[发明专利]密钥分布式生成的数字签名方法

摘要

本发明公开了一种密钥分布式生成的数字签名方法，用于解决现有数字签名方法效率低的技术问题。技术方案是在密钥生成阶段，t个签名参与者选取自己的子私钥，通过与第一个签名参与者的交互完成私钥的生成。在签名阶段，t个签名参与者依次利用自己持有的子私钥进行分布式签名，然后由第t个签名参与者在同态加密条件下完成签名第二部分的合成，再由第一个签名参与者完成最终的签名合成与验证。本发明利用paillier同态加密算法，每个签名参与者不需要利用零知识证明来保证签名的正确性，最后的签名验证只需要一个椭圆曲线上的点加运算和两个椭圆曲线上的点乘运算，与背景技术t次零知识证明相比，提高了计算效率。

主权项

1.一种密钥分布式生成的数字签名方法，其特征在于包括以下步骤：步骤一、第一个签名参与者ID₁选取自己的子私钥d₁∈{1,2,…,n‑1}，然后计算自己的子私钥d₁在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的子私钥d₁∈{1,2,…,n‑1}并重新计算自己的子私钥d₁在模n下是否存在乘法逆元直到找到一个存在乘法逆元的子私钥d₁，然后执行下一步骤；其中，ID₁表示第一个签名参与者，d₁表示第一个签名参与者ID₁的子私钥，表示第一个签名参与者ID₁的子私钥d₁在模n下的乘法逆元，n为正整数，表示椭圆曲线基点的阶；步骤二、按照下式，第一个签名参与者ID₁计算自己的子公钥Q₁和伪子公钥Q₁′，然后将子公钥Q₁和伪子公钥Q₁′都广播给所有签名参与者：Q₁＝d₁G其中，Q₁表示第一个签名参与者ID₁的子公钥，Q₁′表示第一个签名参与者ID₁的伪子公钥，G表示椭圆曲线上一个阶为n的基点；步骤三、接收到第一个签名参与者ID₁的子公钥Q₁和伪子公钥Q₁′后，第i个签名参与者ID_i选取自己的子私钥d_i∈{1,2,…,n‑1}，然后按照下式，计算自己的伪子公钥Q_i′，并将伪子公钥Q_i′发送给第一个签名参与者ID₁，i＝2,3,...,t：Q_i′＝d_iQ₁′其中，ID_i表示第i个签名参与者，d_i表示第i个签名参与者ID_i的子私钥，Q_i′表示第i个签名参与者ID_i的伪子公钥，t为正整数，表示签名参与者ID_i的数目；步骤四、第一个签名参与者ID₁在接收到所有签名参与者的伪子公钥Q_i′后，按照下式，依次计算每一个签名参与者ID_i的子公钥Q_i，然后将所有计算出的子公钥Q_i公开：Q_i＝d₁Q_i′其中，Q_i表示第i个签名参与者ID_i的子公钥；步骤五、每一个签名参与者ID_i接收到第一个签名参与者ID₁公开的子公钥Q_i后，验证等式Q_i＝d_iG是否成立，如果每一个签名参与者的验证结果都是成立，则执行下一步骤，如果有任何一个签名参与者的验证结果是不成立，则返回步骤一；步骤六、按照下式，每一个签名参与者ID_i计算签名公钥Q并对签名公钥Q进行公开：其中，Q表示签名公钥，∑表示求和操作；步骤七、第一个签名参与者ID₁选取自己的秘密值k₁∈{1,2,…,n‑1}，然后计算自己的秘密值k₁在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k₁∈{1,2,…,n‑1}并重新计算自己的秘密值k₁在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k₁，然后执行下一步骤；其中，k₁表示第一个签名参与者ID₁的秘密值，表示第一个签名参与者ID₁的秘密值k₁在模n下的乘法逆元；步骤八、按照下式，第一个签名参与者ID₁计算第一个签名参数中间值R₁，并将第一个签名参数中间值R₁发送给第二个签名参与者ID₂：R₁＝k₁G其中，R₁表示第一个签名参数中间值，ID₂表示第二个签名参与者；步骤九、第i个签名参与者ID_i接收到第i‑1个签名参数中间值R_i‑1后，选取自己的秘密值k_i∈{1,2,…,n‑1}，然后计算自己的秘密值k_i在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_i∈{1,2,…,n‑1}并重新计算自己的秘密值k_i在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k_i，然后执行下一步骤，i＝2,3,…,t‑1；其中，k_i表示第i个签名参与者ID_i的秘密值，表示第i个签名参与者ID_i的秘密值k_i在模n下的乘法逆元；步骤十、按照下式，第i个签名参与者ID_i计算第i个签名参数中间值R_i，并将第i个签名参数中间值R_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t‑1：R_i＝k_iR_i‑1其中，R_i表示第i个签名参数中间值，R_i‑1表示第i‑1个签名参数中间值，ID_i+1表示第i+1个签名参与者；步骤十一、第t个签名参与者ID_t接收到第t‑1个签名参数中间值R_t‑1后，选取自己的秘密值k_t∈{1,2,…,n‑1}，然后计算自己的秘密值k_t在模n下是否存在乘法逆元如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_t∈{1,2,…,n‑1}并重新计算自己的秘密值k_t在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k_t，然后执行下一步骤；其中，ID_t表示第t个签名参与者，k_t表示第t个签名参与者ID_t的秘密值，表示第t个签名参与者ID_t的秘密值k_t在模n下的乘法逆元；步骤十二、按照下式，第t个签名参与者ID_t计算签名参数R，然后判断签名参数R是否为椭圆曲线上的零点，如果是，则返回步骤六，如果不是，则将签名参数R广播给所有的签名参与者：R＝k_tR_t‑1＝(x_R,y_R)其中，R_t‑1表示第t‑1个签名参数中间值，R表示签名参数，x_R表示签名参数R的横坐标，y_R表示签名参数R的纵坐标；步骤十三、第i个签名参与者ID_i接收到签名参数R后，按照下式，计算第一部分签名r：r＝x_R modn然后判断r＝0是否成立，如果成立，则返回步骤三，如果不成立，则继续执行下一步骤；其中，r表示第一部分签名，mod表示求模运算；步骤十四、按照下式，第一个签名参与者ID₁计算消息M的哈希值H，然后按照数据类型转换规则，将H转换为一个整数e：H＝hash(M)其中，M表示消息，H表示消息M的哈希值，hash表示一个密码哈希算法，e表示哈希值H转换后的整数值；步骤十五、第一个签名参与者ID₁选择paillier同态加密算法的私钥sk和公钥pk，将私钥sk秘密保存，并将公钥pk公开；其中，paillier表示同态加密算法，sk表示paillier同态加密算法的私钥，用来做解密运算，pk表示paillier同态加密算法的公钥，用来做加密运算；步骤十六、按照下式，第一个签名参与者ID₁计算第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁，然后将第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁发送给第二个签名参与者ID₂：β₁＝E_pk(rd₁ modn)其中，α₁表示第一个签名生成参数第一部分，β₁表示第一个签名生成参数第二部分，E_pk(.)表示paillier同态加密算法的加密运算；步骤十七、第i个签名参与者ID_i接收到第i‑1个签名生成参数第一部分α_i‑1和第i‑1个签名生成参数第二部分β_i‑1后，按照下式，计算第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i，然后将第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t‑1：β_i＝E_pk(rd_i mod n)+_Eβ_i‑1其中，α_i表示第i个签名生成参数第一部分，β_i表示第i个签名生成参数第二部分，α_i‑1表示第i‑1个签名生成参数第一部分，β_i‑1表示第i‑1个签名生成参数第二部分，×_E表示paillier同态加密算法下的乘法同态运算，+_E表示paillier同态加密算法下的加法同态运算；步骤十八、第t个签名参与者ID_t接收到第t‑1个签名生成参数第一部分α_t‑1和第t‑1个签名生成参数第二部分β_t‑1后，按照下式，计算第t个签名生成参数第一部分α_t和第t个签名生成参数第二部分β_t：β_t＝E_pk(rd_t mod n)+_Eβ_t‑1其中，α_t表示第t个签名生成参数第一部分，β_t表示第t个签名生成参数第二部分，α_t‑1表示第t‑1个签名生成参数第一部分，β_t‑1表示第t‑1个签名生成参数第二部分，d_t表示第t个签名参与者ID_t的子私钥；步骤十九、第t个签名参与者ID_t选取秘密混淆值ρ∈{1,2,…,n‑1}，然后计算秘密混淆值ρ在模n下是否存在乘法逆元ρ^‑1，如果存在，则执行下一步骤，如果不存在，则重新选取秘密混淆值ρ∈{1,2,…,n‑1}并重新计算秘密混淆值ρ在模n下是否存在乘法逆元ρ^‑1，直到找到一个存在乘法逆元ρ^‑1的秘密混淆值ρ，然后执行下一步骤；其中，ρ表示秘密混淆值，ρ^‑1表示秘密混淆值ρ在模n下的乘法逆元；步骤二十、按照下式，第t个签名参与者ID_t计算第t+1个签名生成参数第二部分β_t+1，然后将第t+1个签名生成参数第二部分β_t+1发送给第t‑1个签名参与者ID_t‑1：其中，β_t+1表示第t+1个签名生成参数第二部分，ID_t‑1表示第t‑1个签名参与者；步骤二十一、按照下式，第i个签名参与者ID_i计算第2t‑i+1个签名生成参数第二部分β_2t‑i+1，然后将第2t‑i+1个签名生成参数第二部分β_2t‑i+1发送给第i‑1个签名参与者ID_i‑1，i＝t‑1,t‑2,…,2：其中，β_2t‑i+1表示第2t‑i+1个签名生成参数第二部分，β_2t‑i表示第2t‑i个签名生成参数第二部分；步骤二十二、按照下式，第一个签名参与者ID₁计算第2t个签名生成参数第二部分β_2t，然后将第2t个签名生成参数第二部分β_2t发送给第t个签名参与者ID_t：其中，β_2t表示第2t个签名生成参数第二部分，β_2t‑1表示第2t‑1个签名生成参数第二部分；步骤二十三、按照下式，第t个签名参与者ID_t计算第2t+1个签名生成参数第二部分β_2t+1：β_2t+1＝β_2t×_Eρ^‑1其中，β_2t+1表示第2t+1个签名生成参数第二部分；步骤二十四、按照下式，第t个签名参与者ID_t计算第二部分签名s在paillier同态加密下的密文C，然后将第二部分签名s在paillier同态加密下的密文C发送给第一个签名参与者ID₁：C＝α_t+_E β_2t+1其中，s表示第二部分签名，C表示第二部分签名s在paillier同态加密下的密文；步骤二十五、按照下式，第一个签名参与者ID₁计算第二部分签名s：s＝D_sk(C)mod n其中，D_sk(.)表示paillier同态加密算法的解密运算；步骤二十六、按照下式，第一个签名参与者ID₁计算签名验证参数R′，R′＝(x_R′,y_R′)：R′＝s^‑1(eG+rQ)其中，R′表示签名验证参数，x_R′表示签名验证参数R′的横坐标，y_R′表示签名验证参数R′的纵坐标，s^‑1表示第二部分签名s在模n下的乘法逆元；步骤二十七、按照下式，第一个签名参与者ID₁计算第一部分签名的验证参数r′，然后判断等式r′＝r是否成立，如果成立，则执行下一步骤，如果不成立，则签名失败，返回步骤六：r′≡x_R′mod n其中，r′表示第一部分签名的验证参数，≡表示同余符号；步骤二十八、第一个签名参与者ID₁提取签名(r,s)，然后将签名(r,s)广播给所有签名参与者；其中，(r,s)表示最终生成的签名。