CN110061828B - 无可信中心的分布式数字签名方法 - Google Patents
无可信中心的分布式数字签名方法 Download PDFInfo
- Publication number
- CN110061828B CN110061828B CN201910271277.0A CN201910271277A CN110061828B CN 110061828 B CN110061828 B CN 110061828B CN 201910271277 A CN201910271277 A CN 201910271277A CN 110061828 B CN110061828 B CN 110061828B
- Authority
- CN
- China
- Prior art keywords
- signature
- participant
- parameter
- generation parameter
- representing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/008—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving homomorphic encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3066—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
本发明公开了一种无可信中心的分布式数字签名方法,用于解决现有数字签名方法效率低的技术问题。技术方案是在密钥生成阶段,t个签名参与者依次选取自己的子私钥并秘密保存,通过与前一个公钥生成参数相乘计算自己对应的公钥生成参数,最终第t个签名参与者计算出公钥。在签名阶段,t个签名参与者依次利用自己持有的子私钥进行分布式签名,然后由第t个签名参与者在同态加密条件下完成签名第二部分的合成,再由第一个签名参与者完成最终的签名合成与验证。本发明利用paillier同态加密算法,最后的签名验证只需要一个椭圆曲线上的点加运算和两个椭圆曲线上的点乘运算,与背景技术方法的t·tz次交互相比,提高了计算效率。
Description
技术领域
本发明涉及一种数字签名方法,特别涉及一种无可信中心的分布式数字签名方法。
背景技术
文献“Goldfeder S,Gennaro R,Kalodner H,et al.Securing Bitcoin walletsvia a new DSA/ECDSA threshold signature scheme.2015.”中提出了一种分布式门限签名方法,该方法利用的主要技术是paillier同态加密算法和零知识证明。该方法中,签名的私钥由t个人掌握,签名过程需要t个人参与完成,因此提高了签名私钥的安全性。然而,这个方法中使用了大量的零知识证明操作,零知识证明需要验证方与被验证方进行多次交互,交互次数的量级越高,被验证方的可信度越高,这是一个耗时操作,因此该方法的效率相对较低。在该方法中,完成一次签名需要进行t次零知识证明,假设进行一次零知识证明需要tz次交互,那么完成所有的零知识证明就需要t·tz次交互,交互的次数太多导致该方法并不适合在真实场景中应用。
发明内容
为了克服现有数字签名方法效率低的不足,本发明提供一种无可信中心的分布式数字签名方法。该方法在密钥生成阶段,t个签名参与者依次选取自己的子私钥并秘密保存,通过与前一个公钥生成参数相乘计算自己对应的公钥生成参数,最终第t个签名参与者计算出公钥。在签名阶段,t个签名参与者依次利用自己持有的子私钥进行分布式签名,然后由第t个签名参与者在同态加密条件下完成签名第二部分的合成,再由第一个签名参与者完成最终的签名合成与验证。本发明利用paillier同态加密算法,每个签名参与者不需要利用零知识证明来保证签名的正确性,只需要由第一个签名参与者对签名进行验证就可以保证最终签名的正确性,最后的签名验证只需要一个椭圆曲线上的点加运算和两个椭圆曲线上的点乘运算,与背景技术方法的t·tz次交互相比,提高了计算效率。
本发明解决其技术问题所采用的技术方案:一种无可信中心的分布式数字签名方法,其特点是包括以下步骤:
步骤一、第一个签名参与者ID1选取自己的子私钥d1∈{1,2,…,n-1}并秘密保存,然后按照下式,计算第一个公钥生成参数Q1,并将第一个公钥生成参数Q1发送给第二个签名参与者ID2:
Q1=d1G
其中,ID1表示第一个签名参与者,ID2表示第二个签名参与者,d1表示第一个签名参与者ID1的子私钥,Q1表示第一个公钥生成参数,G表示椭圆曲线上一个阶为n的基点,n为正整数,表示基点G的阶;
步骤二、第i个签名参与者IDi接收到第i-1个公钥生成参数Qi-1后,选取自己的子私钥di∈{1,2,…,n-1}并秘密保存,然后按照下式,计算第i个公钥生成参数Qi,并将第i个公钥生成参数Qi发送给第i+1个签名参与者IDi+1,i∈{2,3,…,t-1}:
Qi=diQi-1
其中,IDi表示第i个签名参与者,IDi+1表示第i+1个签名参与者,di表示第i个签名参与者IDi的子私钥,Qi-1表示第i-1个公钥生成参数,Qi表示第i个公钥生成参数,t是一个正整数,表示签名参与者的个数;
步骤三、第t个签名参与者IDt接收到第t-1个公钥生成参数Qt-1后,选取自己的子私钥dt∈{1,2,…,n-1}并秘密保存,然后按照下式,计算公钥Q,并将公钥Q广播给所有签名参与者:
Q=dtQt-1
其中,IDt表示第t个签名参与者,Qt-1表示第t-1个公钥生成参数,dt表示第t个签名参与者IDt的子私钥,Q表示公钥;
步骤四、第一个签名参与者ID1选取自己的秘密值k1∈{1,2,…,n-1},然后计算自己的秘密值k1在模n下是否存在乘法逆元k1 -1,如果存在,则执行下一步骤,如果不存在,则重新选取自己的秘密值k1并重新计算自己的秘密值k1在模n下是否存在乘法逆元k1 -1,直到找到一个存在乘法逆元k1 -1的秘密值k1,然后执行下一步骤;
其中,k1表示第一个签名参与者ID1的秘密值,k1 -1表示第一个签名参与者ID1的秘密值k1在模n下的乘法逆元;
步骤五、按照下式,第一个签名参与者ID1计算第一个签名参数中间值R1,并将第一个签名参数中间值R1发送给第二个签名参与者ID2:
R1=k1G
其中,R1表示第一个签名参数中间值;
步骤六、第i个签名参与者IDi接收到第i-1个签名参数中间值Ri-1后,选取自己的秘密值ki∈{1,2,…,n-1},然后计算自己的秘密值ki在模n下是否存在乘法逆元ki -1,如果存在,则执行下一步骤,如果不存在,则重新选取自己的秘密值ki并重新计算自己的秘密值ki在模n下是否存在乘法逆元ki -1,直到找到一个存在乘法逆元ki -1的秘密值ki,然后执行下一步骤;
其中,ki表示第i个签名参与者IDi的秘密值,ki -1表示第i个签名参与者IDi的秘密值ki在模n下的乘法逆元;
步骤七、按照下式,第i个签名参与者IDi计算第i个签名参数中间值Ri,并将第i个签名参数中间值Ri发送给第i+1个签名参与者IDi+1:
Ri=kiRi-1
其中,Ri表示第i个签名参数中间值,Ri-1表示第i-1个签名参数中间值;
步骤八、第t个签名参与者IDt接收到第t-1个签名参数中间值Rt-1后,选取自己的秘密值kt∈{1,2,…,n-1},然后计算自己的秘密值kt在模n下是否存在乘法逆元kt -1,如果存在,则执行下一步骤,如果不存在,则重新选取自己的秘密值kt并重新计算自己的秘密值kt在模n下是否存在乘法逆元kt -1,直到找到一个存在乘法逆元kt -1的秘密值kt,然后执行下一步骤;
其中,kt表示第t个签名参与者IDt的秘密值,kt -1表示第t个签名参与者IDt的秘密值kt在模n下的乘法逆元;
步骤九、按照下式,第t个签名参与者IDt计算签名参数R:
R=ktRt-1=(xR,yR)
然后判断签名参数R是否为椭圆曲线上的零点,如果是,则返回步骤六,如果不是,则将签名参数R广播给所有的签名参与者;
其中,Rt-1表示第t-1个签名参数中间值,R表示签名参数,xR表示签名参数R的横坐标,yR表示签名参数R的纵坐标;
步骤十、第一个签名参与者ID1接收到签名参数R后,按照下式,计算第一部分签名r:
r=xRmodn
然后判断r=0是否成立,如果成立,则返回步骤三,如果不成立,则继续执行下一步骤;
其中,r表示第一部分签名,mod表示求模运算;
步骤十一、按照下式,第一个签名参与者ID1计算消息M的哈希值H,然后按照数据类型转换规则,将H转换成一个整数e;
H=hash(M)
其中,M表示消息,H表示消息M的哈希值,hash表示一个密码哈希算法,e表示哈希值H转换后的整数值;
步骤十二、第一个签名参与者ID1选择paillier同态加密算法的私钥sk和公钥pk,将私钥sk秘密保存,并将公钥pk公开;
其中,paillier表示同态加密算法,sk表示paillier同态加密算法的私钥,用来做解密运算,pk表示paillier同态加密算法的公钥,用来做加密运算;
步骤十三、按照下式,第一个签名参与者ID1计算第一个签名生成参数第一部分α1和第一个签名生成参数第二部分β1,然后将第一个签名生成参数第一部分α1和第一个签名生成参数第二部分β1发送给第二个签名参与者ID2:
α1=Epk(k1 -1emodn)
β1=Epk(rk1 -1d1modn)
其中,α1表示第一个签名生成参数第一部分,β1表示第一个签名生成参数第二部分,Epk(.)表示paillier同态加密算法的加密运算;
步骤十四、第i个签名参与者IDi接收到第i-1个签名生成参数第一部分αi-1和第i-1个签名生成参数第二部分βi-1后,按照下式,计算第i个签名生成参数第一部分αi和第i个签名生成参数第二部分βi,然后将第i个签名生成参数第一部分αi和第i个签名生成参数第二部分βi发送给第i+1个签名参与者IDi+1:
αi=ki -1×Eαi-1
βi=Epk(ki -1dimodn)×Eβi-1
其中,αi表示第i个签名生成参数第一部分,βi表示第i个签名生成参数第二部分,αi-1表示第i-1个签名生成参数第一部分,βi-1表示第i-1个签名生成参数第二部分,×E表示paillier同态加密算法下的乘法同态运算;
步骤十五、第t个签名参与者IDt接收到第t-1个签名生成参数第一部分αt-1和第t-1个签名生成参数第二部分βt-1后,按照下式,计算第t个签名生成参数第一部分αt和第t个签名生成参数第二部分βt:
αt=kt -1×Eαt-1
βt=Epk(kt -1dtmodn)×Eβt-1
其中,αt表示第t个签名生成参数第一部分,βt表示第t个签名生成参数第二部分,αt-1表示第t-1个签名生成参数第一部分,βt-1表示第t-1个签名生成参数第二部分;
步骤十六、按照下式,第t个签名参与者IDt计算第二部分签名s在paillier同态加密下的密文C,然后将第二部分签名s在paillier同态加密下的密文C发送给第一个签名参与者ID1:
C=αt+Eβ2t+1
其中,s表示第二部分签名,C表示第二部分签名s在paillier同态加密下的密文,+E表示paillier同态加密算法下的加法同态运算;
步骤十七、按照下式,第一个签名参与者ID1计算第二部分签名s:
s=Dsk(C)modn
其中,Dsk(.)表示paillier同态加密算法的解密运算;
步骤十八、按照下式,第一个签名参与者ID1计算签名验证参数R′,R′=(xR′,yR′):
R′=s-1(eG+rQ)
其中,R′表示签名验证参数,xR′表示签名验证参数R′的横坐标,yR′表示签名验证参数R′的纵坐标,s-1表示第二部分签名s在模n下的乘法逆元;
步骤十九、按照下式,第一个签名参与者ID1计算第一部分签名的验证参数r′:
r′≡xR ′modn
然后判断等式r′=r是否成立,如果成立,则执行下一步骤,如果不成立,则签名失败,返回步骤六;
其中,r′表示第一部分签名的验证参数,≡表示同余符号;
步骤二十、第一个签名参与者ID1提取签名(r,s),然后将签名(r,s)广播给所有签名参与者;
其中,(r,s)表示最终生成的签名。
本发明的有益效果是:该方法在密钥生成阶段,t个签名参与者依次选取自己的子私钥并秘密保存,通过与前一个公钥生成参数相乘计算自己对应的公钥生成参数,最终第t个签名参与者计算出公钥。在签名阶段,t个签名参与者依次利用自己持有的子私钥进行分布式签名,然后由第t个签名参与者在同态加密条件下完成签名第二部分的合成,再由第一个签名参与者完成最终的签名合成与验证。本发明利用paillier同态加密算法,每个签名参与者不需要利用零知识证明来保证签名的正确性,只需要由第一个签名参与者对签名进行验证就可以保证最终签名的正确性,最后的签名验证只需要一个椭圆曲线上的点加运算和两个椭圆曲线上的点乘运算,与背景技术方法的t·tz次交互相比,提高了计算效率。
另外,本发明实现了私钥的分布式生成与存储,私钥的生成不需要可信中心,私钥的安全性较高。
本发明利用分布式签名的方法,实现了私钥由多个人持有、签名由多个人生成的功能,并且在私钥生成和签名过程中都不需要显式地合成私钥,避免了私钥泄露所带来的风险。
下面结合附图和具体实施方式对本发明作详细说明。
附图说明
图1是本发明无可信中心的分布式数字签名方法的流程图。
具体实施方式
名词解释:
T:椭圆曲线secp256k1的参数;
p:生成有限域Fp的大素数,其值为FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F=2256-232-29-28-27-26-24-1;
a,b:椭圆方程的参数,a=0,b=7;
G:椭圆曲线上一个阶为n的基点,其值为0479BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8;
n:椭圆曲线基点G的阶,其值为FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141;
h:余因数,控制选取点的密度,其值为01;
ID1:第一个签名参与者;
ID2:第二个签名参与者;
IDi:第i个签名参与者;
IDi+1:第i+1个签名参与者;
IDt:第t个签名参与者;
d1:第一个签名参与者ID1的子私钥;
di:第i个签名参与者IDi的子私钥;
dt:第t个签名参与者IDt的子私钥;
Q1:第一个公钥生成参数;
Qi:第i个公钥生成参数;
Qi-1:第i-1个公钥生成参数;
Qt-1:第t-1个公钥生成参数;
Q:签名公钥;
t:一个正整数,表示签名参与者的个数;
k1:第一个签名参与者ID1的秘密值;
k1 -1:第一个签名参与者ID1的秘密值k1在模n下的乘法逆元;
ki:第i个签名参与者IDi的秘密值;
ki -1:第i个签名参与者IDi的秘密值ki在模n下的乘法逆元;
kt:第t个签名参与者IDt的秘密值;
kt -1:第t个签名参与者IDt的秘密值kt在模n下的乘法逆元;
R1:第一个签名参数中间值;
Ri:第i个签名参数中间值;
Ri-1:第i-1个签名参数中间值;
Rt-1:第t-1个签名参数中间值;
R:签名参数;
xR:签名参数R的横坐标;
yR:签名参数R的纵坐标;
r:第一部分签名;
mod:求模运算;
M:消息;
H:消息M的哈希值;
hash:密码哈希算法;
e:哈希值H转换后的整数值;
α1:第一个签名生成参数第一部分;
β1:第一个签名生成参数第二部分;
paillier:同态加密算法;
sk:paillier同态加密算法的私钥;
pk:paillier同态加密算法的公钥;
Esk(.):paillier同态加密算法的加密运算;
Dpk(.):paillier同态加密算法的解密运算;
αi:第i个签名生成参数第一部分;
αi-1:第i-1个签名生成参数第一部分;
αt-1:第t-1个签名生成参数第一部分;
αt:第t个签名生成参数第一部分;
βi:第i个签名生成参数第二部分;
βi-1:第i-1个签名生成参数第二部分;
βt-1:第t-1个签名生成参数第二部分;
βt:第t个签名生成参数第二部分;
×E:paillier同态加密算法下的乘法同态运算;
+E:paillier同态加密算法下的加法同态运算;
s:第二部分签名;
s-1:第二部分签名s在模n下的乘法逆元;
C:第二部分签名s在paillier同态加密下的密文;
R′:签名验证参数;
xR′:签名验证参数R′的横坐标;
yR′:签名验证参数R′的纵坐标;
r′:第一部分签名的验证参数;
≡:同余符号;
(r,s):最终生成的签名。
参照图1。本发明无可信中心的分布式数字签名方法具体步骤如下:
确定系统参数:这是具体实施之前的准备工作。
选取椭圆曲线secp256k1,确定参数T=(p,a,b,G,n,h),其中,T表示椭圆曲线secp256k1的参数,p表示生成有限域Fp的大素数,p=FFFFFFFFFFFFFFFFFFFFFFFFFFF FFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F=2256-232-29-28-27-26-24-1,a,b表示椭圆方程的参数,a=0,b=7,G表示椭圆曲线上一个阶为n的基点,G=0479BE667EF9DCB BAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8,n表示椭圆曲线基点G的阶,n=FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141,h表示余因数,控制选取点的密度,h=01。
步骤一、第一个签名参与者ID1选取自己的子私钥d1∈{1,2,…,n-1}并秘密保存,然后按照下式,计算第一个公钥生成参数Q1,并将第一个公钥生成参数Q1发送给第二个签名参与者ID2:
Q1=d1G
其中,ID1表示第一个签名参与者,ID2表示第二个签名参与者,d1表示第一个签名参与者ID1的子私钥,Q1表示第一个公钥生成参数,G表示椭圆曲线上一个阶为n的基点,n为正整数,表示基点G的阶;
步骤二、第i个签名参与者IDi接收到第i-1个公钥生成参数Qi-1后,选取自己的子私钥di∈{1,2,…,n-1}并秘密保存,然后按照下式,计算第i个公钥生成参数Qi,并将第i个公钥生成参数Qi发送给第i+1个签名参与者IDi+1,i∈{2,3,…,t-1}:
Qi=diQi-1
其中,IDi表示第i个签名参与者,IDi+1表示第i+1个签名参与者,di表示第i个签名参与者IDi的子私钥,Qi-1表示第i-1个公钥生成参数,Qi表示第i个公钥生成参数,t是一个正整数,表示签名参与者的个数;
步骤三、第t个签名参与者IDt接收到第t-1个公钥生成参数Qt-1后,选取自己的子私钥dt∈{1,2,…,n-1}并秘密保存,然后按照下式,计算公钥Q,并将公钥Q广播给所有签名参与者:
Q=dtQt-1
其中,IDt表示第t个签名参与者,Qt-1表示第t-1个公钥生成参数,dt表示第t个签名参与者IDt的子私钥,Q表示公钥;
步骤四、第一个签名参与者ID1选取自己的秘密值k1∈{1,2,…,n-1},然后计算自己的秘密值k1在模n下是否存在乘法逆元k1 -1,如果存在,则执行下一步骤,如果不存在,则重新选取自己的秘密值k1并重新计算自己的秘密值k1在模n下是否存在乘法逆元k1 -1,直到找到一个存在乘法逆元k1 -1的秘密值k1,然后执行下一步骤;
其中,k1表示第一个签名参与者ID1的秘密值,k1 -1表示第一个签名参与者ID1的秘密值k1在模n下的乘法逆元;
步骤五、按照下式,第一个签名参与者ID1计算第一个签名参数中间值R1,并将第一个签名参数中间值R1发送给第二个签名参与者ID2:
R1=k1G
其中,R1表示第一个签名参数中间值;
步骤六、第i个签名参与者IDi接收到第i-1个签名参数中间值Ri-1后,选取自己的秘密值ki∈{1,2,…,n-1},然后计算自己的秘密值ki在模n下是否存在乘法逆元ki -1,如果存在,则执行下一步骤,如果不存在,则重新选取自己的秘密值ki并重新计算自己的秘密值ki在模n下是否存在乘法逆元ki -1,直到找到一个存在乘法逆元ki -1的秘密值ki,然后执行下一步骤,i=2,3,…,t-1;
其中,ki表示第i个签名参与者IDi的秘密值,ki -1表示第i个签名参与者IDi的秘密值ki在模n下的乘法逆元;
步骤七、按照下式,第i个签名参与者IDi计算第i个签名参数中间值Ri,并将第i个签名参数中间值Ri发送给第i+1个签名参与者IDi+1,i=2,3,…,t-1:
Ri=kiRi-1
其中,Ri表示第i个签名参数中间值,Ri-1表示第i-1个签名参数中间值;
步骤八、第t个签名参与者IDt接收到第t-1个签名参数中间值Rt-1后,选取自己的秘密值kt∈{1,2,…,n-1},然后计算自己的秘密值kt在模n下是否存在乘法逆元kt -1,如果存在,则执行下一步骤,如果不存在,则重新选取自己的秘密值kt并重新计算自己的秘密值kt在模n下是否存在乘法逆元kt -1,直到找到一个存在乘法逆元kt-1的秘密值kt,然后执行下一步骤;
其中,kt表示第t个签名参与者IDt的秘密值,kt -1表示第t个签名参与者IDt的秘密值kt在模n下的乘法逆元;
步骤九、按照下式,第t个签名参与者IDt计算签名参数R:
R=ktRt-1=(xR,yR)
然后判断签名参数R是否为椭圆曲线上的零点,如果是,则返回步骤六,如果不是,则将签名参数R广播给所有的签名参与者;
其中,Rt-1表示第t-1个签名参数中间值,R表示签名参数,xR表示签名参数R的横坐标,yR表示签名参数R的纵坐标;
步骤十、第一个签名参与者ID1接收到签名参数R后,按照下式,计算第一部分签名r:
r=xRmodn
然后判断r=0是否成立,如果成立,则返回步骤三,如果不成立,则继续执行下一步骤;
其中,r表示第一部分签名,mod表示求模运算;
步骤十一、按照下式,第一个签名参与者ID1计算消息M的哈希值H,然后按照数据类型转换规则,将H转换成一个整数e;
H=hash(M)
其中,M表示消息,H表示消息M的哈希值,hash表示一个密码哈希算法,e表示哈希值H转换后的整数值;
步骤十二、第一个签名参与者ID1选择paillier同态加密算法的私钥sk和公钥pk,将私钥sk秘密保存,并将公钥pk公开;
其中,paillier表示同态加密算法,sk表示paillier同态加密算法的私钥,用来做解密运算,pk表示paillier同态加密算法的公钥,用来做加密运算;
步骤十三、按照下式,第一个签名参与者ID1计算第一个签名生成参数第一部分α1和第一个签名生成参数第二部分β1,然后将第一个签名生成参数第一部分α1和第一个签名生成参数第二部分β1发送给第二个签名参与者ID2:
α1=Epk(k1 -1emodn)
β1=Epk(rk1 -1d1modn)
其中,α1表示第一个签名生成参数第一部分,β1表示第一个签名生成参数第二部分,Epk(.)表示paillier同态加密算法的加密运算;
步骤十四、第i个签名参与者IDi接收到第i-1个签名生成参数第一部分αi-1和第i-1个签名生成参数第二部分βi-1后,按照下式,计算第i个签名生成参数第一部分αi和第i个签名生成参数第二部分βi,然后将第i个签名生成参数第一部分αi和第i个签名生成参数第二部分βi发送给第i+1个签名参与者IDi+1,i=2,3,…,t-1:
αi=ki -1×Eαi-1
βi=Epk(ki -1dimodn)×Eβi-1
其中,αi表示第i个签名生成参数第一部分,βi表示第i个签名生成参数第二部分,αi-1表示第i-1个签名生成参数第一部分,βi-1表示第i-1个签名生成参数第二部分,×E表示paillier同态加密算法下的乘法同态运算;
步骤十五、第t个签名参与者IDt接收到第t-1个签名生成参数第一部分αt-1和第t-1个签名生成参数第二部分βt-1后,按照下式,计算第t个签名生成参数第一部分αt和第t个签名生成参数第二部分βt:
αt=kt -1×Eαt-1
βt=Epk(kt -1dtmodn)×Eβt-1
其中,αt表示第t个签名生成参数第一部分,βt表示第t个签名生成参数第二部分,αt-1表示第t-1个签名生成参数第一部分,βt-1表示第t-1个签名生成参数第二部分;
步骤十六、按照下式,第t个签名参与者IDt计算第二部分签名s在paillier同态加密下的密文C,然后将第二部分签名s在paillier同态加密下的密文C发送给第一个签名参与者ID1:
C=αt+Eβ2t+1
其中,s表示第二部分签名,C表示第二部分签名s在paillier同态加密下的密文,+E表示paillier同态加密算法下的加法同态运算;
步骤十七、按照下式,第一个签名参与者ID1计算第二部分签名s:
s=Dsk(C)modn
其中,Dsk(.)表示paillier同态加密算法的解密运算;
步骤十八、按照下式,第一个签名参与者ID1计算签名验证参数R′,R′=(xR′,yR′):
R′=s-1(eG+rQ)
其中,R′表示签名验证参数,xR′表示签名验证参数R′的横坐标,yR′表示签名验证参数R′的纵坐标,s-1表示第二部分签名s在模n下的乘法逆元;
步骤十九、按照下式,第一个签名参与者ID1计算第一部分签名的验证参数r′:
r′≡xR ′modn
然后判断等式r′=r是否成立,如果成立,则执行下一步骤,如果不成立,则签名失败,返回步骤六;
其中,r′表示第一部分签名的验证参数,≡表示同余符号;
步骤二十、第一个签名参与者ID1提取签名(r,s),然后将签名(r,s)广播给所有签名参与者;
其中,(r,s)表示最终生成的签名。
Claims (1)
1.一种无可信中心的分布式数字签名方法,其特征在于包括以下步骤:
步骤一、第一个签名参与者ID1选取自己的子私钥d1∈{1,2,…,n-1}并秘密保存,然后按照下式,计算第一个公钥生成参数Q1,并将第一个公钥生成参数Q1发送给第二个签名参与者ID2:
Q1=d1G
其中,ID1表示第一个签名参与者,ID2表示第二个签名参与者,d1表示第一个签名参与者ID1的子私钥,Q1表示第一个公钥生成参数,G表示椭圆曲线上一个阶为n的基点,n为正整数,表示基点G的阶;
步骤二、第i个签名参与者IDi接收到第i-1个公钥生成参数Qi-1后,选取自己的子私钥di∈{1,2,…,n-1}并秘密保存,然后按照下式,计算第i个公钥生成参数Qi,并将第i个公钥生成参数Qi发送给第i+1个签名参与者IDi+1,i∈{2,3,…,t-1}:
Qi=diQi-1
其中,IDi表示第i个签名参与者,IDi+1表示第i+1个签名参与者,di表示第i个签名参与者IDi的子私钥,Qi-1表示第i-1个公钥生成参数,Qi表示第i个公钥生成参数,t是一个正整数,表示签名参与者的个数;
步骤三、第t个签名参与者IDt接收到第t-1个公钥生成参数Qt-1后,选取自己的子私钥dt∈{1,2,…,n-1}并秘密保存,然后按照下式,计算公钥Q,并将公钥Q广播给所有签名参与者:
Q=dtQt-1
其中,IDt表示第t个签名参与者,Qt-1表示第t-1个公钥生成参数,dt表示第t个签名参与者IDt的子私钥,Q表示公钥;
步骤四、第一个签名参与者ID1选取自己的秘密值k1∈{1,2,…,n-1},然后计算自己的秘密值k1在模n下是否存在乘法逆元如果存在,则执行下一步骤,如果不存在,则重新选取自己的秘密值k1并重新计算自己的秘密值k1在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值k1,然后执行下一步骤;
步骤五、按照下式,第一个签名参与者ID1计算第一个签名参数中间值R1,并将第一个签名参数中间值R1发送给第二个签名参与者ID2:
R1=k1G
其中,R1表示第一个签名参数中间值;
步骤六、第i个签名参与者IDi接收到第i-1个签名参数中间值Ri-1后,选取自己的秘密值ki∈{1,2,…,n-1},然后计算自己的秘密值ki在模n下是否存在乘法逆元如果存在,则执行下一步骤,如果不存在,则重新选取自己的秘密值ki并重新计算自己的秘密值ki在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值ki,然后执行下一步骤;
步骤七、按照下式,第i个签名参与者IDi计算第i个签名参数中间值Ri,并将第i个签名参数中间值Ri发送给第i+1个签名参与者IDi+1:
Ri=kiRi-1
其中,Ri表示第i个签名参数中间值,Ri-1表示第i-1个签名参数中间值;
步骤八、第t个签名参与者IDt接收到第t-1个签名参数中间值Rt-1后,选取自己的秘密值kt∈{1,2,…,n-1},然后计算自己的秘密值kt在模n下是否存在乘法逆元如果存在,则执行下一步骤,如果不存在,则重新选取自己的秘密值kt并重新计算自己的秘密值kt在模n下是否存在乘法逆元直到找到一个存在乘法逆元的秘密值kt,然后执行下一步骤;
步骤九、按照下式,第t个签名参与者IDt计算签名参数R:
R=ktRt-1=(xR,yR)
然后判断签名参数R是否为椭圆曲线上的零点,如果是,则返回步骤六,如果不是,则将签名参数R广播给所有的签名参与者;
其中,Rt-1表示第t-1个签名参数中间值,R表示签名参数,xR表示签名参数R的横坐标,yR表示签名参数R的纵坐标;
步骤十、第一个签名参与者ID1接收到签名参数R后,按照下式,计算第一部分签名r:
r=xRmod n
然后判断r=0是否成立,如果成立,则返回步骤三,如果不成立,则继续执行下一步骤;
其中,r表示第一部分签名,mod表示求模运算;
步骤十一、按照下式,第一个签名参与者ID1计算消息M的哈希值H,然后按照数据类型转换规则,将H转换成一个整数e;
H=hash(M)
其中,M表示消息,H表示消息M的哈希值,hash表示一个密码哈希算法,e表示哈希值H转换后的整数值;
步骤十二、第一个签名参与者ID1选择paillier同态加密算法的私钥sk和公钥pk,将私钥sk秘密保存,并将公钥pk公开;
其中,paillier表示同态加密算法,sk表示paillier同态加密算法的私钥,用来做解密运算,pk表示paillier同态加密算法的公钥,用来做加密运算;
步骤十三、按照下式,第一个签名参与者ID1计算第一个签名生成参数第一部分α1和第一个签名生成参数第二部分β1,然后将第一个签名生成参数第一部分α1和第一个签名生成参数第二部分β1发送给第二个签名参与者ID2:
其中,α1表示第一个签名生成参数第一部分,β1表示第一个签名生成参数第二部分,Epk(.)表示paillier同态加密算法的加密运算;
步骤十四、第i个签名参与者IDi接收到第i-1个签名生成参数第一部分αi-1和第i-1个签名生成参数第二部分βi-1后,按照下式,计算第i个签名生成参数第一部分αi和第i个签名生成参数第二部分βi,然后将第i个签名生成参数第一部分αi和第i个签名生成参数第二部分βi发送给第i+1个签名参与者IDi+1:
其中,αi表示第i个签名生成参数第一部分,βi表示第i个签名生成参数第二部分,αi-1表示第i-1个签名生成参数第一部分,βi-1表示第i-1个签名生成参数第二部分,×E表示paillier同态加密算法下的乘法同态运算;
步骤十五、第t个签名参与者IDt接收到第t-1个签名生成参数第一部分αt-1和第t-1个签名生成参数第二部分βt-1后,按照下式,计算第t个签名生成参数第一部分αt和第t个签名生成参数第二部分βt:
其中,αt表示第t个签名生成参数第一部分,βt表示第t个签名生成参数第二部分,αt-1表示第t-1个签名生成参数第一部分,βt-1表示第t-1个签名生成参数第二部分;
步骤十六、按照下式,第t个签名参与者IDt计算第二部分签名s在paillier同态加密下的密文C,然后将第二部分签名s在paillier同态加密下的密文C发送给第一个签名参与者ID1:
C=αt+Eβ2t+1
其中,s表示第二部分签名,C表示第二部分签名s在paillier同态加密下的密文,+E表示paillier同态加密算法下的加法同态运算;
步骤十七、按照下式,第一个签名参与者ID1计算第二部分签名s:
s=Dsk(C)mod n
其中,Dsk(.)表示paillier同态加密算法的解密运算;
步骤十八、按照下式,第一个签名参与者ID1计算签名验证参数R′,R′=(xR′,yR′):
R′=s-1(eG+rQ)
其中,R′表示签名验证参数,xR′表示签名验证参数R′的横坐标,yR′表示签名验证参数R′的纵坐标,s-1表示第二部分签名s在模n下的乘法逆元;
步骤十九、按照下式,第一个签名参与者ID1计算第一部分签名的验证参数r′:
r′≡xR′mod n
然后判断等式r′=r是否成立,如果成立,则执行下一步骤,如果不成立,则签名失败,返回步骤六;
其中,r′表示第一部分签名的验证参数,≡表示同余符号;
步骤二十、第一个签名参与者ID1提取签名(r,s),然后将签名(r,s)广播给所有签名参与者;
其中,(r,s)表示最终生成的签名。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910271277.0A CN110061828B (zh) | 2019-04-04 | 2019-04-04 | 无可信中心的分布式数字签名方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910271277.0A CN110061828B (zh) | 2019-04-04 | 2019-04-04 | 无可信中心的分布式数字签名方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110061828A CN110061828A (zh) | 2019-07-26 |
CN110061828B true CN110061828B (zh) | 2021-05-04 |
Family
ID=67318339
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910271277.0A Active CN110061828B (zh) | 2019-04-04 | 2019-04-04 | 无可信中心的分布式数字签名方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110061828B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110635912B (zh) * | 2019-08-20 | 2022-07-15 | 北京思源理想控股集团有限公司 | 数据处理方法及装置 |
CN113507374B (zh) * | 2021-07-02 | 2021-11-30 | 恒生电子股份有限公司 | 门限签名方法、装置、设备以及存储介质 |
CN115001709B (zh) * | 2022-05-31 | 2024-03-12 | 赵瑞 | 适用于数字医疗数据的可信采集与隐私保护方法 |
CN116506233A (zh) * | 2023-06-29 | 2023-07-28 | 积至网络(北京)有限公司 | 一种基于分布式群体协同的身份认证模型 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103248492A (zh) * | 2013-05-23 | 2013-08-14 | 清华大学 | 可验证的分布式隐私数据比较与排序方法 |
CN107733648A (zh) * | 2017-10-30 | 2018-02-23 | 武汉大学 | 一种基于身份的rsa数字签名生成方法及系统 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9185109B2 (en) * | 2008-10-13 | 2015-11-10 | Microsoft Technology Licensing, Llc | Simple protocol for tangible security |
CN102104481B (zh) * | 2010-12-17 | 2013-04-10 | 中国科学院数据与通信保护研究教育中心 | 一种基于椭圆曲线的密钥交换方法 |
US9621342B2 (en) * | 2015-04-06 | 2017-04-11 | Qualcomm Incorporated | System and method for hierarchical cryptographic key generation using biometric data |
CN106936593B (zh) * | 2017-05-12 | 2019-12-17 | 西安电子科技大学 | 基于椭圆曲线高效匿名的无证书多接收者签密方法 |
CN107707358B (zh) * | 2017-10-30 | 2019-12-24 | 武汉大学 | 一种ec-kcdsa数字签名生成方法及系统 |
CN108696362B (zh) * | 2018-05-04 | 2021-06-08 | 西安电子科技大学 | 可更新密钥的无证书多消息多接收者签密方法 |
CN108768607B (zh) * | 2018-05-14 | 2021-10-08 | 中钞信用卡产业发展有限公司杭州区块链技术研究院 | 一种基于区块链的投票方法、装置、设备及介质 |
CN108833095B (zh) * | 2018-06-25 | 2022-01-25 | 北京奇虎科技有限公司 | 区块链中的行为验证方法、节点、系统及电子设备 |
CN109345331B (zh) * | 2018-08-21 | 2021-06-11 | 中国科学技术大学苏州研究院 | 一种带隐私保护的群智感知系统任务分配方法 |
CN109547209B (zh) * | 2018-11-19 | 2020-09-08 | 北京大学 | 一种两方sm2数字签名生成方法 |
-
2019
- 2019-04-04 CN CN201910271277.0A patent/CN110061828B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103248492A (zh) * | 2013-05-23 | 2013-08-14 | 清华大学 | 可验证的分布式隐私数据比较与排序方法 |
CN107733648A (zh) * | 2017-10-30 | 2018-02-23 | 武汉大学 | 一种基于身份的rsa数字签名生成方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110061828A (zh) | 2019-07-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110061828B (zh) | 无可信中心的分布式数字签名方法 | |
CN107634836B (zh) | 一种sm2数字签名生成方法及系统 | |
CN107707358B (zh) | 一种ec-kcdsa数字签名生成方法及系统 | |
CN106936593B (zh) | 基于椭圆曲线高效匿名的无证书多接收者签密方法 | |
CN110011803B (zh) | 一种轻量级sm2两方协同生成数字签名的方法 | |
CN109450640B (zh) | 基于sm2的两方签名方法及系统 | |
CN112564907B (zh) | 密钥生成方法及装置、加密方法及装置、解密方法及装置 | |
CN112118111B (zh) | 一种适用于门限计算的sm2数字签名方法 | |
CN111010276A (zh) | 一种多方联合sm9密钥生成、密文解密方法与介质 | |
CN110855425A (zh) | 一种轻量级多方协同sm9密钥生成、密文解密方法与介质 | |
CN111030801A (zh) | 一种多方分布式的sm9密钥生成、密文解密方法与介质 | |
CN109064170B (zh) | 无可信中心的群签名方法 | |
CN110061847B (zh) | 密钥分布式生成的数字签名方法 | |
CN113132104A (zh) | 一种主动安全的ecdsa数字签名两方生成方法 | |
CN113972981A (zh) | 一种基于sm2密码算法的高效门限签名方法 | |
CN110798313B (zh) | 基于秘密动态共享的包含秘密的数的协同生成方法及系统 | |
CN108964906B (zh) | 协同ecc的数字签名方法 | |
CN116318736A (zh) | 一种用于分级管理的二级门限签名方法及装置 | |
CN112383403A (zh) | 一种异构环签名方法 | |
Park et al. | A tightly-secure multisignature scheme with improved verification | |
Sarde et al. | Strong designated verifier signature scheme based on discrete logarithm problem | |
Zhang et al. | A novel authenticated encryption scheme and its extension | |
CN112636918B (zh) | 一种高效的基于sm2两方协同签名方法 | |
Lee et al. | Strong designated verifier ring signature scheme | |
CN113347009B (zh) | 基于椭圆曲线密码体制的无证书门限签密方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |