[发明专利]一种基于随机数未知的SM2签名算法安全性验证方法

权利要求书

1.一种基于随机数未知的SM2签名算法安全性验证方法，其步骤为：

1)采用SM2签名算法分别对N+1个消息M进行签名，并在每次SM2签名中注入错误，使每次签名时所用随机数k的相同设定比特部分的签名结果出现相同的错误；其中，N≥log₂n/l，n为基点G的阶，G为SM2签名算法椭圆曲线的基点，l为总线位宽；

2)以第一次签名的错误签名结果的等式为参照，将其他N次签名中的错误签名结果分别与其进行相减，得到一方程组，即格攻击模型；

3)对该格攻击模型进行求解，恢复出每一次签名所用随机数k的所有比特，将其代入计算对应签名结果的等式，得到一私钥d_A，如果该私钥d_A为正确私钥，则判断该SM2签名算法不安全。

2.如权利要求1所述的方法，其特征在于，所述使每次签名时随机数k的设定比特部分出现相同的错误的方法为：对于任意一消息M_i，其对应的随机数k_i共需要L/l次完成，L为随机数总长度，每次产生的比特部分为a_i，当检测到设定比特部分a_i写入存储区，对SM2签名算法芯片的CPU注入错误，使得该存储区的值未被更新。

3.如权利要求2所述的方法，其特征在于，所述设定比特部分为随机数k的低比特部分。

4.如权利要求3所述的方法，其特征在于，所述格攻击模型为：其中，1≤i≤N，Δt_i＝2^-l(s_i+r_i-s₀-r₀)mod n，Δu_i＝2^-l(s₀-s_i)mod n，h_i为使得不等式成立的最小整数，(s₀，r₀)为第1个消息M的签名结果，(s_i，r_i)为第i+1个消息M的签名结果，mod为模运算。

5.如权利要求2所述的方法，其特征在于，所述设定比特部分为随机数k的最高比特部分。

6.如权利要求5所述的方法，其特征在于，所述格攻击模型为：其中，1≤i≤N，Δt_i＝(s_i+r_i-s₀-r₀)mod n，Δu_i＝(s₀-s_i)mod n，h_i为使得不等式成立的最小整数，(s₀，r₀)为第1个消息M的签名结果，(s_i，r_i)为第i+1个消息M的签名结果，mod为模运算。

7.如权利要求3或5所述的方法，其特征在于，采用相同的光强并在每一消息M签名所用随机数k的相同比特部分写入存储区时注入错误。

8.如权利要求1或2所述的方法，其特征在于，将所述格攻击模型的求解问题转化成CVP，采用LLL和Babai算法求解CVP，得到随机数k的所有比特。