CN109639439B

CN109639439B - 一种基于两方协同的ecdsa数字签名方法

Info

Publication number: CN109639439B
Application number: CN201910147344.8A
Authority: CN
Inventors: 何德彪; 王婧; 冯琦; 张语荻; 林超
Original assignee: Wuhan University WHU
Current assignee: Wuhan University WHU
Priority date: 2019-02-27
Filing date: 2019-02-27
Publication date: 2020-10-30
Anticipated expiration: 2039-02-27
Also published as: CN109639439A

Abstract

本发明公开了一种基于两方协同的ECDSA数字签名方法，该方法包括：1)参与协同签名的签名方Alice和签名方Bob，各自生成对应的签名公私钥对和其他参数：2)Alice和Bob协同完成ECDSA签名，最终输出签名(r，s)。本发明方法在保证安全性和正确性的前提下，签名过程不引入同态加密、不经意传输等高开销的密码操作，使得签名方案在通信开销和计算开销上取得了良好的平衡，因此性能上显著地优于现有的所有ECDSA两方协同数字签名方法。

Description

一种基于两方协同的ECDSA数字签名方法

技术领域

本发明涉及信息安全技术，尤其涉及一种基于两方协同的ECDSA数字签名方法。

背景技术

数字签名时数字化环境下的对传统手写签名的模拟，可保障数字信息的不可伪造性、可认证性和完整性。通常情况下，一方生成数字签名，可以被其他方公开验证，随着互联网的发展，数字签名技术已经广泛应用于金融，商务、军事和外交等诸多领域。为了降低签名权利集中或签名密钥丢失的风险，一些特殊的文档(如高机密的文件)通常需要多人协同才能完成签名。

针对这类问题，常见的解决方法是采用门限秘密共享方案，然而门限方案在实施过程中涉及到密钥恢复过程，并且需要有一个可信参与方或第三方持有该过程产生的完整、正确的私钥，使得持有完整私钥的参与方或第三方可以在其他参与方不知情的情况下完成签名，这在很大程度上打破了系统的安全性和公平性。为了解决这一问题，一些学者提出了两方协同、密钥无需恢复的两方ECDSA签名，然而现有的两方协同签名方案为了保证私钥的隐私性以及签名的正确性，必需引入计算开销非常高的同态加密算法(如Paillier加密)或通信开销非常高的不经意传输协议等，这使得算法在实际应用(尤其是通信开销和计算开销受限的设备)中的部署面临着巨大的挑战。

发明内容

本发明要解决的技术问题在于针对现有技术中的缺陷，提供一种基于两方协同的ECDSA数字签名方法。

本发明解决其技术问题所采用的技术方案是：一种基于两方协同的ECDSA数字签名方法，包括以下步骤：

1)参与协同签名的签名方Alice和签名方Bob，各自生成对应的签名公私钥对和其他参数：

1.1)Alice随机选择一个大整数d_A∈Z_n作为私钥，计算对应的公钥D_A＝[d_A]G；Bob随机选择一个大整数d_B∈Z_n作为私钥，计算对应的公钥D_B＝[d_B]G；

其中，G是ECDSA椭圆曲线的基点，n是阶，Z_n为模大整数n的剩余类；

1.2)Bob生成一个关于(d_B,D_B)离散对数关系的零知识证明π₁，将(π₁,D_B)发送给Alice；

1.3)Alice验证(π₁,D_B)的正确性，如果不正确，终止方案执行过程；如果正确，则计算P_AB＝D_A+D_B，并且生成一个关于(d_A,D_A)离散对数关系的零知识证明π₂，将(π₂,D_A)发送给Bob；

1.4)Bob验证(π₂,D_A)的正确性，如果不正确，终止方案执行过程；如果正确，则计算P_AB＝D_B+D_A；

1.5)Alice随机选择一对大整数a_A,b_A∈Z_n；Bob随机选择一对大整数a_B,b_B∈Z_n；

1.6)Alice和Bob通过相关密码运算(如同态操作或不经意传输等手段)分别获得数据份额z_A，z_B，使得满足(z_A+z_B)mod n＝(a_A+a_B)·(b_A+b_B)mod n；

1.7)Alice和Bob协商一对或多对随机密钥，记随机密钥对为(m_A,m_B)，使其满足m_A+m_B＝1mod n；

2)Alice和Bob协同完成ECDSA签名，最终输出签名(r,s)：

2.1)Alice随机选择一对大整数k_A，ρ_A∈Z_n，计算R_A＝[k_A]G；Bob随机选择一对大整数k_B，ρ_B∈Z_n，计算R_B＝[k_B]G；其中，Z_n为模大整数n的剩余类；

2.2)Bob生成一个关于(k_B,R_B)离散对数关系的零知识证明π₃，将(π₃,R_B)发送给Alice；

2.3)Alice验证(π₃,R_B)的正确性，如果不正确，终止方案执行过程；如果正确，则计算R＝R_A+R_B＝(r_x,r_y)和待签名消息的杂凑值e＝h(M)，r＝r_xmod n；并且生成一个关于(k_A,R_A)离散对数关系的零知识证明π₄，将(π₄,R_A)发送给Bob；

2.4)Bob验证(π₄,R_A)的正确性，如果不正确，终止方案执行过程；如果正确，则计算R＝R_B+R_A＝(r_x,r_y)和待签名消息的杂凑值e＝h(M)，r＝r_xmod n；

2.5)Alice选择一对密钥(m_A,m_B)，计算大整数δ_A＝(m_A·e+r·d_A)mod n,u_A＝(k_A-a_A)mod n，v_A＝(δ_A-a_A)mod n，w_A＝(ρ_A-b_A)mod n；

Bob计算大整数δ_B＝(m_B·e+r·d_B)mod n,u_B＝(k_B-a_B)mod n，v_B＝(δ_B-a_B)mod n，w_B＝(ρ_B-b_B)mod n；

2.6)Alice将计算的数据(u_A,v_A,w_A)发送给Bob；Bob同理将数据(u_B,v_B,w_B)发送给Alice；

2.7)Alice计算u＝(u_A+u_B)mod n，v＝(v_A+v_B)mod n，w＝(w_A+w_B)mod n，α_A＝(k_A·w+ρ_A·u+z_A-u·w)mod n，β_A＝(δ_A·w+ρ_A·v+z_A-v·w)mod n；

Alice将k_A，ρ_A，α_A分别赋值给a_A，b_A，z_A，即a_A∶＝k_A，b_A∶＝ρ_A，z_A∶＝α_A；

当实际应用需求为Bob输出签名值时，Alice将数据(α_A,β_A)发送给Bob；若无需求，可选择不发送(α_A,β_A)；

2.8)Bob计算u＝(u_A+u_B)mod n，v＝(v_A+v_B)mod n，w＝(w_A+w_B)mod n，α_B＝(k_B·w+ρ_B·u+z_B)mod n，β_B＝(δ_B·w+ρ_B·v+z_B)mod n；

Bob将k_B，ρ_B，α_B分别赋值给a_B，b_B，z_B，即a_B∶＝k_B，b_B∶＝ρ_B，z_B∶＝α_B；

当实际应用需求为Alice输出签名值时，Bob将数据(α_B,β_B)发送给Alice，否则可选择不发送(α_B,β_B)；

2.9)当实际应用需求为Alice输出签名值时，Alice计算s＝(α_A+α_B)^-1(β_A+β_B)modn，输出最终的签名值(r,s)；当实际应用需求为Bob输出签名值时，Bob计算s＝(α_A+α_B)^-1(β_A+β_B)mod n，输出最终的签名值(r,s)。

本发明产生的有益效果是：本发明实现了安全高效的SM2协同签名，签名过程中保证签名的两个参与方不会暴露各自的签名密钥，且签名必须由双方同时参与才能完成，从而提高了签名方案的安全性和公平性。同时，本发明考虑到签名在实际部署过程中的应用效能，取消了签名过程中复杂的密码操作，主要采用的是开销非常低的大整数模乘和大整数模加运算，从而大大提升了签名方案的性能

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明实施例的分布式密钥生成过程示意图；

图2是本发明实施例的两方协同ECDSA签名过程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明提出了一种基于两方协同的ECDSA数字签名方法，下面给出具体描述。

符号及定义：

Alice，Bob：计算签名的两个参与方；

G：ECDSA椭圆曲线上的基点；

h()：密码杂凑函数；

d_A,d_B：签名参与方Alice,Bob对应的私钥；

D_A,D_B：签名参与方Alice,Bob对应的公钥；

P_AB:用于验证最终签名正确性的可公开公钥；

M：待签名的消息；

e：待签名的消息的杂凑值；

n：基点G的阶(n是素因子)；

a·b：整数a,b相乘；

mod n：模n运算，例如，23mod 7＝2；

k_A,k_B,ρ_A,ρ_B：签名参与方Alice，Bob选择的随机数；

z_A,z_B：Alice和Bob各自对应的数据份额，满足关系式(z_A+z_B)mod n＝(a_A+a_B)·(b_A+b_B)mod n，其中a_A,b_A为Alice的随机数，a_B,b_B为Bob的随机数；

R_A,R_B：签名参与方A，B计算的椭圆曲线点；

[k]P：椭圆曲线上点P的k倍点，即

k是正整数；

Enc_pk:同态加密操作，对应的加密密钥为pk；

Dec_sk:同态解密操作，对应的解密密钥为sk；

c_A,c′_A,c_B,c′_B：同态密文；

同态乘法运算，如

其中c₁＝Enc_pk(m₁)；

同态加法运算，如

其中c₁＝Enc_pk(m₁)，c₂＝Enc_pk(m₂)；

∶＝：赋值操作，如将a赋值给b，b∶＝a；

x^-1：大整数x∈Z_n模n的逆，即x·x^-1＝1(mod n)；

(r,s)：签名结果；

[x₁,y₁]←P：椭圆曲线上点P的横坐标为x₁，纵坐标为y₁；

1)初始化及密钥生成，如图1所示：

在本发明中，针对参与协同签名的两方，分别产生签名的公私钥对和其他相关参数，操作如下：

1)Alice随机选择一个大整数d_A∈Z_n作为私钥，计算对应的公钥为D_A＝[d_A]G；Bob随机选择一个大整数d_B∈Z_n作为私钥，计算对应的公钥为D_B＝[d_B]G；

2)Bob生成一个关于(d_B,D_B)离散对数关系的零知识证明π₁，将(π₁,D_B)发送给Alice；

3)Alice验证(π₁,D_B)的正确性，如果不正确，终止方案执行过程；如果正确，则计算P_AB＝D_A+D_B，并且生成一个关于(d_A,D_A)离散对数关系的零知识证明π₂，将(π₂,D_A)发送给Bob；

4)Bob验证(π₂,D_A)的正确性，如果不正确，终止方案执行过程；如果正确，则计算P_AB＝D_B+D_A；

5)Alice随机选择一对大整数a_A,b_A∈Z_n，生成同态加密的公私钥对(sk_A,pk_A)；Bob随机选择一对大整数a_B,b_B∈Z_n；Alice和Bob协商一组或多组密钥(m_A,m_B)，使其满足m_A+m_B＝1mod n；

6)Alice计算同态密文

和

将密文(c_A,c′_A)发送给Bob；

7)Bob选择两个随机数γ₁,γ₂∈Z_n，然后计算同态密文

和

将密文(c₂,c′₂)发送给Alice；

8)Alice解密Bob发送的密文并计算

Bob计算z_B＝(a_B·b_B-γ₁-γ₂)mod n。

2))两方协同参与ECDSA签名，如图2所示：

在本发明中，ECDSA数字签名由两个参与方Alice和Bob协同完成，具体操作如下：

1)Alice随机选择一对大整数k_A，ρ_A∈Z_n，计算R_A＝[k_A]G；Bob随机选择一对大整数k_B，ρ_B∈Z_n，计算R_B＝[k_B]G；其中，Z_n为模大整数n的剩余类；

2)Bob生成一个关于(k_B,R_B)离散对数关系的零知识证明π₃，将(π₃,R_B)发送给Alice；

3)Alice验证(π₃,R_B)的正确性，如果不正确，终止方案执行过程；如果正确，则计算R＝R_A+R_B＝(r_x,r_y)和待签名消息的杂凑值e＝h(M)，r＝r_xmod n；并且生成一个关于(k_A,R_A)离散对数关系的零知识证明π₄，将(π₄,R_A)发送给Bob；

4)Bob验证(π₄,R_A)的正确性，如果不正确，终止方案执行过程；如果正确，则计算R＝R_B+R_A＝(r_x,r_y)和待签名消息的杂凑值e＝h(M)，r＝r_xmod n；

5)Alice计算大整数δ_A＝(m_A·e+r·d_A)mod n,u_A＝(k_A-a_A)mod n，v_A＝(δ_A-a_A)modn，w_A＝(ρ_A-b_A)mod n；

Bob计算大整数δ_B＝(m_B·e+r·d_B)mod n,u_B＝(k_B-a_B)mod n，v_B＝(δ_B-a_B)mod n，w_B＝(ρ_B-b_B)mod n

6)Alice将计算的数据(u_A,v_A,w_A)发送给Bob；Bob同理将数据(u_B,v_B,w_B)发送给Alice。

7)Alice计算u＝(u_A+u_B)mod n，v＝(v_A+v_B)mod n，w＝(w_A+w_B)mod n，α_A＝(k_A·w+ρ_A·u+z_A-u·w)mod n，β_A＝(δ_A·w+ρ_A·v+z_A-v·w)mod n；Alice将k_A，ρ_A，α_A分别赋值给a_A，b_A，z_A，即a_A∶＝k_A，b_A∶＝ρ_A，z_A∶＝α_A；当实际应用需求为Bob输出签名值时，Alice将数据(α_A,β_A)发送给Bob，否则可选择不发送(α_A,β_A)；

8)Bob计算u＝(u_A+u_B)mod n，v＝(v_A+v_B)mod n，w＝(w_A+w_B)mod n，α_B＝(k_B·w+ρ_B·u+z_B)mod n，β_B＝(δ_B·w+ρ_B·v+z_B)mod n；Bob将k_B，ρ_B，α_B分别赋值给a_B，b_B，z_B，即a_B∶＝k_B，b_B∶＝ρ_B，z_B∶＝α_B；当实际应用需求为Alice输出签名值时，Bob将数据(α_B,β_B)发送给Alice,否则可选择不发送(α_B,β_B)；

9)当实际应用需求为Alice输出签名值时，Alice计算s＝(α_A+α_B)^-1(β_A+β_B)mod n，输出最终的签名值(r,s)；当实际应用需求为Bob输出签名值时，Bob计算s＝(α_A+α_B)^-1(β_A+β_B)mod n，输出最终的签名值(r,s)。

三、两方协同ECDSA签名的验证，签名值(r,s)的验证方式与ECDSA签名验证方式相同，其中签名的验证公钥为P_AB＝D_A+D_B＝D_B+D_A。

本发明实现了安全高效的SM2协同签名，签名过程中保证签名的两个参与方不会暴露各自的签名密钥，且签名必须由双方同时参与才能完成，从而提高了签名方案的安全性和公平性。同时，本发明考虑到签名在实际部署过程中的应用效能，取消了签名过程中复杂的密码操作，主要采用的是开销非常低的大整数模乘和大整数模加运算，从而大大提升了签名方案的性能。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims

1.一种基于两方协同的ECDSA数字签名方法，其特征在于，包括以下步骤：

1)参与协同签名的签名方Alice和签名方Bob，各自生成对应的签名公私钥对：

1.6)Alice和Bob通过运算分别获得数据份额z_A，z_B，使得满足(z_A+z_B)mod n＝(a_A+a_B)·(b_A+b_B)mod n；

1.7)Alice和Bob协商一对随机密钥，记随机密钥对为(m_A,m_B)，使其满足m_A+m_B＝1 modn；

2)Alice和Bob协同完成ECDSA签名，最终输出签名(r,s)，并更新步骤1)中的相关参数：a_A，b_A，z_A，a_B，b_B，z_B：

2.3)Alice验证(π₃,R_B)的正确性，如果不正确，终止方案执行过程；如果正确，则计算R＝R_A+R_B＝(r_x,r_y)和待签名消息的杂凑值e＝h(M)，r＝r_x mod n；并且生成一个关于(k_A,R_A)离散对数关系的零知识证明π₄，将(π₄,R_A)发送给Bob；

2.4)Bob验证(π₄,R_A)的正确性，如果不正确，终止方案执行过程；如果正确，则计算R＝R_B+R_A＝(r_x,r_y)和待签名消息的杂凑值e＝h(M)，r＝r_x mod n；

2.5)Alice选择一对密钥对(m_A,m_B)，计算大整数δ_A＝(m_A·e+r·d_A)mod n,u_A＝(k_A-a_A)mod n，v_A＝(δ_A-a_A)mod n，w_A＝(ρ_A-b_A)mod n；Bob计算大整数δ_B＝(m_B·e+r·d_B)mod n,u_B＝(k_B-a_B)mod n，v_B＝(δ_B-a_B)mod n，w_B＝(ρ_B-b_B)mod n；

Alice将k_A，ρ_A，α_A分别赋值给a_A，b_A，z_A；

当实际应用需求为Bob输出签名值时，Alice将数据(α_A,β_A)发送给Bob；若无需求，则不发送(α_A,β_A)；

Bob将k_B，ρ_B，α_B分别赋值给a_B，b_B，z_B；

当实际应用需求为Alice输出签名值时，Bob将数据(α_B,β_B)发送给Alice，否则不发送(α_B,β_B)；

2.9)当实际应用需求为Alice输出签名值时，Alice计算s＝(α_A+α_B)^-1(β_A+β_B)mod n，输出最终的签名值(r,s)；当实际应用需求为Bob输出签名值时，Bob计算s＝(α_A+α_B)^-1(β_A+β_B)mod n，输出最终的签名值(r,s)。

2.根据权利要求1所述的基于两方协同的ECDSA数字签名方法，所述步骤1.6)中，通过运算分别获得数据份额使用同态操作或不经意传输协议方法。