CN112422288A

CN112422288A - 一种抗能量分析攻击的基于sm2算法的两方协同签名方法

Info

Publication number: CN112422288A
Application number: CN202011156120.2A
Authority: CN
Inventors: 荆继武; 尤玮婧; 王平建; 刘丽敏; 王跃武; 雷灵光; 寇春静
Original assignee: University of Chinese Academy of Sciences
Current assignee: University of Chinese Academy of Sciences
Priority date: 2020-10-26
Filing date: 2020-10-26
Publication date: 2021-02-26
Anticipated expiration: 2040-10-26
Also published as: CN112422288B

Abstract

本发明属于密码技术领域，尤其涉及一种抗能量分析攻击的基于SM2算法的两方协同签名方法。本发明方法包括以下步骤：1)签名参数初始化；2)通信双方生成子密钥和用户公钥；3)生成协同签名。本发明中的协同双方与用户协定协同签名过程中使用的公开参数；协同双方各自生成和存储SM2子密钥，并协同生成用户公钥；协同双方共同完成消息签名；任何一方无法获取对方的子私钥，提升了SM2签名私钥的安全性。相比于已有的基于SM2算法的协同签名方案，本发明方法的优点是：1)增加了对签名参数、用户公钥和签名结果的校验，保证了协同签名的有效性；2)生成的协同签名结果可有效抵抗能量分析攻击。

Description

一种抗能量分析攻击的基于SM2算法的两方协同签名方法

技术领域

本发明属于密码技术领域，尤其涉及一种抗能量分析攻击的基于SM2算法的两方协同签名方法。

背景技术

SM2算法由国家密码管理局发布的一种椭圆曲线公钥密码算法，可用于加解密和数字签名，在生产实际中具有较高的应用价值。标准算法的细节可参考《GM/T 0003-2012SM2椭圆曲线公钥密码算法》。但SM2算法只适用于单方签名，易受到私钥泄露、单点失效等安全问题。对此，协同签名方案可以有效提升私钥的安全性。协同签名方案中的任何一个协同方都不能拥有或者恢复出完整的签名私钥，只能使用各自的子密钥生成子签名，多个子签名最终合成为完整的签名，同时验签所用的公钥也由协同签名参与方共同生成。

SM2算法是由我国自主设计，由国家密码管理局发布的一种椭圆曲线公钥密码算法，可用于加解密和数字签名，在生产实际中具有较高的应用价值。标准算法的细节可参考《GM/T 0003-2012SM2椭圆曲线公钥密码算法》。现将标准SM2算法数字签名方法简述如下：

1、产生SM2算法参数(n,q,F_q,E,G)

(1-1)n和q是两个长度满足通信安全要求的大素数；

(1-2)F_q是一个含有q个元素的有限域；

(1-3)E是定义F_q上的一条椭圆曲线；

(1-4)G是E上的一个阶为n的基点。

2、产生SM2算法密钥

(2-1)签名方随机生成SM2签名私钥d∈[1,n-2]；

(2-2)计算SM2签名公钥P＝d[*]G，其中“[*]”表示椭圆曲线上的点乘运算。

3、签名方生成SM2算法数字签名

(3-1)随机选取k∈[1,n-1]；

(3-2)计算k*G＝(x₁,y₁)

(3-3)计算r＝e+x₁ mod n，其中e＝H(m)是待签名消息m的密码杂凑值，“+”是有限域上的加法运算，mod是有限域上的求模运算。若r不等于0且r+k不等于n，则进行步骤(3-4)继续执行；若r等于0或r+k等于n，则返回(3-1)重新执行；

(3-4)计算s＝1+d^-1k-rd mod n，其中d^-1是签名私钥d在F_q上的逆元，“-”是有限域上的减法运算，mod是有限域上的求模运算。若s不等于0，则将(r,s)作为签名结果输出；若s等于0，则返回(3-1)重新执行。

4、验证方验证SM2算法数字签名

(4-1)检查签名值(r,s)是否满足签名有效性要求，若r,s∈[1,n-1]且r+s不等于n，则签名值(r,s)有效；若

或r+s等于n，则签名无效；

(4-2)计算(x₁’,y₁’)＝s[*]G[+]s[*]P[+]r，其中“[*]”表示椭圆曲线上的点乘运算，“[+]”表示椭圆曲线上的加法运算；

(4-3)计算r’＝e’+x₁’mod n，其中e’＝H(m’)是待签名消息m’的密码杂凑值，mod是有限域上的求模运算。

(4-4)判断r与r’是否相等，若r等于r’,则签名验证通过；若r不等于r’,则验签失败。

但SM2算法只适用于单方签名，易受到私钥泄露、单点失效等安全问题。对此，协同签名方案可以有效提升私钥的安全性。协同签名方案中的任何一个协同方都不能拥有或者恢复出完整的签名私钥，只能使用各自的子密钥生成子签名，多个子签名最终合成为完整的签名，同时验签所用的公钥也由协同签名参与方共同生成。

但同类基于SM2算法的协同数字签名方法中的签名计算过程易受到能量分析攻击。能量分析攻击是一种侧信道攻击的方法，通过观测和分析加密模块或密码芯片等密码设备在执行加/解密操作的能量功耗恢复设备内部的秘密信息，对各类密码算法的实际应用安全造成了严重威胁。在已有同类方法中，第二通信方的子私钥总与一个可公开的值相乘，再与一些公开确定值相加，攻击者可以通过积累一定数量的数字签名，并通过分析与子私钥相乘的乘数因子的差值，推测出第二通信方的子私钥，存在很大的安全隐患。

另一方面，同类基于SM2算法的协同数字签名方法或系统中缺少对系统参数、签名参数和签名结果正确性的验证和确认，存在参数生成错误导致签名算法失败或签名无效的问题。

发明内容

本发明的目的是提出一种抗能量分析攻击的基于SM2算法的两方协同签名方法，针对现有技术中的不足，现有的签名方法进行改进，以有效抵御能量分析攻击。同时，保证协同签名过程中使用的参数的正确性和签名结果的有效性，一定程度上提升基于SM2算法的两方协同签名方法的安全性。

本发明提出的抗能量分析攻击的基于SM2的两方协同签名方法，包括以下步骤：

(1)用户A、第一通信方和第二通信方共同商议产生签名过程所需的公开参数，所述的公开参数包括SM2算法的椭圆曲线相关参数q、F_q、E、G、n和一个消息摘要长度为v比特的安全密码杂凑函数Hv()，其中n和q是两个长度满足通信安全要求的大素数，F_q是一个包含q个元素的有限域，E是定义Fq上的一条椭圆曲线，G是阶为n的椭圆曲线上的一个基点；

(2)第一通信方和第二通信方分别生成各自子密钥并协同生成用户A的公钥，包括以下步骤：

(2-1)第一通信方利用随机数发生器生成一个随机数d₁，d₁∈[1,n-1]，并将该随机数d₁作为第一通信方的子私钥，根据随机数d₁，计算椭圆曲线点P₁，P₁＝d₁[*]G，将椭圆曲线点P₁作为第一通信方的子公钥，其中“[*]”表示椭圆曲线上的点乘运算，得到第一通信方的密钥对(d₁,P₁)，第一通信方将子公钥P₁发送给第二通信方；

(2-2)第二通信方利用随机数发生器产生随机数d₂，d₂∈[1,n-1]，并将该随机数d₂作为第二通信方的子私钥，根据随机数d₂，计算椭圆曲线点P₂，P₂＝d₂[*]G，将椭圆曲线点P₂作为第二通信方的子公钥，其中“[*]”表示椭圆曲线上的点乘运算，得到第二通信方的密钥对(d₂,P₂)；同时第二通信方根据随机数d₂和来自第一通信方的子公钥P₁，计算椭圆曲线上的一个点P_A'，P_A'＝d₂[*]P₁-G，其中“[*]”表示椭圆曲线上的点乘运算，“-”表示椭圆曲线上的减法运算，第二通信方将子公钥P₂和P_A'发送给第一通信方；

(2-3)第一通信方根据步骤(2-1)的子私钥d₁和步骤(2-2)中的来自第二通信方的子公钥P₂，计算椭圆曲线上的一个点P_A，P_A＝d₁[*]P₂[-]G，其中“[*]”表示椭圆曲线上的点乘运算，“[-]”表示椭圆曲线上的减法运算；第一通信方对来自第二通信方的P_A'进行验证，若P_A等于P_A'，则将P_A作为用户A的公钥，若P_A不等于P_A'，则用户A的公钥生成失败；

(3)第一通信方和第二通信方进行协同签名，包括以下步骤：

(3-1)第一通信方计算用户A的待签名消息M的消息摘要e，e＝Hv(Z_A||M)，其中||表示连接操作，Hv()为步骤(1)中选定的消息摘要长度为v比特的安全密码杂凑函数。；

(3-2)第一通信方用随机数发生器产生随机数k₁，k₁∈[1,n-1]，并根据第二通信方公钥P₂和随机数k₁计算椭圆曲线上的点Q₁，Q₁＝k₁[*]P₂，其中“[*]”表示椭圆曲线上的点乘运算，第一通信方将步骤(3-1)的用户A的待签名消息M的消息摘要e和Q₁发送给第二通信方；

(3-3)第二通信方对来自第一通信方的Q₁进行验证，若Q₁满足与用户A、第一通信方和第二通信方在步骤(1)共同商议选定的椭圆曲线方程时，进行步骤(3-4)，若Q₁不满足步骤(1)选定的椭圆曲线方程，则协同签名失败；

(3-4)第二通信方用随机数发生器产生随机数k₂，k₂∈[1,n-1]，根据用户A、第一通信方和第二通信方共同商议选定的基点G、随机数k₂和来自第一通信方的Q₁，计算椭圆曲线点(x₁,y₁)，(x₁,y₁)＝k₂[*]G[+]Q₁，其中“[*]”表示椭圆曲线上的点乘运算，“[+]”表示椭圆曲线上的加法运算；

(3-5)第二通信方根据来自第一通信方的用户A的待签名消息M的消息摘要e和步骤(3-4)的椭圆曲线点坐标x₁，并按GB/T 32918.1-2016第1部分4.2.8规定的方法，将x₁数据类型(如字符串、字节串、比特串等)转换为整数，计算部分签名r，r＝e+x₁ mod n，其中“+”表示有限域上的加法运算，mod表示有限域上的求模运算；

(3-6)第二通信方根据第二通信方的子私钥d₂，计算d₂在F_q上的逆元d₂ ^-1，第二通信方根据d₂ ^-1、步骤(3-5)的部分签名值r和本步骤的k₂计算签名中间值s₁，s₁＝d₂ ^-1×(r+k₂)mod n，其中“×”表示有限域上的数乘运算，“+”表示有限域上的加法运算，mod表示有限域上的求模运算，第二通信方根据步骤(3-4)的k₂对r的有效性进行验证，若r不等于0且r+k₂不等于n，则第二通信方将部分签名r和签名中间值s₁发给第一通信方，进行步骤(3-7)，若r等于0或r+k₂等于n，则协同签名失败；

(3-7)第一通信方根据步骤(3-2)的k₁对来自第二通信方的s₁进行验证，若k₁+s₁不等于n，则进行步骤(3-7)，若k₁+s₁等于n，则协同签名失败，其中“+”表示有限域上的加法运算；

(3-8)第一通信方根据第一通信方的子私钥d₁，计算d₁在F_q上的逆元d₁ ^-1，根据d₁ ^-1、步骤(3-2)选取的k₁以及来自第二通信方的s₂，计算s，s＝d₁ ^-1×(k₁+s₁)-r mod n，其中“×”表示有限域上，的数乘运算，“+”表示有限域上的加法运算，“-”表示有限域上的减法运算，mod表示有限域上的求模运算，并对s进行验证，若s不等于0且s+r不等于n，则进行步骤(3-8)，若s等于0或s+r等于n，则协同签名失败；

(3-9)第一通信方使用用户A的公钥P_A，对签名结果(r,s)进行验证，若(r,s)是用户A待签名消息M的签名，则输出协同签名结果(r,s)，若(r,s)不是用户A待签名消息M的签名，则协同签名失败。

上述两方协同签名方法，Z_A是一个关于用户A的可辨别标识(如身份证号、手机号、邮箱或社会统一信任符)、部分步骤(1)中选定的椭圆曲线系统参数和用户A的公钥P_A的杂凑值。

本发明提出的抗能量分析攻击的基于SM2的两方协同签名方法，其特点和优点是：

1、本发明的签名方法与现有基于SM2协同签名方法对比，本发明方法可有效抵御能量分析攻击。本发明在支持待签名消息确认的协同签名工作模式中的步骤(3-10)中的部分签名s的计算中，算式由s＝k₁+d₁ ^-1×s₂-r mod n变为s＝d₁ ^-1×(k₁+s₂)-r mod n。由于k₁不变，r和s₂是公开参数，因此第一通信方子私钥d₁易受到能量分析攻击。改动后的第一通信方子私钥d₁ ^-1始终与一个变化值相乘，因此可以有效抵御能量分析攻击。

同理，本发明在支持隐私保护的协同签名工作模式中的部分签名s生成中的s也做了相似的改变，能够有效抵御能量分析攻击。

2、本发明签名方法增加了确认签名参数的步骤。本发明方法在协同签名密钥生成过程中增加了第一通信方对用户A公钥P_A的验证，在协同签名生成过程中增加了对部分签名和签名中间值有效性的确认，确保后续了数字签名的正确性和有效性。

3、本发明的签名方法增加了验证签名结果的步骤。在协同签名生成过程中增加了第一通信方使用用户A的公钥P_A对协同签名结果(r,s)进行验证，保证了签名过程的正确性和有效性。

附图说明

图1为本发明方法中第一通信方和第二通信方生成子密钥和用户公钥流程图。

图2为本方明方法中的协同签名的流程图。

具体实施方式

(2)第一通信方和第二通信方分别生成各自子密钥并协同生成用户A的公钥，其流程图如图1所示，包括以下步骤：

(3)第一通信方和第二通信方进行协同签名，其流程图如图2所示，包括以下步骤：

(3-1)第一通信方计算用户A的待签名消息M的消息摘要e，e＝Hv(Z_A||M)，其中Z_A是一个关于用户A的可辨别标识(如身份证号、手机号、邮箱或社会统一信任符)、部分步骤(1)中选定的椭圆曲线系统参数和用户A的公钥P_A的杂凑值，||表示连接操作，Hv()为步骤(1)中选定的消息摘要长度为v比特的安全密码杂凑函数；

以上所述，仅为本发明较佳实例，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims

1.一种抗能量分析攻击的基于SM2的两方协同签名方法，其特征在于，该方法包括以下步骤：

(2-1)第一通信方生成一个随机数d₁，d₁∈[1,n-1]，并将该随机数d₁作为第一通信方的子私钥，根据随机数d₁，计算椭圆曲线点P₁，P₁＝d₁[*]G，将椭圆曲线点P₁作为第一通信方的子公钥，其中“[*]”表示椭圆曲线上的点乘运算，得到第一通信方的密钥对(d₁,P₁)，第一通信方将子公钥P₁发送给第二通信方；

(2-2)第二通信方产生随机数d₂，d₂∈[1,n-1]，并将该随机数d₂作为第二通信方的子私钥，根据随机数d₂，计算椭圆曲线点P₂，P₂＝d₂[*]G，将椭圆曲线点P₂作为第二通信方的子公钥，其中“[*]”表示椭圆曲线上的点乘运算，得到第二通信方的密钥对(d₂,P₂)；同时第二通信方根据随机数d₂和来自第一通信方的子公钥P₁，计算椭圆曲线上的一个点P_A'，P_A'＝d₂[*]P₁-G，其中“[*]”表示椭圆曲线上的点乘运算，“-”表示椭圆曲线上的减法运算，第二通信方将子公钥P₂和P_A'发送给第一通信方；

(3)第一通信方和第二通信方进行协同签名，包括以下步骤：

(3-1)第一通信方计算用户A的待签名消息M的消息摘要e；

(3-2)第一通信方产生随机数k₁，k₁∈[1,n-1]，并根据第二通信方公钥P₂和随机数k₁计算椭圆曲线上的点Q₁，Q₁＝k₁[*]P₂，其中“[*]”表示椭圆曲线上的点乘运算，第一通信方将步骤(3-1)的用户A的待签名消息M的消息摘要e和Q₁发送给第二通信方；

(3-4)第二通信方产生随机数k₂，k₂∈[1,n-1]，第二通信方根据用户A的待签名消息M的消息摘要e、来自第一通信方的Q₁和本步骤的k₂生成部分签名值r；

(3-5)第二通信方根据第二通信方的子私钥d₂，计算d₂在F_q上的逆元d₂ ^-1，第二通信方根据d₂ ^-1、步骤(3-4)的部分签名值r和本步骤的k₂计算签名中间值s₁，s₁＝d₂ ^-1×(r+k₂)mod n，其中“×”表示有限域上的数乘运算，“+”表示有限域上的加法运算，mod表示有限域上的求模运算，第二通信方根据步骤(3-6)的k₂对r的有效性进行验证，若r不等于0且r+k₂不等于n，则第二通信方将部分签名r和签名中间值s₁发给第一通信方，进行步骤(3-6)，若r等于0或r+k₂等于n，则协同签名失败；

(3-6)第一通信方根据步骤(3-2)的k₁对来自第二通信方的s₁进行验证，若k₁+s₁不等于n，则进行步骤(3-7)，若k₁+s₁等于n，则协同签名失败，其中“+”表示有限域上的加法运算；

(3-7)第一通信方根据第一通信方的子私钥d₁，计算d₁在F_q上的逆元d₁ ^-1，根据d₁ ^-1、步骤(3-2)选取的k₁以及来自第二通信方的s₂，计算s，s＝d₁ ^-1×(k₁+s₁)-r mod n，其中“×”表示有限域上，的数乘运算，“+”表示有限域上的加法运算，“-”表示有限域上的减法运算，mod表示有限域上的求模运算，并对s进行验证，若s不等于0且s+r不等于n，则进行步骤(3-8)，若s等于0或s+r等于n，则协同签名失败；

(3-8)第一通信方使用用户A的公钥P_A，对签名结果(r,s)进行验证，若(r,s)是用户A待签名消息M的签名，则输出协同签名结果(r,s)，若(r,s)不是用户A待签名消息M的签名，则协同签名失败。

2.根据权利要求1所述的两方协同签名方法，其特征在于，所述的第一通信方生成的用户A的待签名消息M的消息摘要e的计算方法如下：第一通信方将一个关于用户A的可辨别标识、部分椭圆曲线系统参数和用户A公钥的杂凑值Z_A和待签名消息M连接，并计算连接消息Z_A||M的消息摘要e＝Hv(Z_A||M)，其中||表示连接操作，Hv()为选定的消息摘要长度为v比特的安全密码杂凑函数。

3.根据权利要求1所述的两方协同签名方法，其特征在于，所述步骤(3-4)中，第二通信方生成部分签名值r的方法如下：

(1)第二通信方根据用户A、第一通信方和第二通信方共同商议选定的基点G、随机数k₂和来自第一通信方的Q₁，计算椭圆曲线点(x₁,y₁)，(x₁,y₁)＝k₂[*]G[+]Q₁，其中“[*]”表示椭圆曲线上的点乘运算，“[+]”表示椭圆曲线上的加法运算；

(2)第二通信方根据来自第一通信方的用户A的待签名消息M的消息摘要e和步骤(1)的椭圆曲线点坐标x₁，并按GB/T 32918.1-2016第1部分4.2.8规定的方法，将x₁数据类型转换为整数，计算部分签名r，r＝e+x₁ mod n，其中“+”表示有限域上的加法运算，mod表示有限域上的求模运算。