小王的尴尬日常（四）--openssl 实现国密算法（签名和验签）

昨天呢，更新了加密和解密的实现，今天我们接着来签名和验签。
还是按照王氏惯例先说一下这个理论知识：

下列符号适用于本部分。
A,B：使用公钥密码系统的两个用户。
a,b： Fq中的元素，它们定义Fq上的一条椭圆曲线E。
2dA：用户A的私钥。
E(Fq)： Fq上椭圆曲线E 的所有有理点(包括无穷远点O)组成的集合。
e：密码杂凑函数作用于消息M的输出值。
e′：密码杂凑函数作用于消息M ′的输出值。
Fq
：包含q个元素的有限域。
G：椭圆曲线的一个基点，其阶为素数。
Hv
( )：消息摘要长度为v比特的密码杂凑函数。
IDA：用户A的可辨别标识。
M：待签名的消息。
M ′：待验证消息。
modn：模n运算。例如， 23mod7=2。
n：基点G的阶(n是#E(Fq)的素因子)。
O：椭圆曲线上的一个特殊点，称为无穷远点或零点，是椭圆曲线加法群的单位元。
PA：用户A的公钥。
q：有限域Fq中元素的数目。
x ∥ y： x与y的拼接，其中x、 y可以是比特串或字节串。
ZA：关于用户A的可辨别标识、部分椭圆曲线系统参数和用户A公钥的杂凑值。
(r,s)：发送的签名。
(r′,s′)：收到的签名。
[k]P：椭圆曲线上点P的k倍点，即， [k]P= P + P + · · · + P（k个P， k是正整数）。
[x,y]：大于或等于x且小于或等于y的整数的集合。
⌈x⌉：顶函数，大于或等于x的最小整数。例如， ⌈7⌉=7, ⌈8.3⌉=9。
⌊x⌋：底函数，小于或等于x的最大整数。例如， ⌊7⌋=7, ⌊8.3⌋=8。
#E(Fq)： E(Fq)上点的数目，称为椭圆曲线E(Fq)的阶。

sm2签名算法流程

设待签名的消息为M，为了获取消息M的数字签名(r,s)，作为签名者的用户A应实现以下运算步
骤：
A1：置M=ZA ∥ M；
A2：计算e = Hv(M)，按本文本第1部分4.2.3和4.2.2给出的细节将e的数据类型转换为整数；
A3：用随机数发生器产生随机数k ∈[1,n-1]；
A4：计算椭圆曲线点(x1,y1)=[k]G，按本文本第1部分4.2.7给出的细节将x1的数据类型转换为整
数；
A5：计算r=(e+x1) modn，若r=0或r+k=n则返回A3；
A6：计算s = ((1 + dA)−1 · (k − r · dA)) modn，若s=0则返回A3；
A7：按本文本第1部分4.2.1给出的细节将r、 s的数据类型转换为字节串，消息M 的签名为(r,s)。

下面是流程图：

sm2算法验签流程

为了检验收到的消息M ′及其数字签名(r′, s′)，作为验证者的用户B应实现以下运算步骤：
B1：检验r′ ∈[1,n-1]是否成立，若不成立则验证不通过；
B2：检验s′ ∈[1,n-1]是否成立，若不成立则验证不通过；
B3：置M ′=ZA ∥ M ′；
B4：计算e′ = Hv(M ′)，按本文本第1部分4.2.3和4.2.2给出的细节将e′的数据类型转换为整数；
B5：按本文本第1部分4.2.2给出的细节将r′、 s′的数据类型转换为整数，计算t = (r′ + s′) modn，
若t = 0，则验证不通过；
B6：计算椭圆曲线点(x′ 1; y1 ′ )=[s′]G + [t]PA；
B7：按本文本第1部分4.2.7给出的细节将x′ 1的数据类型转换为整数，计算R = (e′ + x′ 1) modn，检
验R=r′是否成立，若成立则验证通过；否则验证不通过。

下面是流程图：

最后是最关键的一步上代码：
签名的代码

int iret;
    unsigned char ENTLA[3] = {
  
  0};
    unsigned char ZA[33] = {
  
  0};

    unsigned char* Z = NULL, *M1 = NULL;
    int z_len;

    EC_POINT* kG = NULL;
    BIGNUM* k = NULL, *e =