[发明专利]用于提供数字签名的加密狗和方法

说明书

用于提供数字签名(S_i)的两个或多个加密狗(a，b，c)的集合(s)，其中，每个加密狗(a，b，c)持有秘密密钥(K_i)，其中，每个加密狗(a，b，c)被配置为接收消息(M)，被配置为使用秘密密钥(K_i)计算(28，36)所接收的消息(M)的数字签名(S_i)，并且被配置为发送计算的数字签名(S_i)，其特征在于，加密狗中的至少一个(a)被配置为在计算(28)数字签名(S_a)之前，验证(26)属于所述集合(s)的至少一个其他加密狗(b，c)的存在，并且被配置为仅在成功验证一个或多个其他加密狗(b，c)的存在时才计算(28)数字签名(S_a)。

本发明涉及两个或更多个加密狗的集合和一种用于提供具有属于该集合的加密狗的数字签名的方法，其中每个加密狗持有秘密密钥，其中每个加密狗被配置为接收消息，被配置为使用秘密密钥计算接收的消息的数字签名，以及被配置为发送计算的数字签名，其中该方法包括：接收要签名的消息，使用秘密密钥计算消息的数字签名，以及发送计算的数字签名。

这里，术语“秘密密钥”是指由相应的加密狗持有或存储在加密狗上的、可用于对消息签名的任何秘密信息。每个加密狗的秘密密钥通常是不同的，即没有两个加密狗共享同一的秘密密钥。具体地，秘密密钥可以是私有签名密钥；它优选存储在保存它的相应加密狗内的安全元件或防篡改存储器中。安全元件优选地是(例如，在智能卡中使用的类型的)安全密码处理器，即用于执行密码操作的芯片上的专用计算机或微处理器，嵌入在具有多种物理安全措施的封装中，这使其具有一定程度的防篡改性。通常，该集合还可以包括不持有秘密密钥并且不被配置为自己对消息签名的加密狗，但是仅用作见证者，其存在需要由进行实际签名的至少两个加密狗来验证。要被签名的消息，或通常的“消息”，可以是可以由加密狗接收和签名的任何信号或数据结构。本发明特别涉及数字货币(也称为“密码货币”)或一般区块链应用的多重签名交易(multi-signature transaction)的准备和供应；在该应用中，消息可以是包括所谓的“兑换脚本”的交易(保存交易细节的数据结构)。多重签名优选地包括来自该集合中的至少两个加密狗的签名。可以经由数据连接(USB、蓝牙等)从连接到加密狗的主机接收消息，并且可以使用同一数据连接或不同的数据连接将计算的数字签名发送回主机，或者一起发送给不同的主机。使用秘密密钥计算接收的消息的数字签名相当于使用秘密密钥对消息进行签名。取决于数字签名的加密实现，该数字签名可以例如用从秘密密钥导出的公共密钥来验证。

数字货币(如比特币)允许生成地址，其中任何传出的交易都需要多重签名。从这样的多重签名地址产生有效的传出交易需要多个秘密密钥(或私有密钥)。所需秘密密钥的数量M通常小于或等于授权的私有密钥的数量N。因此，有效的传出交易也称为M-of-N多重签名交易。为了生成这样的多重签名地址，需要提供所有N个授权的私有密钥的公共密钥以及有效传出交易所需的M个数量的签名。

当交易需要多个人员的同意时，使用多重签名地址，其中每个人员控制一个授权的私钥，和/或当有效交易需要多个因素时，其中每个授权的私有密钥被不同地保护(例如，存储在不同的存储装置上并保存在不同的位置)。然而传统的数字签名或“单重签名”(single-signature)必须损害安全性用于可靠性(例如，通过备份可以避免密钥丢失，而在其他方面，备份又会引入新的攻击媒介(attack vector))，但数字多重签名允许实现任何期望的安全和可靠性级别和平衡。因此，它们特别适合于保护安全关键交易。

现有的用于提供数字多重签名的方法的一个缺陷是，单重签名可以在任意不同的时间点产生，并且稍后被编译成有效的多重签名。

本发明的目的是克服这个缺陷并提高用于提供数字签名的生成过程的安全性。

本发明通过开头所述种类的加密狗的集合解决这个目的，其中加密狗中的至少一个被配置为在计算数字签名之前，验证属于该集合的至少一个其他加密狗的存在，并且仅在成功验证一个或多个其他加密狗的存在时才计算数字签名。如果并且仅当已经验证一个或多个其他加密狗的存在(即，成功)，则加密狗继续计算接收的消息的数字签名。