用於驗證電子籤名的方法和數據處理設備的製作方法

2023-11-05 09:57:07

用於驗證電子籤名的方法和數據處理設備的製作方法
【專利摘要】本發明描述一種用於驗證電子籤名的方法，其包括：確定由籤名給出的剩餘類；確定具有剩餘類的整數；根據有限域到整數集的預先確定的映射來確定有限域的域元素，從而使得域元素對應於整數；確定域元素是否滿足預先確定的規範，以及基於域元素是否滿足預先確定的規範來判斷籤名是否有效。
【專利說明】用於驗證電子籤名的方法和數據處理設備
【技術領域】
[0001 ] 本發明涉及用於驗證電子籤名的方法和數據處理設備。
【背景技術】
[0002]為了在電子數據通信中確保被傳輸數據的完整性，在發送數據之前可以對數據進行籤名，典型地是使用私有密鑰籤名。接收器繼而可以核對籤名是否有效，並且從而通過利用發射器的公鑰來核對數據是否被第三方或者被通信的錯誤所改變。為了確保高安全性，使用具有高位數的私鑰和公鑰。從而，籤名驗證的計算成本可能很高。因此，期望降低籤名驗證的計算成本和複雜度。

【發明內容】

[0003]根據本發明的一個實施例，提供一種用於驗證電子籤名的方法，其包括:確定由籤名給出的剩餘類；確定具有剩餘類的整數；根據預先確定的有限域到整數集的映射來確定有限域的域元素，從而使得域元素對應於所述整數；確定域元素是否滿足預先確定的規範，並且基於域元素是否滿足預先確定的規範來判斷籤名是否有效。
[0004]根據本發明的另一個實施例，根據上述用於驗證電子籤名的方法來提供一種數據處理設備。
【專利附圖】

【附圖說明】
[0005]在附圖中，通篇不同的視圖中相似的標記總體上表示相同的部分。附圖不必按比例繪製，而是將重點大致放在說明本發明的原理上。在下列說明中，參照下列附圖描述各個方面，其中:
[0006]圖1示出根據一個實施例的通信裝置。
[0007]圖2示出根據一個實施例的流程圖。
[0008]圖3示出根據一個實施例的數據處理設備。
[0009]圖4示出根據一個實施例的流程圖。
【具體實施方式】
[0010]以下詳細說明參考附圖，附圖通過圖示來示出本公開中的可以實踐本發明的具體細節和方面。本公開的這些方面描述的足夠詳細，以使本領域技術人員能夠實踐本發明。可以在不背離本發明的範圍的情況下，利用本公開的其它方面，並且做出結構的、邏輯的和電子的改變。本公開的各個方面並不必然相互排斥，因為本發明的一些方面可以與本發明的一個或多個其它方面組合，以形成新的方面。
[0011]圖1示出根據一個實施例的通信裝置100。
[0012]通信裝置100包括第一通信設備101和第二通信設備102，它們經由通信網絡103(例如，經由網際網路)耦合。[0013]通信設備101、102可以是例如計算機、移動通信設備(例如，智慧型電話)、晶片卡等。
[0014]通信設備101、102可以經由通信網絡103交換數據。例如，第一通信設備101可以藉助於通信網絡103使用通信服務(諸如，電子郵件)以消息105的形式，向第二通信設備102發射數據104。重要的或者說是被期望的是，確保數據104的完整性，例如避免第三方修改數據104而不被第二通信設備102發覺。這可以使用加密電子籤名方案來實現。在這一方案中，第一通信設備101在發射消息105之前對數據104進行籤名，即將取決於數據104的籤名106包括在消息105中；並且第二通信設備102核對所接收的籤名106對於數據104是否有效。當第三方已經在傳輸過程中改變了數據104時，籤名106將無效。
[0015]籤名方案例如基於橢圓曲線，例如籤名方案E⑶SA (橢圓曲線數字籤名算法)、ECGDSA (橢圓曲線德國數字籤名算法)和橢圓曲線-厄格瑪爾算法(EC-ElGamal )。所有這些籤名方案都是最早由TaherRlGamal描述的籤名協議的變化形式。
[0016]有限域上的橢圓曲線形成用於現代公鑰加密的重要方案(諸如以上加密方案)的數學基礎。由大體上形式如下的三次方程所限定的橢圓曲線:
[0017]E: y2+a1xy+a3y=x3+a2X2+a4X+a6
[0018]係數B1,…，a6是(有限)域K的元素。
[0019]橢圓曲線E的點是所有對(X，y) e K X K的集，其滿足以上對於E的方程。橢圓曲線被稱作是在K上(或者限定在K上)的曲線。橢圓曲線的點P的坐標對(x，y)被稱作點P 的仿身寸表不(affine representation)。
[0020]有限域是一個數 學結構，其包括元素的有限集以及通常稱作加
[0021]法、減法、乘法和除法的四個運算，其中實數的算數法則對於這些運算形式上有效。限定在以下域類型中的一個類型上的橢圓曲線在加密上有特別重要的實際意義。
[0022].K=GP(p)，其中P是素數。GP(p)的對象(即域元素)是整數0，1，2，...，p_l。運算是模加法、模減法、模乘法和模除法。
[0023].K=GF(2n)，其中η是自然數。在這一情況下，對象(即域元素)是長度的二進位向量η。加法是按位異或。減法與加法相同。乘法可以藉助於移位寄存器運算實現。
[0024]以上有限域類型的共有特性是，域元素除法比域元素乘法成本(就計算資源而言)高得多。計算成本上的差異通常大約是一個量級。
[0025]除了仿射表示還存在射影表示(projective representation),其中以(x:y:x)的形式使用三個坐標來表示橢圓曲線的點。所述兩個表示的關係如下:
[0026]?點的仿射表示可以根據(X，y) — ( λ X: λ y: λ )而映射到射影表示,其中λ古O是K的任意兀素。
[0027].點的仿射表示可以根據(Χ:Υ:Ζ) — (Χ/Ζ, Υ/Ζ)而映射到射影表示。
[0028]類似基於橢圓曲線在加密方案中進行的運算的在橢圓曲線上的算數運算包括有大量域運算的序列，其包括高成本的域元素除法。
[0029]射影表示允許減少將進行的除法的數量，例如減少到用於驗證籤名的單一減法。
[0030]在下文中，使K為有限域；E為在K上的橢圓曲線；P e E為在橢圓曲線E上的點，其用素數階以及由P生成的E的子集的β = I〈P〉I素數階來生成(根據橢圓曲線的點的加法)橢圓曲線的循環子集。
[0031]為了實施針對橢圓曲線的點的運算(例如，點的加法)，需要針對有限域K的算法。如所述，在有限域算法的實施方式中，除法總體上比乘法(和平方)成本高得多。在經優化的實施方式中差別可以高達40倍。因此，為了將籤名生成和籤名驗證所需要的時間最小化，可以進行以下:
[0032]?對在橢圓曲線上的點使用射影表示。所有中間結果以分數表示。這就允許避免針對在點乘法的中間結果的計算的域元素除法。所得的公式比有除法的公式更複雜，並且需要更多的乘法和平方運算。但通常所得的實施方式還是更有效率。
[0033].在點運算結束時進行單一域除法(或求逆)，以將射影表示下的結果轉換為仿射表示的。用仿射表示，可以繼而進行籤名驗證。
[0034]在下文中描述這一方法，針對根據E⑶SA的電子籤名驗證的方案的示例。
[0035]驗證方案的輸入是哈希值(hash value) h,其中h為整數(例如數據104的哈希值)，Q e E為籤名生成器(例如第一通信設備101)的公鑰，(r, s)為籤名(或籤名值)其中r和s為整數。
[0036]方案輸出的信息為籤名有效或無效(例如對於數據104)。
[0037]在這一示例中，進行下列幾點:
[0038]1.核對是否O≤h〈 β ;如果否，則籤名無效。
[0039]2.核對是否0〈Κβ ;如果否，則籤名無效。
[0040]3.核對是否0〈8〈β ;如果否，則籤名無效。
[0041]4.確定 t=l/s modβ ;u=h*t modβ 並且 v=r*t modβ。
[0042]5.通過E在K上的算數運算來確定點(u*P+v*Q)的仿射x坐標W。
[0043]6.通過恰當地映射到整數z來將域元素w進行映射。
[0044]7.核對方程r=z mod^是否被滿足；如果是，則籤名有效；如果否，則籤名無效。
[0045]在5.中，確定中間結果的仿射X坐標W，因為下列在6.中的到整數的映射以及模歸約階數β導致在不同的數學結構中的連續運算，所述連續運算的執行順序不可以被改變，並且針對所述連續運算分配律沒有被滿足。從而，不能在不產生錯誤結果的情況下簡單地在代數上改變籤名驗證的最後步驟。
[0046]根據一個實施例，提供一種用於驗證電子籤名的方法(例如，根據上述籤名方案中的一個籤名方案)，其中沒有將在射影表示下的點最後轉換到仿射表示是必要的。因此，在一個實施方式中(例如，在第二通信設備102中)，用於在橢圓曲線基於其的域K中的除法(或求逆)算法的實施方式不是必要的。
[0047]圖2示出根據一個實施例的流程圖200。
[0048]流程圖200示出用於驗證電子籤名的方法。
[0049]在201中，確定具有籤名值r的剩餘類的整數。
[0050]在202中，根據有限域到整數集的預先確定的映射來確定有限域的域元素，從而使得域元素對應於整數。
[0051]在203中，確定域元素是否滿足預先確定的規範。
[0052] 在204中，基於域元素是否滿足預先確定規範，來判斷籤名是否有效。
[0053]換句話講，根據一個實施例，籤名驗證方案中的最後核對被倒轉:代替，例如，基於規範確定域元素，以及代替確定域元素的圖像是否屬於由籤名給出的剩餘類，而確定其圖像屬於剩餘類的域的一個或多個候選項，並且核對這些候選項的任意一個候選項是否滿足規範。
[0054]籤名是例如由基於橢圓曲線的籤名生成方案而生成的籤名。
[0055]有限域是例如在其上限定橢圓曲線的域。
[0056]例如，有限域是GF (P)或GF (2n)。
[0057]剩餘類是例如以生成橢圓曲線的循環子群的點P的以階數β為模的整數剩餘類。
[0058]例如，籤名是用點P生成的籤名。
[0059]根據一個實施例，如果域元素滿足預先確定的規範，則判斷籤名有效。
[0060]根據一個實施例，該方法包括，確定具有剩餘類的多個整數；根據有限域到整數集的預先確定的映射，針對所述多個整數中的每一個整數確定有限域的域元素，從而使得域元素對應於整數；確定是否域元素的任意域元素滿足預先確定的規範；並且基於是否域元素的任意域元素滿足預先確定的規範來判斷籤名是否有效。
[0061]例如，如果域元素的任意域元素滿足預先確定的規範，則籤名有效。
[0062]多個整數例如包括對應於剩餘類並且小於有限域階數的所有整數
[0063]該方法例如包括，如果沒有一個域元素滿足預先確定的規範，則判斷籤名不是有效的。
[0064]根據一個實施例，該方法進一步包括確定在射影表示下的橢圓曲線的點，並且規範是域元素是否等於橢圓曲線的點的仿射坐標。
[0065]域到整數集的預先確定的映射是例如域到整數集的從零到有限域階數減一的映射。
[0066]規範是例如域元素是否滿足多項式方程為零。
[0067]根據一個實施例，該方法包括接收包括給出剩餘類的整數的籤名值。
[0068]該方法可以進一步包括，接收數據，並且確定針對所接收的數據的哈希值，並且基於所述哈希值確定規範。
[0069]例如，判斷針對數據的籤名是否有效。
[0070]在圖2中所示的方法是由例如圖3所示的數據處理設備進行的。
[0071]圖3示出根據一個實施例的用於驗證電子籤名的數據處理設備300。
[0072]數據處理設備300例如對應於第二通信設備102。
[0073]數據處理設備300包括確定器301，其被配置用於，確定由籤名所給出的剩餘類；確定具有剩餘類的整數；根據有限域到整數集的預先確定的映射來確定有限域的域元素，從而使得域元素對應於所述整數；並且確定域元素是否滿足預先確定的規範。
[0074]數據處理設備300進一步包括判斷器302，其被配置用於基於域元素是否滿足預先確定的規範來判斷籤名是否有效。
[0075]應當注意到，在參照圖2描述的方法的情形中所描述的實施例對於數據處理設備300類似有效的，並且反之亦然。
[0076]數據處理設備的部件(例如，確定器和判斷器)可以例如由一個或多個電路實施。「電路」可以理解為任何種類的邏輯實施實體，其可以是專用電路系統或者存儲在存儲器、固件或其任意組合中的處理器執行軟體。從而，「電路」可以是硬體布線邏輯電路或者諸如可編程處理器的可編程邏輯電路，例如微處理器(例如，複雜指令集計算機(CISC)處理器或者精簡指令集計算機(RISC)處理器)。「電路」還可以是處理器執行軟體，例如任意種類的電腦程式，例如使用虛擬機器代碼(舉例來說諸如Java)的電腦程式。將在下文更詳細描述的相應功能的任何其它種類的實施方式也可以理解為「電路」。
[0077]在下文中更詳細地描述用於籤名的驗證的示例。
[0078]在下文中描述的實施例可以被視為利用適合於籤名方案的橢圓曲線以及強加密橢圓曲線的特性。對於籤名方案的安全性要求是，循環子群的階數〈P〉足夠大，以便使得針對橢圓曲線的離散對數問題的算法困難。實際上這就意味著，取決於應用，子群〈P〉通常具有至少216°或更多個點。為了使得引起的籤字方案具有高性能，橢圓曲線E被典型地選擇，從而使得對於在橢圓曲線上的所有的點滿足條件:IE I =k* I〈P〉I其中被稱為餘子式的k為小整數(典型地k〈5)。對於在素數域GF(P)上的橢圓曲線，k=l是最佳的。對於在擴展域GF(2n)上的橢圓曲線，k=2是最佳的。
[0079]由於數字|E|和β=|〈Ρ>|只相差小的因子k，根據哈斯定理(hasse
|i:| , \K\^ k\K\, 2k
theorem),在不等式 = ~ +\ K [+1-1yJl K \K ^J\ K \-2 成立的橢圓曲線上，
|[|+1-醜間[1+1 + 2.^對於可能數目的點|E|成立。
[0080]因此，對於實際意義的大小，僅存在k+1個域元素W1,…，wk+1 e K，其可能作為仿射X坐標的中間結果出現在上述給出的驗證方案的5.中，從而使得按照根據6.的、域K到整數集的映射的圖像集中的它們的圖像Z1,…，zk+1對於I≤i≤k+Ι,滿足r=Zi mod^。
[0081]因此，根據一個實施例，代替通過在域K中的除法確定中間結果的仿射X坐標，並且為了核對其在整數中的圖像是否滿足有r的同餘式，構造k+Ι個域元素力，…，wk+1 e K，其圖像滿足有r的同餘式(作為針對仿射X坐標的可能候選項)，並且核對這些域元素中的一個域元素是否對應於在射影表示下的中間結果的X坐標。為了這個核對，最多需要k+1個域乘法。該方法有效率地適用於例如上述籤名方案，對於其域元素到整數集的映射可以有效率地被倒轉。用這種方法，可以實施不需要任何域除法或求逆的用於籤名驗證的方案。
[0082]根據一個實施例，在實際實施方式中，用於中間結果(即點u*P+v*Q)的仿射X坐標的候選項^，…，wk+1 e K被單獨地構造，並且被測試以將所需要的存儲器空間和耗費(即計算成本)最小化。
[0083]令(X，Z)為中間結果u*P+v*Q的射影X坐標，即仿射x坐標的射影表示。代替在5.中計算在上述方案中的這個點在仿射表示下的X坐標，6.和7.例如被如圖4所示的流程所替換。
[0084]圖4示出根據一個實施例的流程圖400。 [0085]在401中，用整數r初始化整數變量z。
[0086]在402中，核對是否z〈|K|。如果不是這種情況，則判斷籤名是無效的。如果是這種情況，則在403中根據域到整數的映射，確定對應於整數ζ的域元素W。
[0087]在404中，確定在域K中方程w*Z=X是否滿足。如果是這種情況，則判斷籤名有效。如果不是這種情況，則由ζ+β替換ζ的值，並且過程繼續(返回至)402。
[0088]在402中的判斷可以視為實施當ζ〈|Κ|時403至405的當型循環(while loop),只有如果在404中的核對為肯定，即已經找到對應於在射影表示(X，Z)下的X坐標的候選項時才中斷該循環。[0089]由於以下原因，基於在圖4中示出的方法的驗證是正確的。在有限域中，方程X=w*Z成立,其中w是對應於在射影表示(X, Z)下的X坐標的仿射X坐標。如果存在整數O≤j≤k,從而使得整數zj+1=r+j* β是符合X=Wj*Z的域元素Wj e K的圖像,其遵從w」=w。相反地，其遵從域K和在整數中的算數模β的性質，其中其在整數集中的圖像滿足同餘式r=z modulo β的每個域元素w需要針對適當數O≤j < k具有z=r+j* β的形式。
[0090]上述示例給出根據E⑶SA的籤名驗證方案的實施方式。雖然上述方法，例如參照圖2，並不限於這一方案，但是可以類似地被變換為基於橢圓曲線的其它ElGamal型的籤名方案。還應注意到，該方法可以用於在具有各種特性的有限域上的橢圓曲線。
[0091]上述方法具有下列性質:
[0092].其允許在橢圓曲線上驗證ElGamal型籤名的實施方式，其中沒有在有限域中的除法是必須的。這就減小了實施方式的代碼大小。
[0093].其允許有效率的籤名驗證，因為首先，在強加密橢圓曲線的情況下，餘子式k= IE I / I ,其確定待測試的情況的數目(即針對點u*P+v*Q的仿射坐標的可能候選項的數目)很小；並且其次，待測試的每一個情況下(即每一個候選項是否等於點u*P+v*Q的仿射X坐標的核對)，僅需要一次整數加法、對應於整數的域元素的確定、域乘法以及比較。在有限域和恰當的橢圓曲線的算數的所有實際上相關的實施方式中，以這種方式用於驗證給定的籤名的耗費(即計算成本)比執行單次域除法的耗費更小。
[0094].其允許正 確的實施方式。
[0095].其允許驗證按照標準所生成的電子籤名。
[0096]在下文中描述用於驗證ECDSA籤名的方案的另一個示例，其允許有效率並緊湊的實施方式
[0097]令X (P)為點P的X坐標，其生成階數β的循環子群〈P〉，並且令X (Q) SAQeE的X坐標。點Q是籤名生成器的公鑰，籤名生成器例如第一通信設備101的用戶。
[0098]驗證方案的輸入為哈希值h，其中h為整數(例如數據104的哈希值)，x(Q)為籤名生成器(例如，第一通信設備101)的公鑰Q e E的X坐標，(r, s)為籤名(或籤名值)，其中r和s都是整數。
[0099]方案輸出的信息是籤名有效或無效(例如對於數據104)。
[0100]在這個示例中，進行下列幾點:
[0101]1.核對是否0<1ι〈β ;如果否，則確定籤名無效。
[0102]2.核對是否0〈Κβ ;如果否，則確定籤名無效。
[0103]3.核對是否0〈8〈β ;如果否，則確定籤名無效。
[0104]4.確定 t=l/s modβ ;u=h*t modβ 並且 v=r*t modβ。
[0105]5.通過在K上的E的算數運算來確定點u*P的射影X坐標(X1, Z1)。
[0106]6.通過在K上的E的算數運算來確定點v*Q的射影X坐標(X2, Z2)。
[0107]7.用r初始化變量ζ。
[0108]8.當 z〈 |K| 時，進行
[0109]9.確定在整數集中的圖像是ζ的域元素w
[0110]10.如果對於多項式F(AXpZDXhZ2)=O成立，接受籤名為有效，並且停止當型循環。[0111]11.將 Z 增加 β。
[0112]12.0d (結束當型循環)
[0113]13.由於無效而拒絕籤名。
[0114]在5.和6.中，點乘法的結果的射影X坐標是用例如蒙哥馬利(Montgomery)階梯算法確定的。多項式F是在w中的二次多項式，其具體形式取決於有限域K的特性。
[0115]對於特性2，即對於K=GF (2n)，多項式F例如具有形式F (w, X1, Z1, X2, Z2) =w2 (X1ZfX,zy+iX2+^ X1X2Z1Z^bZ12Z22其中域元素b是限定橢圓曲線的恆定曲線參數(在對於特性2的簡短Weierstra β表示下)，即對應於在上文給出的橢圓曲線的表示下的a6。
[0116]對於特性3，多項式例如具有形式 F (w，X1, Z1, X2, Z2) =W2 (X1Z2-X2Z1) 2+w (X1X2 (X1Z2J2Z「a2ZiZ2) -B6Z12Z22) +X12X2La6Z1Z2 (X1Z^X2Zfa2Z1Z2)，具有如上文給出的橢圓曲線的表示下的
a6 ο
[0117]對於大於3的特性，多項式F具有例如形式F (w，X1, Z1, X2, Z2) =W2 (X1Z2-X2Z1) 2-2w ((aAZfX1X2) (X1ZJX2Z1)+Sa6Z12Z22)+ (X1X2I4Z1Z2)2Ia6Z1Z2 (X1ZfX2Z1)，具有如上文給出的橢圓曲線的表示下的a2, a4和a6。
[0118]在對於特性2的有限域 使用唯一確定的平方根而不是曲線參數b的情況下，可以使用8個域乘法和I個平方運算來確定多項式F的值。
[0119]下列幾點被示出:若且唯若籤名是針對哈希值根據籤名方案E⑶SA或ECElGamal而已經生成的有效籤名時，上述方案接受針對哈希值h的籤名。令0〈α〈β為已經用於創建公鑰Q=a*P的私鑰。給出哈希值h，並且給出被上述方案所接受的籤字(r，s)的針對哈希值h的有效籤名。方案在5.和6.中確定點Y1=WsW和V2=r/s*Q= (a*r/s) *P的x坐標X(V1), X(V2)。接著，方案搜索整數z，以便域元素X(V1)、x(V2)和w (其具有在整數集中的圖像z=r+j*i3 )滿足F為零的方程。從F為零的方程的性質，以及在點子群中的群運算完整性，由此得出w=x(R)為點Re〈P〉的X坐標。令w=k*P,其中O≤k〈 β。然後,通過構造多項式F, X (R) =x (V^V2) =x ((h+a*r) /s*P 或者 x (R) =x (V1 — V2) =x ((h_a*r) /s*P)成立。這些條件等效於 k_ (h+a*r) /S=Omod β , k+ (h+a*r) /S=Omod β , k_ (h_a*r) /S=Omod β 或者 k+ (h_a*r) /S=Omodβ ο
[0120]將這些方程變換，得到s=± 1/k*(h+a*r)modβ 或者 s=± 1/k*(h_a*r)modβ，其中r=x(k*P)modβ 。
[0121 ] 所述方程對應於根據E⑶SA標準或EC-ElGamal標準使用私鑰α而生成的有效籤名的定義。對此應注意到，在兩個籤名方案中值s對β模運算的符號改變對如ECDSA或EC-ElGamal籤名的籤名有效性沒有影響。這是由點和V1 — V2僅判斷χ坐標的上述方案的性質的直接後續結果。
[0122]因此，上述方案的輸出與標準E⑶SA方法相比的差別是，哈希值h對β模運算的符號對於籤名的有效性沒有關聯。這就意味著，是對於哈希值h的有效籤名的籤名(r，S)，也是對於哈希值_h mod^的有效籤名。從而，上述方案接受根據E⑶SA標準針對哈希值h所生成的籤名作為有效籤名；但進一步接受針對哈希值_h mod^的籤名，對於該哈希值籤名不是根據E⑶SA的有效籤名，而是根據EC-ElGamal的有效籤名(並且反之亦然)。
[0123]除了上述方法的性質，上述包括1.至13.的方案還具有以下性質:
[0124].在用於驗證電子籤名的整個方案中，只使用點的χ坐標。從而，不需要用於確定點V1和V2的Y坐標的程序部分。
[0125].通過使用多項式F，不需要用於確定點V1與V2之和的χ坐標的程序部分。
[0126]?所需的用於存儲點P和Q的存儲器(舉例來說，諸如快閃記憶體或EEPROM的非易失性存儲器)需求更小，因為僅需要這些點的X坐標。
[0127]以上方案可以例如被實施在以2.2K字節代碼的16位微控制器上，例如在晶片卡上。
[0128]雖然已經描述了特定的方面，但是本領域技術人員應注意到，可以在不背離由所附權利要求書所限定的本公開各方面的精神和範圍的情況下，對本公開作各種形式和細節上的改動。因此範圍應由所附權利要求書來指示，並且從而意在包含在權利要求書的法律等同的含義和範圍內的所有改變。
【權利要求】
1.一種用於驗證電子籤名的方法，包括: 確定由所述籤名給出的剩餘類； 確定具有所述剩餘類的整數； 根據有限域到整數集的預定的映射來確定所述有限域的域元素，使得所述域元素對應所述整數； 確定所述域元素是否滿足預定的規範；以及 基於所述域元素是否滿足所述預定的規範，判斷所述籤名是否有效。
2.根據權利要求1所述的方法，其中所述籤名是由基於橢圓曲線的籤名生成方案所生成的籤名。
3.根據權利要求2所述的方法，其中所述有限域是在其上限定所述橢圓曲線的域。
4.根據權利要求2所述的方法，其中所述有限域是GF(p)或GF(2n)。
5.根據權利要求2所述的方法，其中所述剩餘類是整數剩餘類對生成所述橢圓曲線的循環子群的點P的階數的模運算。
6.根據權利要求5所述的方法，其中所述籤名是使用所述點P所生成的籤名。
7.根據權利要求1所述的方法，包括如果所述域元素滿足所述預定的規範，則判斷所述籤名有效。
8.根據權利要求1所述的方法，包括 確定具有所述剩餘類的多個整數； 針對所述多個整數中的每個整數，根據所述有限域到所述整數集的預定的映射來確定所述有限域的域元素，使得所述域元素對應所述整數； 確定所述域元素中的任意域元素是否滿足所述預定的規範；以及 基於所述域元素中的任意域元素是否滿足所述預定的規範，判斷籤名是否有效。
9.根據權利要求8所述的方法，包括如果所述域元素中的任意域元素滿足所述預定的規範，則判斷所述籤名有效。
10.根據權利要求8所述的方法，其中所述多個整數包括對應於所述剩餘類的並且比所述有限域的所述階數更小的所有整數。
11.根據權利要求8所述的方法，包括如果沒有所述域元素滿足所述預定的規範，則判斷所述籤名不是有效的。
12.根據權利要求2所述的方法，其中所述方法進一步包括確定在射影表示下的橢圓曲線的點，以及所述規範是所述域元素是否等於所述橢圓曲線的所述點的所述仿射坐標。
13.根據權利要求1所述的方法，其中所述域到所述整數集的所述預定的映射是所述域到所述整數集的從零到所述有限域的所述階數減一的單射。
14.根據權利要求1所述的方法，其中所述規範是所述域元素是否滿足多項式為零的方程。
15.根據權利要求1所述的方法，還包括接收包括給出所述剩餘類的整數的籤名值。
16.根據權利要求1所述的方法,還包括接收數據並且針對所述接收的數據確定哈希值，以及基於所述哈希值確定所述規範。
17.根據權利要求16所述的方法，其中判斷所述籤名針對所述數據是否有效。
18.一種用於驗證電子籤名的數據處理設備，包括:確定器，被配置用於確定由所述籤名給出的剩餘類，確定具有所述剩餘類的整數，根據所述有限域到所述整數集的預定的映射來確定有限域的域元素，使得所述域元素對應所述整數，並且確定所述域元素是否滿足預定的規範；以及 判斷器，被配置用於基於所述域元素是否滿足所述預定的規範，判斷所述籤名是否有效。
【文檔編號】H04L9/32GK103973446SQ201410040162
【公開日】2014年8月6日 申請日期:2014年1月27日 優先權日:2013年1月29日
【發明者】B·邁耶, E·赫斯 申請人:英飛凌科技股份有限公司