CN109547199B

CN109547199B - 一种多方联合生成sm2数字签名的方法

Info

Publication number: CN109547199B
Application number: CN201811379398.9A
Authority: CN
Inventors: 何德彪; 冯琦; 王婧; 林超; 张语荻; 张佳妮
Original assignee: Wuhan University WHU
Current assignee: Wuhan University WHU
Priority date: 2018-11-19
Filing date: 2018-11-19
Publication date: 2021-07-02
Anticipated expiration: 2038-11-19
Also published as: CN109547199A

Abstract

本发明公开了一种多方联合生成SM2数字签名的方法，该方法包括以下步骤：参与数字签名的各参与方P₁，P₂，...，P_τ，分别随机选取部分私钥

以及两个部分随机数

和

随后各参与方通过交互式理想函数

计算得SM2的公钥

以及两个中间变量

和α＝xρmod n；对于消息m，各参与方分别计算杂凑值e＝h(m)和第一部分签名r＝r_x+e mod n，并通过交互式理想函数

计算得第三个中间变量β＝ρ(k+r)mod n。最后各参与方分别计算第二部分签名s＝min{α^‑1β‑r，n‑α^‑1β+r}，在签名验证通过后，输出完整的SM2数字签名(r，s)。本发明实现了多方联合生成SM2数字签名，签名过程中保证各参与方都不会暴露部分私钥，同时数字签名必须由所有参与方同时参与，这样实现了多方签名的安全性和公平性。

Description

一种多方联合生成SM2数字签名的方法

技术领域

本发明涉及信息安全技术，尤其涉及一种多方联合生成SM2数字签名的方法。

背景技术

数字签名是公钥密码体系中重要的一部分，在很多场合有着重要的作用。通常来说，每个用户拥有一对密钥，即(私钥，公钥)。数字签名由用户的私钥生成，可以使用公钥验证。但是随着互联网的发展，许多事务在网络上开展，如电子商务、电子证券等。这些电子事务的完成通常涉及若干个参与方，需要各参与者同时对相关消息进行签名，其安全性和参与者之间的公平性需求催生了关于多方数字签名体制的研究。

对于此类问题，比较常见的解决方法是使用秘密共享来联合生成数字签名。在这种方法中，私钥被分割为t个部分私钥，例如门限秘密分割，这些部分私钥将被安全地分给n个参与方掌管。当需要使用私钥进行签名时，这些参与者中的k个及以上可以重构私钥，少于k个参与者则无法获得关于完整私钥的信息。但是一旦私钥被恢复，持有完整私钥的一方就可以在其他参与方不知晓的情况下独立地进行签名运算，威胁了安全性和公平性，甚至造成巨大的利益损失。

针对这种情况，本专利设计了一种多方联合生成SM2数字签名的方案，此方案在多方联合生成签名的情况下，既能保证签名的正确性，又能保证签名的私钥不被泄露，且生成签名的过程中必须由所有参与方同时执行操作。

SM2是由国家密码管理局颁布的一种椭圆曲线公钥密码算法(参见《SM2椭圆曲线公钥密码算法》规范，国家密码管理局，2010年12月)，基于此算法能实现数字签名、密钥交换及数据加密。在这里，不同于各种普通的密钥分割或门限秘密分割。本专利提出的多方联合产生SM2数字签名的方法与系统，必须在所有参与者共同运算下才能产生，并且任何一方都无法得到原始的私钥。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种多方联合生成SM2数字签名的方法。

本发明解决其技术问题所采用的技术方案是：一种多方联合生成SM2数字签名的方法，参与数字签名的所有参与方为P₁,P₂,…,P_τ，该方法包括以下步骤：

1)每个参与方分别产生自己的部分私钥，并借助理想函数

得到共同的公钥；

1.1)参与方P_i，i∈{1,…,τ}，在

中随机选择一个整数x_i作为自己的部分私钥，发送(input,sid_sk,x_i)给理想函数

其中，sid_sk为唯一私钥标识符；

其中，

为以整数n为阶的整数域；

1.2)若

没有(sid_sk,i,·)，则保存(sid_sk,i,x_i)；否则忽略此条消息；

1.3)若

收到所有参与方发来的(input，sid_sk,x_i)，

计算

mod n，保存(sid_sk,x)，并把(input,sid_sk)发送给所有参与方；

1.4)当所有参与方接收到

返回的(input,sid_sk)后，发送(element-out，sid_sk)给

1.5)当

收到所有参与方发来的(element-out，sid_sk)，如果

没有(sid_sk，x)，则忽略此条消息；否则计算Q＝xG(即

)，并以(element-out,sid_sk,Q)的形式把结果发给所有参与方；其中，G为椭圆曲线点群

的基点；

1.6)所有参与方从

的返回中获得中间变量Q，计算P_pub＝(Q-G)作为SM2的公钥，连同部分私钥x_i一起安全保存；

2)由P₁,P₂,…,P_τ共同完成SM2数字签名；

2.1)P_i在

中随机选择两个整数k_i、ρ_i，发送(input,sid_sig||1,k_i)和(input,sid_sig||2,ρ_i)给

其中，整数

整数

并且分别由sid_sig||1和sid_sig||2唯一标识；sid_sig为签名会话的标识符；

2.2)当

收到某参与方P_i，i∈{1,…,τ}发来的(input,sid_sig||1,k_i)和(input,sid_sig||2,ρ_i)，如果

没有(sid_sig||1,i,·)和(sid_sig||2,i,·)，则保存(sid_sig||1,i,k_i)和(sid_sig||2,i,ρ_i)；否则忽略此条消息；

当收到所有参与方发来的(input,sid_sig||1,k_i)和(input,sid_sig||2,ρ_i)，i∈{1,…,τ}，

计算

保存(sid_sig||1,k)和(sid_sig||2,ρ)，并把(input,sid_sig||1)和(input,sid_sig||2)发送给所有参与方；

2.3)当参与方接收到(input,sid_sig||1)，(input,sid_sig||2)后，P_i发送(mult,sid_sk,sid_sig||2)和(element-out,sid_sig||1)给

2.4)当收到所有参与方发来的(mult,sid_sk,sid_sig||2)，i∈{1,…,τ}，

找出(sid_sk，x)和(sid_sig||2,ρ)，计算

并以(mult-out,sid_sk,sid_sig||2,α)的形式把结果发给所有参与方；如果没有(sid_sk，x)或(sid_sig||2,ρ)，则忽略此条消息；

当收到所有参与方发来的(element-out,sid_sig||1),i∈{1,…,τ}，如果

没有(sid_sig||1,k)，则忽略此条消息。否则计算R＝kG(即

)，并以(element-out,sid_sig||1,R)的形式把结果发给所有参与方；

2.5)P_i从

返回的(element-out,sid_sig||1,R)和(mult-out,sid_sk,sid_sig||2,α)中获得第一个中间变量

和第二个中间变量α(α＝xρmodn)；

2.6)令R＝(r_x,r_y)，P_i计算第一部分签名r＝e+r_x mod n，其中e是消息m的杂凑值，e＝h(m)；

2.7)P_i发送(affine,sid_sig||1,sid_sig||3,1,r)给

(此时标识符sid_sig||3代表了第三个中间变量，等于k+r mod n)；

2.8)当收到某参与方P_i，i∈{1,…,τ}发来的(affine,sid_sig||1,sid_sig||3,1,r)时，其中x,y是

域内的常数，如果

没有(sid_sig||1,k)，则忽略此条消息，否则计算b＝k+r mod n，保存(sid_sig||3,b)；

2.9)P_i发送(mult,sid_sig||2,sid_sig||3)给

2.10)当收到所有参与方发来的(mult,sid_sig||2,sid_sig||3)，i∈{1,…,τ}，

找出(sid_sig||2,ρ)和(sid_sig||3,b)，计算β＝ρb mod n＝ρ(k+r)mod n并以(mult-out,sid_sig||2,sid_sig||3,β)的形式把结果发给所有参与方；如果没有(sid_sig||2,ρ)或(sid_sig||3,b)，则忽略此条消息；

2.11)当

返回(mult-out,sid_sig||2,sid_sig||3,β)时，P_i获得第四个中间变量β(β＝ρ(k+r)mod n)；

2.12)P_i计算第五个中间变量s^′＝α^-1β-r mod n，为了保持签名一致，选取s＝min{s^′,n-s′}作为第二部分签名；

2.13)P_i利用SM2的数字签名验证算法验证产生的签名，若通过则公布关于消息m的SM2签名Sig＝(r,s)。

2.14)根据所有参与方P_i密钥对，联合生成SM2数字签名。

按上述方案，所述步骤1)中，在P₁,P₂,…,P_τ之间的通信中，各参与方使用零知识证明和同态加密保证发送数据的隐私性并且证明发送的数据是来自发送方。

本发明产生的有益效果是：1.关于私钥的安全性，目前现有的门限秘密共享方案，虽然可以将私钥进行分割，但在签名阶段，私钥会被恢复并被某一方掌握，造成了私钥的泄露，这样降低了多方签名的安全性。

2.关于签名的公平性，目前现有的门限秘密共享方案，最终持有完整私钥的一方可以独立进行签名，不需要全部参与方共同参加，这样降低了多方签名的公平性。

3.本发明实现了多方联合生成SM2数字签名，签名过程中保证各参与方都不会暴露部分私钥，同时数字签名必须由所有参与方同时参与，这样实现了多方签名的安全性和公平性。

4.本发明基于数学难题，保证即使有一方的私钥丢失，也不会泄露关于完整私钥或其他参与方持有的部分私钥的任何信息。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的交互过程示意图；

图2是本发明实施例的交互过程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

如图1所示，本发明提出了一个多方联合生成SM2数字签名的方案，下面给出具体描述。

在以下对本发明方案的描述中，若P,Q是椭圆曲线群中的元素(点)，则P+Q、P-Q分别表示P,Q的点加、减运算，k·P表示k个椭圆曲线点P的点加，即P+P+…+P(共有k个P)；省略号”…”，表示多个同样(类型)的数据项或多个同样的运算；

表示以整数n为阶的整数域；c^-1表示整数c的模n乘法逆(即c·c^-1mod n＝1)；min{a,b}表示取a和b中的较小值；多个整数相乘(包括整数符号相乘、常数与整数符号相乘)，在不产生二义性的情况下，省略掉乘号"·"，如k₁·k₂简化为k₁k₂，3·c，简化位3c；h表示杂凑函数，mod n表示模n运算(modulooperation)，分别对应于《SM2椭圆曲线公钥密码算法》规范(国家密码管理局，2010年12月)中的密码杂凑函数和mod n操作；并且，模n运算的算子mod n的优先级是最低的，如a+b modn等同于(a+b)mod n，a-b mod n等同于(a-b)mod n，ab mod n等同于(ab)mod n。

在本发明方案中，生成SM2数字签名时，有τ个参与方，表示为P₁,P₂,…,P_τ。在生成数字签名前，P₁,P₂,…,P_τ根据《SM2椭圆曲线公钥密码算法》规范(国家密码管理局，2010年12月)完成初始化操作：设定SM2密码运算所使用的椭圆曲线点群

的阶n，以及

的基点G。

在以下对本发明签名阶段的描述中，将使用理想函数

实现基本的运算操作，具体包括以下几个部分(约定sid为特定标识符，用来标识变量或会话)：

当收到某参与方P_i，i∈{1,…,τ}发来的(input,sid,a_i)，如果

没有(sid,i,·)，则保存(sid,i,a_i)；否则忽略此条消息。

当收到所有参与方发来的(input,sid,a_i)，i∈{1,…,τ}，

计算

保存(sid,a)，并把(input,sid)发送给所有参与方。

当收到所有参与方发来的(mult,sid₁,sid₂)，i∈{1,…,τ}，

找出(sid₁,a)和(sid₂,b)，计算

并以(mult-out,sid₁,sid₂,c)的形式把结果发给所有参与方；如果没有保存的(sid₁,a)或(sid₂,b)，则忽略此条消息。

当收到某参与方P_i，i∈{1,…,τ}发来的(affine,sid₁,sid₂,x,y)时，其中x,y是

域内的常数。如果

没有(sid₁,a)，则忽略此条消息。否则计算b＝ax+y mod n，保存(sid₂,b)。

当收到所有参与方发来的(element-out,sid),i∈{1,…,τ}，如果

没有(sid,a)，则忽略此条消息。否则计算A＝aG(即

),并以(element-out,sid,A)的形式把结果发给所有参与方。

密钥分发阶段：

在发明中，参与数字签名的P₁,P₂,…,P_τ，分别产生自己的部分私钥，并借助理想函数

得到共同的公钥。图1表示每个参与方的操作，具体包括以下步骤：

1、每个参与方P_i在

中随机选择一个整数x_i作为自己的部分私钥，即各参与方P₁,P₂,…,P_τ分别生成自己的部分私钥

发送(input,sid_sk,x_i)给

(令整数

表示完整私钥，并且约定”sid_sk”唯一标识私钥)；

2、当接收到

返回的(input,sid_sk)后，每个参与方P_i发送(element-out,sid_sk)给

3、各参与方从

的返回中获得中间变量Q(数值上等于

)，计算P_pub＝(Q-G)作为SM2的公钥，连同部分私钥x_i一起安全保存。

步骤3中，在交互过程中各参与方使用ElGamal加密和Sigma协议证明Q_i＝x_iG且

联合签名阶段：

在本发明中，SM2数字签名由P₁,P₂,…,P_τ共同完成。假定当前签名会话的标识符为sid_sig。图2表示每个参与方的操作，每个包括以下操作(i＝1,…,τ)：

1、各参与方P_i在

(令整数

整数

并且分别由”sid_sig||1”和"sid_sig||2"唯一标识)；

在交互过程中各参与方使用ElGamal加密和Sigma协议为k_i和ρ_i提供证明,i＝1,…,τ。

2、当接收到(input,sid_sig||1)，(input,sid_sig||2)后，各参与方P_i发送(mult,sid_sk,sid_sig||2)和(element-out,sid_sig||1)给

3、各参与方P_i从

返回的(element-out,sid_sig||1,R)和(mult-out,sid_sk,sid_sig||2,α)中获得第一个中间变量R(等于

)，和第二个中间变量α(等于xρmod n)；

在交互过程中使用ElGamal加密和Sigma协议证明R_i＝k_iG且

),i＝1,…,τ。

在交互过程中使用ElGamal加密和Sigma协议证明

4、令R＝(r_x,r_y)，P_i计算第一部分签名r＝e+r_x mod n，其中e是消息m的杂凑值e＝h(m)；

5、P_i发送(affine,sid_sig||1,sid_sig||3,1,r)给

(此时标识符sid_sig||3代表了第三个中间变量，等于k+r mod n)；

6、P_i发送(mult,sid_sig||2,sid_sig||3)给

7、当

返回(mult-out,sid_sig||2,sid_sig||3,β)时，P_i获得第四个中间变量β(等于ρ(k+r)mod n)；并在交互过程中使用ElGamal加密和Sigma协议证明

8、P_i计算第五个中间变量s′＝α^-1β-r mod n。为了保持签名一致，选取s＝min{s′,n-s′}作为第二部分签名；

9、P_i利用SM2的数字签名验证算法使用公钥P_pub验证签名的正确性，若通过则公布关于消息m的SM2签名Sig＝(r,s)。

对于本发明，需要参与签名的用户P₁,P₂,…,P_τ分别产生部分私钥x₁,x₂,…,x_τ和部分随机数k₁,k₂,…,k_τ。其中每个参与方都可以在不得到完整的私钥的情况下通过交互完成对消息产生唯一的签名。在各参与方生成部分私钥x₁,x₂,…,x_τ和部分随机数k₁,k₂,…,k_τ之前不需要协商，并各自保存且不公开自己的部分私钥和部分随机数。

为了使方案的安全性更高，在P₁,P₂,…,P_τ之间的通信过程中，使用零知识证明，例如交互式的Sigma协议和同态加密，例如ElGamal加密算法，来保证发送数据的隐私性并且证明发送的数据是来自发送方，降低数据被窃取或被伪造的风险，同时也可以防止有恶意参与方干扰联合签名过程。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims

1.一种多方联合生成SM2数字签名的方法，其特征在于，参与数字签名的所有参与方为P₁,P₂,…,P_τ，该方法包括以下步骤：

1)每个参与方分别产生自己的部分私钥，并借助理想函数

得到共同的公钥；

其中，使用理想函数

实现基本的运算操作，具体包括以下几个运算操作，其中，sid为特定标识符，用来标识变量或会话：

当收到某参与方P_i，i∈{1,…,τ}发来的(input,sid,a_i)，如果

本地没有(sid,i,·)，则保存(sid,i,a_i)；否则忽略此条消息；

当收到所有参与方发来的(input,sid,a_i)，i∈{1,…,τ}，

计算

保存(sid,a)，并把(input,sid)发送给所有参与方；

当收到所有参与方发来的(mult,sid₁,sid₂)，i∈{1,…,τ}，

找出(sid₁,a)和(sid₁,b)，计算

并以(mult-out,sid₁,sid₂,c)的形式把结果发给所有参与方；如果没有保存的(sid₁,a)或(sid₁,b)，则忽略此条消息；

域内的常数，如果

本地没有(sid₁,a)，则忽略此条消息；否则计算b＝ax+y mod n，保存(sid₂,b)；

当收到所有参与方发来的(element-out,sid),i∈{1,…,τ}，如果

本地没有(sid,a)，则忽略此条消息；否则计算A＝aG，即

,并以(element-out,sid,A)的形式把结果发给所有参与方；

步骤1)具体如下：

1.1)参与方P_i，i∈{1,…,τ}，在

其中，sid_sk为唯一私钥标识符；

其中，

为以整数n为阶的整数域；

1.2)若

没有(sid_sk,i,·)，则保存(sid_sk,i,x_i)；否则忽略此条消息；

1.3)若

收到所有参与方发来的(input,sid_sk,x_i)，

计算

保存(sid_sk,x)，并把(input,sid_sk)发送给所有参与方；

1.4)当所有参与方接收到

返回的(input,sid_sk)后，发送(element-out,sid_sk)给

1.5)当

收到所有参与方发来的(element-out，sid_sk)，如果

没有(sid_sk，x)，则忽略此条消息；否则计算Q＝xG，并以(element-out,sid_sk,Q)的形式把结果发给所有参与方；其中，G为椭圆曲线点群

的基点；

1.6)所有参与方从

2)由P₁,P₂,…,P_τ共同完成SM2数字签名；

2.1)P_i在

其中，整数

整数

2.2)当

计算

保存(sid_sig||1,k)和(sid_sig||2，ρ)，并把(input，sid_sig||1)和(input，sid_sig||2)发送给所有参与方；

2.3)当参与方接收到(input，sid_sig||1)，(input，sid_sig||2)后，P_i发送(mult，sid_sk，sid_sig||2)和(element-out,sid_sig||1)给

2.4)当收到所有参与方发来的(mult，sid_sk,sid_sig||2)，i∈{1，…，τ}，

找出(sid_sk，x)和(sid_sig||2，ρ)，计算

并以(mult-out，sid_sk，sid_sig||2，α)的形式把结果发给所有参与方；如果没有(sid_sk，x)或(sid_sig||2,ρ)，则忽略此条消息；

当收到所有参与方发来的(element-out,sid_sig||1),i∈{1，…，τ}，如果

没有(sid_sig||1，k)，则忽略此条消息；否则计算R＝kG，并以(element-out，sid_sig||1，R)的形式把结果发给所有参与方；

2.5)P_i从

返回的(element-out，sid_sig||1，R)和(mult-out,sid_sk,sid_sig||2,α)中获得第一个中间变量R，和第二个中间变量α，α＝xρmod n；

2.7)P_i发送(affine，sid_sig||1，sid_sig||3，1，r)给

标识符sid_sig||3代表了第三个中间变量，等于k+r mod n；

2.8)当收到某参与方P_i，i∈{1，…，τ}发来的(affine，sid_sig||1，sid_sig||3，1，r)时，其中x，y是

域内的常数，如果

没有(sid_sig||1，k)，则忽略此条消息，否则计算b＝k+rmod n，保存(sid_sig||3，b)；

2.9)P_i发送(mult，sid_sig||2，sid_sig||3)给

2.10)当收到所有参与方发来的(mult,sid_sig||2，sid_sig||3)，i∈{1，…，τ}，

找出(sid_sig||2，ρ)和(sid_sig||3，b)，计算β＝ρb mod n＝ρ(k+r)mod n并以(mult-out，sid_sig||2,sid_sig||3，β)的形式把结果发给所有参与方；如果没有(sid_sig||2，ρ)或(sid_sig||3，b)，则忽略此条消息；

2.11)当

返回(mult-out，sid_sig||2，sid_sig||3，β)时，P_i获得第四个中间变量β，β＝ρ(k+r)mod n；

2.12)P_i计算第五个中间变量s′＝α^-1β-r mod n，为了保持签名一致，选取s＝min{s′，n-s′}作为第二部分签名；

2.13)P_i利用SM2的数字签名验证算法验证产生的签名，若通过则公布关于消息m的SM2签名Sig＝(r，s)；

2.14)根据所有参与方P_i密钥对，联合生成SM2数字签名。

2.根据权利要求1所述的多方联合生成SM2数字签名的方法，其特征在于，所述步骤1)中，在P₁，P₂，…，P_τ之间的通信中，各参与方使用零知识证明和同态加密保证发送数据的隐私性并且证明发送的数据是来自发送方。