[发明专利]一种多方联合生成SM2数字签名的方法

摘要

本发明公开了一种多方联合生成SM2数字签名的方法，该方法包括以下步骤：参与数字签名的各参与方P1，P2，...，Pτ，分别随机选取部分私钥以及两个部分随机数和随后各参与方通过交互式理想函数计算得SM2的公钥以及两个中间变量和α＝xρmod n；对于消息m，各参与方分别计算杂凑值e＝h(m)和第一部分签名r＝rx+e mod n，并通过交互式理想函数计算得第三个中间变量β＝ρ(k+r)mod n。最后各参与方分别计算第二部分签名s＝min{α‑1β‑r，n‑α‑1β+r}，在签名验证通过后，输出完整的SM2数字签名(r，s)。本发明实现了多方联合生成SM2数字签名，签名过程中保证各参与方都不会暴露部分私钥，同时数字签名必须由所有参与方同时参与，这样实现了多方签名的安全性和公平性。

主权项

1.一种多方联合生成SM2数字签名的方法，其特征在于，参与数字签名的所有参与方为P1,P2,…,Pτ，该方法包括以下步骤：1)每个参与方分别产生自己的部分私钥，并借助理想函数得到共同的公钥；1.1)参与方P_i，i∈{1,…,τ}，在中随机选择一个整数x_i作为自己的部分私钥，发送(input,sid_sk,x_i)给理想函数其中，sid_sk为唯一私钥标识符；其中，为以整数n为阶的整数域；1.2)若没有(sid_sk,i,·)，则保存(sid_sk,i,x_i)；否则忽略此条消息；1.3)若收到所有参与方发来的(input,sid_sk,x_i)，计算mod n，保存(sidsk,x)，并把(input,sidsk)发送给所有参与方；1.4)当所有参与方接收到返回的(input,sid_sk)后，发送(element‑out,sid_sk)给1.5)当收到所有参与方发来的(element‑out，sid_sk)，如果没有(sid_sk，x)，则忽略此条消息；否则计算Q＝xG，并以(element‑out,sid_sk,Q)的形式把结果发给所有参与方；其中，G为椭圆曲线点群的基点；1.6)所有参与方从的返回中获得中间变量Q，计算P_pub＝(Q‑G)作为SM2的公钥，连同部分私钥x_i一起安全保存；2)由P1,P2,…,Pτ共同完成SM2数字签名；2.1)P_i在中随机选择两个整数k_i、ρ_i，发送(input,sid_sig||1,k_i)和(input,sid_sig||2,ρ_i)给其中，整数整数并且分别由sid_sig||1和sid_sig||2唯一标识；sid_sig为签名会话的标识符；2.2)当收到某参与方P_i，i∈{1,…,τ}发来的(input,sid_sig||1,k_i)和(input,sid_sig||2,ρ_i)，如果没有(sid_sig||1,i,·)和(sid_sig||2,i,·)，则保存(sid_sig||1,i,k_i)和(sid_sig||2,i,ρ_i)；否则忽略此条消息；当收到所有参与方发来的(input,sid_sig||1,k_i)和(input,sid_sig||2,ρ_i)，i∈{1,…,τ}，计算保存(sid_sig||1,k)和(sid_sig||2,ρ)，并把(input,sid_sig||1)和(input,sid_sig||2)发送给所有参与方；2.3)当参与方接收到(input,sid_sig||1)，(input,sid_sig||2)后，P_i发送(mult,sid_sk,sid_sig||2)和(element‑out,sid_sig||1)给2.4)当收到所有参与方发来的(mult,sid_sk,sid_sig||2)，i∈{1,…,τ}，找出(sid_sk，x)和(sid_sig||2,ρ)，计算并以(mult‑out,sid_sk,sid_sig||2,α)的形式把结果发给所有参与方；如果没有(sid_sk，x)或(sid_sig||2,ρ)，则忽略此条消息；当收到所有参与方发来的(element‑out,sid_sig||1),i∈{1,…,τ}，如果没有(sid_sig||1,k)，则忽略此条消息；否则计算R＝kG(即)，并以(element‑out,sid_sig||1,R)的形式把结果发给所有参与方；2.5)P_i从返回的(element‑out,sid_sig||1,R)和(mult‑out,sid_sk,sid_sig||2,α)中获得第一个中间变量和第二个中间变量α(α＝xρmod n)；2.6)令R＝(rx,ry)，Pi计算第一部分签名r＝e+rx mod n，其中e是消息m的杂凑值，e＝h(m)；2.7)P_i发送(affine,sid_sig||1,sid_sig||3,1,r)给标识符sid_sig||3代表了第三个中间变量，等于k+r mod n；2.8)当收到某参与方P_i，i∈{1,…,τ}发来的(affine,sid_sig||1,sid_sig||3,1,r)时，其中x,y是域内的常数，如果没有(sid_sig||1,k)，则忽略此条消息，否则计算b＝k+r mod n，保存(sid_sig||3,b)；2.9)P_i发送(mult,sid_sig||2,sid_sig||3)给2.10)当收到所有参与方发来的(mult,sid_sig||2,sid_sig||3)，i∈{1,…,τ}，找出(sid_sig||2,ρ)和(sid_sig||3,b)，计算β＝ρb mod n＝ρ(k+r)mod n并以(mult‑out,sid_sig||2,sid_sig||3,β)的形式把结果发给所有参与方；如果没有(sid_sig||2,ρ)或(sid_sig||3,b)，则忽略此条消息；2.11)当返回(mult‑out,sid_sig||2,sid_sig||3,β)时，P_i获得第四个中间变量β(β＝ρ(k+r)mod n)；2.12)Pi计算第五个中间变量s′＝α‑1β‑r mod n，为了保持签名一致，选取s＝min{s′,n‑s′}作为第二部分签名；2.13)Pi利用SM2的数字签名验证算法验证产生的签名，若通过则公布关于消息m的SM2签名Sig＝(r,s)。2.14)根据所有参与方Pi密钥对，联合生成SM2数字签名。