[发明专利]一种SM9数字签名的白盒实现方法与装置

摘要

本发明公开了一种SM9数字签名的白盒实现方法与装置，该方法包括以下步骤：1)生成白盒密钥：由密钥生成中心KGC产生身份为IDA的用户User的签名私钥，用户生成白盒密钥；2)生成白盒签名：身份为IDA的用户User生成消息M对应白盒签名；3)验证白盒签名：验证者Verifier收到消息M以及对应的白盒签名(h,S′)后执行验证。本发明实现了白盒安全的SM9数字签名生成，可以在不泄漏签名私钥的情况下生成正确的SM9数字签名。

主权项

1.一种SM9数字签名的白盒实现方法，其特征在于，包括以下步骤：1)生成白盒密钥1.1)由密钥生成中心KGC产生身份为ID_A的用户User的签名私钥D_A，D_A＝[t₂]P₁；设定第一个临时数t₁＝H₁(ID_A||hid,n)+ks，第二个临时数其中，ks是系统主私钥；n为循环群和的阶；1.2)用户User从{1,2,…,n‑1}选择k个均匀分布的随机数{x₁,x₂,…,x_k}，并计算元组和元组{X₁＝[x₁]D_A,X₂＝[x₂]D_A,…,X_k＝[x_k]D_A}；其中，k≥256；1.3)用户User从{1,2,…,n‑1}选择256个均匀分布的随机数{y₁,y₂,…,y_i,…,y₂₅₆}，并计算元组和元组{Y₁＝‑D_A+[y₁]D_A,Y₂＝‑[2]D_A+[y₂]D_A,…,Y₂₅₆＝‑[2²⁵⁵]D_A+[y₂₅₆]D_A}，其中元组{β₁,β₂,…,β₂₅₆}作为公开参数被公开；1.4)删除随机数组{x1,x2,…,xk}和{y1,y2,…,yi,…,y256}，保留元组{α1,α2,…,αk}、{X1,X2,…,Xk}和{Y1,Y2,…,Y256}为白盒密钥，公开元组{β1,β2,…,β256}；2)生成白盒签名身份为IDA的用户User生成消息M对应白盒签名的步骤如下：2.1)生成一个k比特的随机串r，设其二进制表示为r_k…r₂r₁，并计算和2.2)计算h＝H₂(M||w′,n)，设其二进制表示为h₂₅₆r₂₅₅…h₂h₁，计算令S′＝S₁+S₂；2.3)输出签名(h,S′)，即为消息M对应白盒签名；3)验证白盒签名验证者Verifier收到消息M以及对应的白盒签名(h,S′)后执行如下验证步骤：3.1)检查h是否属于集合{1,2,…,n‑1}中，如果不是则验证不通过，否则检查S′是否属于群中，如果不是则验证不通过，否则进入下一步；3.2)将h二进制表示为h₂₅₆r₂₅₅…h₂h₁，计算3.3)计算u₂＝e(S′,P)，计算3.4)计算g＝e(P1,Ppub‑s)，t＝gh；3.5)计算h1＝H1(IDA||hid,n)，P＝[h1]P2+Ppub‑s，w＝u·t；3.6)计算h2＝H2(M||w,n)，若h2＝h则验证通过。