一種抵抗基于格的錯誤攻擊的sm2簽名算法防護方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明具體涉及一種抵抗基于格的錯誤攻擊的SM2簽名算法防護方法����,屬于信息 安全技術(shù)領(lǐng)域�����。
【背景技術(shù)】
[0002] 自從20世紀(jì)80年代�,MiIler和Koblitz將橢圓曲線引入密碼學(xué),以及Lenstra提 出了利用橢圓曲線進行因數(shù)分解算法以來���,橢圓曲線在密碼學(xué)中的作用越來越大��。ECC是基 于有限域橢圓曲線離散對數(shù)問題(ECDLP):在一個循環(huán)加法群中��,G為生成元�,且G的階為 n,已知Q=kG和G,求k的值�����,其中Q=kG為有限域上的標(biāo)量乘運算���,具體為有限域上的 代數(shù)運算���。
[0003] 若F為有限域,則至少含有兩個元素����,并存在一個加法+和一個乘法?運算,滿足 如下條件:
[0004] I) (F���,+)是一個交換群���;
[0005]2) ^{0},?)是一個交換群;
[0006] 3)滿足結(jié)合律:(a?b) ?c=a?(b?c)加法和乘法滿足分配律��,即對任何 a,b,cGR,a? (b+c) =a?b+a?c, (b+c) ?a=a?b+a?c〇
[0007] 密碼應(yīng)用中最常用的有限域包括:素數(shù)域和特征為2的擴張域(二元擴域)�����,這里 主要介紹素數(shù)域����。若P是素數(shù)�����,F(xiàn)= {0, 1���,2,…��,p-1}是關(guān)于modp的+和?構(gòu)成的一個有 限域����,記為Fp����,稱為素數(shù)域(Galois域),F(xiàn)/=FP/{0}是Fp中所有非零元構(gòu)成的乘法群,由 于Fp*是循環(huán)群����,所以在Fp中至少存在一個元素g,使得F5中任一非零元都可以由g的一個 方冪表示��,稱g為F/的生成元(或本原元)�,即?/=<g>���,階為p-1����。
[0008] 若在素數(shù)域Fp(p是大于3的素數(shù))上的橢圓曲線方程為:
[0009] y2=X3+ax+bmodp�����,a�、bGFp,且(4a3+27b2)modp辛 0
[0010] 則有限域F1^橢圓曲線點集E(Fp)定義為:
[0011] E(Fp) = {(X�����,y) |x�,yGFp�,y2=X3+ax+bmodp}U{0}�����,其中���,0 為無窮遠(yuǎn)點����。
[0012] 若點GGE(FP)����,且G的階n為素數(shù)����,則由G生成的循環(huán)群<G>= {0,G����,2G,3G����,… �����,(n-l)G}為E(Fp)的循環(huán)子群�。橢圓曲線點集E(Fp)的元素數(shù)目用#E(FP)表示�,稱為橢圓 曲線E(Fp)的階。在ECC密碼系統(tǒng)中����,素數(shù)p、域F#橢圓曲線方程��、基點G及其階n均為 公開的域參數(shù)���,任選私鑰de[1����,n-1]���,則相應(yīng)的公鑰P=dG��。
[0013] 橢圓曲線上定義的點與點加法運算使用了弦切線法則����,則E(Fp)為加法交換群,無 窮遠(yuǎn)點〇為單位元�����,P(x����,y)+P(x,_y) =0��。對E(Fp)上兩點P���、Q之和P+Q,若P乒Q��,連接P���、 Q的直線交E于點R'���,則R'關(guān)于X軸的對稱點R即為P+Q之和,稱為點加運算(A)�。如圖1 所示。
[0014] 若P=Q����,做P點的切線交E于點R'��,則R'關(guān)于X軸的對稱點R即為則2P���,稱為點 倍運算(D)。如圖2所示��。
[0015] 由橢圓曲線上的點加和點倍的幾何意義�����,可以推斷出E(Fp)在仿射坐標(biāo)下運算法 貝1J����,具體如下:
【主權(quán)項】
1. 一種抵抗基于格的錯誤攻擊的SM2簽名算法防護方法,其特征在于��,在SM2簽名生成 的運算中�����,包括以下步驟: 1) 簽名者A對輸入的待簽名消息M進行哈希運算����,并將運算結(jié)果Za與消息M聯(lián)合得到 W ;其中�,簽名者A的公鑰為Pa�����,私鑰為dA;G為SM2簽名算法橢圓曲線的基點�����,基點G的階 為η ; 2) 對M進行雜湊壓縮�,得到一預(yù)處理結(jié)果e ; 3) 產(chǎn)生兩隨機數(shù)k,we [l�����,n-l];分別計算隨機數(shù)k和基點G的標(biāo)量乘kG���,隨機數(shù)w與 公鑰標(biāo)量乘wP A,然后相加得到一橢圓曲線點QU1, yj = kG+wPA; 4) 計算預(yù)處理結(jié)果e與點Q的坐標(biāo)η加�,即r = (e+x Jmod η ;若r = O或r+k = η則返回步驟3)重新獲取兩隨機數(shù)進行計算;否則進行步驟5) ;mod為模運算��; 5) 代入私鑰dA�、k、w���、r�����,得到簽名結(jié)果s����,若s = 0則返回步驟3)獲取兩隨機數(shù)重新計 算;否則得到簽名結(jié)果(r��,s)���。
2. 如權(quán)利要求1所述的方法���,其特征在于,所述隨機數(shù)w���、k為具有相同比特長的隨機 數(shù)�����。
3. 如權(quán)利要求1或2所述的方法�����,其特征在于���,利用公式s = (l+dArHicKw-iOddmod η計算所述簽名結(jié)果s���。
4. 如權(quán)利要求3所述的方法,其特征在于�,所述運算結(jié)果Za= H V(ENTLA| I IDa);其中, IDaS簽名者A的可辨別標(biāo)識�,ENTLaS IDa的比特長度,HvO為哈希函數(shù)����。
5. 如權(quán)利要求3所述的方法,其特征在于����,所述預(yù)處理結(jié)果e 其中,HvO為 哈希函數(shù)����。
6. 如權(quán)利要求3所述的方法���,其特征在于�����,所述將運算結(jié)果Z A與消息M聯(lián)合為 .W=Z, M
【專利摘要】本發(fā)明公開了一種抵抗基于格的錯誤攻擊的SM2簽名算法防護方法����。本方法為:1)簽名者A對輸入的待簽名消息M進行哈希運算,并將運算結(jié)果ZA與消息M聯(lián)合得到���;2)對進行雜湊壓縮�����,得到一預(yù)處理結(jié)果e��;3)產(chǎn)生兩隨機數(shù)k�����,w����;分別計算隨機數(shù)k和基點G的標(biāo)量乘kG����,隨機數(shù)w與公鑰PA的標(biāo)量乘wPA�,然后相加得到一橢圓曲線點Q�;4)計算e與點Q的坐標(biāo)x1模n加得到一r值,5)代入私鑰dA����、k、w��、r���,得到簽名結(jié)果s����。使用本發(fā)明提出的新方法能夠更有效��、全面抵抗對SM2簽名算法的格攻擊����。
【IPC分類】H04L9-32, G06F21-64
【公開號】CN104852805
【申請?zhí)枴緾N201510236365
【發(fā)明人】曹偉瓊, 陳華, 鄭曉光, 李大為, 羅鵬, 馮婧怡, 吳文玲, 韓緒倉, 李國友, 高順賢
【申請人】中國科學(xué)院軟件研究所, 北京中電華大電子設(shè)計有限責(zé)任公司, 國家密碼管理局商用密碼檢測中心
【公開日】2015年8月19日
【申請日】2015年5月11日