SM2签名算法简介及安全性分析

  本文主要论述SM2算法的基本理论，着重分析SM2的数字签名过程中存在的不安全步骤，分析其安全性原因。

椭圆曲线算数理论

  著名的维尔斯方程定义了椭圆曲线 $E$ 在域 $K$ 上的表现形式如下：
$$E:y^2+a_{1}xy+a_{3}y=x^3+a_2{x}^2+a_{4}x+a_6\text{\hspace{1em}(1)}$$
其中，
$\Delta =-d_2^2{d}_8-8d_4^3-27d_6^2+9d_2{d}_4{d}_8$，
$d_2=a_1^2+4a_2$，
$d_4=2a_4+a_1{a}_3$，
$d_6=a_3^2+4a_6$，
$d_8=a_1^2{a}_6+a_2{a}_6-a_1{a}_3{a}_4+a_2{a}_3^2-a_4^2$。
系数 $a_1,a_2,a_3,a_4,a_6\in K$, $\Delta \ne 0$, 保证曲线上点的切线至多2个，公式（1）称为Weierstrass方程，可以利用相容性变换进行简化，如，存在$u,r,s,t\in E$, 且 $u\ne 0$，使得公式（2）满足，$E_1$就可以变换成$E_2$:
$$E_1:y^2+a_{1}xy+a_{3}y=x^3+a_2{x}^2+a_{4}x+a_6$$
$$E_2:y^2+\overline{a_1}xy+\overline{a_3}y=x^3+\overline{a_2}{x}^2+\overline{a_4}x+\overline{a_6}$$
$$(x,y)\to (u^x+r,u^{3}y+u^{2}sx+t)\text{\hspace{1em}(2)}$$
$E_1$ 和 $E_2$ 称为域 $K$ 上的同构曲线。
  SM2依赖于椭圆曲线上点的运算，又依赖于域的运算，域的选择可以使素数域也可以是二元域，接下来进行素数域 $F_p$ 进行研究，其中 $p$ 代表大素数。

素域$F_p$上的基本计算

(1) 加法 $\oplus$ 的单位元为0
(2) 乘法 $\otimes$ 的单位元为1
(3) 域上的加法要模上素数 $p$，存在 $a,b\in F_p$，即， $a+b=(a+b)\mathrm{mod}p$
(4) 域上的乘法要模上素数 $p$，存在 $a,b\in F_p$，即，$a\cdot b=(a\cdot b)\mathrm{mod}p$

素域$F_p$上的群运算法则

   对椭圆曲线上 $E(F_p)$ 的点制定运算规则使其构成一个交换群，如在仿射坐标下的运算规则：
1）两个无穷远点 $O$ 相加：$O+O=O$
2）点 P=(x,y)∈E(Fp))\{ O}P=(x,y)\in E(F_p))\backslash \{O\}P=(x,y)∈E(Fp​))\{ O}, $P+O=O+P=P$
3）点 P=(x,y)∈E(Fp))\{ O}P=(x,y)\in E(F_p))\backslash \{O\}P=(x,y)∈E(Fp​))\{ O}，$P$的逆元$-P=(x,-y)$, $P+(-P)=O$
4) 点加运算：
不同点 P1∈(x1,y1)∈E(Fp))\{ O},P2∈(x2,y2)∈E(Fp))\{ O}P_1\in (x_1,y_1)\in E(F_p))\backslash \{O\}, P_2\in (x_2,y_2)\in E(F_p))\backslash \{O\}P1​∈(x1​,y1​)∈E(Fp​))\{ O},P2​∈(x2​,y2​)∈E(Fp​))\{ O} 且 $P_1\ne \pm P_2$, 则$P_1+P_2=(x_3,y_3)$，其中
$$x_3=(\frac{y_2-y_1}{x_2-x_1}{)}^2-x_1-x_2$$
$$y_3=(\frac{y_2-y_1}{x_2-x_1})(x_1-$$