背景

國密，是國家商用密碼的簡稱，由國家密碼管理局制定算法標(biāo)準(zhǔn)，同時也制定了大量的產(chǎn)品及接口規(guī)范以及應(yīng)用場景。

隨著近年來外部的國際貿(mào)易沖突和技術(shù)封鎖，內(nèi)部互聯(lián)網(wǎng)的快速發(fā)展，IoT 領(lǐng)域的崛起，以及金融領(lǐng)域的變革愈演愈烈。擺脫對國外技術(shù)和產(chǎn)品的過度依賴，建設(shè)行業(yè)網(wǎng)絡(luò)安全環(huán)境，增強(qiáng)我國行業(yè)信息系統(tǒng)的安全可信顯得尤為必要和迫切。

密碼算法是保障信息安全的核心技術(shù)，尤其是最關(guān)鍵的銀行業(yè)核心領(lǐng)域長期以來都是沿用 3DES、SHA-1、RSA 等國際通用的密碼算法體系及相關(guān)標(biāo)準(zhǔn)。

2010 年底，國家密碼管理局公布了我國自主研制的“橢圓曲線公鑰密碼算法”（SM2 算法）。為保障重要經(jīng)濟(jì)系統(tǒng)密碼應(yīng)用安全，國家密碼管理局于 2011 年發(fā)布了《關(guān)于做好公鑰密碼算法升級工作的通知》，明確要求“自 2011 年 3 月 1 日起，在建和擬建公鑰密碼基礎(chǔ)設(shè)施電子認(rèn)證系統(tǒng)和密鑰管理系統(tǒng)應(yīng)使用國密算法。自 2011 年 7 月 1 日起，投入運(yùn)行并使用公鑰密碼的信息系統(tǒng)，應(yīng)使用 SM2 算法。”

自 2012 年以來，國家密碼管理局以《中華人民共和國密碼行業(yè)標(biāo)準(zhǔn)》的方式，陸續(xù)公布了 SM2/SM3/SM4 等密碼算法標(biāo)準(zhǔn)及其應(yīng)用規(guī)范。其中“SM”代表“商密”，即用于商用的、不涉及國家秘密的密碼技術(shù)。

這其中值得我們關(guān)注的主要是以下公開的算法：

SM2：基于橢圓曲線密碼（ECC）的公鑰密碼算法標(biāo)準(zhǔn)，提供數(shù)字簽名，密鑰交換，公鑰加密，用于替換 RSA/ECDSA/ECDH 等國際算法

SM3：消息摘要算法，哈希結(jié)果為 256 位，用于替換 MD5/SHA1/SHA256 等國際算法

SM4：對稱加密算法，密鑰長度和分組長度均為 128 位，主要用于無線局域網(wǎng)標(biāo)準(zhǔn)，用于替換 DES/AES 等算法

國密證書：這里的國密證書指的是使用國密算法（SM2-with-SM3）的標(biāo)準(zhǔn) X509 格式證書，證書使用 SM3 作為哈希算法，使用 SM2 作為數(shù)字簽名算法

國密 SSL：采用國密算法，符合國密標(biāo)準(zhǔn)的安全傳輸協(xié)議，也就是 SSL/TLS 協(xié)議的國密版本。

SM2進(jìn)階Linux內(nèi)核之路

目前 Linux 內(nèi)核已經(jīng)較好的支持了 SM3 和 SM4 算法，這得益于無線局域網(wǎng)標(biāo)準(zhǔn)的廣泛使用。但 SM2 算法和國密證書遲遲沒有得到支持，也就無法基于國密來建立全棧可信和內(nèi)核中的完整性驗(yàn)證，因此在內(nèi)核中支持這一套體系也變得迫切起來。整個規(guī)劃是：在內(nèi)核中支持 SM2 算法和國密證書，在內(nèi)部業(yè)務(wù)率先應(yīng)用起來后，最終推進(jìn)到社區(qū)。

整個流程下來，諸多不順，權(quán)且記錄下來。

第一回

有了規(guī)劃，接下來就是考慮如何實(shí)施。但凡密碼學(xué)算法，都會先考慮是否可以從 openssl 做移植。幸運(yùn)的是，openssl 對 SM2/3/4 支持得非常好，橢圓曲線算法的實(shí)現(xiàn)久經(jīng)考驗(yàn)，非常成熟，而且最新版本也完整支持了國密證書。

不幸的是，openssl 的各個模塊之間耦合度很高，要實(shí)現(xiàn) SM2 和國密證書，需要移植 openssl 架構(gòu)和基礎(chǔ)設(shè)施代碼，包括 BIGNUM、ECC、X509 等。這個工作量無疑是巨大的，即便實(shí)現(xiàn)了，這種方式也很難被社區(qū)接受，再三考慮權(quán)衡后，果斷放棄了這條“捷徑”。

第二回

發(fā)現(xiàn)了一個令人驚喜的事實(shí)：內(nèi)核中已經(jīng)有了一個橢圓算法的基礎(chǔ)實(shí)現(xiàn)（crypto/ecc.c），何不嘗試基于這個算法來做呢？于是參照 SM2 規(guī)范開始編碼，但結(jié)果有點(diǎn)遺憾，這個橢圓算法在 SM2 上居然失效了，連最基本的點(diǎn)乘結(jié)果都是錯的！納尼？劇本不應(yīng)該是這樣的。于是發(fā)郵件咨詢該算法的一個資深開發(fā)者，很快就得到了下面的回復(fù)（感嘆天下還是好心人多）：

Shamir‘s trick algo is probably generic， but it’s ecc_point_double_jacobian（）that is curve specific.

Algorithms are chosen that are fit curves I （and previous coders） used.You need to check their properties carefully if you going to use them.

Some variants of used algos， that may fit other curves， are in referencedpapers （in comments）。

總結(jié)原因：這個算法是經(jīng)過高度優(yōu)化的算法，是精確適配過 NIST 和 ECRDSA 橢圓曲線參數(shù)的，并不一定適合國內(nèi)的 SM2 曲線參數(shù)，看來這條路是走不通了。..。..

。..。..哭泣中，別理我。

。..。..擦干眼淚，看成敗，人生豪邁，不過是從頭再來。..。..

第三回

經(jīng)過反復(fù)探索，發(fā)現(xiàn)內(nèi)核中 RSA 算法是基于一個 mpi（高精度整數(shù)）庫實(shí)現(xiàn)的，這個庫來源于 libgcrypt（這是知名隱私保護(hù)軟件 GnuPG 的底層算法實(shí)現(xiàn)）。內(nèi)核中已經(jīng)實(shí)現(xiàn)了一個早期版本的 mpi，當(dāng)時就是為了實(shí)現(xiàn) RSA 引入的。

現(xiàn)在的 libgcrypt 已經(jīng)有了完整的橢圓曲線基礎(chǔ)算法，于是抱著試試看的心態(tài)基于 libgcrypt 測試 SM2 算法曲線，蒼天保佑，這次的驚喜沒有變成驚嚇，實(shí)驗(yàn)結(jié)果與 SM2 規(guī)范一致。

第四回

libgcrypt 中的 ECC 算法是個通用的算法，實(shí)現(xiàn)耦合度低。于是有了一個想法，可以嘗試先在 libgcrypt 中實(shí)現(xiàn) SM2，小試牛刀之后再把這一套東西全部移植到內(nèi)核，進(jìn)一步推進(jìn)到社區(qū)，看起來這也是能被社區(qū)接受的方式。

有了計劃后，索性擺個安逸的造型，莊嚴(yán)肅穆地將雙手放在鍵盤上，讓思維隨著手指自然流淌，接下來的開發(fā)調(diào)試就比較順利了，很快便有了公鑰算法的四件套：加密，解密，簽名，驗(yàn)簽。

一鼓作氣把這些實(shí)現(xiàn)提交到了 libgcrypt 社區(qū)，經(jīng)過兩輪的審核再修改之后，最終 SM2 算法作為 ECC 的一個子算法被社區(qū)接受，這里要感謝 libgcrypt 的維護(hù)者之一的 NIIBE Yutaka，耐心友好，對中國傳統(tǒng)文化也很了解。整體過程比較順利，表過不提。附上相關(guān)提交：

第五回

趁熱打鐵，由于內(nèi)核中的 lib/mpi 庫是一個較老的版本并且是為 RSA 服務(wù)的，相對于 libgcrypt 中的 mpi，是一個閹割的版本，需要移植缺失的函數(shù)以及 ECC 算法，這沒什么技術(shù)難度，卻也是一個精細(xì)活，工作量也不小。

在實(shí)踐中，把實(shí)現(xiàn) SM2 的過程中所缺失的東西都移植過來，很快便有了相應(yīng)的 SM2 算法和國密證書的實(shí)現(xiàn)。再經(jīng)過幾輪打磨，并做了充分的測試后，就有了最初的這組補(bǔ)丁： https://lkml.org/lkml/2020/2/16/43

第六回

中國古語曰過，一鼓作氣，再而衰，三而竭，事情的進(jìn)展再次遇到阻礙。Linux 內(nèi)核比不得專用的密碼學(xué)庫，對于這么一個不怎么知名的算法，社區(qū)并沒有表現(xiàn)出什么興趣，甚至鮮有人問津，最終以沒有實(shí)際應(yīng)用場景而被拒絕。事情當(dāng)然不能就這么結(jié)束，考慮到代碼量大，維護(hù)者審核意愿低，果斷裁剪掉了 SM2 的加解密和簽名，只保留了支持國密證書必要的驗(yàn)簽功能，后來陸陸續(xù)續(xù)又做了一些小修小補(bǔ)，同時給 IMA 的上游做了國密算法的增強(qiáng)以便將國密功能在 IMA 場景的應(yīng)用作為實(shí)際案例。

同時，隨著跟相關(guān)開發(fā)者和維護(hù)者不斷的軟si磨chan硬lan泡da，不斷地發(fā)送新的補(bǔ)丁，最后甚至都摸透了維護(hù)者習(xí)慣性的回復(fù)時間和補(bǔ)丁的合入規(guī)律，持續(xù)地緩慢推進(jìn) SM2 進(jìn)入社區(qū)的步伐。這期間沒有波瀾壯闊的故事，也沒有狗血的劇情，balabalabala.。..。.，省略while （1） {。..} 循環(huán)。

第七回

年過中秋月過半， 歷時半年多時間，SM2 早已不是那個最熟悉的娃，不知不覺補(bǔ)丁也更新到了 v7 版本。中秋月圓之夜向來都是有大事要發(fā)生的。是夜，一個蓋世英雄，頭頂鍋蓋，腰纏海帶，腳踩七彩祥云飛過來了，SM2 終于等到了它的至尊寶。言歸正傳，這個版本的補(bǔ)丁最終被社區(qū)接受，目前已經(jīng)合并到了 Linux 主線的 5.10-rc1：

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/log/？qt=author&q=Tianjia+Zhang

如不出意外會在 5.10 內(nèi)核版本中正式發(fā)布。

libgcrypt 全面支持國密算法

后來有幸在某個機(jī)緣巧合之下，在 libgcrypt 中實(shí)現(xiàn)了 SM4。作為國密開發(fā)過程的一個附屬產(chǎn)物，目前 libgcrypt 已經(jīng)全面支持了國密算法 SM2/3/4，這些實(shí)現(xiàn)都會在下一個版本 1.9.0 正式發(fā)布。其中 SM3 由相關(guān)同事在 2017 年開發(fā)。

ima-evm-utils 支持 SM2-with-SM3 國密簽名

內(nèi)核已經(jīng)支持了 SM2 和國密證書，作為 IMA 完整性簽名的用戶態(tài)工具，ima-evm-utils 對國密的支持當(dāng)然不能落下，附上相關(guān)的提交：

https://sourceforge.net/p/linux-ima/ima-evm-utils/ci/ceecb28d3b5267c7d32c6e9401923c94f5786cfb/log/？path=

已知問題

當(dāng)下 SM2 還有一些問題需要注意：

SM2 X509 證書中沒有為 SM2 公鑰算法定義獨(dú)立的 OID 標(biāo)識，目前是識別 OID_id_ecPublicKey 標(biāo)識默認(rèn)當(dāng)作 SM2

SM2 規(guī)范沒有為推薦的橢圓曲線參數(shù)定義 OID 標(biāo)識，這也導(dǎo)致 SM2 算法僅有一個默認(rèn)的橢圓曲線參數(shù)

SM2 規(guī)范中對消息簽名時，除了要計算消息自身的 SM3。同時 SM2 橢圓曲線參數(shù)和公鑰都要參與到 SM3 的計算中來，SM2 私鑰簽名是對最終的哈希結(jié)果做簽名，這一規(guī)范定義是有點(diǎn)另類，這是與國際通用算法的一個主要差異：

正常情況下，X509 證書解析與算法都被實(shí)現(xiàn)為獨(dú)立的模塊。正是由于 SM2 的這個規(guī)范會導(dǎo)致實(shí)現(xiàn)上的強(qiáng)耦合：X509 證書驗(yàn)證時需要計算證書中 tbs 的 SM3 哈希，這個哈希同樣需要橢圓曲線參數(shù)以及公鑰數(shù)據(jù)，而這些數(shù)據(jù)是一次完整 SM2 驗(yàn)簽過程中的臨時數(shù)據(jù)，目前的內(nèi)核中并沒有提供這樣的回調(diào)機(jī)制（當(dāng)然這是 SM2 的特殊情況），這就把 X509 證書解析與 SM2 算法強(qiáng)綁到了一起，沒法解耦。

這也導(dǎo)致了應(yīng)用該功能的一點(diǎn)限制，SM2 只能支持內(nèi)建編譯（Y），而不支持編譯成模塊（M），讓 X509 在編譯時就知道已經(jīng)支持 SM2，才能正常驗(yàn)簽國密證書。從實(shí)現(xiàn)上看，也有一些動態(tài)加載 SM2 模塊獲取獲取函數(shù)指針的方法，相比于框架層的支持，都不是很友好。

IMA 簽名在計算文件哈希的時候，內(nèi)核是直接計算文件哈希的，這塊并沒有針對是否使用 SM2 簽名而做特殊處理（指上圖中的增加 Za 值）。當(dāng)下內(nèi)核做的 IMA 國密簽名驗(yàn)證的支持，同時也支持了 ima-evm-utils 的國密 sm2+sm3 簽名（依賴最新的 openssl），目前這塊都是直接計算文件哈希，沒有加 Za 值，這也是當(dāng)下最優(yōu)的方案。

需要說明的一點(diǎn)是，Za 是國密簽名以及驗(yàn)簽里要求的，只是簽名驗(yàn)簽的流程里需要，但是國密這個流程跟目前主流的算法是相悖的，如果要支持，內(nèi)核和 ima-evm-utils 工具都需要較大修改，內(nèi)核要涉及到架構(gòu)修改，社區(qū)也不愿意接受，所以目前就按主流方式支持了 sm2+sm3 的 IMA 簽名。

總而言之，言而總之兩條：

要支持國密證書驗(yàn)證，SM2 要么不編譯，要么必須內(nèi)建編譯，不支持編譯成模塊。當(dāng)然了，SM2 作為一個非對稱算法，只簽名一個哈希或者基于國密的 IMA 驗(yàn)證，并沒有這個限制。IMA 簽名工具 ima-evm-utils 以及內(nèi)核計算文件 SM3 哈希所用的國密算法沒有加 Za，這個是與規(guī)范的一點(diǎn)差異。
責(zé)編AJX