[发明专利]SM9数字签名协同生成方法及系统

摘要

发明涉及SM9数字签名协同生成方法：m个装置分别有整数秘密ci，i＝1,…,m，m≥2；预先计算PA＝[(c1c2…cm)‑1]dA，gc＝g^((c1c2…cm)‑1)，dA是用户私钥，g＝e(P1,Ppub)，^表示幂运算；当需用dA针对消息M数字签名时，装置1任选择整数r1计算g1＝gc^r1；装置i，i＝2,…,m，依次任选整数ri计算gi＝(gi‑1^ci)(gc^ri)；装置m计算h＝H2(M||gm,n)；装置1计算S1＝[(r1‑c1h)]PA；装置i，i＝2,…,m，依次计算Si＝[ci]Si‑1+[ri]PA；(h,Sm)即为生成的数字签名。

主权项

一种SM9数字签名协同生成方法，其特征是：所述方法涉及m个装置，其中m≥2；m个装置分别标号为第1号到第m号装置；m个装置分别保存有[1,n‑1]区间内的整数秘密c1,c2,…,cm，其中n为SM9密码算法中群G1、G2、GT的阶，ci是第i号装置保存的秘密，i＝1,…,m；在初始化阶段预先计算得到：PA＝[(c1c2…cm)‑1]dA，gc＝g^((c1c2…cm)‑1)，其中，dA是用户的身份标识IDA所对应的SM9标识私钥，(c1c2…cm)‑1是(c1c2…cm)的模n乘法逆，g＝e(P1,Ppub)，P1为G1中的生成元，Ppub为主公钥；当需要使用用户的SM9标识私钥dA针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成：第1号装置在[1,n‑1]区间内随机选择一整数r1，计算g1＝gc^r1或者g1＝gc^(c1r1)；第1号装置将g1传送给下一个装置即第2号装置；第i号装置接收到gi‑1后，i＝2,…,m，在[1,n‑1]区间内随机选择一整数ri，计算gi＝(gi‑1^ci)(gc^ri)或者gi＝(gi‑1(gc^ri))^ci；若i＝m，则转入计算h，否则，第i号装置将gi传送给下一装置即第i+1号装置，直到第m号装置完成gm的计算；第m号装置取w＝gm；m个装置中的一个装置：计算h＝H2(M||w,n)，其中H2为SM9中规定的散列函数，M||w表示将w转化成字串后与M的字串合并，n为SM9密码算法中群G1、G2、GT的阶；检查w与g^h是否相等，若w＝g^h，则重新进行g1,…,gm的计算，直到w≠g^h；之后，第1号装置按如下计算S1：若第1号装置之前计算g1采用的公式是g1＝gc^r1，则：S1＝[r1‑c1h]PA；若第1号装置之前计算g1采用的公式是g1＝gc^(c1r1)，则：S1＝[c1r1‑c1h]PA；第1号装置将S1发送给下一个装置即第2号装置；第i号装置接收到Si‑1后，i＝2,…,m，按如下计算Si：若第i号装置之前计算gi采用的公式是gi＝(gi‑1^ci)(gc^ri)，则：Si＝[ci]Si‑1+[ri]PA；若第1号装置之前计算gi采用的公式是gi＝(gi‑1(gc^ri))^ci，则：Si＝[ci](Si‑1+[ri]PA)；若i＝m，则取S＝Sm，(h,S)即为生成的针对消息M的数字签名，否则，第i号装置将Si传送给下一装置即第i+1号装置，直到第m号装置完成Sm的计算。