1. 国密介绍

国密算法是我国自主研发创新的一套数据加密处理系列算法。从SM1-SM4分别实现了对称、非对称、摘要等算法功能。特别适合应用于嵌入式物联网等相关领域,完成身份认证和数据加解密等功能。当然,默认的前提条件是算法密钥必须保证安全性,因此要将国密算法嵌入到硬件加密芯片中结合使用。
国密即国家密码局认定的国产密码算法。主要有SM1,SM2,SM3,SM4。密钥长度和分组长度均为128位。

SM1 为对称加密。其加密强度与AES相当。该算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。
SM2为非对称加密,基于ECC。该算法已公开。由于该算法基于ECC,故其签名速度与秘钥生成速度都快于RSA。ECC 256位(SM2采用的就是ECC 256位的一种)安全强度比RSA 2048位高,但运算速度快于RSA。
SM3 消息摘要。可以用MD5作为对比理解。该算法已公开。校验结果为256位。
SM4 无线局域网标准的分组数据算法。对称加密,密钥长度和分组长度均为128位。

由于SM1、SM4加解密的分组大小为128bit,故对消息进行加解密时,若消息长度过长,需要进行分组,要消息长度不足,则要进行填充。

2. 实现方法

PHP调用linux命令实现,可实现SM2加解密签名验签,SM3摘要加密,SM4对称加密文件加密,不需要gmssl和PHP编译,变动小。

2. 环境要求

相对来讲,环境要求低,只要下载安装gmssl就好,并且与openssl兼容
其实在openssl1.1.1+上已经实现了国密算法C语言实现,openssl不用多介绍了吧(不知道的好好反思一下),有C扩展经验的同学可以自己实现C扩展,当然可以直接拿C语言实现国密算法的就当笑话看吧,原谅我C语言早还给大学了,所以写C扩展供PHP调用对我来说短时间还是没办法做到,立个flag,C扩展从入门到放弃走起。
但是在本文中并没有使用openssl,而是他的一个分支Gmssl,因为openssl命令行并没有提供SM2的加解密和签名验签(也可能是我没找到,o(╥﹏╥)o)


3. 安装gmssl


unzip master.zip
cd GmSSL-master/
./config --prefix=/usr/local/gmssl --openssldir=/usr/local/gmssl no-shared //“--prefix=/usr/local/gmssl” 指定安装路径 “no-shared” 只编译静态库,不编译动态库,解决和openssl兼容问题
make
make install

4. bug片段

/**
 * php exec请求linux命令拼凑完整结果
 *
 * @param $command 命令行
 *
 * @return mixed|string
 * @author zhaozl@infogo.com.cn
 */
function cutil_exec($command) {
    $str = '';
    try {
        $res = exec($command, $out);
        if ($res) {
            foreach ($out as $value) {
                $str .= $value;
            }
        }
    }
    catch (Exception $e) {

    }
    return $str;
}
/**
 *
 * 生成国密SM2非对称加密公钥
 *
 * @param $key 标识key
 * @param string $path 公钥文件存储路径
 *
 * @return String 返回公钥信息
 */
function generateSm2PubKey($key = "", $path = '/var/www/html/sm2/') {
        if (!file_exists($path . $key . '.key')) {
            $cmd = "/usr/local/gmssl/bin/gmssl ec -in " . $path . $key . "_priv.key  -pubout -out " . $path . $key . "_pub.key";
            $publicKey = "";
            $res = cutil_exec($cmd);
            if ($res) {
                if (file_exists($path . $key . '_pub.key')) {
                    $publicKey = file_get_contents($path . $key . '_pub.key');
                }
            }
            return $publicKey;
        }
        return file_get_contents($path . $key . '_pub.key');

    

}

/**
 * 生成SM2国密私钥
 *
 * @param $key    私钥标识
 * @param string $path 私钥文件路径
 *
 * @return false|string        返回私钥信息

 */
function generateSm2PrivateKey($key, $path = "/var/www/html/sm2/") {
    $privateKey = "";
    if (!file_exists($path)) {
        mkdir($path, 0775);
    }
    if (file_exists($path . $key . '_priv.key')) {
        return file_get_contents($path . $key . '_priv.key');
    }
    $cmd = '/usr/local/gmssl/bin/gmssl ecparam -genkey -name SM2 -out ' . $path . $key . '_priv.key';
    $res = cutil_exec($cmd);
    if ($res) {
        if (file_exists($path . $key . '_priv.key')) {
            $privateKey = file_get_contents($path . $key . '_priv.key');
        }
    }
    return $privateKey;
}

/**
 * 国密SM2加签
 *
 * @param $key 标识key
 * @param $str 加签字符串
 * @param string $path 秘钥文件路径
 *
 * @return bool 返回加签是否成功

 */
function sm2Sign($key, $str, $path = "/var/www/html/sm2/") {
    $cmd = 'echo -n ' . $str . '|/usr/local/gmssl/bin/gmssl sm2utl -sign  -inkey ' . $path . $key . '_priv.key  -id infogo -out ' . $path . $key . '_sign.key';
    $res = cutil_exec($cmd);
    if ($res == '') {
        return true;
    }
    else {
        // 记录日志

    }
    return false;
}

/**
 * SM2国密验签
 *
 * @param $key 标识key
 * @param $str 验签字符串
 * @param string $path 秘钥文件路径
 *
 * @return bool 返回验签是否通过
 */
function sm2Verify($key, $str, $path = "/var/www/html/sm2/") {
    try {
        $cmd = 'echo -n ' . $str . '|/usr/local/gmssl/bin/gmssl sm2utl -verify  -sigfile ' . $path . $key . '_sign.key -pubin -inkey ' . $path . $key . '_pub.key  -id infogo';
        $res = cutil_exec($cmd);
        if ($res == 'Signature Verification Successful') {
            return true;
        }
    }
    catch (Exception $e) {
        // 记录日志

    }
    return false;
}

/**
 * SM2国密加密
 *
 * @param $key
 * @param $str
 * @param string $path
 *
 * @return mixed|string
 * @author zhaozl@infogo.com.cn
 */
function sm2Encrypt($key, $str, $path = "/var/www/html/sm2/") {
    $res = "";
    try {
        $str = iconv('gbk', 'utf-8', $str);
        $cmd = 'echo -n ' . $str . '|/usr/local/gmssl/bin/gmssl sm2utl -encrypt -pubin -inkey ' . $path . $key . '_pub.key|base64';
        $res = cutil_exec($cmd);
    }
    catch (Exception $e) {
        // 记录日志

    }
    return $res;
}

/**
 * sm2国密解密
 *
 * @param $key 标识key
 * @param $str 解密字符串
 * @param string $path 秘钥路径
 *
 * @return false|string
 */
function sm2Decrypt($key, $str, $path = "/var/www/html/sm2/") {
    $res = "";
    try {
        $res = cutil_exec_wait('/sh/gm.sh sm2dec' . $str);
        $res = iconv('utf-8', 'gbk', $res);
    }
    catch (Exception $e) {
        // 记录日志

    }
    return $res;
}

/**
 * SM3加密摘要
 *
 * @param $str
 *
 * @return mixed
 */
function sm3Encrypt($str) {
    try {
        $str = iconv('gbk', 'utf-8', $str);
        $cmd = 'echo -n "' . $str . '"|/usr/local/gmssl/bin/gmssl  dgst -sm3 ';
        $res = cutil_exec($cmd);
        if ($res) { // 字符串处理去掉标准输出标识
            $temp = explode('=', $res);
            $res = trim($temp[1]);
        }
        return $res;
    }
    catch (Exception $e) {
    // 记录日志
    }

    return false;
}

/**
 * SM4加密字符串
 *
 * @param $str 需要加密的字符串
 * @param string $type 加密类型,默认sms4 注意这里的加密类型和openssl不同,此处为sms4-*
 * @param string $sign 签名值 默认test
 *
 * @return mixed
 */
function sm4EncryptStr($str, $sign = 'test', $type = "sms4") {
    try {
        $str = iconv('gbk', 'utf-8', $str);
        $key = md5($sign);
        $cmd = 'echo ' . $str . '|/usr/local/gmssl/bin/gmssl enc -e -' . $type . ' -salt  -K ' . $key . ' -iv 462d53c8abac0|base64';
        $res = cutil_exec($cmd);
        return $res;
    }
    catch (Exception $e) {
        // 记录日志
    }
    return false;
}

/**
 * SM4解密字符串
 *
 * @param $str 需要解密的字符串
 * @param string $type 加密类型,默认为sm4,默认sms4 注意这里的加密类型和openssl不同,此处为sms4-*
 * @param string $sign 签名值
 *
 * @return mixed
 */
function sm4DecryptStr($str, $sign = 'test', $type = "sms4") {
    try {
        $str = iconv('gbk', 'utf-8', $str);
        $key = md5($sign);
        $cmd = 'echo ' . $str . '|base64 -d -i|/usr/local/gmssl/bin/gmssl enc -d -' . $type . ' -iv 462d53c8abac0  -K ' . $key;
        $res = iconv('utf-8', 'gbk', cutil_exec($cmd));
        return $res;
    }
    catch (Exception $e) {
        // 记录日志
    }
    return false;
}

/**
 * sm4加密文件(暂时保留,不启用)
 *
 * @param $fileName 文件名称
 * @param string $type 加密方式,默认为sm4,默认sms4 注意这里的加密类型和openssl不同,此处为sms4-*
 *
 * @return bool|false|string
 */
function sm4EncryptFile($fileName, $type = 'sms4') {
    try {
        $cmd = '/gm1.sh sm4fileenc ' . $fileName . ' ' . $type;
        $res = cutil_exec('/gm1.sh sm4fileenc ' . $fileName . ' ' . $type);
        if ($res == "") {
            //            sm4DecryptFile($fileName);
            return file_get_contents($fileName);
        }
    }
    catch (Exception $e) {
        // 记录日志
    }
    return false;
}

/**
 * sm4解密文件
 *
 * @param $fileName 文件名称
 * @param string $type 加密方式,默认为sm4,默认sms4 注意这里的加密类型和openssl不同,此处为sms4-*
 * @param bool $flag 标识返回文件内容
 *
 * @return bool
 */
function sm4DecryptFile($fileName, $type = 'sms4', $flag = false) {
    try {
        $res = cutil_exec_wait('/sh/gm.sh sm4filedec ' . $fileName . ' ' . $type);
        if ($res == '') {
            if ($flag) { // 返回文件内容
                return file_get_contents($fileName);
            }
            // 返回文件名称
            return $fileName;
        }
    }
    catch (Exception $e) {
        //  记录日志
    }
    return false;
}


shell脚本gm.sh部分内容:


#!/bin/bash
case $1 in
'sm2dec')
# SM2解密
echo -n $2|base64 -d -i|/usr/local/gmssl/bin/gmssl sm2utl -decrypt -inkey /var/www/html/download/sm2/net_auth_priv.key
  ;;
'sm4fileenc')
# SM4文件加密
# $2 输入文件名
# $3 加密方式
# 备份源文件
mv $2 $2.bak
# 加密生成源文件
/usr/local/gmssl/bin/gmssl enc -e -$3 -a -salt -in $2.bak -out $2 -k infogo
;;
'sm4filedec')
# SM4文件解密
# $2 输入文件名
# $3 解密方式与加密方式对应
# 重命名文件,避免错误
mv $2 $2.temp
# 解密重命名后的文件生成源文件
/usr/local/gmssl/bin/gmssl enc -d -$3 -a -salt -in $2.temp -out $2 -k infogo
# 移除临时文件
rm -f $2.temp
;;
esac