CN110752931B - 一种sm2椭圆曲线公钥密码体制优化方法 - Google Patents

Abstract

本发明涉及计算机领域，尤其涉及一种SM2椭圆曲线公钥密码体制优化方法，对于SM2数字签名算法中的固定点多倍点运算，采用两个预存表的comb算法进行优化；对于SM2公钥加密算法中的固定点多倍点运算，采用两个预存表的comb算法进行优化；对于

曲线上的未定点多倍点运算，采用多倍点Montgomery方法进行优化；对于E(GF_p)曲线上的未定点多倍点运算，采用射影坐标算法进行优化。本发明通过优化算法提高了运算效率，并且优化其数字签名、密钥交换、数据加密性能。

Description

一种SM2椭圆曲线公钥密码体制优化方法

技术领域

本发明涉及计算机领域，尤其涉及一种SM2椭圆曲线公钥密码体制优化方法。

背景技术

SM2是我国自主设计的椭圆曲线公钥密码体制，被认为具有优于其他椭圆曲线密码体制的安全性。SM2国家标准可应用于金融、政务、安全等领域提供加密、认证、密钥协商等服务，然而对于大多应用场景来说运算效率是重要的。

由于椭圆曲线公钥密码体制涉及数学运算复杂，且呈现层次关系，优化技术实现也随之复杂、互相牵制。

软件优化实现研究不如硬件优化实现充分，且实现受到软件计算平台特性影响较大，影响优化效果，优化算法需要根据软件平台特点改变形式。

发明内容

为解决上述问题，本发明提出一种SM2椭圆曲线公钥密码体制优化方法。

一种SM2椭圆曲线公钥密码体制优化方法，包括：

对于SM2数字签名算法中的固定点多倍点运算，采用两个预存表的comb算法进行优化；

对于SM2公钥加密算法中的固定点多倍点运算，采用两个预存表的comb算法进行优化；

对于E(GF₂m)曲线上的未定点多倍点运算，采用多倍点Montgomery方法进行优化；

对于E(GF_p)曲线上的未定点多倍点运算，采用射影坐标算法进行优化。

优选的，所述采用两个预存表的comb算法进行优化包括：

S11：对于所有窗口宽度为w的二进制串(a_w,…,a₁,a₀)，预计算[a_w-1,…,a₁,a₀]P，2^e[a_w-1,…,a₁,a₀]P，…，2^(n-1)e[a_w-1,…,a₁,a₀]P，其中[a_w-1,…,a₁,a₀]P＝(a_w-12^(w-1)d+a_w-22^(w-2)d+…+a₁2^d+a₀)P，

其中n表示预计算个数；

S12：若需要，则用0填充k的左边，记k＝K^w-1||…||K¹||K⁰，每个K^j是长度为d的位串，K^j _i表示K^j的i位；

S13：Q←o；

S14：对于i从e-1到0，重复执行：

S141：Q←2Q；

S142：

S15：返回Q。

优选的，所述对于E(GF₂m)曲线上的未定点多倍点运算，采用多倍点Montgomery方法进行优化包括：

S21：对于次数低于m的二进制多项式a(z),b(z)，计算c(z)＝a(z)·b(z)modg(z)；

S22：预计算，对于所有次数低于窗口宽度w的多项式u(z),计算B_u＝u(z)·b(z)modg(z)；

S23：预计算，对于所有次数低于w的多项式u(z),计算r_u＝u(z)·r(z)最高次数m+w-2，其中r(z)+z^m＝g(z)；

S24：初始令c＝0，对于k从

到0,重复执行；

S25：对于j从0到t-1，重复执行；

S26：令u＝(u_w-1,u_w-2,…,u₁,u₀),其中u_i是A_[j]的(wk+i)位，c_[j]＝B_u+c_[j]；

S27：若k≠0，则c←c·z^w，

得到的多项式c最高次数2m-2，从高位向低位找到第一个u＝(u_w-1,u_w-2,…,u₁,u₀)＝(c_i,c_i-1,…,c_i-w+2,c_i-w+1)，若i-w≥w+m-2，则(c_i-w,c_i-w-1,…,c_i-w-m+2,…)＝(c_i-w,c_i-w-1,…,c_i-w-m+2,…)+r_u，由高位对齐，从而消去了高w位；若i-w≤w+m-2，则使用一次一位模约减完成余下部分模约减。

优选的，所述对于E(GF_p)曲线上的未定点多倍点运算，采用射影坐标算法进行优化包括：

根据Karatsuba-Ofman乘法思想对两个多精度表示的大数进行二分，x，y是两个2^2l比特大数，x＝x₁2^l+x₀，y＝y₁2^l+y₀，则xy＝(x₁2^l+x₀)(y₁2^l+y₀)＝x₁y₁2^2l+[(x₀+x₁)(y₀+y₁)-x₀y₀-x₁y₁]2^l+x₀y₀。

本发明具备以下有益效果：

1.多个预计算表的comb乘法比单个、两个预计算表更加灵活，更多预计算表提高了效率；

2.E(GF_p)曲线的多倍点下层的模乘采用Karatsuba-Ofman乘法的思想提高蒙哥马利算法的乘法效率，并且保留蒙哥马利算法约减容易、可以计算过程中同时约减的优点；

3.E(GF₂m)曲线的多倍点Montgomery方法利用预计算表优化多项式模乘的模约减，提高了效率。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1是本发明实施例中多个预存表的comb算法的优化流程图；

图2是本发明实施例中多倍点Montgomery方法的优化流程图。

具体实施方式

以下结合附图，对本发明的技术方案作进一步的描述，但本发明并不限于这些实施例。

本发明实施例的基本思想是对于SM2数字签名算法中的固定点多倍点运算，采用两个预存表的comb算法进行优化；对于SM2公钥加密算法中的固定点多倍点运算，采用两个预存表的comb算法进行优化；对于E(GF₂m)曲线上的未定点多倍点运算，采用多倍点Montgomery方法进行优化；对于E(GF_p)曲线上的未定点多倍点运算，采用射影坐标算法进行优化。本发明通过优化算法提高了运算效率，并且优化其数字签名、密钥交换、数据加密性能。

基于上述构想，本发明实施例提出一种SM2椭圆曲线公钥密码体制优化方法，包括：

对于SM2数字签名算法中的固定点多倍点运算，采用两个预存表的comb算法进行优化；

对于SM2公钥加密算法中的固定点多倍点运算，采用两个预存表的comb算法进行优化；

对于E(GF₂m)曲线上的未定点多倍点运算，采用多倍点Montgomery方法进行优化；

对于E(GF_p)曲线上的未定点多倍点运算，采用射影坐标算法进行优化。

SM2数字签名算法为：

用户A(签名者)：

1)令

表示是需要杂凑运算的比特串，符号||表示比特串的连接；

2)计算

e是计算得到的杂凑值的整数形式；函数Hv()为密码杂凑函数；

3)产生随机数k∈[1,n-1]；

4)计算椭圆曲线上的点(x₁,y₁)＝[k]G；

5)计算r＝(e+x₁)mod n，若r＝0或r+k＝n，则返回3；

6)计算s＝((1+d_A)^-1·(k-r·d_A))modn，若s＝0，则返回3；

7)输出对消息M签名(r,s)。

对于用户B接收到消息M′及其数字签名(r′,s′)，验证算法如下：

1)检验r′,s′∈[1,n-1]；

2)令

3)计算

4)验证(s′+r′)modn≠0；

5)计算椭圆曲线上的点(x′,y′)＝[s′]G+[t]P_A；

6)计算R＝(e′+x₁′)modn，检验R＝r′。

用户A(即签名者)将身份信息、曲线参数等和需签名的文件连接起来

并使用哈希函数H_v计算

的杂凑值

对于椭圆曲线生成元G，计算(x₁，y₁)＝[k]G，其中随机数k∈[1，n-1]。这里的G是选择的椭圆曲线参数的一部分，多倍点运算[k]G使用优化的多个预计算表的comb方法。

用户A接下来计算r＝(e+x₁)mod n，其中n为素数，则可利用Barrett模约减实现。若r＝0或r+k＝n，则重新选择随机数k进行相应计算。计算s＝((1+d_A)^-1·(k-r·d_A))modn，这里求逆采用二进制求逆或共同求逆计算得到，模约减仍使用Barrett模约减。若s＝0，则重新选择随机数k进行相应计算，若得到有效结果，用户A输出对消息M签名(r，s)。

用户B(数字签名验证者)接收到消息M′及其数字签名(r′，s′)，检验r′，s′∈[1，n-1]。类似地，计算

使用Barrett模约减验证(s′+r′)modn≠0。计算椭圆曲线上的点(x′，y′)＝[s′]G+[t]P_A，这里可使用已经公开的同时多倍点计算方法实现。最后计算R＝(e′+x₁′)modn，检验R＝r′。若每一步均验证成功，则签名有效。

SM2公钥加密算法为：

用户A：

1)产生随机数k∈[1，n-1]；

2)计算椭圆曲线上的点c₁＝[k]G＝(x₁，y₁)，并按照x₁||y₁转换为比特串；

3)计算椭圆曲线上的点S＝[h]P_B，若S为无穷远点o，则报错退出；

4)计算椭圆曲线上的点[k]P_B＝(x₂，y₂)；

5)计算t＝KDF(x₂||y₂，klen)，若t＝0，则返回1；

6)计算

7)计算c₂＝hash(x₂||M||y₂)；

8)输出密文c＝c₁||c₂||c₃。

用户B：

1)取出比特串c₁，检验其是否满足椭圆曲线方程，不满足则报错退出；

2)计算椭圆曲线上的点S＝[h]c₁，若S为无穷远点ο，则报错退出；

3)计算椭圆曲线上的点[d_B]c₁＝(x₂,y₂)；

4)计算t＝KDF(x₂||y₂,klen)，若t＝0，则报错退出；

5)取出比特串c₂计算

6)计算u＝hash(x₂||M′||y₂)，若u≠c₃则报错退出；

7)输出明文M′。

用户A产生随机数k∈[1,n-1]，计算椭圆曲线上的点c₁＝[k]G＝(x₁,y₁)，并按照x₁||y₁转换为比特串，[k]G的计算采用优化的多个预计算表的comb方法。计算椭圆曲线上的点S＝[h]P_B，若S为无穷远点ο，则报错退出。h为n的余因子，P_B是加密通信另一方的公钥，故视为非固定点。[h]P_B的计算采用优化的多倍点Montgomery算法。仍采用优化的多倍点Montgomery算法计算椭圆曲线上的点[k]P_B＝(x₂,y₂)。计算t＝KDF(x₂||y₂,klen)，若t＝0，则另选随机数k进行相应计算。计算

计算c₂＝hash(x₂||M||y₂)，输出密文c＝c₁||c₂||c₃。

用户B取出比特串c₁，检验其是否满足椭圆曲线方程，不满足则报错退出。采用优化的多倍点Montgomery算法计算椭圆曲线上的点S＝[h]c₁，若S为无穷远点ο，则报错退出。采用优化的多倍点Montgomery算法计算椭圆曲线上的点[d_B]c₁＝(x₂,y₂)。计算t＝KDF(x₂||y₂,klen)，若t＝0，则报错退出。取出比特串c₂计算

计算u＝hash(x₂||M′||y₂)，若u≠c₃则报错退出。验证成功则输出明文M′。

SM2密钥交换算法为：

用户A：

1)产生随机数r_A∈[1,n-1]；

2)计算椭圆曲线上的点R_A＝[r_A]G＝(x₁,y₁)；

3)将R_A发送给用户B。

用户B：

1)产生随机数r_B∈[1,n-1]；

2)计算椭圆曲线上的点R_B＝[r_B]G＝(x₂,y₂)；

3)计算

4)计算

5)验证R_A满足椭圆曲线方程，不满足则报错退出；满足则计算

6)计算椭圆曲线上的点

若V是无穷远点则协商失败；

7)计算K_B＝KDF(x_V||y_V||Z_A||Z_B,klen)；

8)计算S_B＝hash(0x02||y_V||hash(x_V||Z_A||Z_B||x₁||y₁||x₂||y₂))；

9)将R_B,S_B发给用户A。

用户A:

4)从R_A取出元素x₁，计算

5)计算

6)验证R_B满足椭圆曲线方程，不满足则报错退出；满足则计算

7)计算椭圆曲线上的点

若U是无穷远点则协商失败。

8)计算K_A＝KDF(x_V||y_V||Z_A||Z_B,klen)；

9)计算S₁＝hash(0x02||y_V||hash(x_V||Z_A||Z_B||x₁||y₁||x₂||y₂)),检验S₁＝S_B是否成立，不成立则协商失败。

10)计算S_A＝hash(0x03||y_V||hash(x_V||Z_A||Z_B||x₁||y₁||x₂||y₂)),发送给用户B。

用户B:

11)计算S₂＝hash(0x03||y_V||hash(x_V||Z_A||Z_B||x₁||y₁||x₂||y₂))，并检验S₂＝S_A是否成立，不成立则密钥协商失败。

用户A：产生随机数r_A∈[1,n-1]，计算椭圆曲线上的点R_A＝[r_A]G＝(x₁,y₁)，采用多个预计算表的comb方法，然后将R_A发送给用户B。

用户B：产生随机数r_B∈[1,n-1]，计算椭圆曲线上的点R_B＝[r_B]G＝(x₂,y₂)，采用多个预计算表的comb方法。计算

计算

采用Barrett模约减。验证R_A满足椭圆曲线方程，不满足则报错退出；满足则计算

计算椭圆曲线上的点

若V是无穷远点则协商失败。可采用已公开的同时多倍点计算方法。计算K_B＝KDF(x_V||y_V||Z_A||Z_B,klen)。计算S_B＝hash(0x02||y_V||hash(x_V||Z_A||Z_B||x₁||y₁||x₂||y₂))；将R_B,S_B发给用户A。

用户A：从R_A取出元素x₁，计算

计算

采用Barrett模约减实现。验证R_B满足椭圆曲线方程，不满足则报错退出；满足则计算

计算椭圆曲线上的点

若U是无穷远点则协商失败。计算K_A＝KDF(x_V||y_V||Z_A||Z_B,klen)。

计算S₁＝hash(0x02||y_V||hash(x_V||Z_A||Z_B||x₁||y₁||x₂||y₂))，检验S₁＝S_B是否成立，不成立则协商失败。计算S_A＝hash(0x03||y_V||hash(x_V||Z_A||Z_B||x₁||y₁||x₂||y₂))，发送给用户B。

用户B:计算S₂＝hash(0x03||y_V||hash(x_V||Z_A||Z_B||x₁||y₁||x₂||y₂))，并检验S₂＝S_A是否成立，不成立则密钥协商失败。

如图1所示，在上述SM2数字签名、公钥加密、密钥交换过程中采用优化的多个预存表的comb算法为：

S11：对于所有窗口宽度为w的二进制串(a_w,…,a₁,a₀)，预计算[a_w-1,…,a₁,a₀]P，2^e[a_w-1,…,a₁,a₀]P，…，2^(n-1)e[a_w-1,…,a₁,a₀]P，其中

[a_w-1,…,a₁,a₀]P＝(a_w-12^(w-1)d+a_w-22^(w-2)d+…+a₁2^d+a₀)P，e＝[d/n]，其中n表示预计算个数；

S12：若需要，则用0填充k的左边，记k＝K^w-1||…||K¹||K⁰，每个K^j是长度为d的位串，K^j _i表示K^j的i位；

S13：Q←o；

S14：对于i从e-1到0，重复执行：

S141：Q←2Q；

S142：

S15：返回Q。

通过comb算法优化灵活改变预计算表的个数，较多预计算表可以提高计算效率，可以充分利用软件平台上的存储空间。

如图2所示，在上述SM2数字签名、公钥加密、密钥交换过程中对于E(GF_2m)曲线上的未定点多倍点运算，采用多倍点Montgomery方法进行优化为：

S21：对于次数低于m的二进制多项式a(z),b(z)，计算c(z)＝a(z)·b(z)modg(z)；

S22：预计算，对于所有次数低于窗口宽度w的多项式u(z),计算B_u＝u(z)·b(z)modg(z)；

S23：预计算，对于所有次数低于w的多项式u(z),计算r_u＝u(z)·r(z)最高次数m+w-2，其中r(z)+z^m＝g(z)；

S24：初始令c＝0，对于k从

到0,重复执行；

S25：对于j从0到t-1，重复执行；

S26：令u＝(u_w-1,u_w-2,…,u₁,u₀),其中u_i是A_[j]的(wk+i)位，c_[j]＝B_u+c_[j]；

S27：若k≠0，则c←c·z^w，

得到的多项式c最高次数2m-2，从高位向低位找到第一个u＝(u_w-1,u_w-2,…,u₁,u₀)＝(c_i,c_i-1,…,c_i-w+2,c_i-w+1)，若i-w≥w+m-2，则(c_i-w,c_i-w-1,…,c_i-w-m+2,…)＝(c_i-w,c_i-w-1,…,c_i-w-m+2,…)+r_u，由高位对齐，从而消去了高w位；若i-w≤w+m-2，则使用一次一位模约减完成余下部分模约减。

对于E(GF₂m)曲线上的未定点多倍点蒙哥马利方法，本发明优化算法中包含的GF₂m上的模乘，使用窗口comb乘法加速并改进取模，总体上利用一定额外存储空间加速了乘法，同时一次多位模约减优于未优化的一次一位模约减。

在上述SM2数字签名、公钥加密、密钥交换过程中采用的对于E(GF_p)曲线上的未定点多倍点运算，采用射影坐标算法进行优化为：

根据Karatsuba-Ofman乘法思想对两个多精度表示的大数进行二分，x,y是两个2^2l比特大数，x＝x₁2^l+x₀，y＝y₁2^l+y₀，则xy＝(x₁2^l+x₀)(y₁2^l+y₀)＝x₁y₁2^2l+[(x₀+x₁)(y₀+y₁)-x₀y₀-x₁y₁]2^l+x₀y₀，这种二分将原本的乘法转化了较小的三个乘法和几个代价较小加法(减法)。需要指出，这种二分并不需要平均分割大数，并且可以在适当情况下停止。

使用改进多精度表示的蒙哥马利模乘，对xR，yR mod N计算xyR mod N，其中进制基数为b，xR＝(x_n-1x_n-2…x₀)_b，yR＝(y_n-1y_n-2…y₀)_b，N＝(N_n-1N_n-2…N₀)_b，N<R，R＝bⁿ，xRyR<NR。

对xR，yR分别进行二分，不要求平均分割，但分割不破坏最小的单精度表示(即不分割x_i,y_i)，在此仍以平均分割为例简明叙述:

递归地进行分割，直到分割得到的单精度整数可以直接相乘，每一级分割后先计算x₀y₀，再计算[(x₀+x₁)(y₀+y₁)-x₀y₀-x₁y₁]2^l，最后计算x₁y₁2^2l，设T＝xRyR＝(T_2n-1T_2n-2…T₀)_b，则T₀,T₁,…T_2n-1会依次被计算出。

在计算过程中同步进行蒙哥马利约减，即计算TR^-1mod N。具体是，对i＝0，1,…n-1，Karatsuba-Ofman乘法计算出T_i后，T←T+bⁱ*N*(-T_iN^-1)mod R，则T_i＝0且T mod N不变。最终结果xyR mod N＝(T_2n-1T_2n-2…T_n)_b。

传统的蒙哥马利模乘在软件平台上的多精度形式(称为multi precisioncase)为积扫描方式(对于i计算x_iybⁱ相加得到xy)，这是没有优化过的乘法实现方式，本发明优化乘法实现方式，并且保留蒙哥马利模乘不需要做平凡除法的优点和在计算乘积同时约化的优点(T←T+bⁱ*N*(-T_iN^-1)mod R后T_i为0)。

本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (1)

1.一种SM2椭圆曲线公钥密码体制优化方法，其特征在于，包括：

对于SM2数字签名算法中的固定点多倍点运算，采用两个预存表的comb算法进行优化；

对于SM2公钥加密算法中的固定点多倍点运算，采用两个预存表的comb算法进行优化；

对于

曲线上的未定点多倍点运算，采用多倍点Montgomery方法进行优化；

对于E(GF_p)曲线上的未定点多倍点运算，采用射影坐标算法进行优化；

所述采用两个预存表的comb算法进行优化包括：

S11：对于所有窗口宽度为w的二进制串(a_w,…,a₁,a₀)，预计算[a_w-1,…,a₁,a₀]P，2^e[a_w-1,…,a₁,a₀]P，…，2^(n-1)e[a_w-1,…,a₁,a₀]P，其中[a_w-1,…,a₁,a₀]P＝(a_w-12^(w-1)d+a_w-22^(w-2)d+…+a₁2^d+a₀)P，

其中n表示预计算个数；

S12：若需要，则用0填充k的左边，记k＝K^w-1||…||K¹||K⁰，每个K^j是长度为d的位串，K^j _i表示K^j的i位；

S13：Q←ο；

S14：对于i从e-1到0，重复执行：

S141：Q←2Q；

S142：

S15：返回Q；

所述对于

曲线上的未定点多倍点运算，采用多倍点Montgomery方法进行优化包括：

S21：对于次数低于m的二进制多项式a(z),b(z)，计算c(z)＝a(z)·b(z)modg(z)；

S22：预计算，对于所有次数低于窗口宽度w的多项式u(z),计算B_u＝u(z)·b(z)modg(z)；

S23：预计算，对于所有次数低于w的多项式u(z),计算r_u＝u(z)·r(z)最高次数m+w-2，其中r(z)+z^m＝g(z)；

S24：初始令c＝0，对于k从

到0,重复执行；

S25：对于j从0到t-1，重复执行；

S26：令u＝(u_w-1,u_w-2,…,u₁,u₀),其中u_i是A_[j]的(wk+i)位，c_[j]＝B_u+c_[j]；

S27：若k≠0，则c←c·z^w，

得到的多项式c最高次数2m-2，从高位向低位找到第一个u＝(u_w-1,u_w-2,…,u₁,u₀)＝(c_i,c_i-1,…,c_i-w+2,c_i-w+1)，若i-w≥w+m-2，则(c_i-w,c_i-w-1,…,c_i-w-m+2,…)＝(c_i-w,c_i-w-1,…,c_i-w-m+2,…)+r_u，由高位对齐，从而消去了高w位；若i-w≤w+m-2，则使用一次一位模约减完成余下部分模约减；

所述对于E(GF_p)曲线上的未定点多倍点运算，采用射影坐标算法进行优化包括：

根据Karatsuba-Ofman乘法思想对两个多精度表示的大数进行二分，x，y是两个2^2l比特大数，x＝x₁2^l+x₀，y＝y₁2^l+y₀，则xy＝(x₁2^l+x₀)(y₁2^l+y₀)＝x₁y₁2^2l+[(x₀+x₁)(y₀+y₁)-x₀y₀-x₁y₁]2^l+x₀y₀。

Images