ICS?FORMTEXT35.040FORMTEXTL80中華人民共和國國家標準GB/TFORMTEXTXXXXX.3—FORMTEXTXXXXFORMTEXT?????FORMTEXT信息安全技術SM2橢圓曲線公鑰密碼算法第3部分：密鑰交換協(xié)議FORMTEXTInformationsecuritytechnology-PublickeycryptographicalgorithmSM2basedonellipticcurves-Part3：KeyexchangeprotocolFORMTEXT點擊此處添加與國際標準一致性程度的標識FORMDROPDOWNFORMTEXT在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX發(fā)布FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX實施GB/TXXXXX.4—XXXXPAGE1信息安全技術SM2橢圓曲線公鑰密碼算法

第3部分：密鑰交換協(xié)議范圍GB/TXXXXX的本部分規(guī)定了SM2橢圓曲線公鑰密碼算法的密鑰交換協(xié)議，并給出了密鑰交換與驗證示例及其相應的流程。本部分適用于商用密碼應用中的密鑰交換，可滿足通信雙方經過兩次或可選三次信息傳遞過程，計算獲取一個由雙方共同決定的共享秘密密鑰（會話密鑰）。規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/TXXXXX.1-XXXXSM2橢圓曲線公鑰密碼算法第1部分：總則術語和定義下列術語和定義適用于本文件。從A到B的密鑰確認keyconfirmationfromAtoB使用戶B確信用戶A擁有特定秘密密鑰的保證。密鑰派生函數keyderivationfunction通過作用于共享秘密和雙方都知道的其它參數，產生一個或多個共享秘密密鑰的函數。發(fā)起方initiator在一個協(xié)議的操作過程中發(fā)送首輪交換信息的用戶。響應方responder在一個協(xié)議的操作過程中不是發(fā)送首輪交換信息的用戶。可辨別標識distinguishingidentifier可以無歧義辨別某一實體身份的信息。符號下列符號適用于本文件。A,B使用公鑰密碼系統(tǒng)的兩個用戶。a,bFq中的元素，它們定義Fq上的一條橢圓曲線E。dA用戶A的私鑰。dB用戶B的私鑰。E(Fq)Fq上橢圓曲線E的所有有理點(包括無窮遠點O)組成的集合。Fq包含個元素的有限域。G橢圓曲線的一個基點，其階為素數。Hash()密碼雜湊算法。Hv()消息摘要長度為v比特的密碼雜湊算法。h余因子，h=#E(Fq)/n，其中n是基點G的階。IDA,IDB用戶A和用戶B的可辨別標識。K,KA,KB密鑰交換協(xié)議商定的共享秘密密鑰。KDF()密鑰派生函數。modn模n運算。例如，23mod7=2。n基點G的階(n是#E(Fq)的素因子)。O橢圓曲線上的一個特殊點，稱為無窮遠點或零點，是橢圓曲線加法群的單位元。PA用戶A的公鑰。PB用戶B的公鑰。q有限域Fq中元素的數目。rA密鑰交換中用戶A產生的臨時密鑰值。rB密鑰交換中用戶B產生的臨時密鑰值。x||y與的拼接，其中、可以是比特串或字節(jié)串。ZA關于用戶A的可辨別標識、部分橢圓曲線系統(tǒng)參數和用戶A公鑰的雜湊值。ZB關于用戶B的可辨別標識、部分橢圓曲線系統(tǒng)參數和用戶B公鑰的雜湊值。#E(Fq)E(Fq)上點的數目，稱為橢圓曲線E(Fq)的階。[k]P橢圓曲線上點的k倍點，即，，k是正整數。[x,y]大于或等于x且小于或等于y的整數的集合。頂函數，大于或等于x的最小整數。例如，。底函數，小于或等于x的最大整數。例如,。&兩個整數的按比特與運算。算法參數與輔助函數綜述密鑰交換協(xié)議是兩個用戶A和B通過交互的信息傳遞，用各自的私鑰和對方的公鑰來商定一個只有他們知道的秘密密鑰。這個共享的秘密密鑰通常用在某個對稱密碼算法中。該密鑰交換協(xié)議能夠用于密鑰管理和協(xié)商。橢圓曲線系統(tǒng)參數橢圓曲線系統(tǒng)參數包括有限域Fq的規(guī)模q(當q=2m時，還包括元素表示法的標識和約化多項式)；定義橢圓曲線E(Fq)的方程的兩個元素a、bFq；E(Fq)上的基點G=(xG,yG)(G≠O)，其中xG和yG是Fq中的兩個元素；G的階n及其它可選項(如n的余因子等)。 橢圓曲線系統(tǒng)參數及其驗證應符合GB/TXXXXX.1-XXXX第5章的規(guī)定。用戶密鑰對用戶A的密鑰對包括其私鑰dA和公鑰PA=[dA]G=(xA,yA)，用戶B的密鑰對包括其私鑰dB和公鑰PB=[dB]G=(xB,yB)。用戶密鑰對的生成算法與公鑰驗證算法應符合GB/TXXXXX.1-XXXX第6章的規(guī)定。輔助函數概述在本部分規(guī)定的橢圓曲線密鑰交換協(xié)議中，涉及到三類輔助函數：密碼雜湊算法，密鑰派生函數與隨機數發(fā)生器。這三類輔助函數的強弱直接影響密鑰交換協(xié)議的安全性。密碼雜湊算法本部分規(guī)定使用國家密碼管理局批準的密碼雜湊算法，如SM3密碼雜湊算法。密鑰派生函數密鑰派生函數的作用是從一個共享的秘密比特串中派生出密鑰數據。在密鑰協(xié)商過程中，密鑰派生函數作用在密鑰交換所獲共享的秘密比特串上，從中產生所需的會話密鑰或進一步加密所需的密鑰數據。密鑰派生函數需要調用密碼雜湊算法。設密碼雜湊算法為Hv()，其輸出是長度恰為v比特的雜湊值。密鑰派生函數KDF(Z,klen)：輸入：比特串Z，整數klen(表示要獲得的密鑰數據的比特長度，要求該值小于(232-1)v)。輸出：長度為klen的密鑰數據比特串K。a)初始化一個32比特構成的計數器ct=0x00000001；b)對i從1到執(zhí)行：b.1)計算Hai=Hv(Z||ct)；b.2)ct++； c)若klen/v是整數，令，否則令為最左邊的比特；d)令。隨機數發(fā)生器本部分規(guī)定使用國家密碼管理局批準的隨機數發(fā)生器。用戶其它信息用戶A具有長度為entlenA比特的可辨別標識IDA，記ENTLA是由整數entlenA轉換而成的兩個字節(jié)；用戶B具有長度為entlenB比特的可辨別標識IDB，記ENTLB是由整數entlenB轉換而成的兩個字節(jié)。在本部分規(guī)定的橢圓曲線密鑰交換協(xié)議中，參與密鑰協(xié)商的A、B雙方都需要用密碼雜湊算法求得用戶A的雜湊值ZA和用戶B的雜湊值ZB。按GB/TXXXXX.1-XXXX中的4.2.5和4.2.6給出的方法，將橢圓曲線方程參數a、b、G的坐標xG、yG和PA的坐標xA、yA的數據類型轉換為比特串，ZA=H256(ENTLA||IDA||a||b||xG||yG||xA||yA)；按GB/TXXXXX.1-XXXX4.2.5和4.2.6給出的方法，將橢圓曲線方程參數a、b、G的坐標xG、yG和PB的坐標xB、yB的數據類型轉換為比特串，ZB=H256(ENTLB||IDB||a||b||xG||yG||xB||yB)。密鑰交換協(xié)議及流程密鑰交換協(xié)設用戶A和B協(xié)商獲得密鑰數據的長度為比特，用戶A為發(fā)起方，用戶B為響應方。用戶A和B雙方為了獲得相同的密鑰，應實現如下運算步驟：記。用戶A：用隨機數發(fā)生器產生隨機數rA∈[1,n-1]；計算橢圓曲線點RA=[rA]G=(x1,y1)；將RA發(fā)送給用戶B；用戶B：用隨機數發(fā)生器產生隨機數rB∈[1,n-1]；計算橢圓曲線點RB=[rB]G=(x2,y2)；從RB中取出域元素x2，按GB/TXXXXX.1-XXXX4.2.8給出的方法將x2的數據類型轉換為整數，計算；計算；驗證RA是否滿足橢圓曲線方程，若不滿足則協(xié)商失敗；否則從RA中取出域元素x1，按GB/TXXXXX.1-XXXX4.2.8給出的方法將x1的數據類型轉換為整數，計算；計算橢圓曲線點，若V是無窮遠點，則B協(xié)商失敗；否則按GB/TXXXXX.1-XXXX4.2.6和4.2.5給出的方法將xV、yV的數據類型轉換為比特串；計算KB=KDF(xV||yV||ZA||ZB,klen)；(選項)按GB/TXXXXX.1-XXXX4.2.6和4.2.5給出的方法將RA的坐標x1、y1和RB的坐標x2、y2的數據類型轉換為比特串，計算SB=Hash(0x02||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2))；將RB、(選項SB)發(fā)送給用戶A；用戶A：從RA中取出域元素x1，按GB/TXXXXX.1-XXXX4.2.8給出的方法將x1的數據類型轉換為整數，計算；計算；驗證RB是否滿足橢圓曲線方程，若不滿足則協(xié)商失敗；否則從RB中取出域元素x2，按GB/TXXXXX.1-XXXX4.2.8給出的方法將x2的數據類型轉換為整數，計算；計算橢圓曲線點，若U是無窮遠點，則A協(xié)商失敗；否則按GB/TXXXXX.1-XXXX4.2.6和4.2.5給出的方法將xU、yU的數據類型轉換為比特串；計算KA=KDF(xU||yU||ZA||ZB,klen)；(選項)按GB/TXXXXX.1-XXXX4.2.6和4.2.5給出的方法將RA的坐標x1、y1和RB的坐標x2、y2的數據類型轉換為比特串，計算S1=Hash(0x02||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))，并檢驗S1=SB是否成立，若等式不成立則從B到A的密鑰確認失敗；A10：(選項)計算SA=Hash(0x03||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))，并將SA發(fā)送給用戶B。用戶B：(選項)計算S2=Hash(0x03||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2))，并檢驗S2=SA是否成立，若等式不成立則從A到B的密鑰確認失敗。注：如果ZA、ZB不是用戶A和B所對應的雜湊值，則自然不能達成一致的共享秘密值。密鑰交換協(xié)議過程的示例參見附錄A。6.2密鑰交換協(xié)議流程密鑰交換協(xié)議流程見圖1。是是是是是是是是是是是是否否否第6步：計算第7步：計算橢圓曲線點第4步：取第5步：計算發(fā)起方用戶A的原始數據PB)第1步：產生隨機數rA∈[1,n-1]第2步：計算RA=[rA]G=(x1,y1)第3步：將RA發(fā)送給用戶B第7步：計算KB=KDF(xV||yV||,klen)第8步：(選項)計算第9步：將RB、(選項SB)發(fā)送給用戶A第1步：產生隨機數rB∈[1,n-1]第2步：計算RB=[rB]G=(x2,y2)第3步：取第4步：計算第5步：計算第6步：計算橢圓曲線點響應方用戶B的原始數據(PA)第8步：計算KA=KDF(xU||yU||,klen)第9步：(選項)計算第10步：(選項)計算并將SA發(fā)送給用戶B。第10步：(選項)計算||x1||y1||x2||y2))U=O？RB是否滿足曲線方程?V=O？A協(xié)商失敗RA是否滿足曲線方程?S1=SB？否S2=SA？從A到B的密鑰確認成功否否B協(xié)商失敗協(xié)商失敗圖1密鑰交換協(xié)議流程

（資料性附錄）

密鑰交換及驗證示例綜述本附錄選用GB/TAAAAA-AAAA《SM3密碼雜湊算法》給出的密碼雜湊算法，其輸入是長度小于264的消息比特串，輸出是長度為256比特的雜湊值，記為H256()。本附錄中，所有用16進制表示的數，左邊為高位，右邊為低位。設用戶A的身份是：ALICE123@YAHOO.COM。用GB/T1988編碼記IDA:414C494345313233405941484F4F2E434F4D。ENTLA=0090。設用戶B的身份是：BILL456@YAHOO.COM。用GB/T1988編碼記IDB:42494C4C343536405941484F4F2E434F4D。ENTLB=0088。Fp上橢圓曲線密鑰交換協(xié)議橢圓曲線方程為：y2=x3+ax+b示例1：Fp-256素數p：8542D69E4C044F18E8B92435BF6FF7DE457283915C45517D722EDB8B08F1DFC3系數a：787968B4FA32C3FD2417842E73BBFEFF2F3C848B6831D7E0EC65228B3937E498系數b：63E4C6D3B23B0C849CF84241484BFE48F61D59A5B16BA06E6E12D1DA27C5249A余因子h：1基點G=(xG,yG)，其階記為n。坐標xG：421DEBD61B62EAB6746434EBC3CC315E32220B3BADD50BDC4C4E6C147FEDD43D坐標yG：0680512BCBB42C07D47349D2153B70C4E5D7FDFCBFA36EA1A85841B9E46E09A2階n：8542D69E4C044F18E8B92435BF6FF7DD297720630485628D5AE74EE7C32E79B7用戶A的私鑰dA：6FCBA2EF9AE0AB902BC3BDE3FF915D44BA4CC78F88E2F8E7F8996D3B8CCEEDEE用戶A的公鑰PA=(xA,yA)：坐標xA：3099093BF3C137D8FCBBCDF4A2AE50F3B0F216C3122D79425FE03A45DBFE1655坐標yA：3DF79E8DAC1CF0ECBAA2F2B49D51A4B387F2EFAF482339086A27A8E05BAED98B用戶B的私鑰dB：5E35D7D3F3C54DBAC72E61819E730B019A84208CA3A35E4C2E353DFCCB2A3B53用戶B的公鑰PB=(xB,yB)：坐標xB：245493D446C38D8CC0F118374690E7DF633A8A4BFB3329B5ECE604B2B4F37F43坐標yB：53C0869F4B9E17773DE68FEC45E14904E0DEA45BF6CECF9918C85EA047C60A4C雜湊值ZA=H256(ENTLA||IDA||a||b||xG||yG||xA||yA)。ZA：E4D1D0C3CA4C7F11BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F31雜湊值ZB=H256(ENTLB||IDB||a||b||xG||yG||xB||yB)。ZB：6B4B6D0E276691BD4A11BF72F4FB501AE309FDACB72FA6CC336E6656119ABD67密鑰交換A1-A3步驟中的有關值：產生隨機數rA：83A2C9C8B96E5AF70BD480B472409A9A327257F1EBB73F5B073354B248668563計算橢圓曲線點RA=[rA]G=(x1,y1)：坐標x1：6CB5633816F4DD560B1DEC458310CBCC6856C09505324A6D23150C408F162BF0坐標y1：0D6FCF62F1036C0A1B6DACCF57399223A65F7D7BF2D9637E5BBBEB857961BF1A密鑰交換B1-B9步驟中的有關值：產生隨機數rB：33FE21940342161C55619C4A0C060293D543C80AF19748CE176D83477DE71C80計算橢圓曲線點RB=[rB]G=(x2,y2)：坐標x2：1799B2A2C778295300D9A2325C686129B8F2B5337B3DCF4514E8BBC19D900EE5坐標y2：54C9288C82733EFDF7808AE7F27D0E732F7C73A7D9AC98B7D8740A91D0DB3CF4取：B8F2B5337B3DCF4514E8BBC19D900EE5計算：2B2E11CBF03641FC3D939262FC0B652A70ACAA25B5369AD38B375C0265490C9F取：E856C09505324A6D23150C408F162BF0計算橢圓曲線點[]RA=(xA0,yA0)：坐標xA0：2079015F1A2A3C132B67CA9075BB28031D6F22398DD8331E72529555204B495B坐標yA0：6B3FE6FB0F5D5664DCA16128B5E7FCFDAFA5456C1E5A914D1300DB61F37888ED計算橢圓曲線點PA+[]RA=(xA1,yA1)：坐標xA1：1C006A3BFF97C651B7F70D0DE0FC09D23AA2BE7A8E9FF7DAF32673B416349B92坐標yA1：5DC74F8ACC114FC6F1A75CB286864F347F9B2CF29326A27079B7D37AFC1C145B計算：坐標xV：47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E40905坐標yV：2AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295計算KB=KDF(xV||yV||ZA||ZB,klen)：xV||yV||ZA||ZB：47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E409052AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295E4D1D0C3CA4C7F11BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F316B4B6D0E276691BD4A11BF72F4FB501AE309FDACB72FA6CC336E6656119ABD67klen=128共享密鑰KB：55B0AC62A6B927BA23703832C853DED4計算選項SB=Hash(0x02||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2))：xV||ZA||ZB||x1||y1||x2||y2：47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E40905E4D1D0C3CA4C7F11BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F316B4B6D0E276691BD4A11BF72F4FB501AE309FDACB72FA6CC336E6656119ABD676CB5633816F4DD560B1DEC458310CBCC6856C09505324A6D23150C408F162BF00D6FCF62F1036C0A1B6DACCF57399223A65F7D7BF2D9637E5BBBEB857961BF1A1799B2A2C778295300D9A2325C686129B8F2B5337B3DCF4514E8BBC19D900EE554C9288C82733EFDF7808AE7F27D0E732F7C73A7D9AC98B7D8740A91D0DB3CF4Hash(xV||ZA||ZB||x1||y1||x2||y2)：FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D976470x02||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2)：022AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D97647選項SB：284C8F198F141B502E81250F1581C7E9EEB4CA6990F9E02DF388B45471F5BC5C密鑰交換A4-A10步驟中的有關值：取：E856C09505324A6D23150C408F162BF0計算：236CF0C7A177C65C7D55E12D361F7A6C174A78698AC099C0874AD0658A4743DC取：B8F2B5337B3DCF4514E8BBC19D900EE5計算橢圓曲線點[]RB=(xB0,yB0)：坐標xB0：668642746BFC066A1E731ECFFF51131BDC81CF609701CB8C657B25BF55B7015D坐標yB0：1988A7C681CE1B509AC69F49D72AE60E8B71DB6CE087AF8499FEEF4CCD523064計算橢圓曲線點PB+[]RB=(xB1,yB1)：坐標xB1：7D2B443510886AD7CA3911CF2019EC07078AFF116E0FC409A9F75A3901F306CD坐標yB1：331F0C6C0FE08D405FFEDB307BC255D68198653BDCA68B9CBA100E73197E5D24計算：坐標xU：47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E40905坐標yU：2AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295計算KA=KDF(xU||yU||ZA||ZB,klen)：xU||yU||ZA||ZB：47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E409052AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295E4D1D0C3CA4C7F11BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F316B4B6D0E276691BD4A11BF72F4FB501AE309FDACB72FA6CC336E6656119ABD67klen=128共享密鑰KA：55B0AC62A6B927BA23703832C853DED4計算選項S1=Hash(0x02||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))：xU||ZA||ZB||x1||y1||x2||y2：47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E40905E4D1D0C3CA4C7F11BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F316B4B6D0E276691BD4A11BF72F4FB501AE309FDACB72FA6CC336E6656119ABD676CB5633816F4DD560B1DEC458310CBCC6856C09505324A6D23150C408F162BF00D6FCF62F1036C0A1B6DACCF57399223A65F7D7BF2D9637E5BBBEB857961BF1A1799B2A2C778295300D9A2325C686129B8F2B5337B3DCF4514E8BBC19D900EE554C9288C82733EFDF7808AE7F27D0E732F7C73A7D9AC98B7D8740A91D0DB3CF4Hash(xU||ZA||ZB||x1||y1||x2||y2)：FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D976470x02||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2)：022AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D97647選項S1：284C8F198F141B502E81250F1581C7E9EEB4CA6990F9E02DF388B45471F5BC5C計算選項SA=Hash(0x03||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))：xU||ZA||ZB||x1||y1||x2||y2：47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E40905E4D1D0C3CA4C7F11BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F316B4B6D0E276691BD4A11BF72F4FB501AE309FDACB72FA6CC336E6656119ABD676CB5633816F4DD560B1DEC458310CBCC6856C09505324A6D23150C408F162BF00D6FCF62F1036C0A1B6DACCF57399223A65F7D7BF2D9637E5BBBEB857961BF1A1799B2A2C778295300D9A2325C686129B8F2B5337B3DCF4514E8BBC19D900EE554C9288C82733EFDF7808AE7F27D0E732F7C73A7D9AC98B7D8740A91D0DB3CF4Hash(xU||ZA||ZB||x1||y1||x2||y2)：FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D976470x03||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2)：032AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D97647選項SA：23444DAF8ED7534366CB901C84B3BDBB63504F4065C1116C91A4C00697E6CF7A密鑰交換B10步驟中的有關值：計算選項S2=Hash(0x03||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2))：xV||ZA||ZB||x1||y1||x2||y2：47C826534DC2F6F1FBF28728DD658F21E174F48179ACEF2900F8B7F566E40905E4D1D0C3CA4C7F11BC8FF8CB3F4C02A78F108FA098E51A668487240F75E20F316B4B6D0E276691BD4A11BF72F4FB501AE309FDACB72FA6CC336E6656119ABD676CB5633816F4DD560B1DEC458310CBCC6856C09505324A6D23150C408F162BF00D6FCF62F1036C0A1B6DACCF57399223A65F7D7BF2D9637E5BBBEB857961BF1A1799B2A2C778295300D9A2325C686129B8F2B5337B3DCF4514E8BBC19D900EE554C9288C82733EFDF7808AE7F27D0E732F7C73A7D9AC98B7D8740A91D0DB3CF4Hash(xV||ZA||ZB||x1||y1||x2||y2)：FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D976470x03||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2)：032AF86EFE732CF12AD0E09A1F2556CC650D9CCCE3E249866BBB5C6846A4C4A295FF49D95BD45FCE99ED54A8AD7A7091109F51394442916BD154D1DE4379D97647選項S2：23444DAF8ED7534366CB901C84B3BDBB63504F4065C1116C91A4C00697E6CF7A上橢圓曲線密鑰交換協(xié)議橢圓曲線方程為：y2+xy=x3+ax2+b示例2：F2m-257基域生成多項式：x257+x12+1系數a：0系數b：00E78BCD09746C202378A7E72B12BCE00266B9627ECB0B5A25367AD1AD4CC6242B余因子h：4基點G=(xG,yG)，其階記為n。坐標xG：00CDB9CA7F1E6B0441F658343F4B10297C0EF9B6491082400A62E7A7485735FADD坐標yG：013DE74DA65951C4D76DC89220D5F7777A611B1C38BAE260B175951DC8060C2B3E階n：7FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFBC972CF7E6B6F900945B3C6A0CF6161D用戶A的私鑰dA：4813903D254F2C20A94BC5704238496954BB5279F861952EF2C5298E84D2CEAA用戶A的公鑰PA=(xA,yA)：坐標xA：008E3BDB2E11F9193388F1F901CCC857BF49CFC065FB38B9069CAAE6D5AFC3592F坐標yA：004555122AAC0075F42E0A8BBD2C0665C789120DF19D77B4E3EE4712F598040415用戶B的私鑰dB：08F41BAE0922F47C212803FE681AD52B9BF28A35E1CD0EC273A2CF813E8FD1DC用戶B的公鑰PB=(xB,yB)：坐標xB：0034297DD83AB14D5B393B6712F32B2F2E938D4690B095424B89DA880C52D4A7D9坐標yB：0199BBF11AC95A0EA34BBD00CA50B93EC24ACB68335D20BA5DCFE3B33BDBD2B62D雜湊值ZA=H256(ENTLA||IDA||a||b||xG||yG||xA||yA)。ZA：ECF0080215977B2E5D6D61B98A99442F03E8803DC39E349F8DCA5621A9ACDF2B雜湊值ZB=H256(ENTLB||IDB||a||b||xG||yG||xB||yB)。ZB：557BAD30E183559AEEC3B2256E1C7C11F870D22B165D015ACF9465B09B87B527密鑰交換A1-A3步驟中的有關值：產生隨機數rA：54A3D6673FF3A6BD6B02EBB164C2A3AF6D4A4906229D9BFCE68CC366A2E64BA4計算橢圓曲線點RA=[rA]G=(x1,y1)：坐標x1：0181076543ED19058C38B313D739921D46B80094D961A13673D4A5CF8C7159E304坐標y1：01D8CFFF7CA27A01A2E88C18673748FDE9A74C1F9B45646ECA0997293C15C34DD8密鑰交換B1-B9步驟中的有關值：產生隨機數rB：1F21933387BEF781D0A8F7FD708C5AE0A56EE3F423DBC2FE5BDF6F068C53F7AD計算橢圓曲線點RB=[rB]G=(x2,y2)：坐標x2：002A4832B4DCD399BAAB3FFFE7DD6CE6ED68CC43FFA5F2623B9BD04E468D322A2A坐標y2：0016599BB52ED9EAFAD01CFA453CF3052ED60184D2EECFD42B52DB74110B984C23取：E8CC43FFA5F2623B9BD04E468D322A2A計算：3D51D33114A453A05791DB635B45F8DBC54686D7E2212D49E4A717C6B10DEDB0計算：75474CC452914E815E476D8D6D17E36F5882EE67A1CDBC26FE4122B0B741A0A3取：B80094D961A13673D4A5CF8C7159E304計算橢圓曲線點[]RA=(xA0,yA0)：坐標xA0：0198AB5F14349B6A46F77FBFCBDDBFCD34320DC1F4C546D13C3A9F0E830C39B579坐標yA0：00BFB49224ACCE2E5104CD4519C0CBE3AD0C19BF11805BE10859069AA69317A2B7計算橢圓曲線點PA+[]RA=(xA1,yA1)：坐標xA1：0024A92F6466A37C5C12A2C68D58BFB0F032F2B97660957CB05E63F961F160FE57坐標yA1：00F74A4F17DC560A55FDE0F1AB168BCBF76502E240BA2D6BD6BE6E5D7916B288FC計算：坐標xV：00DADD087406221D657BC3FA79FF329BB022E9CB7DDFCFCCFE277BE8CD4AE9B954坐標yV：01F0464B1E81684E5ED6EF281B55624EF46CAA3B2D37484372D91610B698252CC9計算KB=KDF(xV||yV||ZA||ZB,klen)：xV||yV||ZA||ZB：00DADD087406221D657BC3FA79FF329BB022E9CB7DDFCFCCFE277BE8CD4AE9B95401F0464B1E81684E5ED6EF281B55624EF46CAA3B2D37484372D91610B698252CC9ECF0080215977B2E5D6D61B98A99442F03E8803DC39E349F8DCA5621A9ACDF2B557BAD30E183559AEEC3B2256E1C7C11F870D22B165D015ACF9465B09B87B527klen=128共享密鑰KB：4E587E5C66634F22D973A7D98BF8BE23計算選項SB=Hash(0x02||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2))：xV||ZA||ZB||x1||y1||x2||y2：00DADD087406221D657BC3FA79FF329BB022E9CB7DDFCFCCFE277BE8CD4AE9B954ECF0080215977B2E5D6D61B98A99442F03E8803DC39E349F8DCA5621A9ACDF2B557BAD30E183559AEEC3B2256E1C7C11F870D22B165D015ACF9465B09B87B5270181076543ED19058C38B313D739921D46B80094D961A13673D4A5CF8C7159E30401D8CFFF7CA27A01A2E88C18673748FDE9A74C1F9B45646ECA0997293C15C34DD8002A4832B4DCD399BAAB3FFFE7DD6CE6ED68CC43FFA5F2623B9BD04E468D322A2A0016599BB52ED9EAFAD01CFA453CF3052ED60184D2EECFD42B52DB74110B984C23Hash(xV||ZA||ZB||x1||y1||x2||y2)：E05FE287B73B0CE6639524CD86694311562914F4F6A3424101D885F88B05369C0x02||yV||Hash(xV||ZA||ZB||x1||y1||x2||y2)：0201F0464B1E81684E5ED6EF281B55624EF46CAA3B2D37484372D91610B698252CC9E05FE287B73B0CE6639524CD86694311562914F4F6A3424101D885F88B05369C選項SB：4EB47D28AD3906D6244D01E0F6AEC73B0B51DE1574C13798184E4833DBAE295A密鑰交換A4-A10步驟中的有關值：取：B80094D961A13673D4A5CF8C7159E304計算：18A1C649B94044DF16DC8634993F1A4AEE3F6426DFE14AC13644306AA5A94187計算：62871926E501137C5B7218D264FC692BB8FD909B7F852B04D910C1AA96A5061C取：E8CC43FFA5F2623B9BD04E468D322A2A計算橢圓曲線點[]RB=(xB0,yB0)：坐標xB0：010AA3BAC97786B62922F9341457AC64F72552AA15D9321677A10C702133B16735坐標yB0：00C10837F48F53C46B714BCFBFAA1AD62711FCB03C0C25B366BF176A2DC7B8E62E計算橢圓曲線點PB+[]RB=(xB1,yB1)：坐標xB1：00C7A446E198DB427860C3BB50ED2197DEB81619739141CA61037450359FAD9A99坐標yB1：00602E5A4217427EABC5E3917DE81BFFA1D806591AF949DD7C97EF90FD4CF0A42D計算：坐標xU：00DADD087406221D657BC3FA79FF329BB022E9CB7DDFCFCCFE277BE8CD4AE9B954坐標yU：01F0464B1E81684E5ED6EF281B55624EF46CAA3B2D37484372D91610B698252CC9計算KA=KDF(xU||yU||ZA||ZB,klen)：xU||yU||ZA||ZB：00DADD087406221D657BC3FA79FF329BB022E9CB7DDFCFCCFE277BE8CD4AE9B95401F0464B1E81684E5ED6EF281B55624EF46CAA3B2D37484372D91610B698252CC9ECF0080215977B2E5D6D61B98A99442F03E8803DC39E349F8DCA5621A9ACDF2B557BAD30E183559AEEC3B2256E1C7C11F870D22B165D015ACF9465B09B87B527klen=128共享密鑰KA：4E587E5C66634F22D973A7D98BF8BE23計算選項S1=Hash(0x02||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2))：xU||ZA||ZB||x1||y1||x2||y2：00DADD087406221D657BC3FA79FF329BB022E9CB7DDFCFCCFE277BE8CD4AE9B954ECF0080215977B2E5D6D61B98A99442F03E8803DC39E349F8DCA5621A9ACDF2B557BAD30E183559AEEC3B2256E1C7C11F870D22B165D015ACF9465B09B87B5270181076543ED19058C38B313D739921D46B80094D961A13673D4A5CF8C7159E30401D8CFFF7CA27A01A2E88C18673748FDE9A74C1F9B45646ECA0997293C15C34DD8002A4832B4DCD399BAAB3FFFE7DD6CE6ED68CC43FFA5F2623B9BD04E468D322A2A0016599BB52ED9EAFAD01CFA453CF3052ED60184D2EECFD42B52DB74110B984C23Hash(xU||ZA||ZB||x1||y1||x2||y2)：E05FE287B73B0CE6639524CD86694311562914F4F6A3424101D885F88B05369C0x02||yU||Hash(xU||ZA||ZB||x1||y1||x2||y2)：0201F0464B1E81684E5ED6EF281B55624EF46CAA3B2D37484372D91610B698252C