ICS 35.040 GM CCS L 80 中华人民共和国密码行业标准 GM/T 0079—2020 可信计算平台直接匿名证明规范 Direct anonymous attestation specification for trusted computing platform 2020-12-28发布 2021-07-01实施 国家密码管理局 发布 GM/T 0079—2020 目 次 前言 范围 2 规范性引用文件 术语和定义 符号与缩略语 密码算法 6 直接匿名证明功能 直接匿名证明接口 附录A（规范性） 直接匿名证明接口数据结构 17 附录B（资料性） 直接匿名证明椭圆曲线参数与辅助函数 22 参考文献 GM/T0079—2020 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由密码行业标准化技术委员会提出并归口。 本文件起草单位：中国科学院软件研究所、国民技术股份有限公司、清华同方股份有限公司、北京华 电卓识信息安全测评技术中心有限公司、兴唐通信科技有限公司。 本文件主要起草人：冯登国、秦宇、初晓博、张振峰、冯伟、赵世军、陈小峰、奚璨、杨糠、汪丹、刘鑫、 郑必可、刘峰、张倩颖、常德显、刘韧、吴秋新、邵健雄、王微谨、杨波、张英骏。 GM/T 0079—2020 可信计算平台直接匿名证明规范 1范围 本文件规定了可信计算平台的直接暨名证明协议的功能、接口和数据结构 本文件适用于可信计算平台直接匿名证明协议应用、暨名证明服务和暨名证明系统研发 23 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件 GB/T32918—2016（所有部分） 信息安全技术 SM2椭圆曲线公钥密码算法 GM/T0012 2可信密码模块接口规范 GM/Z4001密码术语 3术语和定义 GM/Z4001界定的以及下列术语适用于本文件。 3.1 可信密码模块 trusted cryptography module; TCM 构建可信计算平台的基础硬件模块，为可信计算平台提供密码运算功能，具有受保护的存储空间。 3.2 签署密钥 endorsement key;EK 可信密码模块内部用于标识自身身份的密钥对，其用途只能用于加解密。根据上下文的不同情境， 3.3 TCM服务模块 TCM service module 可信密码模块向应用程序提供服务的软件中间件。 3.4 直接匿名证明 direct anonymous attestation; DAA 可信计算平台所使用的暨名身份鉴别方案。 3.5 基于椭圆曲线的直接匿名证明 月elliptic curve-based direct anonymous attestation 基于椭圆曲线密码学方案的直接匿名证明方案。 3.6 证明方 prover 直接匿名证明中的证明方，一般包含主机和可信密码模块两个部分 3.7 主机 host 直接匿名证明中证明方拥有的内嵌可信密码模块的安全主机。 1 GM/T 0079—2020 3.8 凭证颁发方 issuer 直接匿名证明中，为可信密码模块颁发凭证的参与方。 3.9 验证方 verifier 直接匿名证明中，验证远程可信密码模块身份的参与方。 符号与缩略语 4.1 符号 GB/T32918—2016（所有部分）中界定的以及下列密码学符号适用于本文件。 0：整数0、比特0或者有限域加法单位元。 1：整数1、比特1或者有限域乘法单位元。 α，b：F。中的元素，它们定义F。上的椭圆曲线E。 e:G XG GT：双线性映射，将(G1,G2)中元素映射至G中元素 exp(l,m 有限域元素1的m次幂，也记作1"。 E：有限 a，b定义的一条椭圆曲线。 E(F E中所有坐标属于E的点（包括无穷远点O所构成的集合 Fg:q 阶有限素域。 阶有限域，q阶有限域的打扩 域 G，：荫圆曲线的一个基点，其阶为素数 下标n是整数，用为于区分不同基点。 GT:有 限域的一个基点其阶为素数。 1+m 有限域元素1 m的域加法运算结果。 1×m有限域元素1与m的域乘法运算结果，在不引起歧义的情况下也记作 lm。 P:P- ）是椭圆曲线主除零点○外的 全点，其坐标满足椭圆曲线方程， PI+P椭圆曲线E 上两个点P与P.加法运算，也可记作PigP O：椭圆曲线上 ap点P的 坐标 y：点P的y坐标。 Z,:整数模素数n的剩余类 <g>：g生成的循环群。 <g>：gT生成的循环群。 ［k]P：椭圆曲线上点P的k倍点，不引起歧义的情况下，也记作Pk #E（F。）：E（F。)中点的数目,又称为E（F。)的阶。 g6G：从集合G中随机选择元素g。 HASH：标准密码杂凑函数 4.2缩略语 下列缩略语适用于本文件。 TCM：可信密码模块（TrustedCryptographyModule） EK：签署密钥（EndorsementKey) TSM:TCM服务模块（TCMServiceModule) DAA：直接匿名证明（DirectAnonymousAttestation) ECDAA：基于椭圆曲线的直接匿名证明（EllipticCurve-basedDAA） 2 GM/T 0079—2020 5密码算法 本文件采用国家密码管理主管部门认可的密码算法。 6直接匿名证明功能 6.1概述 直接匿名证明用于TCM安全芯片的暨名身份证明。功能模型说明了系统的参与方的构成、作用 与目标，以及直接暨名证明的整体流程。功能算法说明了实现模型规定各方所必须执行的原子算法以 及有关的参数选择等。 6.2模型 6.2.1系统组成 ECDAA系统主要由凭证颁发方（Issuer）、证明方（Prover）和验证方（Verifier）三方面的参与者构 成见图1,其中证明方根据ECDAA计算位置不同而分为主机和TCM安全芯片，两者协同计算共同完 成了暨名凭证申请和暨名证明过程。 1.系统初始化 凭证颁发方 2.颁发证书 4.验证 证 3.证明 主机 明 验证方 TCM 方 图1系统组成和基本流程 在ECDAA系统中，凭证颁发方负责初始化ECDAA系统参数，为TCM安全芯片颁发ECDAA凭 证，验证TCM安全芯片的身份是否已经被撤销。一般而言，TCM安全芯片的生产厂商可以作为凭证 颁发方，对于不同厂商的TCM芯片可以选择不同的ECDAA系统参数。也可以采用一个独立的权威 机构充当凭证颁发方，集中式管理TCM暨名凭证。 证明方平台是硬件上嵌人TCM安全芯片，支持ECDAA规范的安全PC、笔记本等可信计算平台。 TCM_ECDAA_Join命令和相关主机计算向凭证颁发方请求匿名身份凭证；证明方平台执行TCM_EC- DAA_Sign命令和相关主机计算向验证方平台匿名证明TCM数字身份。 验证方平台主要是通过验证证明方平台提供的证明数据，认证证明方平台TCM身份，保证证明方 平台的确是采用安全芯片TCM作为平台的身份。在验证TCM匿名身份的同时，需要向凭证颁发方请 求验证TCM数字身份是否已经被撤销。 在ECDAA系统中，TCM安全芯片的匿名身份私钥f只允许保存在TCM芯片内部，不允许被导 出。TCM的匿名身份私钥和匿名证明凭证可以存在多个，但是推荐只使用一个匿名身份私钥和凭证。 TCM匿名证明过程（包括证明和验证）只有TCM所有者才能执行，并且只有TCM所有者才能够清除 不安全的名私钥。TCM匿名身份凭证可以保存在芯片外部的主机平台，或者其他存储设备中。 3 GM/T 0079—2020 证明方平台的核心计算功能由TCM的TCM_ECDAA_Join和TCM_ECDAA_Sign命令来完成， 应当只有较高的权限才能执行这些ECDAA命令。ECDAA命令是非常耗费TCM和主机计算资源的 命令，它需要大量的TCM芯片内部资源来完成一系列计算操作。在TCM安全芯片执行ECDAA命令 过程中，需要禁止其他TCM命令操作执行。 6.2.2基本流程 ECDAA系统各个参与者之间主要通信流程包含如下步骤： a） 系统初始化：设置ECDAA系统的公共参数，生成凭证颁发方用于颁发匿名凭证的公私钥对。 b） 凭证颁发：证明方向凭证颁发方申请和获得匿名凭证。 c） 证明：证明方利用暨名凭证以及对应私钥创建暨名证明数据。 (P 验证：验证方验证特定消息是由合法TCM正确签名的。 6.2.3安全目标 ECDAA系统主要解决的问题是可信计算平台/TCM芯片用户如何向远程验证方证明自身平台的 确使用可信密码模块TCM,也即是TCM安全芯片如何认证自身的问题。 在认证 TCM身份的同时，还 需要保护平台身份隐私，要求远程验证方无法知道TCM安全芯片确切的身份，无法链接多次TCM会 话。为了满足上述安全需求，ECDAA系统需要实现如下安全目标： 不可伪造性：只有配备TCM芯片并依赖芯片申请了匿名身份凭证，证明方才能进行ECDAA 暨名证明，其他任何攻击者都无法伪造ECDAA证明数据。 b) 匿名性：在TCM未被攻破的情况下 任意用户通过协议数据无法获得当前TCM的唯一性 标识。 c) 不可关联性：验证方平台无法建立两个 ECDAA证明会话间的关联性，也即是对于两个不同的 证明会话，验证方平台无法判定是否来自同 TCM d) 恶意TCM检测：当TCM拥有的暨名凭证对应的私钥被泄露后，验证方及凭证颁发方在