[发明专利]压缩的ECDSA签名

说明书

技术领域

本发明涉及密码方案并且在数字签名算法中尤其实用。

背景技术

消息的数字签名是依赖于某些只有签名者知道的秘密的数，此 外，该数又依赖于被签名的消息的内容。签名应当是可验证的。如果 对一方是否对文档进行了签名出现争议(由于签名者试图否认其确实 创建的签名，或者由于欺骗性声明而导致)，无偏的第三方应当能公正 地解决这件事，而不需要访问签名者的秘密信息(例如，私有密钥)。

数字签名在信息安全中具有很多应用，特别地，它们被使用在密 码方案中。一些应用包括认证、数据完整性和不可否认性。数字签名 的一种特别重要的应用是验证大型网络中的公共密钥。对于可信的第 三方，验证是一种将用户的身份与公共密钥绑定的方式，使得在以后 某个时间，其它实体可以对公共密钥进行认证而无需来自可信第三方 的帮助。

被称为数字签名算法(DSA)的密码方案基于公知的且经常讨论 的离散对数问题的难解决性。DSA由美国国家标准和技术学会(NIST) 于1991年提出并已经成为美国联邦信息处理标准(FIPS 186)，称为 数字签名标准(DSS)。该算法是公知的ElGamal签名方案的变型，并 且可以被分类为具有附录的数字签名(即一种依赖于密码散列(hash) 函数而不是定制冗余函数的数字签名)。

椭圆曲线数字签名算法(ECDSA)是一种可以应用于椭圆曲线密 码系统且具有类似于DSA的属性的签名方案。它通常被认为是最广泛 标准化的基于椭圆曲线的签名方案，出现在ANSI X9.62，FIPS 186-2， IEEE 1363-2000和ISO/IEC 15946-2标准以及多个草案标准中。

ECDSA签名生成过程对若干域参数、私有密钥d和消息m进行 运算。输出是签名(r，s)，其中签名分量r和s是整数，并且如下进 行处理。

1、选择随机整数k∈_R[1，n-1]，n是域参数之一。

2、计算kG＝(x₁，y₁)并且将x₁转换为整数其中G是在椭圆曲 线E上的点并且是域参数之一。

3、计算其中如果r＝0，则返回步骤1。

4、计算e＝H(m)，其中H代表密码散列(hash)函数，其输出具 有不超过n的比特长度(如果不满足该条件，则可以截断H的输出)。

5、计算s＝k^-1(e+αr)mod n，其中α是签名者的长期私有密钥。 如果

s＝0，则返回步骤1。

6、将(r，s)对作为消息m的ECDSA签名输出。

ECDSA签名验证过程对若干域参数、长期公共密钥Q(其中Q＝ αP)、消息m以及以上导出的签名(r，s)进行运算。ECDSA签名验 证输出对签名的拒绝或接受，并且如下进行处理。

1、验证r和s是区间[1，n-1]中的整数。如果验证失败，则返回拒 绝。

2、计算e＝H(m)

3、计算w＝s^-1modn

4、计算u₁＝ew modn以及u₂＝rw modn

5、计算R＝u₁P+u₂Q＝s^-1(eP+rQ)(根据以上3和4)

6、如果R＝∞，则拒绝该签名

7、将R的x坐标x₁转换为整数计算

8、如果v＝r，则接受该签名，否则拒绝该签名

为了提高ECDSA签名验证的效率，在上面包括s的倒置在内的 特定步骤5中，已知通过省略2b比特来截断s而对ECDSA签名进行 了压缩。这样的压缩的代价是额外的验证步骤，已知其代价为验证者 近似2^2b次额外的椭圆曲线组运算。

在带宽节约极为重要而且验证者可以容易地处理额外密码运算 的密码应用中特别需要签名压缩。一个示例是二维条形码，其中带宽 非常有限而验证者的处理器可能较快。另一个示例是RFID标签，RFID 标签需要来自射频场的功率以便传输数据，并因此非常希望低传输带 宽。

需要一种ECDSA签名压缩的方案，该方案中验证者所付出的代 价低于上述这种压缩方案。