CN108259506A

CN108259506A - Sm2白盒密码实现方法

Info

Publication number: CN108259506A
Application number: CN201810133887.XA
Authority: CN
Inventors: 谷大武; 王磊; 丁宁; 陆海宁
Original assignee: Shanghai Jiaotong University
Current assignee: Shanghai Jiaotong University
Priority date: 2018-02-08
Filing date: 2018-02-08
Publication date: 2018-07-06
Anticipated expiration: 2038-02-08
Also published as: CN108259506B

Abstract

一种SM2白盒密码实现方法，以签名参数对消息进行签名后采用验证参数对消息与签名进行验证，其中：签名参数中包含由SM2椭圆曲线公钥密码算法为基础生成的基本参数以及由基本参数构建得到的签名参数表；验证参数中包含SM2椭圆曲线公钥密码算法为基础生成的基本参数以及由基本参数构建得到的验证参数表。本发明可应用于任何需使用数字签名方案的场景，实现数据来源的确认、数据完整性的保护、交易信息签名者不可抵赖性等安全需求，能保证攻击者不能破解签名私钥。

Description

SM2白盒密码实现方法

技术领域

本发明涉及的是一种信息安全领域的数字签名技术，具体是设计了国家商用密码SM2签名算法的一种白盒实现方法，该方法特别适用于各种手机钱包、第三方支付平台等软件。

背景技术

SM2是国家密码管理局发布的椭圆曲线公钥密码算法，可用于公钥加密、数字签名等。在实际应用中，攻击者通过一些技术手段可对SM2算法实施白盒攻击，破解签名私钥。例如，攻击者通过木马植入、分析程序漏洞、盗取移动终端等途径，可对移动终端上的SM2算法进行二进制追踪、观察算法执行结果、控制算法使用随机数、开展程序静态分析、修改和改变运行状态等，破解签名私钥，伪造对虚假消息的签名。

发明内容

本发明针对现有技术存在的上述不足，提出一种SM2签名算法的白盒实现方法，该方法的安全性强于已有方案，即在白盒攻击下签名私钥不可破解，这种不可破解性具有严格的理论保证。因此，本方法首先可应用于任何需使用数字签名方案的场景，实现数据来源确认、数据完整性保护、消息与签名不可抵赖等安全需求。本发明特别适用于签名算法运行于移动终端的场景。在移动终端存在程序漏洞、木马侵入、设备被盗取等安全风险下，本方法仍能保证攻击者不能破解签名私钥。

本发明是通过以下技术方案实现的：

本发明以签名参数对消息进行签名后采用验证参数对消息与签名进行验证，其中：签名参数中包含由SM2椭圆曲线公钥密码算法为基础生成的基本参数以及由基本参数构建得到的签名参数表；验证参数中包含SM2椭圆曲线公钥密码算法为基础生成的基本参数以及由基本参数构建得到的验证参数表。

所述的SM2椭圆曲线公钥密码算法，即国家密码管理局颁布的《SM2椭圆曲线公钥密码算法》。

所述的基本参数包括：数域F_q、椭圆曲线方程E、SM2椭圆曲线基点G＝(x_G,y_G)、签名私钥d_A、验证公钥P_A＝[d_A]·G，其中：[k]表示kmodn，n为基点G在椭圆曲线群中的阶。

所述的构建是指：使用SM2椭圆曲线基点G、签名私钥d_A、验证公钥P_A、n、新增参数λ生成第一签名参数表T₁、第二签名参数表T₂、第三签名参数表T₃、验证参数表T₄，生成表后删除d_A。

所述的新增参数λ为第一签名参数表T₁、第二签名参数表T₂的行数，其值优选为大于2log(nN)的整数，其中：N为一个签名私钥在其使用周期内可能签名的消息数上界，log为底数为2的对数运算。

所述的签名参数是指：(G,P_A,T₁,T₂,T₃)，即SM2椭圆曲线基点G、验证公钥P_A、第一签名参数表T₁、第二签名参数表T₂、第三签名参数表T₃。

所述的验证参数是指：(G,P_A,T₄)，即基点G、验证公钥P_A和验证参数表T₄。

所述的第一签名参数表T₁共λ行，其第i行值为[u_i]·G，其中：i＝1,2,…,λ，u_i是Z_n上独立均匀随机数，Z_n为模n剩余类，·为椭圆曲线群上点乘运算。

所述的第二签名参数表T₂共λ行，其第i行值为[(1+d_A)^-1·u_i]，其中：i＝1,2,…,λ，u₁,…,u_λ即是生成T₁时所用的随机数。

所述的第三签名参数表T₃共l行，其中l表示n的二进制表示长度，第i行值为[(1+d_A)^-1·d_A·2^i-1+rand_i]，其中：i＝1,2,…,l，rand_i是Z_n上独立均匀随机数。

所述的验证参数表T₄共l行，其第i行值为[rand_i](G+P_A)，其中：i＝1,2,…,l，rand₁,…,rand_l即是生成T₃时所用的随机数。

所述的签名过程：使用签名参数(G,P_A,T₁,T₂,T₃)对消息M进行签名，生成签名(r,s')，具体步骤包括：

1)按文档《SM2椭圆曲线公钥密码算法》定义生成Z_A，计算其中：H为杂凑函数；

所述的Z_A是用户的可辨识标识、部分椭圆曲线系统参数、用户公钥的杂凑值。

2)均匀随机生成λ比特0-1随机串k，将k表示为k＝k_λk_λ-1......k₁；对所有满足k_i＝1的i值，将表T₁中对应的i行值相加，得到

3)计算r＝(e+x₁)modn，当r＝0或[r]·G+(x₁,y₁)＝0_EC或(x₁,y₁)＝[r]·P_A时重执行步骤2)，否则执行步骤4)，其中：0_EC指椭圆曲线群的幺元；

4)对所有满足k_i＝1的i值，将表T₂中对应的i行值相加，得到

5)记r的二进制表示为r_lr_l-1......r₁，对所有满足r_i＝1的i值，将表T₃中对应的i行值相加得计算s'＝s₁-s₂'，生成签名(r,s')。

所述的验证过程：使用验证参数(G,P_A,T₄)对消息与签名对(M,(r,s'))进行验证，具体步骤包括：

1)当r不属于[1,n-1]时签名验证不通过，否则令计算

2)计算[s']·(G+P_A)+[r]·P_A。记r的二进制表示r_lr_l-1......r₁，对所有满足r_i＝1的i值，将表T₄中对应的i行值相加，得到[δ]·(G+P_A)，其中：

3)计算(x₁,y₁)＝[s']·(G+P_A)+[r]·P_A+[δ]·(G+P_A)，当(x₁,y₁)＝[r]·P_A或[r]·G+(x₁,y₁)＝0_EC时签名验证不通过，否则执行步骤4)；

4)计算R＝(e+x₁)modn，当R＝r时签名验证通过，否则验证不通过。

技术效果

与现有SM2签名算法标准实现相比，本发明具有白盒攻击下的签名私钥不可破解性，对任意攻击者，即使该攻击者能获得本白盒方法的签名方和验证方程序(含签名参数和验证参数)，则无论其进行何种攻击与分析(如对软件实现控制代码执行攻击，对硬件实现进行电路分析、侧信道攻击等)，该攻击者均不能计算出签名私钥。

附图说明

图1为实施例1示意图。

具体实施方式

实施例1

如图1所示，本实施例涉及签名方和验证方，签名方生成白盒方法所有参数，将验证参数发给验证方，本地保留签名参数。当需对消息M签名时，签名方使用签名参数生成签名(r,s')，将消息与签名发给验证方，验证方使用验证参数对签名的有效性进行验证。在典型的移动支付应用中，签名方为智能移动终端，验证方为第三方支付平台，消息M为单笔交易记录，签名方对其发起的交易记录签名，将交易记录和签名发给验证方，验证方验证签名的有效性，实现交易记录的真实性和不可抵赖性等。

本实施例签名和验证过程具体实施如下，签名方预先生成基本参数：数域F_q、椭圆曲线方程E、椭圆曲线基点G、签名私钥d_A、验证公钥P_A、λ，通过基本参数生成表T₁,T₂,T₃,T₄，生成表后删除d_A。以(G,P_A,T₁,T₂,T₃)作为签名参数，其中T₁,T₂,T₃不公开，公开(G,P_A,T₄)作为验证参数。签名方通过签名参数对消息进行签名后将消息与签名发送至验证方，验证方使用验证参数对签名进行验证。

本实施例具体包括以下步骤：

步骤1：按照《SM2椭圆曲线公钥密码算法》设置数域F_q、椭圆曲线方程E、基点G＝(x_G,y_G)，生成其它基本参数；由基本参数生成签名参数与验证参数；杂凑函数H使用商用密码标准SM3算法，该算法参见《SM3密码杂凑算法》。确定签名方标识ID，Z_A按《SM2椭圆曲线公钥密码算法》定义生成。

步骤2：对消息M，签名方按发明内容中所述签名步骤由签名参数(G,P_A,T₁,T₂,T₃)生成签名(r,s')，将消息M与签名(r,s')发给验证方。

步骤3：收到消息M与签名(r,s')时，验证方按发明内容所述验证步骤由验证参数(G,P_A,T₄)验证(r,s')的有效性。

与现有SM2签名算法标准实现相比，本方法在白盒攻击下签名私钥d_A不可破解，而SM2签名算法的标准实现在白盒攻击下是不安全的。攻击者可实施多种白盒攻击破解签名私钥，例举三种破解方式：

第一，当SM2签名算法的标准实现对签名密钥d_A未作任何保护时，若攻击者能观测内存，则其可直接读取d_A。

第二，考察现有SM2签名算法的运行：对于消息M，SM2首先计算计算均匀生成随机数k∈[1,n-1]；计算(x₁,y₁)＝[k]·G；计算r＝(e+x₁)modn，若r＝0或r+k＝n，则返回至选择随机数k的步骤再重新计算，否则计算s＝(1+d_A)^-1·(k-r·d_A)modn，若s＝0，则返回至选择随机数k的步骤再重新计算，否则最终签名为(r,s)。若攻击者能观测到SM2算法生成(r,s)用的随机数k，则可如下破解d_A(即使d_A被保护)：由s＝(1+d_A)^-1·(k-r·d_A)modn，得(1+d_A)·s＝(k-r·d_A)modn，进而(r+s)·d_A＝(k-s)modn，因此d_A＝(k-s)·(r+s)^-1modn，d_A被破解。

第三，当攻击者能控制SM2签名算法使用同一随机数k对两消息M₁和M₂进行签名(即使k被保护)，则可如下破解d_A(即使d_A被保护)：令(r₁,s₁)为M₁的签名、(r₂,s₂)为M₂的签名(注此处s₁是现有SM2签名算法输出s的实施例，而不是指本方法内容中的s₁)，则s₁＝[(1+d_A)^-1(k-r₁d_A)]、s₂＝[(1+d_A)^-1(k-r₂d_A)]，则[s₁(1+d_A)]＝[k-r₁d_A]、[s₂(1+d_A)]＝[k-r₂d_A]，两式相减消去k可得[(s₁-s₂)(1+d_A)]＝[(r₂-r₁)d_A]，移项有[s₁-s₂]＝[(r₂+s₂-r₁-s₁)d_A]，因此计算出d_A＝[(r₂+s₂-r₁-s₁)^-1(s₁-s₂)]，d_A被破解。

而本方法在白盒攻击下签名私钥d_A不可破解，d_A的不可破解性可严格归约至椭圆曲线离散对数问题的困难性，因此具有可证明安全性。椭圆曲线离散对数问题(ECDLP)定义如下：给定基点G＝(x_G,y_G)和[u]·G，其中u是1到n-1之间随机数，目标是计算u。目前针对ECDLP问题只有指数算法，即当前最快的计算ECDLP问题的算法运行时间是n的二进制表示长度的指数级。例如，当选择SM2的推荐参数时，n可表示为256位二进制数，即n的二进制表示长度为256，则当前最快计算ECDLP问题算法的时间复杂度为2²⁵⁶级，因此学术界认为ECDLP是困难问题。本方案具有以下安全性：任何攻击者在获得方案所有参数(G,P_A,T₁,T₂,T₃,T₄)(包含签名方和验证方所有参数)后如果能在有效时间破解出签名私钥d_A，则ECDLP问题可在有效时间内计算。但这与ECDLP问题的困难性矛盾，因而不存在能破解签名私钥的攻击者。

通过以下方法取得可证安全性：当给定基点G＝(x_G,y_G)和[u]·G要计算u时，利用G和[u]·G构造出符合要求的随机(P_A,T₁,T₂,T₃,T₄)(针对某未知的签名私钥d_A，d_A与u可有效转换)，因此，如果存在攻击算法在获得(G,P_A,T₁,T₂,T₃,T₄)时能破解d_A，则可调用该算法，给其输入(G,P_A,T₁,T₂,T₃,T₄)得到d_A，再由d_A计算出u，从而解决ECDLP问题，导出矛盾。

由签名私钥的不可破解性有如下结论：对任意攻击者，即使该攻击者能获得本方法的签名方和验证方程序(含签名参数和验证参数)，则无论其进行何种攻击与分析(如对软件实现控制代码执行攻击，对硬件实现进行电路分析、侧信道攻击等)，该攻击者均不能计算出d_A。

实施例2

在本实施例中，签名方预先生成基本参数：数域F_q、椭圆曲线方程E、椭圆曲线基点G、签名私钥d_A、验证公钥P_A、λ，通过基本参数生成表T₁,T₂,T₃,T₄，生成表后删除d_A。以(G,P_A,T₁,T₂,T₃)作为签名参数，其中T₁,T₂,T₃不公开，公开(G,P_A,T₄)作为验证参数。签名方通过签名参数对消息进行签名后输出消息与签名至验证方，验证方使用验证参数对签名进行验证。

本实施例具体包括以下步骤：

步骤1：按照《SM2椭圆曲线公钥密码算法》设置数域F_q、椭圆曲线方程E、基点G＝(x_G,y_G)，生成其它基本参数；由基本参数生成签名参数与验证参数；杂凑函数H使用商用密码标准SM3算法，该算法参见《SM3密码杂凑算法》，其输入是长度小于2⁶⁴比特的消息，输出是长度为256比特的杂凑值；签名方标识ID选为“1234567812345678”，Z_A按《SM2椭圆曲线公钥密码算法》定义生成。

签名方签名消息M＝“The xel'naga are a seemingly extinct race ofextragalactic scientists.They arrived in the Milky Way Galaxy in theirworldships,and there they began manipulating various species,intending tocreate something with purity of form and purity of essence,as a necessarypart of their life cycle.They first modified the protoss,an intelligentpsychic species they discovered on the outlying world of Aiur.To their joy,they discovered the protoss had both purity of form and essence.However,thexel'naga pushed their creation too far,causing their psychic link todisappear and their purity of essence to vanish.The protoss fell into madnessas the xel'naga abandoned them.”

M长度为679字节(注：M消息末有一个空格)。

步骤2：随机生成私钥d_A，计算公钥P_A＝[d_A]·G＝(p_x,p_y)，具体值如下：

d_A

＝CE8AF24E40BF5167F0831CE40FEF5E94C8430793972DF60E69CB4D1DA8302FD8

p_x

＝62534F07D3FBB38B3289C29E852AE89BD41BBF7627FF34EDA1B075B6BD171B75

p_y

＝5FFE87DB80787516699849D45BE8A60D4D7318F2A2C24DCA3340DF446AE1455A

选λ＝560，按发明内容所述生成表T₁,T₂,T₃,T₄，由于表格行数较大，因此T₁,T₂,T₃,T₄的具体内容这里省略，注：本实施例的输出签名依赖于T₁,T₂,T₃,T₄的值。

在签名中，随机生成k

＝8CEE95B7FE75DC0108C38FF7549192CC534ABE6B168EE6A20B53856B2DD4E5761E63326A472498A3EB40D7A8C497AAF00F7CFD4FF644A7B35DF31B05FD6214856B94FA2D425C

步骤3：生成消息M的签名(r,s')如下：

r＝3B9A2269A23CBC7DBBF32C0B60911C8E7F1EF7C70AFE46FEBECA9CEEFD4C0CF9

s'

＝78BA9AA25260AF8C3597368AFAE5EE0604D5A7CF6EA123D69053F8D5AA96D399

步骤4：签名方将消息M与签名(r,s')发给验证方。

步骤5：当验证方收到签名方的消息M与签名(r,s')时，采用验证算法验证签名，在本实施例中验证通过。

针对消息M，本实施例在λ不同取值下、在多个不同手机平台上进行多次签名和验证算法，统计签名与验证时间，实验结果如下所示：

上述手机配置如下：

设备	CPU	内存	操作系统
				摩托Moto G	ARMv7 Cortex-A7	1G	Android 7.1.2
LG Nexus 5	ARMv7 Krait 400	2G	Android 5.0
				华为荣耀4A	ARMv7 MSM8909	2G	Android 5.1
三星Galaxy S7 edge	ARMv8 MSM8996	3G	Android 7.0
				苹果iPhone 6	ARM v8	1G	iOS 8.4
苹果iPhone 5c	ARM v7	1G	iOS 9.0.1
				笔记本电脑	Intel i5-6200U	2G	Ubuntu 16.04
服务器E5	Intel E5-2643	32G	Ubuntu 14.04

从上表中，本方法的签名与验证时间符合应用需求；与SM2标准实现运行时间对比来看，本方法的签名时间约是SM2标准实现的2-3倍，验证时间约为2倍。在此强调的是，本方法优点是通过在原有SM2算法上增加若干保护机制使得在白盒攻击下签名私钥d_A不可破解。

实施例3

相比较于实施例1，本实施例中生成表格T₁,T₂,T₃,T₄之后，改变表格行之间的对应关系。例如，使用排序算法f和g分别对表格T₂和T₄的行进行排序。在查表T₂或T₄过程中，对于查找的第i行，需要转为查找第f(i)或g(i)行。

实施例4

相比较于实施例1，本实施例中生成表格T₁,T₂,T₃,T₄之后，可使用置换改变表格行。例如，使用置换算法f更新表格T₂的行。在查表T₂过程中，对于查找的第i行，查找第f(i)行。

实施例5

在验证方和签名方彼此信任、共同生成签名的实际应用时，验证方和签名方可共同合作生成表格T₁,T₂,T₃,T₄。

上述具体实施可由本领域技术人员在不背离本发明原理和宗旨的前提下以不同的方式对其进行局部调整，本发明的保护范围以权利要求书为准且不由上述具体实施所限，在其范围内的各个实现方案均受本发明之约束。

Claims

1.一种SM2白盒密码实现方法，其特征在于，以签名参数对消息进行签名后采用验证参数对消息与签名进行验证，其中：签名参数中包含由SM2椭圆曲线公钥密码算法为基础生成的基本参数以及由基本参数构建得到的签名参数表；验证参数中包含SM2椭圆曲线公钥密码算法为基础生成的基本参数以及由基本参数构建得到的验证参数表。

2.根据权利要求1所述的方法，其特征是，所述的基本参数包括：数域F_q、椭圆曲线方程E、SM2椭圆曲线基点G＝(x_G,y_G)、n、签名私钥d_A、验证公钥P_A＝[d_A]·G，其中：[k]表示kmodn，n为基点G在椭圆曲线群中的阶。

3.根据权利要求1所述的方法，其特征是，所述的构建是指：使用SM2椭圆曲线基点G、签名私钥d_A、验证公钥P_A、n、新增参数λ生成第一签名参数表T₁、第二签名参数表T₂、第三签名参数表T₃、验证参数表T₄，生成表后删除d_A。

4.根据权利要求3所述的方法，其特征是，所述的新增参数λ为第一签名参数表T₁、第二签名参数表T₂的行数，其值优选为大于2log(nN)的整数，其中：N为一个签名私钥在其使用周期内可能签名的消息数上界。

5.根据权利要求1所述的方法，其特征是，所述的签名参数是指：(G,P_A,T₁,T₂,T₃)，即SM2椭圆曲线基点G、验证公钥P_A、第一签名参数表T₁、第二签名参数表T₂、第三签名参数表T₃；

6.根据上述任一权利要求所述的方法，其特征是，所述的第一签名参数表T₁共λ行，其第i行值为[u_i]·G，其中：i＝1,2,…,λ：独立均匀随机选择数u_i∈Z_n，Z_n为模n剩余类，·为椭圆曲线群上点乘运算；

所述的第二签名参数表T₂共λ行，其第i行值为[(1+d_A)^-1·u_i]，其中：i＝1,2,…,λ，u₁,…,u_λ即是生成T₁时所用的随机数；

所述的第三签名参数表T₃共l行，其中l表示n的二进制表示长度，第i行值为[(1+d_A)^-1·d_A·2^i-1+rand_i]，其中：i＝1,2,…,l，独立均匀随机选择数rand_i∈Z_n；

7.根据权利要求6所述的方法，其特征是，使用签名参数(G,P_A,T₁,T₂,T₃)对消息M进行签名，生成签名(r,s')，具体步骤包括：

4)对所有满足k_i＝1的i值，将表T₂中对应的i行值相加，得到

5)记r_lr_l-1......r₁为r的二进制表示，对所有满足r_i＝1的i值，将表T₃中对应的i行值相加得到计算s'＝s₁-s₂'并生成签名(r,s')。

8.根据权利要求6所述的方法，其特征是，使用验证参数(G,P_A,T₄)对消息与签名对(M,(r,s'))进行验证，具体步骤包括：

1)当r不属于[n-1]时签名验证不通过，否则令计算

2)计算[s']·(G+P_A)+[r]·P_A。记r_lr_l-1......r₁为r的二进制表示，对所有满足r_i＝1的i值，将表T₄中对应的i行值相加，得到[δ]·(G+P_A)，其中：

3)计算(x₁,y₁)＝[s']·(G+P_A)+[r]·P_A+[δ]·(G+P_A)，当(x₁,y₁)＝[r]·P_A或[r]·G+(x₁,y₁)＝0_EC时，签名验证不通过，否则执行步骤4)；

9.根据权利要求7或8所述的方法，其特征是，使用排序算法f和g分别对表格T₂和T₄的行进行排序，当需要查找第i行条目时，转为查找第f(i)或g(i)行。

10.根据权利要求7或8所述的方法，其特征是，使用置换算法f更新表格T₂的行，当需要查找第i行条目时，查找第f(i)行。

11.一种实现上述任一权利要求所述方法的系统，其特征在于，包括：签名方和验证方，其中：签名方包含用于保存签名参数的存储模块以及用于签名的计算模块；验证方包含用于保存验证参数的存储模块和用于验证签名的计算模块。