6. 签名流程

1. M’ = ZA || Msg
2. e = Hash(M’)，并转为大数；
3. 生成随机数k，范围0<k<n；
4. 计算kG = (x1, y1)
5. r = (e + x1) mod n, 若r0或(r+kn)则重新生成k；
6. s = (k-rd) / (1+d) mod n，若s==0则重新生成k；
7. 返回签名(r, s)

ZA：关于用户A的可辨别标识、部分椭圆曲线系统参数和用户A公钥的杂凑值。

7. 验签流程

1. 检查r, s范围，>0 && < n
2. M’ = ZA || Msg
3. e = Hash(M’), 并转为大数；
4. t = (r + s) mod n，若t==0，则验证不通过；
5. (x1, y1) = sG + tQ
6. 计算R = (e + x1) mod n == r是否成立，成立则验签通过。

推导：

sG + tQ
= ((k-rd) / (1+d)) G +  (r + s) dG
= ((k-rd) / (1+d)) G +  ( ((r+rd) + (k-rd))/(d+1) ) dG
= ((k-rd) / (1+d)) G +  ( (r + k)/(d+1) ) dG
= ((k-rd) / (1+d)) G +  ( (dr + dk)/(d+1) ) G
= (k+dk) / (1+d)) G
= kG
= (x1, y1)

整个流程其实和ecdsa相似，区别在于：

• 消息前追加发送者的标识
• r和s的计算有点差异。

实现

https://github.com/C0deStarr/CryptoImp/tree/main/pubkey/ecc

• sm2.g
• sm2.c

实现时有一个坑，s的符号大概率是负的，但big_to_bytes接口并不会存储符号，需要手动记录。

参考资料

国家密码管理局关于发布《SM2椭圆曲线公钥密码算法》公告（国密局公告第21号）_国家密码管理局 (sca.gov.cn)