CN107682151B - 一种gost数字签名生成方法及系统 - Google Patents

Abstract

本发明涉及一种GOST数字签名分布式生成方法及系统，通过以下技术方案实现：P1和P2两方参加算法生成，P1和P2在集合{1，2，...，q‑1}中随机选取d和k，P1计算Q₁＝d₁P并发给P2，P2同时生成Q₂＝d₂P发给P1，P1和P2可以同时计算出验证公钥Q＝d₁d₂P。P1计算R₁＝k₁P，使用同态加密方法加密d₁和k₁发送给P2，P2计算R₂＝k₂P返回给P1。P2通过同态加密的性质，可以计算出rd₁d₂+ek₁k₂的密文并将此密文发送至P1，P1解密该密文，并计算签名的第一部分r，在签名验证通过后公布完整的签名(r，s)。本发明复杂度低、安全性高、易验证。

Description

一种GOST数字签名生成方法及系统

技术领域

本发明属于信息安全技术领域，特别是基于两方共同产生GOST数字签名生成方法及系统。

背景技术

数字签名是伴随着信息网络技术的发展而出现的一种安全保障技术，目的就是通过技术手段实现传统的纸面签字或者盖章的功能，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性。数字签名是公钥密码体系中重要的一部分，在很多场合有着重要的作用。

GOST标准最初是由苏联政府制定的，作为其国家标准化战略的一部分。苏联解体后，GOST标准获得了区域标准的新地位。它们现在由独立国家联合体颁发的标准化组织欧洲标准化计量和认证委员会(EASC)管理。目前，GOST标准的收集包括12个国家的合格评定活动中广泛使用的2万多种标题。作为独立国家联合体(CIS)的政府和私营部门认证计划的监管基础，GOST标准涵盖能源，石油和天然气，环境保护，建筑，运输，电信，采矿，食品加工等行业。俄罗斯，白俄罗斯，摩尔多瓦，哈萨克斯坦，阿塞拜疆，亚美尼亚，吉尔吉斯斯坦，乌兹别克斯坦，塔吉克斯坦，格鲁吉亚和土库曼斯坦，以上国家除了采用国家制定的标准外，还采用了全部或部分GOST标准。

在某些重要场合，一份文档需要多人签名来保证数据的安全，比如高机密文档的使用或者电子货币的交易中。对于此类问题，比较常见的解决方法是将用户的私钥分割为多份，将分割后的数据分发给多个参与方，当需要使用私钥进行签名时，t个被分割的数据可以恢复用户的私钥，进而产生签名，如果低于t个参与者，则无法恢复私钥。然而，一旦私钥被恢复，任何单独的一方即可在其他参与方不知晓的情况下产生签名。特别是在两方需要共同签名一个合同或协议的情况下，两方中的一方如果获得了原始的签名私钥，则在不经过对方同意的情况下即可对任意合同进行签名。

本发明设计了一种分布式生成GOST数字签名的方案，此方案在两方分布式生成签名的情况下，既能保证签名的正确性，又能保证签名的私钥不被泄露，且生成签名的过程中必须由两方同时参与。

发明内容

本发明的目的是提出两方在不泄漏自己的签名密钥并无法获得完整的签名密钥的情况下完成对消息的签名。

针对本发明的目的，本发明提出了一个两方共同生成GOST数字签名的方案，下面给出具体描述。

在以下对本方案的描述中，Z代表一个整数域，p是一个大于3的素数，b mod p表示b模p运算(modulo operation)，p是阶为q的椭圆曲线上的点，若P、Q是椭圆曲线群中的元素(点)，则P+Q表示P、Q的点加；k·P＝P+P+...+P(共有k个P)表示k个椭圆曲线点P的点加，省略号“...”，表示多个同样(类型)的数据项或多个同样的运算；对于零点，以下运算成立：0+Q＝Q+0＝Q(Q是椭圆曲线上任意的一个点)，c^-1表示整数c的模n乘法逆(即c(c)^-1mod n＝1)；多个整数相乘(包括整数符号相乘、常数与整数符号相乘)，在不产生二义性的情况下，省略掉乘号“·”，如k₁·k₂简化为k₁k₂，3·c，简化位3c。其他规范均对应于“GOST R34.10-2001:Digital Signature Algorithm”文档。

本发明时采用如下技术方案实现的：

一种GOST数字签名生成方法，其特征在于，包括：

分布式密钥对生成步骤：P1和P2两方参加算法生成，P1在集合{1,2,...,q-1}中随机选取私钥d₁和随机数k₁，P2在集合{1,2,...,q-1}中随机选取私钥d₂和随机数k₂，P1计算Q₁＝d₁P并发给P2，P2同时生成Q₂＝d₂P发给P1，

分布式GOST数字签名生成步骤：P1和P2可以同时计算出GOST数字签名的验证公钥Q＝d₁d₂P。P1计算R₁＝k₁P，使用同态加密方法加密d₁和k₁发送给P2，P2计算R₂＝k₂P返回给P1。P2通过同态加密的性质，可以计算出rd₁d₂+ek₁k₂的密文并将此密文发送至P1，P1解密该密文，并计算签名的第一部分r，在签名验证通过后，P1公布完整的GOST数字签名(r,s)

在上述的一种GOST数字签名生成方法，所述分布式密钥对生成步骤具体包括：

步骤2.1、P1在集合{1,2,…,q-1}中选择第一个部分私钥d₁，首先计算第一个部分公钥Q₁＝d₁P，同时P1对Q₁产生一个零知识证明π₀，即证明d₁是正确生成的。P1产生一个同态加密的公私钥对(pk,sk)，在这里使用Paillier加密算法，加密d₁，得到d₁的密文C_key＝Enc_pk(d₁)和(Enc_pk代表使用公钥pk加密，输出一个加密后的密文)，并生成对C_key的零知识证明π₁，即证明C_key是d₁的合法密文，并将Q₁,C_key,π₀,π₁发送给P2。

步骤2.2、P2在验证π₀和π₁的正确性后，在集合{1,2,...,q-1}中选择第二个部分私钥d₂，计算第二个部分公钥Q₂＝d₂P，和Q₂的零知识证明π₂并将Q₂,π₂发送给P1。P2计算出目标公钥Q＝d₂Q₁＝d₁d₂P，保存d₂,Q,C_key和pk。

步骤2.3、P1计算目标公钥Q＝d₁Q₂＝d₁d₂P，并保存d₁,Q,pk和sk。

在上述的一种GOST数字签名生成方法，分布式GOST数字签名生成步骤具体包括：

步骤3.1、P1首先在集合{1,2,…,q-1}中选择第一个临时私钥k₁，计算第一个临时公钥R₁＝k₁P和k₁的密文C_ran＝Enc_pk(k₁)，同时生成对R₁的零知识证明π₃和对C_ran的零知识证明π₄，即证明R₁是由k₁正确生成的，C_ran是由k₁正确加密得到的。P1将R₁,C_ran,π₃,π₄发送给P2。

步骤3.2、P2在收到R₁,C_ran,π₃,π₄验证π₃,π₄，若验证通过则P2在集合{1,2,...,q-1}中选择第二个临时私钥k₂，计算第二个临时公钥R₂＝k₂P并生成对R₂的零知识证明π₅。P2通过R的x坐标x_R计算签名的第一部分r＝x_Rmod q，选择一个足够大的数ρ，再使用C_key和C_ran计算密文

即C₁＝Enc_pk(ρ·q+rd₁d₂+ek₁k₂)。P2计算目标临时公钥R＝k₂R₁并将C₁,R₂,π₅发送给P1。

步骤3.3、P1验证π₅通过后，计算出目标临时公钥R＝k₁R₂。P1使用自己的私钥sk对C₁进行解密运算Dec_sk(C₁)＝rd₁d₂+ek₁k₂mod q。解密得到的结果rd₁d₂+ek₁k₂mod q即等于签名中第二部分s。P1再使用R的x坐标x_R计算签名的第一部分r＝x_Rmod q，此时P1使用目标公钥Q验证签名(r,s)的正确性，若签名正确则输出签名，否则终止协议。

一种GOST数字签名生成系统，其特征在于，包括：

分布式密钥对生成单元：P1和P2两方参加算法生成，P1在集合{1,2,...,q-1}中随机选取私钥d₁和随机数k₁，P2在集合{1,2,...,q-1}中随机选取私钥d₂和随机数k₂，P1计算Q₁＝d₁P并发给P2，P2同时生成Q₂＝d₂P发给P1，

分布式GOST数字签名生成单元：P1和P2同时计算出GOST数字签名的验证公钥Q＝d₁d₂P。P1计算R₁＝k₁P，使用同态加密方法加密d₁和k₁发送给P2，P2计算R₂＝k₂P返回给P1。P2通过同态加密的性质，可以计算出rd₁d₂+ek₁k₂的密文并将此密文发送至P1，P1解密该密文，并计算签名的第一部分r，在签名验证通过后，P1公布完整的GOST数字签名(r,s)

在上述的一种GOST数字签名生成系统，所述分布式密钥对生成单元进行分布式密钥对生成的具体方法包括：

步骤2.1、P1在集合{1,2,…,q-1}中选择第一个部分私钥d₁，首先计算第一个部分公钥Q₁＝d₁P，同时P1对Q₁产生一个零知识证明π₀，即证明d₁是正确生成的。P1产生一个同态加密的公私钥对(pk,sk)，在这里使用Paillier加密算法，加密d₁，得到d₁的密文C_key＝Enc_pk(d₁)和(Enc_pk代表使用公钥pk加密，输出一个加密后的密文)，并生成对C_key的零知识证明π₁，即证明C_key是d₁的合法密文，并将Q₁,C_key,π₀,π₁发送给P2。

步骤2.2、P2在验证π₀和π₁的正确性后，在集合{1,2,...,q-1}中选择第二个部分私钥d₂，计算第二个部分公钥Q₂＝d₂P，和Q₂的零知识证明π₂并将Q₂,π₂发送给P1。P2计算出目标公钥Q＝d₂Q₁＝d₁d₂P，保存d₂,Q,C_key和pk。

步骤2.3、P1计算目标公钥Q＝d₁Q₂＝d₁d₂P，并保存d₁,Q,pk和sk。

在上述的一种GOST数字签名生成系统，分布式GOST数字签名生成单元进行分布式GOST数字签名生成的具体方法包括：

步骤3.1、P1首先在集合{1,2,…,q-1}中选择第一个临时私钥k₁，计算第一个临时公钥R₁＝k₁P和k₁的密文C_ran＝Enc_pk(k₁)，同时生成对R₁的零知识证明π₃和对C_ran的零知识证明π₄，即证明R₁是由k₁正确生成的，C_ran是由k₁正确加密得到的。P1将R₁,C_ran,π₃,π₄发送给P2。

步骤3.2、P2在收到R₁,C_ran,π₃,π₄验证π₃,π₄，若验证通过则P2在集合{1,2,...,q-1}中选择第二个临时私钥k₂，计算第二个临时公钥R₂＝k₂P并生成对R₂的零知识证明π₅。P2通过R的x坐标x_R计算签名的第一部分r＝x_Rmod q，选择一个足够大的数ρ，再使用C_key和C_ran计算密文

即C₁＝Enc_pk(ρ·q+rd₁d₂+ek₁k₂)。P2计算目标临时公钥R＝k₂R₁并将C₁,R₂,π₅发送给P1。

步骤3.3、P1验证π₅通过后，计算出目标临时公钥R＝k₁R₂。P1使用自己的私钥sk对C₁进行解密运算Dec_sk(C₁)＝rd₁d₂+ek₁k₂mod q。解密得到的结果rd₁d₂+ek₁k₂mod q即等于签名中第二部分s。P1再使用R的x坐标x_R计算签名的第一部分r＝x_Rmod q，此时P1使用目标公钥Q验证签名(r,s)的正确性，若签名正确则输出签名，否则终止协议。

本发明与现有技术相比具有如下优点和有益效果：首先，目前现有的普通的密钥分割或门限秘密分割，虽然能够将密钥进行分割，但是在签名的阶段，私钥会被恢复并被某一方所掌握，这样降低了多方签名的安全性和公平性，持有私钥的一方便可以完成签名，不需要全部参与方共同完成签名。其次，这类分割最终将完整的签名私钥暴露给其中一方，造成了私钥的泄漏，得到完整签名密钥的一方可以在没有其他参与方参与的情况下对其他文件进行签名。本发明实现了两方分布式生成GOST数字签名的功能，不仅要求生成签名时，两方必须同时参与，同时保证了签名私钥的安全性。

具体实施方式

下面结合实施例对本方案做详细的描述，以下实施方案只表示本发明一种可能的实施方式，不是全部可能的实施方案，不作为对本发明的限定。

对于本方案，需要签名的用户P1和P2的计算装置(如个人电脑、移动通信设备)共同产生GOST数字签名。P1和P2首先要分布式生成密钥对，然后分布式生成GOST数字签名。分布式密钥对生成的过程中如下：

1、P1在集合{1,2,…,q-1}中选择第一个部分私钥d₁，首先计算第一个部分公钥Q₁＝d₁P，同时P1对Q₁产生一个零知识证明π₀，即证明d₁是正确生成的。P1产生一个同态加密的公私钥对(pk,sk)，在这里使用Paillier加密算法，加密d₁，得到d₁的密文C_key＝Enc_pk(d₁)和(Enc_pk代表使用公钥pk加密，输出一个加密后的密文)，并生成对C_key的零知识证明π₁，即证明C_key是d₁的合法密文，并将Q₁,C_key,π₀,π₁发送给P2。

2、P2在验证π₀和π₁的正确性后，在集合{1,2,...,q-1}中选择第二个部分私钥d₂，计算第二个部分公钥Q₂＝d₂P，和Q₂的零知识证明π₂并将Q₂,π₂发送给P1。P2计算出目标公钥Q＝d₂Q₁＝d₁d₂P，保存d₂,Q,C_key和pk。

3、P1计算目标公钥Q＝d₁Q₂＝d₁d₂P，并保存d₁,Q,pk和sk。

在分布式GOST数字签名生成的过程中：

1、P1首先在集合{1,2,…,q-1}中选择第一个临时私钥k₁，计算第一个临时公钥R₁＝k₁P和k₁的密文C_ran＝Enc_pk(k₁)，同时生成对R₁的零知识证明π₃和对C_ran的零知识证明π₄，即证明R₁是由k₁正确生成的，C_ran是由k₁正确加密得到的。P1将R₁,C_ran,π₃,π₄发送给P2。

2、P2在收到R₁,C_ran,π₃,π₄验证π₃,π₄，若验证通过则P2在集合{1,2,...,q-1}中选择第二个临时私钥k₂，计算第二个临时公钥R₂＝k₂P并生成对R₂的零知识证明π₅。P2通过R的x坐标x_R计算签名的第一部分r＝x_Rmod q，选择一个足够大的数ρ，再使用C_key和C_ran计算密文

即C₁＝Enc_pk(ρ·q+rd₁d₂+ek₁k₂)。P2计算目标临时公钥R＝k₂R₁并将C₁,R₂,π₅发送给P1。

3、P1验证π₅通过后，计算出目标临时公钥R＝k₁R₂。P1使用自己的私钥sk对C₁进行解密运算Dec_sk(C₁)＝rd₁d₂+ek₁k₂mod q。解密得到的结果rd₁d₂+ek₁k₂mod q即等于签名中第二部分s。P1再使用R的x坐标x_R计算签名的第一部分r＝x_Rmod q，此时P1使用目标公钥Q验证签名(r,s)的正确性，若签名正确则输出签名，否则终止协议。

为了是方案的安全性更高，在P1和P2通信中，双方都可以使用零知识证明来证明发送的数据是来自发送方，降低数据被篡改的风险。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (2)

1.一种GOST数字签名生成方法，其特征在于，包括：

分布式密钥对生成步骤：P1和P2两方参加算法生成，P1在集合{1,2,...,q-1}中随机选取私钥d₁和随机数k₁，P2在集合{1,2,...,q-1}中随机选取私钥d₂和随机数k₂，P1计算Q₁＝d₁P并发给P2，P2同时生成Q₂＝d₂P发给P1；

分布式GOST数字签名生成步骤：P1和P2可以同时计算出GOST数字签名的验证公钥Q＝d₁d₂P；P1计算R₁＝k₁P，使用同态加密方法加密d₁和k₁发送给P2，P2计算R₂＝k₂P返回给P1；P2通过同态加密的性质，可以计算出rd₁d₂+ek₁k₂的密文并将此密文发送至P1，P1解密该密文，并计算签名的第一部分r，在签名验证通过后，P1公布完整的GOST数字签名(r,s)；

所述分布式密钥对生成步骤具体包括：

步骤2.1、P1在集合{1,2,…,q-1}中选择第一个部分私钥d₁，首先计算第一个部分公钥Q₁＝d₁P，同时P1对Q₁产生一个零知识证明π₀，即证明d₁是正确生成的；P1产生一个同态加密的公私钥对(pk,sk)，在这里使用Paillier加密算法，加密d₁，得到d₁的密文C_key＝Enc_pk(d₁)，并生成对C_key的零知识证明π₁，即证明C_key是d₁的合法密文，并将Q₁,C_key,π₀,π₁发送给P2；

步骤2.2、P2在验证π₀和π₁的正确性后，在集合{1,2,...,q-1}中选择第二个部分私钥d₂，计算第二个部分公钥Q₂＝d₂P，和Q₂的零知识证明π₂并将Q₂,π₂发送给P1；P2计算出目标公钥Q＝d₂Q₁＝d₁d₂P，保存d₂,Q,C_key和pk；

步骤2.3、P1计算目标公钥Q＝d₁Q₂＝d₁d₂P，并保存d₁,Q,pk和sk；

分布式GOST数字签名生成步骤具体包括：

步骤3.1、P1首先在集合{1,2,…,q-1}中选择第一个临时私钥k₁，计算第一个临时公钥R₁＝k₁P和k₁的密文C_ran＝Enc_pk(k₁)，同时生成对R₁的零知识证明π₃和对C_ran的零知识证明π₄，即证明R₁是由k₁正确生成的，C_ran是由k₁正确加密得到的；P1将R₁,C_ran,π₃,π₄发送给P2；

步骤3.2、P2在收到R₁,C_ran,π₃,π₄后验证π₃,π₄，若验证通过则P2在集合{1,2,...,q-1}中选择第二个临时私钥k₂，计算第二个临时公钥R₂＝k₂P并生成对R₂的零知识证明π₅；P1通过R的x坐标x_R计算签名的第一部分r＝x_Rmod q，选择一个大的数ρ，再使用C_key和C_ran计算密文

即C₁＝Enc_pk(ρ·q+rd₁d₂+ek₁k₂)；P2计算目标临时公钥R＝k₂R₁并将C₁,R₂,π₅发送给P1；

步骤3.3、P1验证π₅通过后，计算出目标临时公钥R＝k₁R₂；P1使用自己的私钥sk对C₁进行解密运算Dec_sk(C₁)＝rd₁d₂+ek₁k₂mod q；解密得到的结果rd₁d₂+ek₁k₂mod q即等于签名中第二部分s；P1再使用R的x坐标x_R计算签名的第一部分r＝x_Rmod q，此时P1使用目标公钥Q验证签名(r,s)的正确性，若签名正确则输出签名，否则终止协议。

2.一种GOST数字签名生成系统，其特征在于，包括：

分布式密钥对生成单元：P1和P2两方参加算法生成，P1在集合{1,2,...,q-1}中随机选取私钥d₁和随机数k₁，P2在集合{1,2,...,q-1}中随机选取私钥d₂和随机数k₂，P1计算Q₁＝d₁P并发给P2，P2同时生成Q₂＝d₂P发给P1，

分布式GOST数字签名生成单元：P1和P2同时计算出GOST数字签名的验证公钥Q＝d₁d₂P；P1计算R₁＝k₁P，使用同态加密方法加密d₁和k₁发送给P2，P2计算R₂＝k₂P返回给P1；P2通过同态加密的性质，可以计算出rd₁d₂+ek₁k₂的密文并将此密文发送至P1，P1解密该密文，并计算签名的第一部分r，在签名验证通过后，P1公布完整的GOST数字签名(r,s)；

所述分布式密钥对生成单元进行分布式密钥对生成的具体方法包括：

步骤2.1、P1在集合{1,2,…,q-1}中选择第一个部分私钥d₁，首先计算第一个部分公钥Q₁＝d₁P，同时P1对Q₁产生一个零知识证明π₀，即证明d₁是正确生成的；P1产生一个同态加密的公私钥对(pk,sk)，在这里使用Paillier加密算法，加密d₁，得到d₁的密文C_key＝Enc_pk(d₁)，并生成对C_key的零知识证明π₁，即证明C_key是d₁的合法密文，并将Q₁,C_key,π₀,π₁发送给P2；

步骤2.2、P2在验证π₀和π₁的正确性后，在集合{1,2,...,q-1}中选择第二个部分私钥d₂，计算第二个部分公钥Q₂＝d₂P，和Q₂的零知识证明π₂并将Q₂,π₂发送给P1；P2计算出目标公钥Q＝d₂Q₁＝d₁d₂P，保存d₂,Q,C_key和pk；

步骤2.3、P1计算目标公钥Q＝d₁Q₂＝d₁d₂P，并保存d₁,Q,pk和sk；

分布式GOST数字签名生成单元进行分布式GOST数字签名生成的具体方法包括：

步骤3.1、P1首先在集合{1,2,…,q-1}中选择第一个临时私钥k₁，计算第一个临时公钥R₁＝k₁P和k₁的密文C_ran＝Enc_pk(k₁)，同时生成对R₁的零知识证明π₃和对C_ran的零知识证明π₄，即证明R₁是由k₁正确生成的，C_ran是由k₁正确加密得到的；P1将R₁,C_ran,π₃,π₄发送给P2；

步骤3.2、P2在收到R₁,C_ran,π₃,π₄后验证π₃,π₄，若验证通过则P2在集合{1,2,...,q-1}中选择第二个临时私钥k₂，计算第二个临时公钥R₂＝k₂P并生成对R₂的零知识证明π₅；P1通过R的x坐标x_R计算签名的第一部分r＝x_Rmod q，选择一个大的数ρ，再使用C_key和C_ran计算密文

即C₁＝Enc_pk(ρ·q+rd₁d₂+ek₁k₂)；P2计算目标临时公钥R＝k₂R₁并将C₁,R₂,π₅发送给P1；

步骤3.3、P1验证π₅通过后，计算出目标临时公钥R＝k₁R₂；P1使用自己的私钥sk对C₁进行解密运算Dec_sk(C₁)＝rd₁d₂+ek₁k₂mod q；解密得到的结果rd₁d₂+ek₁k₂mod q即等于签名中第二部分s；P1再使用R的x坐标x_R计算签名的第一部分r＝x_Rmod q，此时P1使用目标公钥Q验证签名(r,s)的正确性，若签名正确则输出签名，否则终止协议。