[发明专利]签名生成装置、签名生成方法以及记录介质

说明书

技术领域

本发明涉及签名生成装置、签名生成方法以及记录介质。

背景技术

使用签名者的秘密密钥来生成电子签名（参照非专利文献1）。秘密密钥是只有签名者本人知道的数据。如果秘密密钥被泄露，则能够伪造签名。

在计算电子签名的时候，发生进行公开信息和秘密信息（例如，秘密密钥）的乘法的步骤。通过参照公开信息的同时针对公开信息和秘密信息的乘法进行差分电力解析（Differential Power Analysis），能够求出秘密信息（参照非专利文献2）。

例如，EC-Schnorr签名算法（Elliptic Curve Schnorr Digital Signature Algorithm）如以下那样。

步骤0.将G设为椭圆曲线上的生成源，将G的位数设为n。将d设为秘密密钥，将M设为签名对象的消息，将h设为散列（hash）函数。

步骤1.生成随机数k。k是小于n的自然数。

步骤2.计算P=kG，并将P的x坐标设为Px。

步骤3.计算e=h(M||Px)。“||”表示连结。

步骤4.计算s=(e×d+k)mod n。

步骤5.(e,s)成为M的电子签名。

在上述计算方法中，在步骤4中进行e×d的计算。e是公开信息，因此通过进行差分电力解析，能够求出秘密密钥d。

例如，EC-DSA（Elliptic Curve Digital Signature Algorithm）如以下那样。

步骤0.将G设为椭圆曲线上的生成源，将G的位数设为n。将d设为秘密密钥，将M设为签名对象的消息，将h设为散列函数。

步骤1.生成随机数k。k是小于n的自然数。

步骤2.计算P=kG，并将P的x坐标设为Px。

步骤3.计算s=k^-1(Px×d+h(M))mod n。

步骤4.（Px,s）成为M的电子签名。

在上述计算方法中，在步骤4中进行Px×d的计算。Px是公开信息，因此通过进行差分电力解析，能够求出秘密密钥d。

非专利文献1：ISO/IEC14888-3：2006/FDAM1,“Information technology-Security techniques-Digital signatures with appendix-Part3：Discrete logarithm based mechanisms-Amendment1：Elliptic Curve Russian Digital Signature Algorithm,Schnorr Digital Signature Algorithm,Elliptic Curve Schnorr Digital Signature Algorithm,Elliptic Curve Full Schnorr Digital Signature Algorithm,”ISO/IEC JTC1/SC27,2009-12-15

非专利文献2：Jean-Sebastien Coron,“Resistance against Differential Power Analysis for Elliptic Curve Cryptosystems,”CHES’99,LNCS1717,pp.292-302,1999

发明内容

在上述的例子中，知道d的人无论是谁都能够制作签名。即，如果秘密密钥到其他人手中，则能够伪造签名。但是，在以往的计算方法中，通过进行差分电力解析，能够容易地得到秘密密钥。不仅是EC-Schnorr签名、EC-DSA签名，针对Schnorr签名、DSA（Digital Signature Algorithm，数字签名算法）签名这样的电子签名的运算，通过同样地进行差分电力解析，秘密密钥被泄露时，也能够伪造签名。

本发明的目的是针对例如差分电力攻击（Differential Power Attack）安全地生成电子签名。

本发明的一种方式的签名生成装置生成电子签名，该电子签名是通过针对包含公开信息e和秘密信息d的乘法的运算的结果计算以公开信息n为模的余数来得到的，该签名生成装置具备：

输入部，输入所述公开信息e、n；

读取部，从预先保存所述秘密信息d的存储装置读取所述秘密信息d；

第1计算部，通过处理装置进行新的秘密信息r和由所述输入部输入的公开信息n的乘法M1；