[发明专利]一种SM9数字签名的白盒实现方法与装置

权利要求书

1.一种SM9数字签名的白盒实现方法，其特征在于，包括以下步骤：

1)生成白盒密钥

1.1)由密钥生成中心KGC产生身份为ID_A的用户User的签名私钥D_A，D_A＝[t₂]P₁；设定第一个临时数t₁＝H₁(ID_A||hid,n)+ks，第二个临时数其中，ks是系统主私钥；n为循环群和的阶；P₁、P₂分别是群的生成元；hid为签名私钥时用户在产生数字签名时用到的一个秘密值；H₁(·)为由{0,1}^*到的密码杂凑函数；

1.2)用户User从{1,2,…,n-1}选择k个均匀分布的随机数{x₁,x₂,…,x_k}，并计算元组和元组{X₁＝[x₁]D_A,X₂＝[x₂]D_A,…,X_k＝[x_k]D_A}；其中，k≥256；

1.3)用户User从{1,2,…,n-1}选择256个均匀分布的随机数{y₁,y₂,…,y_i,…,y₂₅₆}，并计算元组和元组{Y₁＝-D_A+[y₁]D_A,Y₂＝-[2]D_A+[y₂]D_A,…,Y₂₅₆＝-[2²⁵⁵]D_A+[y₂₅₆]D_A}，其中元组{β₁,β₂,…，β₂₅₆}作为公开参数被公开；

1.4)删除随机数组{x₁,x₂,…,x_k}和{y₁,y₂,…,y_i,…,y₂₅₆}，保留元组{α₁,α₂,…,α_k}、{X₁,X₂,…,X_k}和{Y₁,Y₂,…,Y₂₅₆}为白盒密钥，公开元组{β₁,β₂,…,β₂₅₆}；

2)生成白盒签名

身份为ID_A的用户User生成消息M对应白盒签名的步骤如下：

2.1)生成一个k比特的随机串r，设其二进制表示为r_k…r₂r₁，并计算和

2.2)计算h＝H₂(M||w′,n)，设其二进制表示为h₂₅₆h₂₅₅…h₂h₁，计算令S′＝S₁+S₂；H₂(·)为由{0,1}^*到的密码杂凑函数；

2.3)输出签名(h,S′)，即为消息M对应白盒签名；

3)验证白盒签名

验证者Verifier收到消息M以及对应的白盒签名(h,S′)后执行如下验证步骤：

3.1)检查h是否属于集合{1,2,…,n-1}中，如果不是则验证不通过，否则检查S′是否属于群中，如果不是则验证不通过，否则进入下一步；

3.2)将h二进制表示为h₂₅₆h₂₅₅…h₂h₁，计算

3.3)计算g＝e(P₁,P_pub-s)，t＝g^h；P_pub-s为系统主公钥；

3.4)计算h₁＝H₁(ID_A||hid,n)，P＝[h₁]P₂+P_pub-s；

3.5)计算u₂＝e(S′,P)，计算w＝u·t；

3.6)计算h₂＝H₂(M||w,n)，若h₂＝h则验证通过。