[发明专利]一种适合SM2算法的快速模约减方法和介质

权利要求书

1.一种适合SM2算法的快速模约减方法，其特征在于，针对SM2椭圆曲线公钥算法推荐参数计算模约减，用于SM2算法的快速实现，方法包括：

通过数据转换得到转换数据，将512比特数模SM2椭圆曲线推荐参数问题转化为计算若干个256比特数的线性组合；

通过拆分负数项和多倍项将转换数据拆分，并用拆分数据表示转换数据，以使每个256比特数易于表示；

通过重组整合拆分数据，降低加法或减法个数；

通过计算若干个256比特数的和，完成512比特数模SM2椭圆曲线推荐参数模约减的计算；

其中，数据转换的步骤进一步包括：

步骤1.1，将c modp₂₅₆进行转化，

其中p₂₅₆＝2²⁵⁶-2²²⁴-2⁹⁶+2⁶⁴-1，输入整数且可表示为c＝(c_2t-1,...,c₂,c₁,c₀)，

其中t＝8

步骤1.2，将步骤1.1中的I₂modp₂₅₆进行转化，

I₂modp₂₅₆＝([(c₁₅,c₁₄,c₁₃,c₁₂,c₁₁,c₁₀,c₉,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(0,0,0,0,0,0,0,c₈,0,0,0,0,0,0,0,0)]modp₂₅₆-c₈p₂₅₆modp₂₅₆)modp₂₅₆

＝([(c₁₅,c₁₄,c₁₃,c₁₂,c₁₁,c₁₀,c₉,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(c₈,0,0,0,c₈,-c₈,0,c₈)]modp₂₅₆)modp₂₅₆

＝(I₃modp₂₅₆+R₂modp₂₅₆)modp₂₅₆；

步骤1.3，将步骤1.2中的I₃modp₂₅₆进行转化，

I₃modp₂₅₆＝([(c₁₅,c₁₄,c₁₃,c₁₂,c₁₁,c₁₀,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(0,0,0,0,0,0,c₉,0,0,0,0,0,0,0,0,0)]modp₂₅₆-2³²c₉p₂₅₆modp₂₅₆-c₉p₂₅₆modp₂₅₆)modp₂₅₆

＝([(c₁₅,c₁₄,c₁₃,c₁₂,c₁₁,c₁₀,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(c₉,0,0,c₉,0,-c₉,c₉,c₉)]modp₂₅₆)modp₂₅₆

＝(I₄modp₂₅₆+R₃modp₂₅₆)modp₂₅₆

步骤1.4，将步骤1.3中的I₄modp₂₅₆进行转化，

I₄modp₂₅₆＝([(c₁₅,c₁₄,c₁₃,c₁₂,c₁₁,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(0,0,0,0,0,c₁₀,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆-2⁶⁴c₁₀p₂₅₆modp₂₅₆-2³²c₁₀p₂₅₆modp₂₅₆-c₁₀p₂₅₆modp₂₅₆)modp₂₅₆

＝([(c₁₅,c₁₄,c₁₃,c₁₂,c₁₁,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(c₁₀,0,c₁₀,0,0,0,c₁₀,c₁₀)]modp₂₅₆)modp₂₅₆

＝(I₅modp₂₅₆+R₄modp₂₅₆)modp₂₅₆；

步骤1.5，将步骤1.4中的I₅modp₂₅₆进行转化，

I₅modp₂₅₆＝([(c₁₅,c₁₄,c₁₃,c₁₂,0,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(0,0,0,0,c₁₁,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆-2⁹⁶c₁₁p₂₅₆modp₂₅₆-2⁶⁴c₁₁p₂₅₆modp₂₅₆-2³²c₁₁p₂₅₆modp₂₅₆-c₁₁p₂₅₆modp₂₅₆)modp₂₅₆

＝([(c₁₅,c₁₄,c₁₃,c₁₂,0,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(c₁₁,c₁₁,0,0,c₁₁,0,c₁₁,c₁₁)]modp₂₅₆)modp₂₅₆

＝(I₆modp₂₅₆+R₅modp₂₅₆)modp₂₅₆；

步骤1.6，将步骤1.5中的I₆modp₂₅₆进行转化，

I₆modp₂₅₆＝([(c₁₅,c₁₄,c₁₃,0,0,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(0,0,0,c₁₂,0,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆-2¹²⁸c₁₂p₂₅₆modp₂₅₆-2⁹⁶c₁₂p₂₅₆modp₂₅₆-2⁶⁴c₁₂p₂₅₆modp₂₅₆-2³²c₁₂p₂₅₆modp₂₅₆-c₁₂p₂₅₆modp₂₅₆)modp₂₅₆

＝([(c₁₅,c₁₄,c₁₃,0,0,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(2c₁₂,0,0,c₁₂,c₁₂,0,c₁₂,c₁₂)]modp₂₅₆)modp₂₅₆

＝(I₇modp₂₅₆+R₆modp₂₅₆)modp₂₅₆；

步骤1.7，将步骤1.6中的I₇modp₂₅₆进行转化，

I₇modp₂₅₆＝([(c₁₅,c₁₄,0,0,0,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(0,0,c₁₃,0,0,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆-2¹⁶⁰c₁₃p₂₅₆modp₂₅₆-2¹²⁸c₁₃p₂₅₆modp₂₅₆-2⁹⁶c₃p₂₅₆modp₂₅₆-2⁶⁴c₁₃p₂₅₆modp₂₅₆-2³²c₁₃p₂₅₆modp₂₅₆-c₁₃p₂₅₆modp₂₅₆)modp₂₅₆

＝([(c₁₅,c₁₄,0,0,0,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(2c₁₃,0,c₁₃,c₁₃,2c₁₃,-c₁₃,c₁₃,2c₁₃)]modp₂₅₆)modp₂₅₆

＝(I₈modp₂₅₆+R₇modp₂₅₆)modp₂₅₆；

步骤1.8，将步骤1.7中的I₈modp₂₅₆进行转化，

I₈modp₂₅₆＝([(c₁₅,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(0,c₁₄,0,0,0,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆-2¹⁹²c₁₄p₂₅₆modp₂₅₆-2¹⁶⁰c₁₄p₂₅₆modp₂₅₆-2¹²⁸c₁₄p₂₅₆modp₂₅₆-2⁹⁶c₁₄p₂₅₆modp₂₅₆-2⁶⁴c₁₄p₂₅₆modp₂₅₆-2³²c₁₄p₂₅₆modp₂₅₆-c₁₄p₂₅₆modp₂₅₆)modp₂₅₆

＝([(c₁₅,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆+[(2c₁₄,c₁₄,c₁₄,2c₁₄,c₁₄,-c₁₄,2c₁₄,2c₁₄)]modp₂₅₆)modp₂₅₆

＝(I₉modp₂₅₆+R₈modp₂₅₆)modp₂₅₆；

步骤1.9，将步骤1.8中的I₉modp₂₅₆进行转化，

I₉modp₂₅₆＝([(c₁₅,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0)]modp₂₅₆-2²²⁴c₁₅p₂₅₆modp₂₅₆-2¹⁹²c₁₅p₂₅₆modp₂₅₆-2¹⁶⁰c₁₅p₂₅₆modp₂₅₆-2¹²⁸c₁₅p₂₅₆modp₂₅₆-2⁹⁶c₁₅p₂₅₆modp₂₅₆-2⁶⁴c₁₅p₂₅₆modp₂₅₆-2³²c₁₅p₂₅₆modp₂₅₆-c₁₅p₂₅₆modp₂₅₆)modp₂₅₆

＝[(3c₁₅,c₁₅,2c₁₅,c₁₅,c₁₅,0,2c₁₅,2c₁₅)]modp₂₅₆

＝R₉modp₂₅₆；

根据上述步骤1.1至步骤1.9的转换过程，最后用转换数据(R₁,R₂,...,R₉)表示c modp₂₅₆：

c modp₂₅₆＝(R₁+R₂+R₃+R₄+R₅+R₆+R₇+R₈+R₉)modp₂₅₆；

其中，重组整合拆分数据的过程中确保对应位置相的和不发生变化，其步骤进一步包括：

c modp₂₅₆＝(R₁+t2+t3+R₄+R₅+T₁+T₂+T₃+T₄+T₅+T₆+T₇+T₈-s₂-s₃-s₇-s₈)modp₂₅₆

＝[(c₇,c₆,c₅,c₄,c₃,c₂,c₁,c₀)+(c₈,0,0,0,c₈,0,0,c₈)+(c₉,0,0,c₉,0,0,c₉,c₉)+(c₁₀,0,c₁₀0,0,0,c₁₀,c₁₀)+(c₁₁,c₁₁,0,0,c₁₁,0,c₁₁,c₁₁)++2(c₁₄,0,c₁₅,c₁₄,c₁₃,0,c₁₅,c₁₄)+2(c₁₂,0,0,0,0,0,c₁₄,c₁₃)+(0,0,0,c₁₂,c₁₂0,c₁₂,c₁₂)+(c₁₃,0,c₁₃,c₁₃,0,0,c₁₃,0)+(c₁₃,c₁₄,c₁₄，0,c₁₄,0,0,0)+(c₁₅,c₁₅,0,c₁₅,c₁₅,0,0,0)+(c₁₅,0,0,0,0,0,0,c₁₅)+(c₁₅,0,0,0,0,0,0,c₁₅)-(0,0,0,0,0,c₈,0,0)-(0,0,0,0,0,c₉,0,0)-(0,0,0,0,0,c₁₃,0,0)-(0,0,0,0,0,c₁₄,0,0)]modp₂₅₆

＝[s₀+s₁+s₄+s₅+s₆+2s₉+2s₁₀+s₁₁+s₁₂+s₁₃+s₁₄+2s₁₅-s₂-s₃-s₇-s₈]modp₂₅₆；

根据上述拆分过程，最后用重组整合数据表示c modp₂₅₆：

c modp₂₅₆＝[s₀+s₁+s₄+s₅+s₆+2s₉+2s₁₀+s₁₁+s₁₂+s₁₃+s₁₄+2s₁₅-s₂-s₃-s₇-s₈]modp₂₅₆。