专利 一种抗颠覆的ECDSA签名方法

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202210886322.5 (22)申请日 2022.07.26 (71)申请人延安大学地址 716000 陕西省延安市圣地路580号 (72)发明人严都力　杨龑栋　王思源　郑璐　黄飞飞　 (74)专利代理机构武汉世跃专利代理事务所 (普通合伙) 42273 专利代理师邬丽明 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称一种抗颠覆的ECDSA签名方法 (57)摘要本发明提供了一种抗颠覆的ECDSA签名方法，包括：客户端秘钥初始化生成；步骤S2 0，客户端进行签名算法；步骤S30，服务端收到客户端发送的签名σ＝(r,s)，验证签名σ＝(r,s)是否有效；本申请中的抗颠覆ECDSA签名算法具备安全性高、执行效率快、易验证等优点，该签名算法使用的随机数α由特定方法计算，颠覆攻击者若尝试通过替换α达到攻击目的，签名者可以通过计算和判断α来确定是否继续执行签名算法。若签名者计算α＝H(d||m||E)，则继续执行签名算法；否则，终止签名算法或返回之前步骤重新计算。此方法不仅保证了签名算法中使用的随机数的正确性和有效性，而且保证了只有有私钥的签名者才可以生成正确的签名，提高了签名的安全性。权利要求书2页说明书5页附图4页 CN 115208566 A 2022.10.18 CN 115208566 A 1.一种抗颠覆的ECDSA签名方法，其特征在于，包括：步骤S10，客户端秘钥初始化生成；步骤S20，客户端进行签名算法；步骤S30，服务器端收到所述客户端发送的签名σ ＝(r,s)，验证所述签名σ ＝(r,s)是否有效；其中，所述步骤S20具体包括以下步骤：步骤S201，签名者随机选取随机数整数k，其中k∈[1,n ‑1]；步骤S203，计算E＝ kG＝(x1,y1)；步骤S204，利用哈希函数计算α ＝H(d| |m||E)；其中，所述E值由所述步骤S203计算获得；步骤S205，判断α，若α ＝H(d| |m||E)则继续执行下一步；步骤S206，计算r＝ I( α G)，其中所述α G＝(x2,y2)；若r≠0，则继续执行下一步；步骤S207，计算签名消息的哈希值e＝H(m| |r)；步骤S208，计算s＝( α e+rd)mod n，若s≠0，表示消息m签名σ ＝(r,s)，则继续执行所述步骤S30。 2.根据权利要求1所述的抗颠覆ECDSA签名算法，其特征在于，在所述步骤S205中，判断 α，若α ≠H(d||m||E)，则返回至所述步骤S201。 3.根据权利要求1所述的抗颠覆ECDSA签名算法，其特征在于，在所述步骤S206中，若r ＝0，则返回至所述步骤S201。 4.根据权利要求1所述的抗颠覆ECDSA签名算法，其特征在于，在所述步骤S208中，若s ＝0，则返回所述步骤S201。 5.根据权利要求1所述的抗颠覆ECDSA签名算法，其特征在于，在所述步骤S201和所述步骤步骤S20 3之间，还包括步骤S202：若k∈[1,n ‑1]，则执行下一步；若则返回至所述步骤S201。 6.根据权利要求1所述的抗颠覆ECDSA签名算法，其特征在于，所述步骤S10具体包括以下步骤：步骤S101，签名者随机选取整数d作为签名私钥，其中1≤d≤n ‑1；步骤S102，签名者计算 Q＝dG作为签名公钥。 7.根据权利要求1至6中任一项所述的抗颠覆ECDSA签名算法，其特征在于，所述步骤 S30具体包括以下步骤：步骤S301，验证签名是否满足 1≤r,s≤n ‑1；若满足1≤r,s≤n ‑1，则执行下一步；步骤S302，通过已知的所述签名r，计算e＝H(m| |r)；步骤S303，计算e的逆元 e‑1，令w＝e‑1mod n；步骤S304，计算u1＝ws mod n和u2＝wr mod n；步骤S305，计算若X＝O，则签名无效，拒绝签名，若X≠O，则继续下一步；权　利　要　求　书 1/2 页 2 CN 115208566 A 2步骤S306，计算v＝I(X)；若v＝r，则表示签名有效，接受签名σ ＝(r,s)，若v≠r，则表示签名无效，拒绝签名。 8.根据权利要求7所述的抗颠覆ECDSA签名算法，其特征在于，在所述步骤S301中，若不满足1≤r,s≤n ‑1，则表示签名无效，拒绝签名。 9.根据权利要求1至6中任一项所述的抗颠覆ECDSA签名算法，其特征在于，所述消息m 为比特串。权　利　要　求　书 2/2 页 3 CN 115208566 A 3

专利 一种抗颠覆的ECDSA签名方法

专利一种抗颠覆的ECDSA签名方法