[发明专利]一种主动安全的ECDSA数字签名两方生成方法

说明书

本发明公开了一种主动安全的ECDSA数字签名两方生成方法，客户端和服务器各自生成部分私钥，通过密钥交换产生用户公钥；客户端同时生成Paillier公私钥，用Paillier公钥加密自己的部分私钥产生密文；客户端和服务器定期更新各自的部分私钥；客户端和服务器各自随机产生临时私钥，据以计算各自的临时公钥并发送给对方；客户端和服务器分别根据各自的临时私钥计算出证据值；服务器根据自己的部分私钥和临时私钥，以及密文和证据值，计算部分签名的密文；客户端利用Paillier私钥解密部分签名的密文，得到部分签名，根据自己的临时私钥和证据值生成完整签名，对该完整签名进行验证，只输出验证成功的完整签名。

技术领域

本发明属于密码领域，公开了一种基于ECDSA(Elliptic Curve DigitalSignature Algorithm)数字签名算法的可以抵抗主动攻击的两方签名协议，具体为一种主动安全的ECDSA数字签名两方生成方法。

背景技术

目前，基于公钥密码学的数字签名技术已经广泛应用到电子商务、身份认证等应用中，成为保证信息安全不可缺少的工具。数字签名的思想就是用户使用私钥进行签名，从而达到身份认证等目的，私钥的安全性是数字签名算法的基础。

门限数字签名是为了保障私钥安全性而提出的一种技术，其思想来源于Shamir的秘密分享技术，即将私钥进行拆分并放在不同的物理设备中，数量高于门限值的多个设备联合协作完成数字签名操作。在一个(t,n)的门限数字签名方案中，私钥分片分别由n个成员掌握，任意的t个成员通过合作可以完成数字签名，而少于t个成员则不可以。基于门限数字签名方案，可以保证即使攻击者已经攻击了t-1个设备，签名方案的私钥仍然是安全的。

ECDSA是一个常用的数字签名标准，被广泛地应用在TLS协议、比特币等地方。随着密码学货币的快速发展，门限ECDSA构造也受到了越来越多的关注。然而，由于ECDSA签名构造的特殊性，设计有效的门限ECDSA协议是困难的。具体地，目前构造两方ECDSA协议有两个主要的方法，一是利用Paillier同态加密，二是利用不经意传输协议。第一种方法需要昂贵的零知识证明，因为Paillier相关的零知识证明存在大量的大模数指数运算；在第二个方法中，私钥的每一个比特都需要运行不经意传输协议，因此通信复杂度较大。除此之外，已有的两方ECDSA协议只考虑了针对静态敌手的安全性，也就是假设在整个游戏中，敌手只能入侵其中一方。然而在主动攻击模型中，敌手是动态的，假设敌手在一个短周期内只能入侵其中一方，但在下一周期内，敌手便可以入侵另一方，如果公钥的使用周期过长，足够敌手入侵两方的设备，那么敌手就能获取完整私钥，因此已有的两方ECDSA协议难以抵抗主动攻击。由此可见，已有的两方ECDSA构造存在交互复杂，通信与计算代价大的缺点，不适应现实应用的需求。因此，高效且主动安全的两方ECDSA签名方案值得期待。

发明内容

鉴于现有技术中存在的技术问题，本发明的目的在于提供一种ECDSA签名的两方生成机制，也就是一种(2,2)的门限签名方案，它可以让用户把私钥分别保存在客户端和服务器端，如果两方中的任意一方的设备遭到攻击，攻击者仍然不能伪造签名。

为实现上述目的，本发明采用的技术方案如下：

一种主动安全的ECDSA数字签名两方生成方法，其步骤包括：

通信的两个参与方客户端和服务器各自生成部分私钥并存储，通过密钥交换的方式产生用户公钥；

客户端在生成部分私钥时，同时生成Paillier公私钥，用Paillier公钥加密自己的部分私钥产生密文x₁，并发送给服务器；

客户端和服务器定期更新各自的部分私钥；

客户端和服务器各自随机产生临时私钥，据以计算各自的临时公钥，并将各自的临时公钥发送给对方；

客户端和服务器分别根据各自的临时私钥计算出一个共同的证据值；