技術領域

本發明涉及簽名生成裝置、簽名生成方法以及記錄介質。

背景技術

使用簽名者的秘密密鑰來生成電子簽名（參照非專利文獻1）。秘密密鑰是只有簽名者本人知道的數據。如果秘密密鑰被泄露，則能夠偽造簽名。

在計算電子簽名的時候，發生進行公開信息和秘密信息（例如，秘密密鑰）的乘法的步驟。通過參照公開信息的同時針對公開信息和秘密信息的乘法進行差分電力解析（Differential?Power?Analysis），能夠求出秘密信息（參照非專利文獻2）。

例如，EC-Schnorr簽名算法（Elliptic?Curve?Schnorr?Digital?Signature?Algorithm）如以下那樣。

步驟0.將G設為橢圓曲線上的生成源，將G的位數設為n。將d設為秘密密鑰，將M設為簽名對象的消息，將h設為散列（hash）函數。

步驟1.生成隨機數k。k是小于n的自然數。

步驟2.計算P=kG，并將P的x坐標設為Px。

步驟3.計算e=h(M||Px)。“||”表示連結。

步驟4.計算s=(e×d+k)mod?n。

步驟5.(e,s)成為M的電子簽名。

在上述計算方法中，在步驟4中進行e×d的計算。e是公開信息，因此通過進行差分電力解析，能夠求出秘密密鑰d。

例如，EC-DSA（Elliptic?Curve?Digital?Signature?Algorithm）如以下那樣。

步驟0.將G設為橢圓曲線上的生成源，將G的位數設為n。將d設為秘密密鑰，將M設為簽名對象的消息，將h設為散列函數。

步驟1.生成隨機數k。k是小于n的自然數。

步驟2.計算P=kG，并將P的x坐標設為Px。

步驟3.計算s=k^-1(Px×d+h(M))mod?n。

步驟4.（Px,s）成為M的電子簽名。

在上述計算方法中，在步驟4中進行Px×d的計算。Px是公開信息，因此通過進行差分電力解析，能夠求出秘密密鑰d。

非專利文獻1：ISO/IEC14888-3：2006/FDAM1,“Information?technology-Security?techniques-Digital?signatures?with?appendix-Part3：Discrete?logarithm?based?mechanisms-Amendment1：Elliptic?Curve?Russian?Digital?Signature?Algorithm,Schnorr?Digital?Signature?Algorithm,Elliptic?Curve?Schnorr?Digital?Signature?Algorithm,Elliptic?Curve?Full?Schnorr?Digital?Signature?Algorithm,”ISO/IEC?JTC1/SC27,2009-12-15

非專利文獻2：Jean-Sebastien?Coron,“Resistance?against?Differential?Power?Analysis?for?Elliptic?Curve?Cryptosystems,”CHES’99,LNCS1717,pp.292-302,1999

發明內容

在上述的例子中，知道d的人無論是誰都能夠制作簽名。即，如果秘密密鑰到其他人手中，則能夠偽造簽名。但是，在以往的計算方法中，通過進行差分電力解析，能夠容易地得到秘密密鑰。不僅是EC-Schnorr簽名、EC-DSA簽名，針對Schnorr簽名、DSA（Digital?Signature?Algorithm，數字簽名算法）簽名這樣的電子簽名的運算，通過同樣地進行差分電力解析，秘密密鑰被泄露時，也能夠偽造簽名。

本發明的目的是針對例如差分電力攻擊（Differential?Power?Attack）安全地生成電子簽名。

本發明的一種方式的簽名生成裝置生成電子簽名，該電子簽名是通過針對包含公開信息e和秘密信息d的乘法的運算的結果計算以公開信息n為模的余數來得到的，該簽名生成裝置具備：

輸入部，輸入所述公開信息e、n；

讀取部，從預先保存所述秘密信息d的存儲裝置讀取所述秘密信息d；

第1計算部，通過處理裝置進行新的秘密信息r和由所述輸入部輸入的公開信息n的乘法M1；