SM2 is an elliptic curve cryptographic algorithm standard developed and proposed by the State Cryptography Administration. The main objectives of GB/T 32918 are as follows:



— GB/T 32918.1-2016defines and describes the relevant concepts and mathematical basics of the SM2 elliptic curve cryptographic algorithm, and summarizes the relationship between this part and other parts.



— GB/T 32918.2-2016describes a signature algorithm based on elliptic curve, i.e. SM2 signature algorithm.



— GB/T 32918.3-2016describes a key exchange protocol based on elliptic curve, that is M2 key exchange protocol.



— GB/T 32918.4-2016 describes a public key encryption algorithm based on elliptic curve, that is SM2 encryption algorithm, with the SM3 cryptographic hash algorithm defined in GB/T 32905-2016 adopted.



— GB/T 32918.5-2017 defines the elliptic curve parameters used by the SM2 algorithm, and the sample results of the SM2 operation with the elliptic curve parameters.





Information Security Technology — Public Key Cryptographic Algorithm SM2 Based on Elliptic Curves— Part 5: Parameter Definition



1 Scope



This part of GB/T 32918 specifies the curve parameters of the public key cryptographic algorithm SM2 based on elliptic curves.



This part is applied to the examples of digital signature and verification (See Annex A), key exchange and verification (See Annex B), and message encryption and decryption(See Annex C).



2 Normative References



The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.



GB/T 32905-2016 Information security technique - SM3 cryptographic hash algorithm

GB/T 32918.1-2016 Information security technology- Public key cryptographic algorithm SM2 based on elliptic curves- Part 1:General

GB/T 32918.2-2016 Information security technology-Public key cryptographic algorithm SM2 based on elliptic curves-Part 2:Digital signature algorithm

GB/T 32918.3-2016 Information security technology-Public key cryptographic algorithm SM2 based on elliptic curves-Part 3:Key exchange protocol

GB/T 32918.4-2016 Information security technology-Public key cryptographic algorithm SM2 based on elliptic curves- Part 4:Public key encryption algorithm



3 Symbols



For the purpose of this document, the following symbols apply.



p Prime number greater than 3

a, b Elements in Fq, which define an elliptic curve E over Fq



n The order of the base point G [n is the prime factor of #E(Fq)]



xG X coordinate of the generator



yG Y coordinate of the generator



4 Parameter Definition



SM2 uses the elliptic curve with a 256-bit prime field.



Elliptic curve equation: y2=x3+ax+b



Curve parameters:



p=FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFF



a=FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFC



b=28E9FA9E 9D9F5E34 4D5A9E4B CF6509A7 F39789F5 15AB8F92 DDBCBD41 4D940E93



n=FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 7203DF6B 21C6052B 53BBF409 39D54123



xG=32C4AE2C 1F198119 5F990446 6A39C994 8FE30BBF F2660BE1 715A4589 334C74C7



yG=BC3736A2 F4F6779C 59BDCEE3 6B692153 D0A9877C C62A4740 02DF32E5 2139F0A0





Annex A

(Informative)

Examples of Digital Signature and Verification



A.1 General



This annex uses the cryptographic hash algorithm given in GB/T 32905-2016, whose input is a message bit string with a length less than 264, and output is a 256-bit hash value, denoted as H256( ).



This annex uses the digital signature algorithm specified in GB/T 32918.2-2016 to calculate the corresponding values in each step.



In this annex, all the hexadecimal figures are expressed with high-order digit at the left and low-order digit at the right.



In this annex, messages are encoded with GB/T 1988.



Suppose that GB/T 1988 code of IDA is: 31323334 35363738 31323334 35363738. ENTLA=0080.



A.2 SM2 Elliptic Curve Digital Signature



Elliptic curve equation: y2=x3+ax+b



Example: Fp-256



Prime number p: FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFF



Coefficient a: FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFC



Coefficient b: 28E9FA9E 9D9F5E34 4D5A9E4B CF6509A7 F39789F5 15AB8F92 DDBCBD41 4D940E93



Base point G=(xG, yG), and its order is denoted as n.



Coordinate xG: 32C4AE2C 1F198119 5F990446 6A39C994 8FE30BBF F2660BE1 715A4589 334C74C7



Coordinate yG: BC3736A2 F4F6779C 59BDCEE3 6B692153 D0A9877C C52A4740 02DF32E5 2139F0A0



Order n: FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 7203DF6B 21C6052B 53BBF409 39D54123



Message M to be signed: message digest



GB/T 1988 code of M is expressed as: 6D65737361676520646967657374 in hexadecimal.



Private key dA: 3945208F 7B214481 3F36E38A C6D39F95 88939369 2860B51A 42FB81EF 4DF7C588



Public key PA=(xA, yA):



Coordinate xA: 09F9DF31 1E5421A1 50DD7D16 1E4BC5C6 72179FAD 1833FC07 6BB08FF3 56F35020



Coordinate yA: CCEA490C E26775A5 2DC6EA71 8CC1AA60 0AED05FB F35E084A 6632F607 2DA9AD13



Hash value ZA=H256(ENTLA‖IDA‖a‖b‖xG‖yG‖xA‖yA).



ZA: B2E14C5C 79C6DF5B 85F4FE7E D8DB7A26 2B9DA7E0 7CCB0EA9 F4747B8C CDA8A4F3

Foreword i
Introduction ii
1 Scope
2 Normative References
3 Symbols
4 Parameter Definition
Annex A (Informative) Examples of Digital Signature and Verification
Annex B (Informative) Examples of Key Exchange and Verification
Annex C (Informative) Examples of Message Encryption and Decryption
Bibliography

ICS 35.040 L 80
中华人民共和国国家标准
GB/T 32918.5—2017
信息安全技术
SM2椭圆曲线公钥密码算法
第5部分:参数定义
Information security technology—Public key cryptographic algorithm
SM2 based on elliptic curves—Part 5 ： Parameter definition
2017-05-12 发布
I华国人i共Ilf I质f¥ffit布 
目 次
前 I
弓iw n
1細 1
2规范性引用文件 1
3 符， 1
4 参数定义 1
附录A (资料性附录）数字签名与验证示例 3
附录B (资料性附录）密钥交换及验证示例 5
附录C (资料性附录）消息加解密示例 9
11
言
GB/T 32918《信息安全技术SM2椭岡曲线公钥密码箅法》分为5个部分：
第1部分:总则；
——第2部分:数字签名笄法；
——第3部分:密钥交换协议；
——第4部分:公钥加密笄法；
——第5部分:参数定义。
本部分为GB/T 32918的第5部分。
本部分按照GB/T 1.1—2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识別这些专利的责任。
本部分由同家密码管理局提出。
本部分由全同信息安全标准化技术委员会(SAC/TC 260)归口。
本部分起草单位:北京华大信安科技有限公司、中国人民解放军信息.T程大学、中_科学院数据与 通信保护研究教育中心。
本部分主要起草人:陈建华、祝跃飞、叶顶峰、胡磊、裴定一、彭国华、张亚娟、张振峰。
言
N.Koblitz和V.Miller在1985年各白独立地提出将椭岡曲线应用于公钥密码系统。椭岡曲线公 钥密码所基于的fttl线性质如下：
——有限域上椭岡曲线在点加运箅下构成有限交换群，且其阶与基域规模相近；
——类似于有限域乘法群中的乘幂运算，椭岡曲线多倍点运箅构成一个单向函数。
在多倍点运笄中，已知多倍点与裁点，求解倍数的问题称为椭岡曲线离散对数问题。对于一般椭岡 曲线的离散对数问题，目前只存在指数级计箅复杂度的求解方法。与大数分解问题及有限域上离散对 数问题相比，椭岡曲线离散对数问题的求解难度要大得多。因此，在相同安全程度要求下，椭岡曲线密 码较其他公钥密码所需的密钥规模要小得多。
SM2是同家密码管理局组织制定并提出的椭岡曲线密码箅法标准。GB/T 32918的主要目标 如下：
——GB/T 32918.1—2016定义和描述了 SM2椭岡[ttl线密码笄法的相关概念及数学基础知识，并 概述了该部分同其他部分的关系。
——GB/T 32918.2— 2016描述了一种基于椭岡fttl线的签名算法，即SM2签名笄法。
一GB/T 32918.3—2016描述了一种基于椭岡曲线的密钥交换协议，即SM2密钥交换协议。
——GB/T 32918.4—2016描述了一种基于椭岡曲线的公钥加密箅法，即SM2加密笄法，该算法需 使用GB/T 32905—2016定义的SM3密码杂凑笄法。
——GB/T 32918.5—2017给出了 SM2算法使用的椭岡fttl线参数，以及使用椭岡fttl线参数进行 SM2运笄的示例结果。
n 
信息安全技术
SM2椭圆曲线公钥密码算法
第5部分：参数定义
1范围
GB/T 32918的本部分规定了 SM2椭岡曲线公钥密码箅法的曲线参数。
本部分适用于数字签名与验证(参见附录A)、密钥交换与验证(参见附录B)、消息加解密示例（参 见附录C)。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。
32905—2016信息安全技术SM3密码杂凑笄法
32918.1— 2016信息安全技术SM2椭岡fttl线公钥密码笄法
32918.2— 2016信息安全技术SM2椭岡fttl线公钥密码笄法
32918.3— 2016信息安全技术SM2椭岡fttl线公钥密码笄法
32918.4— 2016信息安全技术SM2椭岡fttl线公钥密码笄法 3符号
下列符号适用于本文件。
P 大于3的素数。
a,b 中的元素，它们定义F,,上的一条椭岡曲线E。
” 莪点G的阶["是拌E(F\)的素因子]。
XG 生成元的X坐标
生成元的.V坐标
4参数定义
SM2使用素数域256位椭岡fttl线。
椭岡曲线方程以2=工3+以+办 Ittl线参数：
/?=FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFF a =FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFC
办=28E9FA9E 9D9F5E34 4D5A9E4B CF6509A7 F39789F5 15AB8F92 DDBCBD41 4D940E93
»=FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 7203DF6B 21C6052B 53BBF409 39D54123 XG=32C4AE2C 1F198119 5F990446 6A39C994 8FE30BHF F2660BE1 715A4589 334a4C7 >rG=BC3736A2 F4F6779C 59BDCEE3 6B692153 D0A9877C C62A4740 02DF32E5 2139FOAO


A. 1综述
本附录选用GB/T 32905—2016给出的密码杂凑算法，其输人是长度小于261的消息比特串，输出 是长度为256比特的杂凑值，记为W2SS()。
本附录使用GB/T 32918.2—2016规定的数字签名笄法计箅得到各步骤中的相应数值。
本附录中，所有用16进制表示的数，左边为髙位，右边为低位。
本附录中，消息采用GB/T 1988编码。
设，1988 为：31323334 35363738 31323334 35363738。EiVTLA = 0080。
A. 2 SM2椭圆曲线数字签名
椭岡fttl线方程为:：V2 =*r 3+a_r +厶
示例 1: F>256
：FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFF 系数心 FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFC 系数 h28E9FA9E 9D9F5E34 4D5A9E4B CF6509A7 F39789F5 15AB8F92 DDBC；BD41 4D940E93
基点G = 〇u，九）,其阶记为《。
坐标.rG dZOlAEZC 1F198119 5F990446 6A39C994 8FE30BBF F2660BE1 坐标:y(;:BC3736A2 F4F6779C 59BDCEE3 6B692153 DOA9877C C62A4740 阶 w:FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 7203DF6B 21C6052B
待签名的消息M : message digest
M 的 GB/T 1988 编码的 16 进制表示：6D65737361676520646967657374
私钥 dA:3945208F 7B2144B1 3F36E38A C6D39F95 88939369 2860B51A 42FB81EF 4DF7C5B8
公钥 PA = 〇a〇 a):
坐标.rA:09F^DF31 1E5421A1 50DD7D16 1E4BC5C6 72179FAD 1833FC07 6BB08FF3 56F35020
坐标 JA:CCEA490C E26775A5 2DC6EA71 8CC1AA60 0AED05FB F35E084A 6632F607 2DA9AD13 杂凑值= W2S6(EiV7XA丨| /DA |U |丨6 |丨心|丨外|UA丨丨 >>八）。
ZA：B2E14C5C 79C6DF5B 85F4FE7E D8DB7A26 2B9DA7E0 7CCBOEA9 F4747B8C CDA8A4F3 签名各步骤中的有关值：
M=ZA \\M：
B2E14C5C 79C6DF5B 85F4FE7E D8DB7A26 2B9DA7E0 7CCBOEA9 F4747B8C CDA8A4F3
6D657373 61676520 64696765 7374
密码杂凑算法值 e = H2S6(R):F0B43E94 BA45ACCA ACE692ED 534382EB 17E6AB5A 19CE7B31 F4486FDF C0D28640
产生随机数々：59276E27 D506861A 16680F3A D9C02DCC EF3CC1FA 3CDBE4CE 6D54B80D EAC1BC21
计算椭岡曲线点
坐标 _n :04EBFC71 8E8D1798 62043226 8E77FEB6 415E2EDE 0E073C0F 4F640ECD 2E149A73
坐标:y1:E858F9D8 1E5430A5 7B36DAAB 8F950A3C 64E6EE6A 63094D99 283AFF76 7E124DF0 
计算 r = 〇+.ri)mod":F5A03B06 48D2C463 OEEAC513 E1BB81A1 5944DA38 27D5B741 43AC7EAC EEE720B3
(I+^A)-1 ：4DFE9D9C 1F5901D4 E6F58E4E C3D04567 822D2550 F9B88E82 6D1B5B3A B9CDOFEO 计算5=((1+^.、）_1.(々7.心））111〇山/:8186八八29 0卩212?08 7631828〇00421〇八1889038?0
1F7F42D4 840B69C4 85BBC1AA 消息M的签名为（r〇):
值 r:F5A03B06 48D2C463 OEEAC513 E1BB81A1 5944DA38 27D5B741 43AC7EAC EEE720B3 值 S:B1B6AA29 DF212FD8 763182BC OD421CA1 BB9038FD 1F7F42D4 840B69C4 85BBC1AA 验证各步骤中的有关值：
密码杂凑算法值〆=H2S6(M/):FOB43E94 BA45ACCA ACE692ED 534382EB 17E6AB5A 19CE7B31 F4486FDF C0D28640
计算/ = (〆+_、_') mod „:A756E531 27F3F43B 851C47CF EEFD9E43 A2D133CA 258EF4EA 73FBF468 3ACDA13A
计算椭岡曲线点(“,：^)=iy]G:
坐标 r〗：2B9CE14E 3C8D1FFC 46D693FA 0B54F2BD C4825A50 6607655D E22894B5 C99D3746 坐标：yfl’：277BFE04 D1E526B4 E1C32726 435761FB CE0997C2 6390919C 4417B3A0 A8639A59 计算椭岡曲线点0丨。,3^。）=[/]匕：
坐标^。：FDAC1EFA A770E463 5885CA1B BFB360A5 84B238FB 2902ECF0 9DDC935F 60BF4F9B 坐标:yfl’〇:B89AA926 3D5632F6 EE82222E 4D63198E 78E095C2 4042CBE7 15C23F71 1422D74C 计算椭岡曲线点O丨〇]) = [/]G+[/]Pa:
坐标 :04EBFC71 8E8D1798 62043226 8E77FEB6 415E2EDE 0E073C0F 4F640ECD 2E149A73
坐标:y【：E858F^D8 1E5430A5 7B36DAAB 8F950A3C 64E6EE6A 63094D99 283AFF76 7E124DF0 计算 R = (/+r{)m〇d，/:F5A03B06 48D2C463 OEEAC513 E1BB81A1 5944DA38 27D5B741 43AC7EAC EEE720B3


附录B
(资料性附录）
密钥交换及验证示例
B. 1 一般要求
本附录选用GB/T 32905—2016给出的密码杂凑算法，其输人是长度小于261的消息比特串，输出 是长度为256比特的杂凑值，记为W2SS()。
本附录使用GB/T 32918.3—2016规定的密钥交换协议计箅得到各步骤中的相应数值。
本附录中，所有用16进制表示的数，左边为髙位，右边为低位。
设 ^.\的（^/丁 1988 编码为：31323334 35363738 31323334 35363738。£：N7XA = 0080。
设/DB 的 GB/T 1988 编码为：31323334 35363738 31323334 35363738。EN7XB = 0080。
B. 2 SM2椭圆曲线密钥交换协议
椭岡曲线方程为j2=x3+^r+办
示例 1: Fp-256
岽数/；:FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFF 系数《:FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFC 系数 h28E9FA9E 9D9F5E34 4D5A9E4B CF6509A7 F39789F5 15AB8F92 DDBCBD41 4D940E93
余因子力：1
基点G = (xG ou ),其阶记为《。
坐标.以：3204八已2〇 1F198119 5F990446 6A39C994 8FE30BBF F2660BE1 715A4589 334C74C7
坐标 y<;:BC3736A2 F4F6779C 59BDCEE3 6B692153 DOA9877C C62A4740 02DF32E5 2139FOAO 阶《:FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 7203DF6B 21C6052B 53BBF409 39D54123 用户 A 的私钥 JA:81EB26E9 41BB5AF1 6DF11649 5F906952 72AE2CD6 3D6C4AE1 678418BE
48230029
用户A的公钥FA=CrA,：yrA):
坐标.rA:160E1289 7DF4EDB6 1DD812FE B96748FB D3CCF4FF E26AA6F6 DB9540AF 49C94232 坐标：VA:4A7DAD08 BB9A4595 31694BEB 20AA489D 6649975E 1BFCF8C4 741B78B4 B223007F 用户 B 的私钥 •丨）：
坐标.r! :64CED1BD BC99D590 049B434D 0FD73428 CF608A5D B8FE5CEO 7F150269 40BAE40E 
坐标:y1:376629C7 AB21E7DB 26092249 9DDB118F 07CE8EAA E3E7720A FEF6A5CC 062070C0
密钥交换B1〜B9步骤中的有关值：
产生随机数 rB:7E071248 14B30948 9125EAED 10111316 4EBF0F34 58C5BD88 335C1F9D 596243D6
计算拥岡曲线点尺B=tyB]G = Cr2，3»2):
坐标 r2:ACC27688 A6F7B706 098BC91F F3AD1BFF 7DC2802C DB14CCCC DB0A9047 1F9BD707 坐标:y2:2FEDAC04 94B2FFC4 D6853876 C79B8F30 1C6573AD 0AA50F39 FC87181E 1A1B46FE
取,r 2 = 2127 + Cr2 &(2丨27 _1)) :FDC2802C DBHCCXC DB0A9047 1F9BD707
计算 /B= WB +*r 2 • rB)mod w :
D0429637 F5A6D5D1 E6C54523 5169DF85 23116306 0A654ECB AOF657FD 629E8DD9 取 r 丨=2127 + 0^ &(2丨27 _1)) :CF608A5D B8FE5CE0 7F150269 40BAE40E
计算捕岡曲线点Dr iA = Cr AOAO ):
坐标 rAfl :8D62DAF7 DC084E4A 85D32214 坐标:VAfl:564DC0FA 639B2967 E65F3448
计算椭岡曲线点
坐标 rA1:85C40F«8 CECA80E3 8172093F 坐标：VAI :8C152CBO A131C958 C279DEBE
计算 V=〇 • /B^KPA + Oi^AXmjyv):
坐标 rv:C558B44B EE5301D9 F52B44D9 39BB5958 4D75B903 4DD6A9FC 82687210 9A65739F 坐标:yv:3252B35B 191D8AE0 1CD122C0 25204334 C5EACF68 A0CB4854 C6A7D367 ECAD4DE7 计算 = || ：yv || || ⑼）：
TV || yv IIZAII ZB：
EE5301D9 F52B44D9 39BB5958 4D75B903 4DD6A9FC 82687210 9A65739F 3252B35B 1CD122C0 25204334 C5EACF68 A0CB4854 C6A7D367 ECAD4DE7 3B85A571 79E11E7E 991F2CA7 4D1807A0 BD4D4B38 F90987A1 7AC245B1 79C988D6 3229D97E F19FE02C
E6A7411E D24694AA 8F834F4A 4AB022F7
共亨密钥 K"B:6C893473 54DE2484 C60B4AB1 FDE4C6E5 计算选项= 丨丨外丨丨HWOv丨丨2：A丨| 2TB 丨丨），丨丨丨了2 |丨：y2)):
xv || ZK || ZB II xi || yi || x2 || yn
C558B44B EE5301D9 F52B44D9 39BB5958 4D75B903 4DD6A9FC 82687210 9A65739F 3B85A571 79E11E7E 513AA622 991F2CA7 4D1807A0 BD4D4B38 F90987A1 7AC245B1 79C988D6 3229D97E F19FE02C A1056E01 E6A7411E D24694AA 8F834F4A 4AB022F7 64CED1BD BC99D590 049B434D
0FD73428 CF608A5D B8FE5CE0 7F150269 40BAE40E 376629C7 AB21E7DB 26092249 9DDB118F 07CE8EAA E3E7720A FEF6A5CC 062070C0 ACT27688 A6F7B706 098BC91F F3AD1BFF 7DC2802C
DB14CCCC DB0A9047 1F9BD707 2FEDAC^)4 94B2FFC4 D6853876 C79B8F30 1C6573AD 0AA50F39
FC87181E 1A1B46FE Hushixv II ZK || ZB II XI || || xt || ^2)：
90E2A628 E4F57ABD 78339EA3 3F967D11 A154117B EA442F7B 627D4F4D D047B7F6
0x02 || yv || Hush (JV \\ ZA || ZB II Ji \\ yi II -r2 II 3^2)：
2 3252B35B 191D8AE0 1CD122C0 25204334 C5EACF68 A0CB4854 C6A7D367 ECAD4DE7 90E2A628 E4F57ABD 78339EA3 3F967D11 A154117B EA442F7B 627D4F4D D047B7F6
选项.SB:D3A0FE15 DEE185CE AE907A6B 595CC32A 266ED7B3 367E9983 A896DC32 FA20F8EB 密钥交换A4〜A10步骤中的有关值：
取,r i =2127 + Cn &(2丨27 _1)) :CF608A5D B8FE5CE0 7F150269 40BAE40E
计算 “SWA+L • rA) mod ":3D68C0C0 6DC^0F17 B9DDFE00 93D3C0E4 969ED112 4A187FA8
AD02F81E 3C11CCE6 
取.r2=2127 + Cr2&(2i27_l)):FDC2802C DB14CCXC DB0A9047 1F9BD707
计算椭岡曲线点=
坐标 _rK:DA68EF84 FE616D92 438BBE69 BCC52DB9 CE5CBEA9 93944CBC 331BA26D 6082E912 坐标）:如：4831丑862 898B4356 32D8FFAO 1869CD65 645822BD D3B4E9EO 46BCAB85 6F02F110
计算椭岡曲线点PB+G2]l?B = CrBi,：ym):
坐标.rm:FE7ClllC C3E628E3 FE709DF2 E6E331CD C2A3A30E EAOCDC3C D10C0759 EAB15199 坐标:VBI:12D6F496 361948C9 EC67E603 DF93C008 86EFAEEA C591C2D5 D16B67F2 FE1AD77E
计算[/=〇 • /A](PB + [、r2]i?B) = (、r(；，3»u):
坐标.rL，：C558B44B EE5301D9 F52B44D9 39BB5958 4D75B903 4DD6A9FC 82687210 9A65739F
坐标:^:32528358 191D8AE0 1CD122C0 25204334 C5EACF68 AOCB4854 C6A7D367 ECAD4DE7
计算 || 外 || ZA
II yv II 2A II ：
C558B44B EE5301D9 F52B44D9 39BB5958 4D75B903 4DD6A9FC 82687210 9A65739F 3252B35B
191D8AE0 1CD122CO 25204334 C5EACF68 A0CB4854 C6A7D367 ECAD4DE7 3B85A571 79E11E7E
513AA622 991F2CA7 4D1807A0 BD4D4B38 F90987A1 7AC245B1 79C988D6 3229D97E F19FE02C
A1056E01 E6A7411E D24694AA 8F834F4A 4AB022F7
^；/ = 128
共享密钥 KA:6C893473 54DE2484 C60B4AB1 FDE4C6E5
计算选项& = (0x02 || 丨丨H似/,(处IUA IUB丨丨^丨丨^ |U2丨丨y2)):
Xu II ZA II ZB II Ji II yi II J-2 II >'2 ：
C558B44B EE5301D9 F52B44D9 39BB5958 4D75B903 4DD6A9FC 82687210 9A65739F 3B85A571
79E11E7E 513AA622 991F2CA7 4D1807A0 BD4D4B38 F90987A1 7AC245B1 79C988D6 3229D97E
F19FE02C A1056E01 E6A7411E D24694AA 8F834F4A 4AB022F7 64CED1BD BC99D590 049B434D
0FD73428 CF608A5D B8FE5CE0 7F150269 40BAE40E 376629C7 AB21E7DB 26092249 9DDB118F 07CE8EAA E3E7720A FEF6A5CC 062070C0 ACT27688 A6F7B706 098BC91F F3AD1BFF 7DC2802C
DB14CCCC DB0A9047 1F9BD707 2FEDAC^)4 94B2FFC4 D6853876 C79B8F30 1C6573AD 0AA50F39
FC87181E 1A1B46FE Hash (JT〇- || ZA || ZB || Ji || yi || || ^2)：
90E2A628 E4F57ABD 78339EA3 3F967D11 A154117B EA442F7B 627D4F4D D047B7F6
0x02 || yv || Hush || ZA II ZB II Ji II II Jrz II ^2)：
2 3252B35B 191D8AE0 1CD122C0 25204334 C5EACF68 A0CB4854 C6A7D367 ECAD4DE7
90E2A628 E4F57ABD 78339EA3 3F967D11 A154117B EA442F7B 627D4F4D D047B7F6
选项、S! :D3A〇FE15 DEE185CE AE907A6B 595CC32A 266ED7B3 367E9983 A896DC32 FA20F8EB
计算选项SA= f/“汍（0x03丨丨外丨丨只《忒（仰IUA |ZB丨丨心I I心|| y2)):
Xu II ZA II ZB II JI II yi II xz || yz ：
C558B44B EE5301D9 F52B44D9 39BB5958 4D75B903 4DD6A9FC 82687210 9A65739F 3B85A571
79E11E7E 513AA622 991F2CA7 4D1807A0 BD4D4B38 F90987A1 7AC245B1 79C988D6 3229D97E
F19FE02C A1056E01 E6A7411E D24694AA 8F834F4A 4AB022F7 64CED1BD BC99D590 049B434D
0FD73428 CF608A5D B8FE5CEO 7F150269 40BAE40E 376629C7 AB21E7DB 26092249 9DDB118F
07CE8EAA E3E7720A FEF6A5CC 062070C0 ACT27688 A6F7B706 098BC91F F3AD1BFF 7DC2802C
DB14CCCC DB0A9047 1F9BD707 2FEDAC^)4 94B2FFC4 D6853876 C79B8F30 1C6573AD 0AA50F39
FC87181E 1A1B46FE
Hash Crt； || ZA || ZB II II 3-, II x2 || ^2) ：90E2A628 E4F57ABD 78339EA3 3F967D11 A154117B EA442F7B
627D4F4D D047B7F6
0x03 || yv || Hash ixv || ZA II ZB II Ji II ^1 II xz || yz):
3 3252B35B 191D8AE0 1CD122C0 25204334 C5EACF68 A0CB4854 C6A7D367 ECAD4DE7
90E2A628 E4F57ABD 78339EA3 3F967D11 A154117B EA442F7B 627D4F4D D047B7F6
选项 SA:18C7894B 3816DF16 CF07B05C 5ECOBEF5 D655D58F 779CC1B4 00A4F388 4644DB88 密钥交换BIO步骤中的着关值：
计算选项 S2 = HWK0x03 || 外 || …姑 Crv ||ZA || ZB In || ^ || 心 I y2)>:
jrv || ZA II Zn || JTI || yi || || y2：
C558B44B EE5301D9 F52B44D9 39BB5958 4D75B903 4DD6A9FC 82687210 9A65739F 3B85A571 79E11E7E 513AA622 991F2CA7 4D1807A0 BD4D4B38 F90987A1 7AC245B1 79C988D6 3229D97E
F19FE02C A1056E01 E6A7411E D24694AA 8F834F4A 4AB022F7 64CED1BD BC99D590 049B434D 0FD73428 CF608A5D B8FE5CEO 7F150269 40BAE40E 376629C7 AB21E7DB 26092249 9DDB118F
07CE8EAA E3E7720A FEF6A5CC 062070C0 ACT27688 A6F7B706 098BC91F F3AD1BFF 7DC2802C DB14CCCC DB0A9047 1F9BD707 2FEDAC^)4 94B2FFC4 D6853876 C79B8F30 1C6573AD 0AA50F39
FC87181E 1A1B46FE
HiuihUv II ZA II ZB II xi || 3T, || T2 || ^2),90E2A628 E4F57ABD 78339EA3 3F967D11 A154117B EA442F7B 627D4F4D D047B7F6
0x03 || yv II J-fash (JV \\ ZA || ZB II II >'i lUra II >>2)：
03 3252B35B 191D8AE0 1CD122C0 25204334 C5EACF68 A0CB4854 C6A7D367 ECAD4DE7 90E2A628 E4F57ABD 78339EA3 3F967D11 A154117B EA442F7B 627D4F4D D047B7F6
选项 S2:18C7894B 3816DF16 CF07B05C 5ECOBEF5 D655D58F 779CC1B4 00A4F388 4644DB88


附录C
(资料性附录）
消息加解密示例
C. 1 一般要求
本附录选用GB/T 32905—2016给出的密码杂凑算法，其输人是长度小于261的消息比特串，输出 是长度为256比特的杂凑值，记为W2SS()。
本附录使用GB/T 32918.4—2016规定的公钥加密笄法计箅得到各步骤中的相应数值。
本附录中，所有用16进制表示的数，左边为髙位，右边为低位。
本附录中，明文采用GB/T 1988编码。
C. 2 SM2椭圆曲线消息加解密
椭岡曲线方程为以2=工3+^+办
示例：F丨-256
鎌/；:FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFF 系数心 FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFC 系数/y:28E9FA9E 9D9F5E34 4D5A9E4B CF6509A7 F39789F5 15AB8F92 DDBC；BD41 4D940E93 基点G = Or(； 〇〇,其阶记为》*
坐标.〜：3204八£2〇 1F198119 5F990446 6A39C994 8FE30BBF F2660BE1 715A4589 334C74C7
坐标）y:BC3736A2 F4F6779C 59BDCEE3 6B692153 DOA9877C C62A4740 02DF32E5 2139FOAO «：FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 7203DF6B 21C6052B 53BBF409 39D54123
待加密的消息 M:encryption standard
消息 M 的 16 进制表示：656E63 72797074 696F6E20 7374616E 64617264
私钥 JB:3945208F 7B2144B1 3F36E38A C6D39F95 88939369 2860B51A 42FB81EF 4DF7C5B8
公钥 PB = (.rB，：>fB)》：
坐标 rB:09F^DF31 1E5421A1 50DD7D16 1E4BC5C6 72179FAD 1833FC07 6BB08FF3 56F35020
坐标:yB:CCEA490C E26775A5 2DC^EA71 8CC1AA60 0AED05FB F35E084A 6632F607 2DA9AD13
加密各步骤中的有关值：
产生随机数务：59276E27 D506861A 16680F3A D9C02DCC EF3CC1FA 3CDBE4CE 6D54B80D EAC1BC21 计算椭岡曲线点
坐标.ri :04EBFC71 8E8D1798 62043226 8E77FEB6 415E2EDE 0E073C0F 4F640ECD 2E149A73 坐标:y1:E858F9D8 1E5430A5 7B36DAAB 8F950A3C 64E6EE6A 63094D99 283AFF76 7E124DF0 在此C,选用未压缩的表示形式，点转换成字节串的形式为PC丨丨^ |丨y,,其中PC'为单一字节ii PC = 04,仍记 为
计算椭岡曲线点I>]PB = Cr2,;y2):
坐标 了2:335£1807 51E51F04 0E27D468 138B7AB1 DC86AD7F 981D7D41 6222FD6A B3ED230D 坐标:y2:AB743EBC FB22D64F 7B6AB791 F70658F2 5B48FA93 E54064FD BFBED3F0 BD847AC9 消息M的比特长度W⑼= 152
计算/ = K7)F(、r2 丨丨：y2,W⑼）：44E60F DBF0BAE8 14376653 74BEF267 49046C9E 计算 C2 ㊉/ :21886C A989CA9C 7D580873 07CA9309 2D651EFA Ca=Hash (j：2 || M || yz') t
12丨丨M丨丨）'2 :
335E18D7 51E51F04 0E27D468 138B7AB1 DC86AD7F 981D7D41 6222FD6A B3ED230D
656E6372 79707469 6F6E2073 74616E64 617264AB 743EBCFB 22D64F7B 6AB791F7
0658F25B 48FA93E 54064FDB FBED3F0B D847AC9
Ca：59983C18 F809E262 923C53AE C295D303 83B54E39 D609D160 AFCB1908 D0BD8766
输出密文 M = ||Ca ||C2:
4 04EBFC71 8E8D1798 62043226 8E77FEB6 415E2EDE 0E073C0F 4F640ECD 2E149A73 E858F9D8 1E5430A5 7B36DAAB 8F950A3C 64E6EE6A 63094D99 283AFF76 7E124DF0 59983C18 F809E262 923C53AE C295D303 83B54E39 D609D160 AFCB1908 D0BD8766 21886CA9 89CA9C7D 58087307 CA93092D 651EFA 解密各步骤中的有关值：
计算椭岡曲线点[“](：, =〇2,;y2):
坐标 r2 :335E18D7 51E51F040 E27D4681 38B7AB1D C86AD7F9 81D7D416 222FD6AB 3ED230D
坐标：y2:AB743EBC FB22D64F 7B6AB791 F70658F2 5B48FA93 E54064FD BFBED3F0 BD847AC9
计算/ = K7)FCr2 ||：y2,/^«):44E60F DBF0BAE8 14376653 74BEF267 49046C9E 计算 \^ = (：2©/:656£63 72797074 696F6E20 7374616E 64617264 ti = Hash (X2 \\Mf \\ y2)1
59983C18 F809E262 923C53AE C295D303 83B54E39 D609D160 AFCB1908 D0BD8766 明文 ^/':656£63 72797074 696F6E20 7374616E 64617264,即为：encryption standard
参考文献
[1] GB/T 1988—1998信息技术信息交换用七位编码字符兜