用于验证电子签名的方法和数据处理设备的利记博彩app

文档序号:7796383阅读:286来源:国知局
用于验证电子签名的方法和数据处理设备的利记博彩app
【专利摘要】本发明描述一种用于验证电子签名的方法,其包括:确定由签名给出的剩余类;确定具有剩余类的整数;根据有限域到整数集的预先确定的映射来确定有限域的域元素,从而使得域元素对应于整数;确定域元素是否满足预先确定的规范,以及基于域元素是否满足预先确定的规范来判断签名是否有效。
【专利说明】用于验证电子签名的方法和数据处理设备
【技术领域】
[0001 ] 本发明涉及用于验证电子签名的方法和数据处理设备。
【背景技术】
[0002]为了在电子数据通信中确保被传输数据的完整性,在发送数据之前可以对数据进行签名,典型地是使用私有密钥签名。接收器继而可以核对签名是否有效,并且从而通过利用发射器的公钥来核对数据是否被第三方或者被通信的错误所改变。为了确保高安全性,使用具有高位数的私钥和公钥。从而,签名验证的计算成本可能很高。因此,期望降低签名验证的计算成本和复杂度。

【发明内容】

[0003]根据本发明的一个实施例,提供一种用于验证电子签名的方法,其包括:确定由签名给出的剩余类;确定具有剩余类的整数;根据预先确定的有限域到整数集的映射来确定有限域的域元素,从而使得域元素对应于所述整数;确定域元素是否满足预先确定的规范,并且基于域元素是否满足预先确定的规范来判断签名是否有效。
[0004]根据本发明的另一个实施例,根据上述用于验证电子签名的方法来提供一种数据处理设备。
【专利附图】

【附图说明】
[0005]在附图中,通篇不同的视图中相似的标记总体上表示相同的部分。附图不必按比例绘制,而是将重点大致放在说明本发明的原理上。在下列说明中,参照下列附图描述各个方面,其中:
[0006]图1示出根据一个实施例的通信装置。
[0007]图2示出根据一个实施例的流程图。
[0008]图3示出根据一个实施例的数据处理设备。
[0009]图4示出根据一个实施例的流程图。
【具体实施方式】
[0010]以下详细说明参考附图,附图通过图示来示出本公开中的可以实践本发明的具体细节和方面。本公开的这些方面描述的足够详细,以使本领域技术人员能够实践本发明。可以在不背离本发明的范围的情况下,利用本公开的其它方面,并且做出结构的、逻辑的和电子的改变。本公开的各个方面并不必然相互排斥,因为本发明的一些方面可以与本发明的一个或多个其它方面组合,以形成新的方面。
[0011]图1示出根据一个实施例的通信装置100。
[0012]通信装置100包括第一通信设备101和第二通信设备102,它们经由通信网络103(例如,经由互联网)耦合。[0013]通信设备101、102可以是例如计算机、移动通信设备(例如,智能电话)、芯片卡等。
[0014]通信设备101、102可以经由通信网络103交换数据。例如,第一通信设备101可以借助于通信网络103使用通信服务(诸如,电子邮件)以消息105的形式,向第二通信设备102发射数据104。重要的或者说是被期望的是,确保数据104的完整性,例如避免第三方修改数据104而不被第二通信设备102发觉。这可以使用加密电子签名方案来实现。在这一方案中,第一通信设备101在发射消息105之前对数据104进行签名,即将取决于数据104的签名106包括在消息105中;并且第二通信设备102核对所接收的签名106对于数据104是否有效。当第三方已经在传输过程中改变了数据104时,签名106将无效。
[0015]签名方案例如基于椭圆曲线,例如签名方案E⑶SA (椭圆曲线数字签名算法)、ECGDSA (椭圆曲线德国数字签名算法)和椭圆曲线-厄格玛尔算法(EC-ElGamal )。所有这些签名方案都是最早由TaherRlGamal描述的签名协议的变化形式。
[0016]有限域上的椭圆曲线形成用于现代公钥加密的重要方案(诸如以上加密方案)的数学基础。由大体上形式如下的三次方程所限定的椭圆曲线:
[0017]E: y2+a1xy+a3y=x3+a2X2+a4X+a6
[0018]系数B1,…,a6是(有限)域K的元素。
[0019]椭圆曲线E的点是所有对(X,y) e K X K的集,其满足以上对于E的方程。椭圆曲线被称作是在K上(或者限定在K上)的曲线。椭圆曲线的点P的坐标对(x,y)被称作点P 的仿身寸表不(affine representation)。
[0020]有限域是一个数 学结构,其包括元素的有限集以及通常称作加
[0021]法、减法、乘法和除法的四个运算,其中实数的算数法则对于这些运算形式上有效。限定在以下域类型中的一个类型上的椭圆曲线在加密上有特别重要的实际意义。
[0022].K=GP(p),其中P是素数。GP(p)的对象(即域元素)是整数0,1,2,...,p_l。运算是模加法、模减法、模乘法和模除法。
[0023].K=GF(2n),其中η是自然数。在这一情况下,对象(即域元素)是长度的二进制向量η。加法是按位异或。减法与加法相同。乘法可以借助于移位寄存器运算实现。
[0024]以上有限域类型的共有特性是,域元素除法比域元素乘法成本(就计算资源而言)高得多。计算成本上的差异通常大约是一个量级。
[0025]除了仿射表示还存在射影表示(projective representation),其中以(x:y:x)的形式使用三个坐标来表示椭圆曲线的点。所述两个表示的关系如下:
[0026]?点的仿射表示可以根据(X,y) — ( λ X: λ y: λ )而映射到射影表示,其中λ古O是K的任意兀素。
[0027].点的仿射表示可以根据(Χ:Υ:Ζ) — (Χ/Ζ, Υ/Ζ)而映射到射影表示。
[0028]类似基于椭圆曲线在加密方案中进行的运算的在椭圆曲线上的算数运算包括有大量域运算的序列,其包括高成本的域元素除法。
[0029]射影表示允许减少将进行的除法的数量,例如减少到用于验证签名的单一减法。
[0030]在下文中,使K为有限域;E为在K上的椭圆曲线;P e E为在椭圆曲线E上的点,其用素数阶以及由P生成的E的子集的β = I〈P〉I素数阶来生成(根据椭圆曲线的点的加法)椭圆曲线的循环子集。
[0031]为了实施针对椭圆曲线的点的运算(例如,点的加法),需要针对有限域K的算法。如所述,在有限域算法的实施方式中,除法总体上比乘法(和平方)成本高得多。在经优化的实施方式中差别可以高达40倍。因此,为了将签名生成和签名验证所需要的时间最小化,可以进行以下:
[0032]?对在椭圆曲线上的点使用射影表示。所有中间结果以分数表示。这就允许避免针对在点乘法的中间结果的计算的域元素除法。所得的公式比有除法的公式更复杂,并且需要更多的乘法和平方运算。但通常所得的实施方式还是更有效率。
[0033].在点运算结束时进行单一域除法(或求逆),以将射影表示下的结果转换为仿射表示的。用仿射表示,可以继而进行签名验证。
[0034]在下文中描述这一方法,针对根据E⑶SA的电子签名验证的方案的示例。
[0035]验证方案的输入是哈希值(hash value) h,其中h为整数(例如数据104的哈希值),Q e E为签名生成器(例如第一通信设备101)的公钥,(r, s)为签名(或签名值)其中r和s为整数。
[0036]方案输出的信息为签名有效或无效(例如对于数据104)。
[0037]在这一示例中,进行下列几点:
[0038]1.核对是否O≤h〈 β ;如果否,则签名无效。
[0039]2.核对是否0〈Κβ ;如果否,则签名无效。
[0040]3.核对是否0〈8〈β ;如果否,则签名无效。
[0041]4.确定 t=l/s modβ ;u=h*t modβ 并且 v=r*t modβ。
[0042]5.通过E在K上的算数运算来确定点(u*P+v*Q)的仿射x坐标W。
[0043]6.通过恰当地映射到整数z来将域元素w进行映射。
[0044]7.核对方程r=z mod^是否被满足;如果是,则签名有效;如果否,则签名无效。
[0045]在5.中,确定中间结果的仿射X坐标W,因为下列在6.中的到整数的映射以及模归约阶数β导致在不同的数学结构中的连续运算,所述连续运算的执行顺序不可以被改变,并且针对所述连续运算分配律没有被满足。从而,不能在不产生错误结果的情况下简单地在代数上改变签名验证的最后步骤。
[0046]根据一个实施例,提供一种用于验证电子签名的方法(例如,根据上述签名方案中的一个签名方案),其中没有将在射影表示下的点最后转换到仿射表示是必要的。因此,在一个实施方式中(例如,在第二通信设备102中),用于在椭圆曲线基于其的域K中的除法(或求逆)算法的实施方式不是必要的。
[0047]图2示出根据一个实施例的流程图200。
[0048]流程图200示出用于验证电子签名的方法。
[0049]在201中,确定具有签名值r的剩余类的整数。
[0050]在202中,根据有限域到整数集的预先确定的映射来确定有限域的域元素,从而使得域元素对应于整数。
[0051]在203中,确定域元素是否满足预先确定的规范。
[0052] 在204中,基于域元素是否满足预先确定规范,来判断签名是否有效。
[0053]换句话讲,根据一个实施例,签名验证方案中的最后核对被倒转:代替,例如,基于规范确定域元素,以及代替确定域元素的图像是否属于由签名给出的剩余类,而确定其图像属于剩余类的域的一个或多个候选项,并且核对这些候选项的任意一个候选项是否满足规范。
[0054]签名是例如由基于椭圆曲线的签名生成方案而生成的签名。
[0055]有限域是例如在其上限定椭圆曲线的域。
[0056]例如,有限域是GF (P)或GF (2n)。
[0057]剩余类是例如以生成椭圆曲线的循环子群的点P的以阶数β为模的整数剩余类。
[0058]例如,签名是用点P生成的签名。
[0059]根据一个实施例,如果域元素满足预先确定的规范,则判断签名有效。
[0060]根据一个实施例,该方法包括,确定具有剩余类的多个整数;根据有限域到整数集的预先确定的映射,针对所述多个整数中的每一个整数确定有限域的域元素,从而使得域元素对应于整数;确定是否域元素的任意域元素满足预先确定的规范;并且基于是否域元素的任意域元素满足预先确定的规范来判断签名是否有效。
[0061]例如,如果域元素的任意域元素满足预先确定的规范,则签名有效。
[0062]多个整数例如包括对应于剩余类并且小于有限域阶数的所有整数
[0063]该方法例如包括,如果没有一个域元素满足预先确定的规范,则判断签名不是有效的。
[0064]根据一个实施例,该方法进一步包括确定在射影表示下的椭圆曲线的点,并且规范是域元素是否等于椭圆曲线的点的仿射坐标。
[0065]域到整数集的预先确定的映射是例如域到整数集的从零到有限域阶数减一的映射。
[0066]规范是例如域元素是否满足多项式方程为零。
[0067]根据一个实施例,该方法包括接收包括给出剩余类的整数的签名值。
[0068]该方法可以进一步包括,接收数据,并且确定针对所接收的数据的哈希值,并且基于所述哈希值确定规范。
[0069]例如,判断针对数据的签名是否有效。
[0070]在图2中所示的方法是由例如图3所示的数据处理设备进行的。
[0071]图3示出根据一个实施例的用于验证电子签名的数据处理设备300。
[0072]数据处理设备300例如对应于第二通信设备102。
[0073]数据处理设备300包括确定器301,其被配置用于,确定由签名所给出的剩余类;确定具有剩余类的整数;根据有限域到整数集的预先确定的映射来确定有限域的域元素,从而使得域元素对应于所述整数;并且确定域元素是否满足预先确定的规范。
[0074]数据处理设备300进一步包括判断器302,其被配置用于基于域元素是否满足预先确定的规范来判断签名是否有效。
[0075]应当注意到,在参照图2描述的方法的情形中所描述的实施例对于数据处理设备300类似有效的,并且反之亦然。
[0076]数据处理设备的部件(例如,确定器和判断器)可以例如由一个或多个电路实施。“电路”可以理解为任何种类的逻辑实施实体,其可以是专用电路系统或者存储在存储器、固件或其任意组合中的处理器执行软件。从而,“电路”可以是硬件布线逻辑电路或者诸如可编程处理器的可编程逻辑电路,例如微处理器(例如,复杂指令集计算机(CISC)处理器或者精简指令集计算机(RISC)处理器)。“电路”还可以是处理器执行软件,例如任意种类的计算机程序,例如使用虚拟机器代码(举例来说诸如Java)的计算机程序。将在下文更详细描述的相应功能的任何其它种类的实施方式也可以理解为“电路”。
[0077]在下文中更详细地描述用于签名的验证的示例。
[0078]在下文中描述的实施例可以被视为利用适合于签名方案的椭圆曲线以及强加密椭圆曲线的特性。对于签名方案的安全性要求是,循环子群的阶数〈P〉足够大,以便使得针对椭圆曲线的离散对数问题的算法困难。实际上这就意味着,取决于应用,子群〈P〉通常具有至少216°或更多个点。为了使得引起的签字方案具有高性能,椭圆曲线E被典型地选择,从而使得对于在椭圆曲线上的所有的点满足条件:IE I =k* I〈P〉I其中被称为余子式的k为小整数(典型地k〈5)。对于在素数域GF(P)上的椭圆曲线,k=l是最佳的。对于在扩展域GF(2n)上的椭圆曲线,k=2是最佳的。
[0079]由于数字|E|和β=|〈Ρ>|只相差小的因子k,根据哈斯定理(hasse
|i:| , \K\^ k\K\, 2k
theorem),在不等式 = ~ +\ K [+1-1yJl K \K ^J\ K \-2 成立的椭圆曲线上,
|[|+1-丑间[1+1 + 2.^对于可能数目的点|E|成立。
[0080]因此,对于实际意义的大小,仅存在k+1个域元素W1,…,wk+1 e K,其可能作为仿射X坐标的中间结果出现在上述给出的验证方案的5.中,从而使得按照根据6.的、域K到整数集的映射的图像集中的它们的图像Z1,…,zk+1对于I≤i≤k+Ι,满足r=Zi mod^。
[0081]因此,根据一个实施例,代替通过在域K中的除法确定中间结果的仿射X坐标,并且为了核对其在整数中的图像是否满足有r的同余式,构造k+Ι个域元素力,…,wk+1 e K,其图像满足有r的同余式(作为针对仿射X坐标的可能候选项),并且核对这些域元素中的一个域元素是否对应于在射影表示下的中间结果的X坐标。为了这个核对,最多需要k+1个域乘法。该方法有效率地适用于例如上述签名方案,对于其域元素到整数集的映射可以有效率地被倒转。用这种方法,可以实施不需要任何域除法或求逆的用于签名验证的方案。
[0082]根据一个实施例,在实际实施方式中,用于中间结果(即点u*P+v*Q)的仿射X坐标的候选项^,…,wk+1 e K被单独地构造,并且被测试以将所需要的存储器空间和耗费(即计算成本)最小化。
[0083]令(X,Z)为中间结果u*P+v*Q的射影X坐标,即仿射x坐标的射影表示。代替在5.中计算在上述方案中的这个点在仿射表示下的X坐标,6.和7.例如被如图4所示的流程所替换。
[0084]图4示出根据一个实施例的流程图400。 [0085]在401中,用整数r初始化整数变量z。
[0086]在402中,核对是否z〈|K|。如果不是这种情况,则判断签名是无效的。如果是这种情况,则在403中根据域到整数的映射,确定对应于整数ζ的域元素W。
[0087]在404中,确定在域K中方程w*Z=X是否满足。如果是这种情况,则判断签名有效。如果不是这种情况,则由ζ+β替换ζ的值,并且过程继续(返回至)402。
[0088]在402中的判断可以视为实施当ζ〈|Κ|时403至405的当型循环(while loop),只有如果在404中的核对为肯定,即已经找到对应于在射影表示(X,Z)下的X坐标的候选项时才中断该循环。[0089]由于以下原因,基于在图4中示出的方法的验证是正确的。在有限域中,方程X=w*Z成立,其中w是对应于在射影表示(X, Z)下的X坐标的仿射X坐标。如果存在整数O≤j≤k,从而使得整数zj+1=r+j* β是符合X=Wj*Z的域元素Wj e K的图像,其遵从w」=w。相反地,其遵从域K和在整数中的算数模β的性质,其中其在整数集中的图像满足同余式r=z modulo β的每个域元素w需要针对适当数O≤j < k具有z=r+j* β的形式。
[0090]上述示例给出根据E⑶SA的签名验证方案的实施方式。虽然上述方法,例如参照图2,并不限于这一方案,但是可以类似地被变换为基于椭圆曲线的其它ElGamal型的签名方案。还应注意到,该方法可以用于在具有各种特性的有限域上的椭圆曲线。
[0091]上述方法具有下列性质:
[0092].其允许在椭圆曲线上验证ElGamal型签名的实施方式,其中没有在有限域中的除法是必须的。这就减小了实施方式的代码大小。
[0093].其允许有效率的签名验证,因为首先,在强加密椭圆曲线的情况下,余子式k= IE I / I <Ρ> ,其确定待测试的情况的数目(即针对点u*P+v*Q的仿射坐标的可能候选项的数目)很小;并且其次,待测试的每一个情况下(即每一个候选项是否等于点u*P+v*Q的仿射X坐标的核对),仅需要一次整数加法、对应于整数的域元素的确定、域乘法以及比较。在有限域和恰当的椭圆曲线的算数的所有实际上相关的实施方式中,以这种方式用于验证给定的签名的耗费(即计算成本)比执行单次域除法的耗费更小。
[0094].其允许正 确的实施方式。
[0095].其允许验证按照标准所生成的电子签名。
[0096]在下文中描述用于验证ECDSA签名的方案的另一个示例,其允许有效率并紧凑的实施方式
[0097]令X (P)为点P的X坐标,其生成阶数β的循环子群〈P〉,并且令X (Q) SAQeE的X坐标。点Q是签名生成器的公钥,签名生成器例如第一通信设备101的用户。
[0098]验证方案的输入为哈希值h,其中h为整数(例如数据104的哈希值),x(Q)为签名生成器(例如,第一通信设备101)的公钥Q e E的X坐标,(r, s)为签名(或签名值),其中r和s都是整数。
[0099]方案输出的信息是签名有效或无效(例如对于数据104)。
[0100]在这个示例中,进行下列几点:
[0101]1.核对是否0<1ι〈β ;如果否,则确定签名无效。
[0102]2.核对是否0〈Κβ ;如果否,则确定签名无效。
[0103]3.核对是否0〈8〈β ;如果否,则确定签名无效。
[0104]4.确定 t=l/s modβ ;u=h*t modβ 并且 v=r*t modβ。
[0105]5.通过在K上的E的算数运算来确定点u*P的射影X坐标(X1, Z1)。
[0106]6.通过在K上的E的算数运算来确定点v*Q的射影X坐标(X2, Z2)。
[0107]7.用r初始化变量ζ。
[0108]8.当 z〈 |K| 时,进行
[0109]9.确定在整数集中的图像是ζ的域元素w
[0110]10.如果对于多项式F(AXpZDXhZ2)=O成立,接受签名为有效,并且停止当型循环。[0111]11.将 Z 增加 β。
[0112]12.0d (结束当型循环)
[0113]13.由于无效而拒绝签名。
[0114]在5.和6.中,点乘法的结果的射影X坐标是用例如蒙哥马利(Montgomery)阶梯算法确定的。多项式F是在w中的二次多项式,其具体形式取决于有限域K的特性。
[0115]对于特性2,即对于K=GF (2n),多项式F例如具有形式F (w, X1, Z1, X2, Z2) =w2 (X1ZfX,zy+iX2+^ X1X2Z1Z^bZ12Z22其中域元素b是限定椭圆曲线的恒定曲线参数(在对于特性2的简短Weierstra β表示下),即对应于在上文给出的椭圆曲线的表示下的a6。
[0116]对于特性3,多项式例如具有形式 F (w,X1, Z1, X2, Z2) =W2 (X1Z2-X2Z1) 2+w (X1X2 (X1Z2J2Z「a2ZiZ2) -B6Z12Z22) +X12X2La6Z1Z2 (X1Z^X2Zfa2Z1Z2),具有如上文给出的椭圆曲线的表示下的
a6 ο
[0117]对于大于3的特性,多项式F具有例如形式F (w,X1, Z1, X2, Z2) =W2 (X1Z2-X2Z1) 2-2w ((aAZfX1X2) (X1ZJX2Z1)+Sa6Z12Z22)+ (X1X2I4Z1Z2)2Ia6Z1Z2 (X1ZfX2Z1),具有如上文给出的椭圆曲线的表示下的a2, a4和a6。
[0118]在对于特性2的有限域 使用唯一确定的平方根而不是曲线参数b的情况下,可以使用8个域乘法和I个平方运算来确定多项式F的值。
[0119]下列几点被示出:当且仅当签名是针对哈希值根据签名方案E⑶SA或ECElGamal而已经生成的有效签名时,上述方案接受针对哈希值h的签名。令0〈α〈β为已经用于创建公钥Q=a*P的私钥。给出哈希值h,并且给出被上述方案所接受的签字(r,s)的针对哈希值h的有效签名。方案在5.和6.中确定点Y1=WsW和V2=r/s*Q= (a*r/s) *P的x坐标X(V1), X(V2)。接着,方案搜索整数z,以便域元素X(V1)、x(V2)和w (其具有在整数集中的图像z=r+j*i3 )满足F为零的方程。从F为零的方程的性质,以及在点子群中的群运算完整性,由此得出w=x(R)为点Re〈P〉的X坐标。令w=k*P,其中O≤k〈 β。然后,通过构造多项式F, X (R) =x (V^V2) =x ((h+a*r) /s*P 或者 x (R) =x (V1 — V2) =x ((h_a*r) /s*P)成立。这些条件等效于 k_ (h+a*r) /S=Omod β , k+ (h+a*r) /S=Omod β , k_ (h_a*r) /S=Omod β 或者 k+ (h_a*r) /S=Omodβ ο
[0120]将这些方程变换,得到s=± 1/k*(h+a*r)modβ 或者 s=± 1/k*(h_a*r)modβ,其中r=x(k*P)modβ 。
[0121 ] 所述方程对应于根据E⑶SA标准或EC-ElGamal标准使用私钥α而生成的有效签名的定义。对此应注意到,在两个签名方案中值s对β模运算的符号改变对如ECDSA或EC-ElGamal签名的签名有效性没有影响。这是由点和V1 — V2仅判断χ坐标的上述方案的性质的直接后续结果。
[0122]因此,上述方案的输出与标准E⑶SA方法相比的差别是,哈希值h对β模运算的符号对于签名的有效性没有关联。这就意味着,是对于哈希值h的有效签名的签名(r,S),也是对于哈希值_h mod^的有效签名。从而,上述方案接受根据E⑶SA标准针对哈希值h所生成的签名作为有效签名;但进一步接受针对哈希值_h mod^的签名,对于该哈希值签名不是根据E⑶SA的有效签名,而是根据EC-ElGamal的有效签名(并且反之亦然)。
[0123]除了上述方法的性质,上述包括1.至13.的方案还具有以下性质:
[0124].在用于验证电子签名的整个方案中,只使用点的χ坐标。从而,不需要用于确定点V1和V2的Y坐标的程序部分。
[0125].通过使用多项式F,不需要用于确定点V1与V2之和的χ坐标的程序部分。
[0126]?所需的用于存储点P和Q的存储器(举例来说,诸如闪存或EEPROM的非易失性存储器)需求更小,因为仅需要这些点的X坐标。
[0127]以上方案可以例如被实施在以2.2K字节代码的16位微控制器上,例如在芯片卡上。
[0128]虽然已经描述了特定的方面,但是本领域技术人员应注意到,可以在不背离由所附权利要求书所限定的本公开各方面的精神和范围的情况下,对本公开作各种形式和细节上的改动。因此范围应由所附权利要求书来指示,并且从而意在包含在权利要求书的法律等同的含义和范围内的所有改变。
【权利要求】
1.一种用于验证电子签名的方法,包括: 确定由所述签名给出的剩余类; 确定具有所述剩余类的整数; 根据有限域到整数集的预定的映射来确定所述有限域的域元素,使得所述域元素对应所述整数; 确定所述域元素是否满足预定的规范;以及 基于所述域元素是否满足所述预定的规范,判断所述签名是否有效。
2.根据权利要求1所述的方法,其中所述签名是由基于椭圆曲线的签名生成方案所生成的签名。
3.根据权利要求2所述的方法,其中所述有限域是在其上限定所述椭圆曲线的域。
4.根据权利要求2所述的方法,其中所述有限域是GF(p)或GF(2n)。
5.根据权利要求2所述的方法,其中所述剩余类是整数剩余类对生成所述椭圆曲线的循环子群的点P的阶数的模运算。
6.根据权利要求5所述的方法,其中所述签名是使用所述点P所生成的签名。
7.根据权利要求1所述的方法,包括如果所述域元素满足所述预定的规范,则判断所述签名有效。
8.根据权利要求1所述的方法,包括 确定具有所述剩余类的多个整数; 针对所述多个整数中的每个整数,根据所述有限域到所述整数集的预定的映射来确定所述有限域的域元素,使得所述域元素对应所述整数; 确定所述域元素中的任意域元素是否满足所述预定的规范;以及 基于所述域元素中的任意域元素是否满足所述预定的规范,判断签名是否有效。
9.根据权利要求8所述的方法,包括如果所述域元素中的任意域元素满足所述预定的规范,则判断所述签名有效。
10.根据权利要求8所述的方法,其中所述多个整数包括对应于所述剩余类的并且比所述有限域的所述阶数更小的所有整数。
11.根据权利要求8所述的方法,包括如果没有所述域元素满足所述预定的规范,则判断所述签名不是有效的。
12.根据权利要求2所述的方法,其中所述方法进一步包括确定在射影表示下的椭圆曲线的点,以及所述规范是所述域元素是否等于所述椭圆曲线的所述点的所述仿射坐标。
13.根据权利要求1所述的方法,其中所述域到所述整数集的所述预定的映射是所述域到所述整数集的从零到所述有限域的所述阶数减一的单射。
14.根据权利要求1所述的方法,其中所述规范是所述域元素是否满足多项式为零的方程。
15.根据权利要求1所述的方法,还包括接收包括给出所述剩余类的整数的签名值。
16.根据权利要求1所述的方法,还包括接收数据并且针对所述接收的数据确定哈希值,以及基于所述哈希值确定所述规范。
17.根据权利要求16所述的方法,其中判断所述签名针对所述数据是否有效。
18.一种用于验证电子签名的数据处理设备,包括:确定器,被配置用于确定由所述签名给出的剩余类,确定具有所述剩余类的整数,根据所述有限域到所述整数集的预定的映射来确定有限域的域元素,使得所述域元素对应所述整数,并且确定所述域元素是否满足预定的规范;以及 判断器,被配置用于基于所述域元素是否满足所述预定的规范,判断所述签名是否有效。
【文档编号】H04L9/32GK103973446SQ201410040162
【公开日】2014年8月6日 申请日期:2014年1月27日 优先权日:2013年1月29日
【发明者】B·迈耶, E·赫斯 申请人:英飞凌科技股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1