[发明专利]一种支持密钥刷新的两方椭圆曲线数字签名方法

权利要求书

1.一种支持密钥刷新的两方椭圆曲线签名方法，其特征在于，在两方椭圆曲线签名方法中增加一个支持密钥刷新的功能，具体如下：

在两方椭圆曲线签名方法的密钥生成过程中，两个参与方分别生成一个密钥份额，逻辑上主密钥由两个密钥份额x₁和x₂组成，但是在密钥生成和签名阶段主密钥x是从未出现过的；公式如下：

x＝x₁·x₂mod q

q是有限域的大小；

密钥刷新的过程也由两方参与，密钥刷新的结果是密钥份额x₁和x₂变为密钥份额x′₁和x′₂，而且保证主密钥x不变；设P₁和P₂表示参两方，相对应的生成随机数f₁和f₂，通过交互过程的信息通信，最终分别计算得到x′₁和x′₂；方法的具体过程如下：

(1)P₁

P₁使用x₁对消息“Refresh”签名，发送签名给P₂，表示要进行密钥刷新；

(2)P₂

(a)P₂随机生成刷新系数计算F₂＝f₂·G；

(b)P₂计算f₂的Schnorr签名；

(c)P₂将F₂和签名信息(prove,2,F₂)发送给P₁；

(3)P₁

(a)P₁收到(proof,2,F₂)，验证P₂传输过来的Schnorr；若没有收到，过程错误退出；

(b)P₁随机选取并计算F₁＝f₁·G；

(c)计算F＝f₁·F₂；

(d)计算f＝HASH(F)；

(e)计算x′₁＝x₁·f mod q，如果x′₁不小于q/3，返回步骤(b)重新选择f₁；

(f)P₁计算f₁的Schnorr签名，将F₁和签名信息(prove,1,F₁)发送给P₂；使用x₁对HASH(F)做Schnorr签名，将HASH(F)和签名信息发送给P₂；等待P₂的确认回复，若接收确认则进行下一步，否则提示错误退出；

(g)P₁随机生成规定长度的Paillier密钥对(pk,sk)，并使用Paillier加密算法计算c_key＝Enc_pk(x′₁)；

(h)P₁将(prpve,1,N,(p₁,p₂))输入到证明生成的Paillier密钥(pk,sk)是符合配置设置的，其中pk＝N＝p₁·p₂；并将c_key发送给其他参与方；

(4)P₁

P₁向P₂证明(c_key,pk,Q₁)∈L_PDL；该步骤的意义是向其他参与者以零知识证明的方式证明c_key是pk对Q₁的离散对数x₁加密的密文，而且P₁知道x₁和pk对应的Paillier私钥sk；

(5)P₂

P₂要进行下面的三项验证，并且保证每项验证都验证通过；

(a)收到(proof,1,F₁)和(proof,1,N)并都验证通过；

(b)P₁向P₂证明(c_key,pk,Q₁)∈L_PDL通过；

(c)pk＝N的大小在设置范围内；

(6)P₂

(a)计算F＝f₂·F₁；

(b)计算f＝HASH(F)；

(c)P₂验证P₁发送过来的HASH(F)，若不相等则退出并通知P₁；

(d)验证通过则向P₁发送确认信息，双方可以开始更新密钥份额；

(e)P₂计算x′₂＝x₂·f^-1mod q；

(f)完成退出；

刷新后：

x＝x′₁·x′₂＝(x₁·f)·(x₂·f^-1)mod q＝x₁·x₂modq。