(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210124541.X (22)申请日 2022.02.10 (71)申请人 中国科学院信息 工程研究所 地址 100093 北京市海淀区闵庄路甲89号 (72)发明人 王伟　付裕　林璟锵　宋利　 王琼霄　 (74)专利代理 机构 北京君尚知识产权代理有限 公司 11200 专利代理师 余长江 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/30(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 抗内存信息泄露攻击的椭圆曲线数字签名 计算方法及装置 (57)摘要 本发明公开了一种抗内存信息泄露攻击的 椭圆曲线数字签名计算方法及装置， 属于密码技 术领域。 所述方法包括： 在初始化可信环境下， 将 对称密码算法密钥置于特权寄存器， 并使用对称 密码算法密钥生成随机数k1的密文与私钥的密 文， 及计算标量乘k1 ×G的值； 每次签名时， 基于 选取的签名算法与所述标量乘k1 ×G的值， 计算 用于生成参数s的明文数据， 其中所述用于生成 参数s的明文数据包括： 参数r或基于参数r计算 的数据； 寄存器根据所述明文数据、 随机数k1的 密文与私钥的密文， 计算参数s； 输出(r， s)作为 消息的数字签名。 本发明保证内存中的计算不会 泄露随机 数和私钥的信息， 敏感数据的计算都在 寄存器中完成， 并且降低性能开销， 提高了适用 范围， 具体良好的兼容 性和可扩 展性。 权利要求书2页 说明书6页 附图1页 CN 114928438 A 2022.08.19 CN 114928438 A 1.一种抗内存信息泄 露攻击的椭圆曲线数字签名计算方法， 其 步骤包括： 在初始化可信环境下， 将对称密码算法密钥置于特权寄存器， 并使用对称密码算法密 钥生成随机数k1的密文与私钥的密文， 及计算标量乘k1 ×G的值， 其中k1∈[1,n ‑1]， n为椭 圆曲线的阶， G为椭圆曲线的基点； 每次签名时， 基于选取的签名算法与所述标量乘k1 ×G的值， 计算用于生成参数s的明 文数据， 其中所述用于生成参数s的明文数据包括： 参数r或基于参数r计算的数据； 寄存器根据所述明文数据、 随机数k1的密文与私钥的密文， 计算 参数s； 输出(r,s)作为消息的数字签名。 2.如权利 要求1所述的方法， 其特征在于， 所述数字签名算法包括： SM2签名算法、 ECDSA 签名算法或E C‑Schnorr签名算法， 所述对称密码算法包括： SM4 算法或AES算法。 3.如权利要求2所述的方法， 其特征在于， 选取SM2签名算法时， 通过以下步骤计算用于 生成参数s的明文数据： 1)基于SM2签名算法的已知参数 计算参数e； 2)选择随机数k2， 其中k2∈[1,n ‑1]； 3)计算标量乘k2 ×G的值； 4)将标量乘k1 ×G的值与标量乘k2 ×G的值相加， 得到k ×G的值， 其中k 为随机数； 5)根据k×G的值， 计算 参数r； 6)将参数r与随机数k2作为用于生成参数s的明文数据。 4.如权利要求3所述的方法， 其特征在于， 选取SM2签名算法时， 通过以下步骤在 寄存器 中计算参数s： 1)在寄存器 内部使用对称密码算法密钥解密随机数k1的密文与私钥的密文， 得到随机 数k1与私钥； 2)根据随机数k1、 随机数k2及 椭圆曲线的阶n， 在寄存器中恢复随机数k； 3)基于随机数k、 参数r、 私钥及 椭圆曲线的阶n， 在寄存器中计算 参数s。 5.如权利 要求2所述的方法， 其特征在于， 选取ECDSA签名算法时， 通过以下步骤计算用 于生成参数s的明文数据： 1)对消息m进行哈希计算， 得到参数z； 2)选择随机数k2， 其中k2∈[1,n ‑1]； 3)计算标量乘k2 ×G的值； 4)将标量乘k1 ×G的值与标量乘k2 ×G的值相加， 得到k ×G的值， 其中k 为随机数； 5)根据k×G的值， 计算 参数r； 6)将参数z、 参数r与随机数k2作为用于生成参数s的明文数据。 6.如权利 要求5所述的方法， 其特征在于， 选取ECDSA签名算法时， 通过以下步骤在寄存 器中计算 参数s： 1)在寄存器 内部使用对称密码算法密钥解密随机数k1的密文与私钥的密文， 得到随机 数k1与私钥； 2)根据随机数k1、 随机数k2及 椭圆曲线的阶n， 在寄存器中恢复随机数k； 3)基于参数z、 随机数k、 参数r、 私钥及 椭圆曲线的阶n， 在寄存器中计算 参数s。 7.如权利要求2所述的方法， 其特征在于， 选取EC ‑Schnorr签名算法时， 通过以下步骤权　利　要　求　书 1/2 页 2 CN 114928438 A 2计算用于生成参数s的明文数据： 1)对消息m进行哈希计算， 得到消息摘要H(m)； 2)选择随机数k2， 其中k2∈[1,n ‑1]； 3)计算标量乘k2 ×G的值； 4)将标量乘k1 ×G的值与标量乘k2 ×G的值相加， 得到k ×G的值， 其中k 为随机数； 5)根据k×G的值， 得到参数r； 6)通过消息摘要H(m)、 参数r与公钥Q， 计算H(Q| |r||H(m))的值； 7)将H(Q| |r||H(m))的值与随机数k2作为用于生成参数s的明文数据。 8.如权利要求7所述的方法， 其特征在于， 选取EC ‑Schnorr签名算法时， 通过以下步骤 在寄存器中计算 参数s： 1)在寄存器 内部使用对称密码算法密钥解密随机数k1的密文与私钥的密文， 得到随机 数k1与私钥； 2)根据随机数k1、 随机数k2及 椭圆曲线的阶n， 在寄存器中恢复随机数k； 3)基于随机数k、 私钥及H(Q| |r||H(m))的值， 在寄存器中计算 参数s。 9.如权利要求1所述的方法， 其特征在于， 所述计算用于生成参数s的明文数据， 是在内 存中进行。 10.一种电子设备， 其特征在于， 包括存储器和处理器， 所述存储器中存储有计算机程 序， 所述处 理器被设置为 运行所述计算机程序以执 行如权利要求1 ‑9中任一所述方法。权　利　要　求　书 2/2 页 3 CN 114928438 A 3