CN107707358A

CN107707358A - 一种ec‑kcdsa数字签名生成方法及系统

Info

Publication number: CN107707358A
Application number: CN201711035874.0A
Authority: CN
Inventors: 何德彪; 张语荻
Original assignee: Wuhan University WHU
Current assignee: Wuhan University WHU
Priority date: 2017-10-30
Filing date: 2017-10-30
Publication date: 2018-02-16
Anticipated expiration: 2037-10-30
Also published as: CN107707358B

Abstract

本发明涉及一种EC‑KCDSA数字签名生成方法及系统，通过以下技术方案实现：参加算法生成的两方P1和P2，在集合{1,2,…,q‑1}中随机选取两个整数x，k，P1计算并发给P2，P2同时生成发给P1，P1和P2可以同时计算出签名的验证公钥y＝(x₁x₂)^‑1G。P1计算W₁＝k₁G，使用同态加密方法加密k₁发送给P2，P2计算W₂＝k₂G返回给P1。P2通过同态加密的性质，可以计算出x₂(k‑e)的密文并将此密文发送至P1，P1解密该密文并使用x₁计算出签名s，签名验证通过后，P1公布完整的数字签名(r，s)。本发明复杂度低、安全性高、易验证。

Description

一种EC-KCDSA数字签名生成方法及系统

技术领域

本发明属于信息安全技术领域，特别是基于两方共同产生EC-KCDSA数字签名生成方法及系统。

背景技术

数字签名技术作为信息安全领域内的重要技术手段，为其他领域内的许多应用提供着身份认证、数据完整性保护以及数据不可否认性等服务，是在整个信息领域内建立完整的安全机制所不可缺少的基本手段。作为公钥密码体制的重要分支，数字签名方案能够在消息传递过程中实现身份和消息源鉴别、数据完整性和不可否认性等安全属性。

KCDSA(Korean Certificate-based Digital Signature Algorithm韩国证书数字签名算法)是由韩国互联网安全局(KISA)领导的团队创建的数字签名算法。它是一个ElGamal变体，类似于数字签名算法和GOST R 34.10-94。EC-KCDSA是KCDSA在椭圆曲线上的一个标准算法。

在某些重要场合，一份文档需要多人签名来保证数据的安全，比如高机密文档的使用或者电子货币的交易中。对于此类问题，比较常见的解决方法是将用户的私钥分割为多份，将分割后的数据分发给多个参与方，当需要使用私钥进行签名时，t个被分割的数据可以恢复用户的私钥，进而产生签名，如果低于t个参与者，则无法恢复私钥。然而，一旦私钥被恢复，任何单独的一方即可在其他参与方不知晓的情况下产生签名。特别是在两方需要共同签名一个合同或协议的情况下，两方中的一方如果获得了原始的签名私钥，则在不经过对方同意的情况下即可对任意合同进行签名。

本发明设计了一种分布式生成EC-KCDSA数字签名的方案，此方案在两方分布式生成签名的情况下，既能保证签名的正确性，又能保证签名的私钥不被泄露，且生成签名的过程中必须由两方同时参与。

发明内容

本发明的目的是提出两方在不泄漏自己的签名密钥并无法获得完整的签名密钥的情况下完成对消息的签名。

针对本发明的目的，本发明提出了一个两方共同生成EC-KCDSA数字签名的方案，下面给出具体描述。

在以下对本方案的描述中，Z代表一个整数域，p是一个大于3的素数，b mod p表示b模p运算(modulo operation)，p是阶为q的椭圆曲线上的点，若P、Q是椭圆曲线群中的元素(点)，则P+Q表示P、Q的点加；k·P＝P+P+...+P(共有k个P)表示k个椭圆曲线点P的点加，省略号“...”，表示多个同样(类型)的数据项或多个同样的运算；对于零点，以下运算成立：0+Q＝Q+0＝Q(Q是椭圆曲线上任意的一个点)，c^-1表示整数c的模n乘法逆(即c(c)^-1mod n＝1)；a⊕b代表a和b两个比特串的异或运算；多个整数相乘(包括整数符号相乘、常数与整数符号相乘)，在不产生二义性的情况下，省略掉乘号“·”，如k₁·k₂简化为k₁k₂，3·c，简化位3c，h是一个HASH函数。其他规范均对应于“The Korean Certificate-based DigitalSignature Algorithm”文档。

本发明时采用如下技术方案实现的：

一种EC-KCDSA数字签名生成方法，其特征在于，基于定义数字签名时，有两方参与，一方为P1，一方为P2，具体步骤包括：

分布式密钥对生成步骤：两方P1和P2，在集合{1,2,…,q-1}中随机选取两个整数x,k，P1计算并发给P2，P2同时生成发给P1；

分布式EC-KCDSA数字签名生成步骤：P1和P2同时计算出EC-KCDSA数字签名的验证公钥y＝(x₁x₂)^-1G。P1计算W₁＝k₁G，使用同态加密方法加密k₁发送给P2，P2计算W₂＝k₂G返回给P1。P2通过同态加密的性质，可以计算出x₂(k-e)的密文并将此密文发送至P1，P1解密该密文，并利用自己的私钥x₁可以计算出签名s，在签名验证通过后，P1公布完整的EC-KCDSA数字签名(r,s)。

在上述的一种EC-KCDSA数字签名生成方法，所述分布式密钥对生成步骤具体包括：

步骤2.1、P1在集合{1,2,…,q-1}中选择第一个部分私钥x₁，计算第一部分公钥并把Q₁发送给P2，其中q是EC-KCDSA密码运算所使用的椭圆曲线点群的阶，也即EC-KCDSA密码运算所使用的椭圆曲线点群的基点G的阶，点G的坐标表示为(x_g,y_g)。然后P1产生同态加密算法的一对公私钥(pk,sk)，这里要求选择的同态加密算法具有如下性质，明文相加后再加密得到的密文等同于将这些明文分别加密在相乘得到的密文，密文与某个明文的指数运算等同于此密文对应的明文与另一个明文做乘法运算后的密文。在这里我们用Enc_pk和Dec_sk分别代表使用公钥pk加密和使用私钥sk解密，定义为c₁,c₂的明文“加”运算，定义为c₁,c₂的明文“减”运算，定义a⊙c运算为c中的明文与a做“乘”运算；

步骤2.2、P2收到Q₁后，在集合{1,2,…,q-1}中，选择第二个部分私钥x₂，计算第二个部分公钥并将Q₂发送给P1。P2随后计算EC-KCDSA的目标公钥并保存x₂,Q和pk；

步骤2.3、P1在收到Q₂后，计算EC-KCDSA的目标公钥并保存x₁,Q,pk和sk。

在上述的一种EC-KCDSA数字签名生成方法，所述分布式EC-KCDSA数字签名生成步骤具体包括：

步骤3.1、P1在集合{1,2,…,q-1}中选择第一个临时私钥k₁，计算第一个临时公钥W₁＝k₁G，第一个密文C₁＝Enc_pk(k₁)，并发送W₁,C₁给P2；

步骤3.2、P2收到W₁,C₁后，在集合{1,2,…,q-1}中随机选择第二个临时私钥k₂，计算第二个临时公钥W₂＝k₂G和目标临时公钥W＝k₂W₁＝k₁k₂G，然后计算W的哈希值r＝h(W)，再通r过计算一个关于消息m的变量e＝r⊕h(z||m)。P2选择一个随机的大数ρ，通过同态加密算法计算第二个密文并将W₂,C₂发送给P1。

步骤3.3、P1使用自己的私钥sk解密C₂得到Dec_sk(C₂)＝x₂(k₁k₂-e)mod q，再利用自己的部分私钥x₁计算签名的第二部分s＝x₁·Dec_sk(C₂)＝x₁x₂(k₁k₂-e)mod q。P1再使用W₂计算目标临时公钥W＝k₁W₂＝k₁k₂G，通过W的哈希值算出签名的第一部分r＝h(W)。P1验证EC-KCDSA数字签名(r,s)，若验证通过则输出(r,s)，否则终止协议。

一种EC-KCDSA数字签名生成系统，其特征在于，基于定义数字签名时，有两方参与，一方为P1，一方为P2，具体包括：

分布式密钥对生成单元：两方P1和P2，在集合{1,2,…,q-1}中随机选取两个整数x,k，P1计算并发给P2，P2同时生成发给P1；

分布式EC-KCDSA数字签名生成单元：P1和P2同时计算出EC-KCDSA数字签名的验证公钥y＝(x₁x₂)^-1G。P1计算W₁＝k₁G，使用同态加密方法加密k₁发送给P2，P2计算W₂＝k₂G返回给P1。P2通过同态加密的性质，可以计算出x₂(k-e)的密文并将此密文发送至P1，P1解密该密文，并利用自己的私钥x₁可以计算出签名s，在签名验证通过后，P1公布完整的EC-KCDSA数字签名(r,s)。

在上述的一种EC-KCDSA数字签名生成系统，所述分布式密钥对生成单元进行分布式密钥对生成的具体步骤包括：

步骤5.1、P1在集合{1,2,…,q-1}中选择第一个部分私钥x₁，计算第一部分公钥并把Q₁发送给P2，其中q是EC-KCDSA密码运算所使用的椭圆曲线点群的阶，也即EC-KCDSA密码运算所使用的椭圆曲线点群的基点G的阶，点G的坐标表示为(x_g,y_g)。然后P1产生同态加密算法的一对公私钥(pk,sk)，这里要求选择的同态加密算法具有如下性质，明文相加后再加密得到的密文等同于将这些明文分别加密在相乘得到的密文，密文与某个明文的指数运算等同于此密文对应的明文与另一个明文做乘法运算后的密文。在这里我们用Enc_pk和Dec_sk分别代表使用公钥pk加密和使用私钥sk解密，定义为c₁,c₂的明文“加”运算，定义为c₁,c₂的明文“减”运算，定义a⊙c运算为c中的明文与a做“乘”运算；

步骤5.2、P2收到Q₁后，在集合{1,2,…,q-1}中，选择第二个部分私钥x₂，计算第二个部分公钥并将Q₂发送给P1。P2随后计算EC-KCDSA的目标公钥并保存x₂,Q和pk；

步骤5.3、P1在收到Q₂后，计算EC-KCDSA的目标公钥并保存x₁,Q,pk和sk。

在上述的一种EC-KCDSA数字签名生成系统，所述分布式EC-KCDSA数字签名生成单元进行分布式EC-KCDSA数字签名的具体步骤具体：

步骤6.1、P1在集合{1,2,…,q-1}中选择第一个临时私钥k₁，计算第一个临时公钥W₁＝k₁G，第一个密文C₁＝Enc_pk(k₁)，并发送W₁,C₁给P2；

步骤6.2、P2收到W₁,C₁后，在集合{1,2,…,q-1}中随机选择第二个临时私钥k₂，计算第二个临时公钥W₂＝k₂G和目标临时公钥W＝k₂W₁＝k₁k₂G，然后计算W的哈希值r＝h(W)，再通r过计算一个关于消息m的变量e＝r⊕h(z||m)。P2选择一个随机的大数ρ，通过同态加密算法计算第二个密文并将W₂,C₂发送给P1。

步骤6.3、P1使用自己的私钥sk解密C₂得到Dec_sk(C₂)＝x₂(k₁k₂-e)mod q，再利用自己的部分私钥x₁计算签名的第二部分s＝x₁·Dec_sk(C₂)＝x₁x₂(k₁k₂-e)mod q。P1再使用W₂计算目标临时公钥W＝k₁W₂＝k₁k₂G，通过W的哈希值算出签名的第一部分r＝h(W)。P1验证EC-KCDSA数字签名(r,s)，若验证通过则输出(r,s)，否则终止协议。

为了使方案的安全性更高，在P1和P2通信中，双方都可以使用零知识证明来证明发送的数据是来自发送方，降低数据被篡改的风险。

本发明与现有技术相比具有如下优点和有益效果：

首先，目前现有的普通的密钥分割或门限秘密分割，虽然能够将私钥进行分割，但是在签名的阶段，私钥会被恢复并被某一方所掌握，这样降低了多方签名的安全性和公平性，持有完整私钥的一方便可以完成签名，不需要全部参与方共同完成签名。

其次，这类分割最终将完整的签名私钥暴露给其中一方，造成了私钥的泄漏，得到完整签名私钥的一方可以在没有其他参与方参与的情况下对其他文件进行签名。

本发明具有实现复杂度低、安全性高、易验证等特点，使用于两方分布式生成EC-KCDSA数字签名，产生签名的过程必须有两方同时参与，生成签名的过程不会泄漏数字签名的原始签名私钥，保证了私钥的安全性，提高了参与方的公平性。

具体实施方式

下面结合实施例对本方案做详细的描述，以下实施方案只表示本发明一种可能的实施方式，不是全部可能的实施方案，不作为对本发明的限定。

在本方案中，生成EC-KCDSA数字签名时，有两方共同参与，一方为P1，一方为P2。成EC-KCDSA数字签名，有如下两阶段：

参与生成EC-KCDSA数字签名的两方，首先要分布式生成密钥对，然后分布式生成EC-KCDSA数字签名。在分布式密钥对生成的过程中如下：

1、P1在集合{1,2,…,q-1}中选择第一个部分私钥x₁，计算部分公钥并产生一个Q₁的零知识证明π₀，即证明Q₁是由x₁正确产生的，其中q是EC-KCDSA密码运算所使用的椭圆曲线点群的阶，也即EC-KCDSA密码运算所使用的椭圆曲线点群的基点G的阶，点G的坐标表示为(x_g,y_g)。P1把Q₁,π₀发送给P2，然后P1产生同态加密算法的一对公私钥(pk,sk)。在这里，我们使用Paillier加密算法。Paillier算法具有如下性质，明文相加后再加密得到的密文等同于将这些明文分别加密在相乘得到的密文，密文与某个明文的指数运算等同于此密文对应的明文与另一个明文做乘法运算后的密文。在这里我们用Enc_pk和Dec_sk分别代表使用公钥pk加密和使用私钥sk解密，定义为c₁,c₂的明文“加”运算，定义为c₁,c₂的明文“减”运算，定义a⊙c运算为c中的明文与a做“乘”运算；

2、P2在验证π₀的正确性后，在集合{1,2,…,q-1}中选择第二个部分私钥x₂，计算第二个部分公钥并产生一个Q₂的零知识证明π₁，即证明Q₂是由x₂正确产生的。P2将Q₂,π₁发送给P1，随后计算EC-KCDSA的目标公钥并保存x₂,Q和pk；

3、P1在收到Q₂,π₁后，验证π₁的正确性，验证通过后计算EC-KCDSA的目标公钥并保存x₁,Q和(pk,sk)。在分布式EC-KCDSA数字签名生成的过程中：

1、P1在集合{1,2,…,q-1}中选择第一个临时私钥k₁，计算第一个临时公钥W₁＝k₁G，第一个密文C₁＝Enc_pk(k₁)，并生成W₁的零知识证明π₂(即证明W₁是由k₁正确产生的)，和C₁的零知识证明π₃(即证明C₁是由k₁加密得到的)，P1发送W₁,C₁,π₂,π₃给P2。

2、P2在收到W₁,C₁,π₂,π₃验证π₂,π₃，若验证通过，则P2在集合{1,2,…,q-1}中选择第二个临时私钥k₂，计算第二个临时公钥W₂＝k₂G并生成一个关于W₂的零知识证明π₄，P2再计算目标临时公钥W＝k₂W₁＝kG和W的哈希值r＝h(W)，再通r过计算一个关于消息m的变量e＝r⊕h(z||m)。P2选择一个随机的大数ρ，通过Paillier同态加密算法计算第二个密文并将W₂,C₂,π₄发送给P1。

3、P1验证π₄通过后，使用自己的私钥sk解密C₂得到Dec_sk(C₂)＝x₂(k₁k₂-e)mod q，再通过自己的部分私钥x₁计算签名的第二部分s＝x₁·Dec_sk(C₂)＝x₁x₂(k₁k₂-e)mod q。P1再使用W₂计算目标临时公钥W＝k₁W₂＝k₁k₂G，通过W的哈希值算出签名的第一部分r＝h(W)。P1验证EC-KCDSA数字签名(r,s)，若验证通过则输出(r,s)，否则终止协议。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims

1.一种EC-KCDSA数字签名生成方法，其特征在于，基于定义数字签名时，有两方参与，一方为P1，一方为P2，具体步骤包括：

分布式密钥对生成步骤：两方P1和P2，在集合{1,2,…,q-1}中随机选取两个整数x，k，P1计算并发给P2，P2同时生成发给P1；

分布式EC-KCDSA数字签名生成步骤：P1和P2同时计算出EC-KCDSA数字签名的验证公钥y＝(x₁x₂)^-1G；P1计算W₁＝k₁G，使用同态加密方法加密k₁发送给P2，P2计算W₂＝k₂G返回给P1；P2通过同态加密的性质，计算出x₂(k-e)的密文并将此密文发送至P1，P1解密该密文，并利用自己的私钥x₁计算出签名s，在签名验证通过后，P1公布完整的EC-KCDSA数字签名(r，s)。

2.根据权利要求1所述的一种EC-KCDSA数字签名生成方法，其特征在于，所述分布式密钥对生成步骤具体包括：

步骤2.1、P1在集合{1,2,…,q-1}中选择第一个部分私钥x₁，计算第一部分公钥并把Q₁发送给P2，其中q是EC-KCDSA密码运算所使用的椭圆曲线点群的阶，也即EC-KCDSA密码运算所使用的椭圆曲线点群的基点G的阶，点G的坐标表示为(x_g，y_g)；然后P1产生同态加密算法的一对公私钥(pk，sk)，这里要求选择的同态加密算法具有如下性质，明文相加后再加密得到的密文等同于将这些明文分别加密在相乘得到的密文，密文与某个明文的指数运算等同于此密文对应的明文与另一个明文做乘法运算后的密文；在这里我们用Enc_pk和Dec_sk分别代表使用公钥pk加密和使用私钥sk解密，定义为c₁，c₂的明文“加”运算，定义为c₁，c₂的明文“减”运算，定义运算为c中的明文与a做“乘”运算；

步骤2.2、P2收到Q₁后，在集合{1,2,…,q-1}中，选择第二个部分私钥x₂，计算第二个部分公钥并将Q₂发送给P1；P2随后计算EC-KCDSA的目标公钥并保存x₂，Q和pk；

步骤2.3、P1在收到Q₂后，计算EC-KCDSA的目标公钥并保存x₁，Q，pk和sk。

3.根据权利要求1所述的一种EC-KCDSA数字签名生成方法，其特征在于，所述分布式EC-KCDSA数字签名生成步骤具体包括：

步骤3.1、P1在集合{1,2,…,q-1}中选择第一个临时私钥k₁，计算第一个临时公钥W₁＝k₁G，第一个密文C₁＝Enc_pk(k₁)，并发送W₁，C₁给P2；

步骤3.2、P2收到W₁，C₁后，在集合{1,2,…,q-1}中随机选择第二个临时私钥k₂，计算第二个临时公钥W₂＝k₂G和目标临时公钥W＝k₂W₁＝k₁k₂G，然后计算W的哈希值r＝h(W)，再通r过计算一个关于消息m的变量P2选择一个随机的大数ρ，通过同态加密算法计算第二个密文并将W₂，C₂发送给P1；

步骤3.3、P1使用自己的私钥sk解密C₂得到Dec_sk(C₂)＝x₂(k₁k₂-e)mod q，再利用自己的部分私钥x₁计算签名的第二部分s＝x₁·Dec_sk(C₂)＝x₁x₂(k₁k₂-e mod q；P1再使用W2计算目标临时公钥W＝k1W2＝k1k2G，通过W的哈希值算出签名的第一部分r＝h(W)；P1验证EC-KCDSA数字签名(r，s)，若验证通过则输出(r，s)，否则终止协议。

4.一种EC-KCDSA数字签名生成系统，其特征在于，基于定义数字签名时，有两方参与，一方为P1，一方为P2，具体包括：

分布式密钥对生成单元：两方P1和P2，在集合{1,2,…,q-1}中随机选取两个整数x，k，P1计算并发给P2，P2同时生成发给P1；

分布式EC-KCDSA数字签名生成单元：P1和P2同时计算出EC-KCDSA数字签名的验证公钥y＝(x₁x₂)^-1G；P1计算W₁＝k₁G，使用同态加密方法加密x₁和k₁发送给P2，P2计算W₂＝k₂G返回给P1；P2通过同态加密的性质，计算出x₂(k-e)的密文并将此密文发送至P1，P1解密该密文，并利用自己的私钥x₁计算出签名s，在签名验证通过后，P1公布完整的EC-KCDSA数字签名(r，s)。

5.根据权利要求1所述的一种EC-KCDSA数字签名生成系统，其特征在于，所述分布式密钥对生成单元进行分布式密钥对生成的具体步骤包括：

步骤5.1、P1在集合{1,2,…,q-1}中选择第一个部分私钥x₁，计算第一部分公钥并把Q₁发送给P2，其中q是EC-KCDSA密码运算所使用的椭圆曲线点群的阶，也即EC-KCDSA密码运算所使用的椭圆曲线点群的基点G的阶，点G的坐标表示为(x_g，y_g)；然后P1产生同态加密算法的一对公私钥(pk，sk)，这里要求选择的同态加密算法具有如下性质，明文相加后再加密得到的密文等同于将这些明文分别加密在相乘得到的密文，密文与某个明文的指数运算等同于此密文对应的明文与另一个明文做乘法运算后的密文；在这里我们用Enc_pk和Dec_sk分别代表使用公钥pk加密和使用私钥sk解密，定义为c₁，c₂的明文“加”运算，定义为c₁，c₂的明文“减”运算，定义运算为c中的明文与a做“乘”运算；

步骤5.2、P2收到Q₁后，在集合{1,2,…,q-1}中，选择第二个部分私钥x₂，计算第二个部分公钥并将Q₂发送给P1；P2随后计算EC-KCDSA的目标公钥并保存x₂，Q和pk；

步骤5.3、P1在收到Q₂后，计算EC-KCDSA的目标公钥并保存x₁，Q，pk和sk。

6.根据权利要求1所述的一种EC-KCDSA数字签名生成系统，其特征在于，所述分布式EC-KCDSA数字签名生成单元进行分布式EC-KCDSA数字签名的具体步骤具体：

步骤6.1、P1在集合{1,2,…,q-1}中选择第一个临时私钥k₁，计算第一个临时公钥W₁＝k₁G，第一个密文C₁＝Enc_pk(k1)，并发送W₁，C₁给P2；

步骤6.2、P2收到W₁，C₁后，在集合{1,2,…,q-1}中随机选择第二个临时私钥k₂，计算第二个临时公钥W₂＝k₂G和目标临时公钥W＝k₂W₁＝k₁k₂G，然后计算W的哈希值r＝h(W)，再通r过计算一个关于消息m的变量P2选择一个随机的大数ρ，通过同态加密算法计算第二个密文并将W₂，C₂发送给P1；

步骤6.3、P1使用自己的私钥sk解密C₂得到Dec_sk(C₂)＝x₂(k₁k₂-e)mod q，再利用自己的部分私钥x₁计算签名的第二部分s＝x₁·Dec_sk(C₂)＝x₁x₂(k₁k₂-e mod q；P1再使用W2计算目标临时公钥W＝k1W2＝k1k2G，通过W的哈希值算出签名的第一部分r＝h(W)；P1验证EC-KCDSA数字签名(r，s)，若验证通过则输出(r，s)，否则终止协议。