# 非对称密钥生成和转换规格


当前章节将说明系统目前支持的算法及其对应的规格。密钥生成有两种指定规格的方式，分别是：


- 字符串参数：以字符串的形式描述开发者需要生成的密钥规格。

- 密钥参数：使用密钥的详细密码学信息，构造密钥对象。


对于每种算法采用哪种方式，将会在具体的每个算法规格中介绍。

## RSA

RSA（Rivest–Shamir–Adleman），当前支持使用字符串参数和密钥参数两种方式生成RSA密钥。

### 使用字符串参数生成

以字符串参数生成RSA密钥，具体的“字符串参数”由“RSA密钥类型”和“素数个数”使用符号“|”拼接而成，用于在创建非对称密钥生成器时，指定密钥规格。

> **说明：**
>
> 生成RSA非对称密钥时，默认素数为2，PRIMES_2参数可省略。

| RSA密钥类型 | 素数个数 | 字符串参数 | API版本 | 
| -------- | -------- | -------- | -------- |
| RSA512 | 2 | RSA512\|PRIMES_2 | 9+ | 
| RSA768 | 2 | RSA768\|PRIMES_2 | 9+ | 
| RSA1024 | 2 | RSA1024\|PRIMES_2 | 9+ | 
| RSA1024 | 3 | RSA1024\|PRIMES_3 | 9+ | 
| RSA2048 | 2 | RSA2048\|PRIMES_2 | 9+ | 
| RSA2048 | 3 | RSA2048\|PRIMES_3 | 9+ | 
| RSA3072 | 2 | RSA3072\|PRIMES_2 | 9+ | 
| RSA3072 | 3 | RSA3072\|PRIMES_3 | 9+ | 
| RSA4096 | 2 | RSA4096\|PRIMES_2 | 9+ | 
| RSA4096 | 3 | RSA4096\|PRIMES_3 | 9+ | 
| RSA4096 | 4 | RSA4096\|PRIMES_4 | 9+ | 
| RSA8192 | 2 | RSA8192\|PRIMES_2 | 9+ | 
| RSA8192 | 3 | RSA8192\|PRIMES_3 | 9+ | 
| RSA8192 | 4 | RSA8192\|PRIMES_4 | 9+ | 
| RSA8192 | 5 | RSA8192\|PRIMES_5 | 9+ | 


> **注意：**
>
> 使用同步接口生成RSA2048、RSA3072、RSA4096、RSA8192非对称密钥会导致耗时增加。
>
> 由于系统对主线程有时间限制，耗时较长会导致失败，建议开发者在生成位数较大的密钥时，使用对应的异步接口，或是[使用多线程并发能力](../../arkts-utils/multi-thread-concurrency-overview.md)进行开发。
>
> 创建的RSA非对称密钥生成器，如果用于随机生成密钥，则生成的RSA密钥的规格与创建密钥生成器时参数中指定的密钥规格一致；如果用于密钥转换，则生成的RSA密钥的规格与密钥转换时参数中指定的密钥数据的密钥规格一致。

### 使用密钥参数生成

从API版本10开始支持，使用密钥参数生成RSA密钥。

RSA密钥参数，涉及三个整数，包括：

- n：模数（Modulus），是私钥和公钥的公共参数。

- sk：私钥指数（privateExponent），公式中常写作d。

- pk：公钥指数（publicExponent），公式中常写作e。

当创建非对称密钥生成器时，对于指定公/私钥参数生成RSA密钥的支持情况如表所示：

- √：表示需要指定这一列中的具体属性，来构成密钥参数。

- ×：表示这一列中的具体属性对应某种密钥参数，但是当前不支持通过该密钥参数生成密钥。

|  | 公共参数 | 公钥参数 | 私钥参数 | 公私钥对参数 | 
| -------- | -------- | -------- | -------- | -------- |
| n | × | √ | × | √ | 
| pk | - | √ | - | √ | 
| sk | - | - | × | √ | 

由上表可知：

- RSA不支持通过指定公共参数（n）来随机生成密钥。

- RSA不支持通过指定私钥参数（n, sk）来生成私钥。


## ECC

ECC（Elliptic Curve Cryptography），是一种基于椭圆曲线数学的公钥密码算法。

椭圆曲线算法可以看作是定义在特殊集合下数的运算，当前算法库支持的ECC密钥均为Fp域的椭圆曲线，p为素数，Fp域也称素数域。

当前支持使用字符串参数和密钥参数两种方式生成ECC密钥，且支持通过曲线名生成公共密钥参数。


### 使用字符串参数生成

以字符串参数生成ECC密钥，具体的“字符串参数”由“非对称密钥算法”和“密钥长度”拼接而成，用于在创建非对称密钥生成器时，指定密钥规格。

| 非对称密钥算法 | 密钥长度（bit） | 曲线名 | 字符串参数 | API版本 | 
| -------- | -------- | -------- | -------- | -------- |
| ECC | 224 | NID_secp224r1 | ECC224 | 9+ | 
| ECC | 256 | NID_X9_62_prime256v1 | ECC256 | 9+ | 
| ECC | 384 | NID_secp384r1 | ECC384 | 9+ | 
| ECC | 521 | NID_secp521r1 | ECC521 | 9+ | 
| ECC | 160 | NID_brainpoolP160r1 | ECC_BrainPoolP160r1 | 11+ | 
| ECC | 160 | NID_brainpoolP160t1 | ECC_BrainPoolP160t1 | 11+ | 
| ECC | 192 | NID_brainpoolP192r1 | ECC_BrainPoolP192r1 | 11+ | 
| ECC | 192 | NID_brainpoolP192t1 | ECC_BrainPoolP192t1 | 11+ | 
| ECC | 224 | NID_brainpoolP224r1 | ECC_BrainPoolP224r1 | 11+ | 
| ECC | 224 | NID_brainpoolP224t1 | ECC_BrainPoolP224t1 | 11+ | 
| ECC | 256 | NID_brainpoolP256r1 | ECC_BrainPoolP256r1 | 11+ | 
| ECC | 256 | NID_brainpoolP256t1 | ECC_BrainPoolP256t1 | 11+ | 
| ECC | 320 | NID_brainpoolP320r1 | ECC_BrainPoolP320r1 | 11+ | 
| ECC | 320 | NID_brainpoolP320t1 | ECC_BrainPoolP320t1 | 11+ | 
| ECC | 384 | NID_brainpoolP384r1 | ECC_BrainPoolP384r1 | 11+ | 
| ECC | 384 | NID_brainpoolP384t1 | ECC_BrainPoolP384t1 | 11+ | 
| ECC | 512 | NID_brainpoolP512r1 | ECC_BrainPoolP512r1 | 11+ | 
| ECC | 512 | NID_brainpoolP512t1 | ECC_BrainPoolP512t1 | 11+ | 
| ECC | 256 | NID_secp256k1 | ECC_Secp256k1 | 14+ | 

> **注意：**
>
> 创建的ECC非对称密钥生成器，如果用于随机生成密钥，则生成的ECC密钥的规格与创建密钥生成器时参数中指定的密钥规格一致；如果用于密钥转换，则生成的ECC密钥的规格与密钥转换时参数中指定的密钥数据的密钥规格一致。

### 使用密钥参数生成

从API版本10开始支持，使用密钥参数生成ECC密钥。

Fp域下的ECC密钥参数，包括：

- p：素数，用于确定Fp。

- a, b：确定椭圆曲线的方程。

- g：椭圆曲线的一个基点(base point)，可由gx，gy表示。

- n：基点g的阶(order)。

- h：余因子(cofactor)。

- sk：私钥，是一个随机整数，小于n。

- pk：公钥，是椭圆曲线上的一个点， pk = sk \* g。

当创建非对称密钥生成器时，对于指定公/私钥参数生成ECC密钥的支持情况如表所示：

- √：表示需要指定这一列中的具体属性，来构成密钥参数。

|  | 公共参数 | 公钥参数 | 私钥参数 | 公私钥对参数 | 
| -------- | -------- | -------- | -------- | -------- |
| fieldType | √ | √ | √ | √ | 
| p | √ | √ | √ | √ | 
| a | √ | √ | √ | √ | 
| b | √ | √ | √ | √ | 
| g | √ | √ | √ | √ | 
| n | √ | √ | √ | √ | 
| h | √ | √ | √ | √ | 
| pk | - | √ | - | √ | 
| sk | - | - | √ | √ | 

> **说明：**
> - 当前ECC只支持Fp域，因此fieldType固定为"Fp"。fieldType和p构成了属性field，当前field只支持[ECFieldFp](../../reference/apis-crypto-architecture-kit/js-apis-cryptoFramework.md#ecfieldfp10)。
> 
> - g和pk为ECC曲线上的点，属于[Point](../../reference/apis-crypto-architecture-kit/js-apis-cryptoFramework.md#point10)类型，需要指定具体X，Y坐标。


### 使用曲线名生成密钥参数

从API版本11开始支持，使用曲线名来生成ECC公共密钥参数。


> **说明：**
> - 曲线名为要求输入的字符串参数，支持的曲线名请参考[ECC密钥字符串参数表](#使用字符串参数生成-1)中的“曲线名”一列。
> 
> - 生成的公共密钥参数可以直接随机生成公私钥，也可用于构造公、私以及公私钥对密钥参数。


## DSA

DSA（Digital Signature Algorithm），是一种基于模算数和整数有限域离散对数难题的一种公钥密码算法，常用于数字签名和验签，不能用于加解密。

当前支持使用字符串参数和密钥参数两种方式生成DSA密钥。

### 约束与限制

使用同步接口生成DSA2048、DSA3072非对称密钥或者明文长度超过2048会导致耗时增加。

由于系统对主线程有时间限制，耗时较长会导致失败，建议开发者在生成位数较大的密钥时，使用对应的异步接口，或是[使用多线程并发能力](../../arkts-utils/multi-thread-concurrency-overview.md)进行开发。

### 使用字符串参数生成

以字符串参数生成DSA密钥，具体的“字符串参数”由“非对称密钥算法”和“密钥长度”拼接而成，用于在创建非对称密钥生成器时，指定密钥规格。

| 非对称密钥算法 | 密钥长度（bit） | 字符串参数 | API版本 | 
| -------- | -------- | -------- | -------- |
| DSA | 1024 | DSA1024 | 10+ | 
| DSA | 2048 | DSA2048 | 10+ | 
| DSA | 3072 | DSA3072 | 10+ | 

> **注意：**
>
> 使用同步接口生成DSA2048、DSA3072非对称密钥或者明文长度超过2048会导致耗时增加。
>
> 由于系统对主线程有时间限制，耗时较长会导致失败，建议开发者在生成位数较大的密钥时，使用对应的异步接口，或是[使用多线程并发能力](../../arkts-utils/multi-thread-concurrency-overview.md)进行开发。
>
> 创建的DSA非对称密钥生成器，如果用于随机生成密钥，则生成的DSA密钥的规格与创建密钥生成器时参数中指定的密钥规格一致；如果用于密钥转换，则生成的DSA密钥的规格与密钥转换时参数中指定的密钥数据的密钥规格一致。

### 使用密钥参数生成

从API版本10开始支持，使用密钥参数生成DSA密钥。

DSA密钥参数，包括：

- p：一个素模数，比特长度为64的整数倍。

- q：p-1的素因子，长度与p的长度有关。

- g：g = (h ^ ((p - 1) / q)) mod p，h为满足1 &lt; h &lt; p -1的任意整数。

- sk：私钥，为随机生成的整数，满足0 &lt; sk &lt; q。

- pk：公钥，pk = (g ^ sk) mod p。

当创建非对称密钥生成器时，对于指定公/私钥参数生成DSA密钥的支持情况如表所示：

- √：表示需要指定这一列中的具体属性，来构成密钥参数。

- ×：表示这一列中的具体属性对应某种密钥参数，但是当前不支持通过该密钥参数生成密钥。

|  | 公共参数 | 公钥参数 | 私钥参数 | 公私钥对参数 | 
| -------- | -------- | -------- | -------- | -------- |
| p | √ | √ | × | √ | 
| q | √ | √ | × | √ | 
| g | √ | √ | × | √ | 
| pk | - | √ | - | √ | 
| sk | - | - | × | √ | 

> **说明：**
> - DSA不支持通过指定私钥参数（p, q, g, sk）来生成私钥。
> 
> - 当使用公共参数（p, q, g）来生成DSA密钥对时，DSA密钥长度至少需要1024位。


## SM2

SM2，是一种基于椭圆曲线的公钥密码算法。采用的Fp域上的椭圆曲线。

当前支持使用字符串参数和密钥参数两种方式生成SM2密钥，且支持通过曲线名生成公共密钥参数。


### 使用字符串参数生成

当前支持以字符串参数生成SM2密钥，具体的“字符串参数”由“非对称密钥算法”和“密钥长度”使用符号“_”拼接而成，用于在创建非对称密钥生成器时，指定密钥规格。

| 非对称密钥算法 | 密钥长度（bit） | 曲线名 | 字符串参数 | API版本 | 
| -------- | -------- | -------- | -------- | -------- |
| SM2 | 256 | NID_sm2 | SM2_256 | 10+ | 


### 使用密钥参数生成

从API版本11开始支持，使用密钥参数生成SM2密钥。

Fp域下的SM2密钥参数，包括：

- p：素数，用于确定Fp。

- a, b：确定椭圆曲线的方程。

- g：椭圆曲线的一个基点(base point)，可由gx，gy表示。

- n：基点g的阶(order)。

- h：余因子(cofactor)。

- sk：私钥，是一个随机整数，小于n。

- pk：公钥，是椭圆曲线上的一个点， pk = sk \* g。

当创建非对称密钥生成器时，对于指定公/私钥参数生成SM2密钥的支持情况如表所示：

- √：表示需要指定这一列中的具体属性，来构成密钥参数。

|  | 公共参数 | 公钥参数 | 私钥参数 | 公私钥对参数 | 
| -------- | -------- | -------- | -------- | -------- |
| fieldType | √ | √ | √ | √ | 
| p | √ | √ | √ | √ | 
| a | √ | √ | √ | √ | 
| b | √ | √ | √ | √ | 
| g | √ | √ | √ | √ | 
| n | √ | √ | √ | √ | 
| h | √ | √ | √ | √ | 
| pk | - | √ | - | √ | 
| sk | - | - | √ | √ | 

> **说明：**
> - 当前SM2只支持Fp域，因此fieldType固定为"Fp"。fieldType和p构成了属性field，当前field只支持[ECFieldFp](../../reference/apis-crypto-architecture-kit/js-apis-cryptoFramework.md#ecfieldfp10)。
> 
> - g和pk为SM2曲线上的点，属于[Point](../../reference/apis-crypto-architecture-kit/js-apis-cryptoFramework.md#point10)类型，需要指定具体X，Y坐标。


### 使用曲线名生成密钥参数

从API版本11开始支持，使用曲线名来生成SM2公共密钥参数。


> **说明：**
> - 曲线名为要求输入的字符串参数，支持的曲线名为"NID_sm2"。
> 
> - 生成的公共密钥参数可以直接随机生成公私钥，也可用于构造公、私以及公私钥对密钥参数。


## Ed25519

Ed25519算法是一个基于 EdDSA 算法的数字签名算法，密钥长度为256位，使用 Edwards 曲线来实现，不能用于加解密，一般用于数字签名和验签。

当前支持使用字符串参数和密钥参数两种方式生成Ed25519密钥。


### 使用字符串参数生成

以字符串参数生成Ed25519密钥，用于在创建非对称密钥生成器时，指定密钥规格。

| 非对称密钥算法 | 字符串参数 | API版本 | 
| -------- | -------- | -------- |
| Ed25519 | Ed25519 | 11+ | 


### 使用密钥参数生成

从API版本11开始支持，使用密钥参数生成Ed25519密钥。

Ed22519密钥参数，包括：

- sk：私钥，一个 32 字节的随机值。

- pk：公钥，一个 32 字节的值，从私钥派生而来。

当创建非对称密钥生成器时，对于指定公/私钥参数生成Ed25519密钥的支持情况如表所示：

- √：表示需要指定这一列中的具体属性，来构成密钥参数。

|  | 公钥参数 | 私钥参数 | 公私钥对参数 | 
| -------- | -------- | -------- | -------- |
| pk | √ | - | √ | 
| sk | - | √ | √ | 

> **说明：**
>
> Ed25519密钥参数没有公共参数，不支持通过公共参数生成密钥。


## X25519

X25519算法是一种 Diffie-Hellman 密钥交换算法，用于密钥协商。

当前支持使用字符串参数和密钥参数两种方式生成X25519密钥。


### 使用字符串参数生成

以字符串参数生成X25519密钥，用于在创建非对称密钥生成器时，指定密钥规格。

| 非对称密钥算法 | 字符串参数 | API版本 | 
| -------- | -------- | -------- |
| X25519 | X25519 | 11+ | 


### 使用密钥参数生成

从API版本11开始支持，使用密钥参数生成X25519密钥。

X22519密钥参数，包括：

- sk：私钥，一个 32 字节的随机值。

- pk：公钥，一个 32 字节的值，从私钥派生而来。

当创建非对称密钥生成器时，对于指定公/私钥参数生成X25519密钥的支持情况如表所示：

- √：表示需要指定这一列中的具体属性，来构成密钥参数。

|  | 公钥参数 | 私钥参数 | 公私钥对参数 | 
| -------- | -------- | -------- | -------- |
| pk | √ | - | √ | 
| sk | - | √ | √ | 

> **说明：**
>
> X25519没有公共密钥参数，不支持通过公共参数生成密钥。


## DH

DH（Diffie–Hellman key exchange），是一种密钥协商算法，只涉及公钥的交换，它可以提供前向安全性，即使在通信渠道被监听的情况下，也不会暴露双方的私钥。

当前支持使用字符串参数和密钥参数两种方式生成DH密钥，且支持根据素数长度和私钥长度生成公共密钥参数。


### 使用字符串参数生成

以字符串参数生成DH密钥，具体的“字符串参数”由“非对称密钥算法”和“知名安全素数群参数”使用符号“_”拼接而成，用于在创建非对称密钥生成器时，指定密钥规格。

| 非对称密钥算法 | 知名安全素数群参数 | 密钥长度（bit） | 字符串参数 | API版本 | 
| -------- | -------- | -------- | -------- | -------- |
| DH | modp1536 | 1536 | DH_modp1536 | 11+ | 
| DH | modp2048 | 2048 | DH_modp2048 | 11+ | 
| DH | modp3072 | 3072 | DH_modp3072 | 11+ | 
| DH | modp4096 | 4096 | DH_modp4096 | 11+ | 
| DH | modp6144 | 6144 | DH_modp6144 | 11+ | 
| DH | modp8192 | 8192 | DH_modp8192 | 11+ | 
| DH | ffdhe2048 | 2048 | DH_ffdhe2048 | 11+ | 
| DH | ffdhe3072 | 3072 | DH_ffdhe3072 | 11+ | 
| DH | ffdhe4096 | 4096 | DH_ffdhe4096 | 11+ | 
| DH | ffdhe6144 | 6144 | DH_ffdhe6144 | 11+ | 
| DH | ffdhe8192 | 8192 | DH_ffdhe8192 | 11+ | 

> **注意：**
>
> 创建的DH非对称密钥生成器，如果用于随机生成密钥，则生成的DH密钥的规格与创建密钥生成器时参数中指定的密钥规格一致；如果用于密钥转换，则生成的DH密钥的规格与密钥转换时参数中指定的密钥数据的密钥规格一致。

### 使用密钥参数生成

从API版本11开始支持，使用密钥参数生成DH密钥。

DH密钥参数，包括：

- p：一个足够大的素数，用作有限域的模数。它被所有通信双方共享。

- g：g是DH算法的生成元，是素数p的原根。它被所有通信双方共享。

- l：length，表示私钥长度，以bit为单位。当l为0时，代表不指定私钥长度。

- sk：私钥，一个随机生成的私钥值。

- pk：公钥，通过使用公共参数（p 和 g）和私钥进行计算得到。

当创建非对称密钥生成器时，对于指定公/私钥参数生成DH密钥的支持情况如表所示：

- √：表示需要指定这一列中的具体属性，来构成密钥参数。

|  | 公共参数 | 公钥参数 | 私钥参数 | 公私钥对参数 | 
| -------- | -------- | -------- | -------- | -------- |
| p | √ | √ | √ | √ | 
| g | √ | √ | √ | √ | 
| l | √ | √ | √ | √ | 
| pk | - | √ | - | √ | 
| sk | - | - | √ | √ | 


### 使用素数长度和私钥长度生成公共密钥参数

从API版本11开始支持，使用素数长度和私钥长度生成DH公共密钥参数。

如果素数长度与安全素数组素数长度一致，则选用对应的知名安全素数群，对应关系如表所示：

| 素数长度（bit） | 知名安全素数群 | 
| -------- | -------- |
| 2048 | ffdhe2048 | 
| 3072 | ffdhe3072 | 
| 4096 | ffdhe4096 | 
| 6144 | ffdhe6144 | 
| 8192 | ffdhe8192 | 

- 素数p的比特长度必须大于等于512，小于等于10000。

- 私钥长度l为可选参数，默认为0，l值的设置范围需大于2\*(96+(素数P位数-1)/1024\*16)。

- 生成的公共密钥参数可以直接随机生成公私钥，也可用于构造公、私以及公私钥对密钥参数。

- 生成非知名群的密钥参数较为耗时，建议优先选用知名安全素数群。