CN110138567B - 一种基于ecdsa的协同签名方法 - Google Patents

Abstract

本发明公开了一种基于ECDSA的协同签名方法，其主要特色在于每一次协同签名都会更新通信双方的部分私钥，做到了高安全的一次一密。具体地说，第一通信方用自身的加法同态加密方案加密自身的ECDSA签名部分私钥并把它存储于第二通信方，第二通信方存储自身的部分私钥；通信双方均无法获得对方的部分私钥信息，只有两方联合才能对消息进行签名；签名完成后，第二通信方更新双方的部分私钥。而且，该协同签名方法仅需一次通信交互和少量的计算，从而保证了协同签名的高效可用性。因此，本发明以一种高效率、高安全的方式保护了ECDSA签名私钥的安全性。

Description

一种基于ECDSA的协同签名方法

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于ECDSA的协同签名方法。

背景技术

数字签名算法(DSA)由签名者对数据产生数字签名，由验证者验证签名的可靠性。每个签名者拥有一对密钥对，包含一个公钥和一个私钥，其中私钥用于产生签名，验证者用签名者的公钥验证签名。数字签名能够保证信息传输的完整性，验证信息发送者的身份并防止交易中抵赖事件的发生。

椭圆曲线数字签名算法(ECDSA)是一种应用于椭圆曲线并与DSA具有相似性质的签名方案。ECDSA数字签名算法通常被认为是最广泛标准化的基于椭圆曲线的数字签名算法。在ECDSA标准签名算法的使用过程中，若签名私钥只有签名者一方保管，往往存在着一定的泄露风险，一旦攻击者入侵签名者成功，则攻击者可随意伪造签名。因此，在许多数字签名应用场景中，签名密钥需要被互不信任的双方分别保存，且只有在双方合作的情况下才能生成签名，任何一方都无法独立生成数字签名。

同态加密的良好性质可保护明文消息的机密性，通过对密文的运算操作代替对明文的运算操作并取得相同效果，比如：Paillier加密系统是由Pascal Paillier于1999年提出的一个基于判定合数剩余类问题的加法同态加密方案，其安全性基于判定合数剩余问题的困难性，该方案支持多次加法同态运算。

现有的协同ECDSA数字签名生成方案在实际应用中存在局限性，每一组参数只能使用一次，如果使用多次，就会导致ECDSA数字签名的生成过程中的随机数被重复使用，而ECDSA数字签名的随机数一旦被重复使用，就会泄露签名私钥。因此，现有的方法中每当需要产生一个新的数字签名时，需要重新选取参数，然后再协同生成数字签名，这一整个过程的通信和计算开销巨大，从而限制了其实用性。

发明内容

为了克服现有技术存在的缺陷与不足，本发明提供一种基于ECDSA的协同签名方法，本发明实现了互不信任的双方在不泄露各自私钥的前提下通过合作且只能通过合作才能生成数字签名，最大程度地保护了签名私钥的安全性；同时，同态加密使得双方各自签名私钥片可重复使用，大大降低密钥生成过程的计算量，提升签名效率。

为了达到上述目的，本发明采用以下技术方案：

本发明提供的基于ECDSA的协同签名方法，包括下述步骤：

用户端A生成自身的签名协同数据PtK_A，所述PtK_A包括一对加法同态加密方案的公私钥对(PK,SK)、随机数k_A以及R_A；服务器端S生成自身的签名协同数据PtK_S，所述PtK_S包括用户端A的加法同态加密方案的公钥PK、随机数k_S、用户A的签名私钥片的密文ek_A及其更新值ex_A、服务器S的签名私钥片x_S及其更新值otx_S；

用户端A计算待签名消息的哈希值h，并将身份标识ID_A、待签名消息哈希值h以及PtK_A中包含的承诺R_A发送至服务器端S；

服务器端S根据R_A计算ECDSA签名的第一部分r，并根据h生成签名的临时第二部分ps，将r、ps以及PtK_S中包含的密文ex_A发送至用户端A；

用户端A根据ex_A、ps、r以及PtK_A中包含的SK、k_A计算输出ECDSA签名σ；

最后，用户端A与服务器端S分别采用随机数发生器生成新随机数，进行部分私钥更新，并分别更新签名协同数据PtK_A和PtK_S。

作为优选的技术方案，用户端A和服务器端S共享基于ECDSA的协同签名方法的椭圆曲线参数E(F_q)、G和q，椭圆曲线E为定义在有限域F_q上的椭圆曲线，G为椭圆曲线E上阶为素数q的一个基点，q通常为256比特。

作为优选的技术方案，所述用户端A生成自身的签名协同数据PtK_A包括下述步骤：

用户端A利用随机数发生器产生两个大素数p₁、p₂，其中p₁,p₂＞q³,且满足gcd(p₁p₂,(p₁-1)(p₂-1))＝1，函数gcd表示计算两个输入整数的最大公约数；

用户端A利用随机数发生器产生x_A,k_A∈Z_q和r₁∈[1,N-1]，其中x_A为用户端A的签名私钥片，Z_q为整数模q乘法群，r₁为加法同态加密方案的随机数，[1,N-1]表示集合{1,2,K,N-1}；

用户端A进行如下计算：

整数N＝p₁×p₂；

正整数g＝N+1；

最小公倍数λ＝LCM(p₁-1,p₂-1)，函数LCM表示计算两个输入整数的最小公倍数；

群元素L(g,λ,N²,N)modN在整数模N乘法群Z_N ^*中的乘法逆元：μ＝L(g,λ,N²,N)^{- 1}modN；

以x_A为明文r₁为随机数进行加法同态加密得到的用户端A签名私钥片的密文：

承诺：R_A＝k_A·G；承诺用于保护随机数k_A，其中G表示椭圆曲线E上一个阶为素数的基点；

用户端A向服务器端S发送ID_A,g,N,N²,ek_A并存储自身的签名协同数据PtK_A＝{g,N,N²,λ,μ,k_A,R_A}，其中ID_A为用户端A的身份标识，(N,g)为加法同态加密方案的公钥PK，(λ,μ)为加法同态加密方案的私钥SK。

作为优选的技术方案，所述服务器端S生成自身的签名协同数据PtK_S包括下述步骤：

服务器端S利用随机数发生器产生x_S,k_S,b₀∈Z_q和ρ∈[1,q⁴]，其中b₀和ρ为加法同态加密方案的随机数；

服务器端S进行如下计算：

服务器端S的签名公钥片P_S＝x_S·G；

域元素k_Smodq在域F_q中的乘法逆元：

以b₀+ρ×q为明文ek_A为随机数进行加法同态加密得到的密文：

重要中间变量otx_S＝(x_S-b₀×k_S)modq；

服务器端S向用户端A发送P_S并存储自身的签名协同数据PtK_S＝{ID_A,x_S,g,N,N²,ek_A,k_S,ex_A,otx_S}。

作为优选的技术方案，该方法进一步包括下述步骤：

用户端A接收P_S后，计算ECDSA协同签名验证公钥pk＝P_S+x_A·G，并将pk返回至服务器端S。

作为优选的技术方案，所述用户端A计算待签名消息的哈希值h包括下述步骤：

用户端A取出PtK_A＝{g,N,N²,λ,μ,k_A,R_A}，计算待签名消息m的哈希值h＝H(m)，其中函数H为密码杂凑函数；h是密码杂凑函数作用于消息m的输出值且为消息m的摘要信息。

作为优选的技术方案，所述服务器端S根据R_A计算ECDSA签名的第一部分r，并根据h生成签名的临时第二部分ps包括下述步骤：

服务器端S利用用户端A的身份标识ID_A检索数据库，取出数据PtK_S＝{ID_A,x_S,g,N,N²,ek_A,k_S,ex_A,otx_S}；

服务器端S计算承诺：(r_x,r_y)＝R＝k_S·R_A；rx表示点R在y轴方向的坐标；

服务器端S计算ECDSA签名的第一部分：r＝r_xmodq；

服务器端S计算签名的临时第二部分：ps＝(k_S)^-1(h+r×otx_S)modq。

作为优选的技术方案，所述用户端A根ex_A、ps、r、SK和k_A计算输出ECDSA签名σ包括下述步骤：

用户端A计算重要中间变量otx_A＝(L(ex_A,λ,N²,N)×μmodN)modq；

用户端A计算ECDSA签名的第二部分：s＝(k_A)^-1(ps+r×otx_A)modq；

用户端A输出ECDSA签名σ＝(r,s)。

作为优选的技术方案，所述用户端A与服务器端S分别采用随机数发生器生成新的随机数，进行部分私钥更新，并分别更新签名协同数据PtK_A和PtK_S包括下述步骤：

用户端A利用随机数发生器产生k_A∈Z_q，并计算R_A＝k_A·G，然后把k_A,R_A写回到参数PtK_A中，

服务器端S利用随机数发生器产生k_S,b₀∈Z_q和ρ∈[1,q⁴]，并进行如下计算：

b₁＝k_S ^-1modq；

otx_S＝(x_S-b₀×k_S)modq；

然后把k_S,ex_A,otx_S写回到参数PtK_S中。

本发明与现有技术相比，具有如下优点和有益效果：

(1)本发明采用多方安全计算的思想，各个参与方只拥有签名私钥的部分密钥片，用户端签名私钥片为x_A，服务器端签名私钥片为x_S，只有在所有参与方合作的前提下才能生成签名，保证了攻击者在入侵任何一方的情况下，都不能够获得完整的签名私钥，从而提升了攻击者窃取私钥的难度，增强了签名私钥的安全性。

(2)本发明在每一次协同签名过程中，采用各个参与方使用其所拥有的签名密钥片的一个秘密的随机函数值来完成其部分签名的方法，即在协同ECDSA数字签名的生成过程中，在用户端签名私钥片x_A和服务器端签名私钥片x_S保持不变的情况下，每次签名时通过选择不同的随机数k_A,k_S,b₀,ρ使得服务器端产生的签名第二部分ps以及重要中间变量otx_A改变，从而使得输出的ECDSA协同签名σ改变。因此，该签名方案可以重复使用，提升了协同签名方案的可用性。

(3)本发明在每一次协同签名过程中，采用对随机数进行乘法拆分，而对签名私钥进行加法拆分的方法来完成协同签名，“对随机数进行乘法拆分”具体为：(r_x,r_y)＝R＝k_S·R_A，其中R_A＝k_A·G。因此，R＝k_S·R_A＝k_S·k_A·G，可以理解为将真正的随机数(k_A·k_S)拆分为k_A和k_S两部分，且这两部分由用户端和服务器端分别存储，且双方均不知对方拥有随机数的任何信息。“对签名私钥进行加法拆分”体现在同态加密部分，在ECDSA协同签名方法中，真正的签名私钥为(x_A+x_S)，用户端和服务器端分别拥有签名私钥(x_A+x_S)的部分密钥片x_A和x_S。通过同态加密和解密过程，使得双方在s＝(k_A)^-1(ps+r×otx_A)modq中合成了真正签名私钥(x_A+x_S)并计算产生了ECDSA签名的第二部分s。通过上述的方法使得协同生成数字签名方案既可以支持预计算又节省了同态加密计算的次数，从而节省了协同生成数字签名方案过程中的计算和通信开销，提高了协同生成数字签名方案的效率。

附图说明

图1为本实施例一种基于ECDSA的协同签名方法的整体流程示意图；

图2为本实施例一种基于ECDSA的协同签名方法的密钥生成过程示意图；

图3为本实施例一种基于ECDSA的协同签名方法的签名生成过程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例

本实施例提供一种基于ECDSA的协同签名方法，是通过用户端A和服务器端S共同来完成签名的方案，其主要优势在于每一次协同签名都会更新通信双方的部分私钥，做到了高安全的一次一密。

在本实施例中，用户端A和服务器端S共享基于ECDSA的协同签名方法的椭圆曲线参数E(F_q)、G和q，椭圆曲线E为定义在有限域F_q上的椭圆曲线，G为椭圆曲线E上阶为素数q的一个基点，q通常为256比特。

用户端A利用随机数发生器生成：两个大素数p₁、p₂、用户端A的签名私钥片x_A、随机数k_A、r₁，其中x_A,k_A∈Z_q和r₁∈[1,N-1]，Z_q为整数模q乘法群，[1,N-1]表示集合{1,2,K,N-1}；

如图1、图2、图3所示，本实施例基于ECDSA的协同签名方法包括下述步骤：

1、用户端A进行下述计算步骤：

1.1、N＝p₁×p₂，其中p₁,p₂＞q³,且满足gcd(p₁p₂,(p₁-1)(p₂-1))＝1，N是一个大于q⁸的整数；

1.2、计算正整数g＝N+1；

1.3、计算最小公倍数：λ＝LCM(p₁-1,p₂-1)；函数LCM表示计算两个输入整数的最小公倍数；

1.4、计算群元素L(g,λ,N²,N)modN在整数模N乘法群Z_N ^*中的乘法逆元：μ＝L(g,λ,N²,N)^-1modN；

本实施例的modN表示模N运算，例如23mod7＝2；函数L(a,b,c,d)表示计算(a^bmodc-1)除以d的商，例如a＝2,b＝5,c＝9,d＝3，则L(2,5,9,3)＝1；

1.5、以x_A为明文r₁为随机数进行加法同态加密得到的用户端A签名私钥片的密文ek_A：

1.6、用户端A计算承诺：R_A＝k_A·G；

用户端A向服务器端S发送ID_A,g,N,N²,ek_A，其中ID_A为用户端A的身份标识，(N,g)为用户端A同态加密公钥PK。

服务器端S利用随机数发生器生成自身签名私钥片x_S，随机数k_S,b₀和ρ,其中x_S,k_S,b₀∈Z_q，ρ∈[1,q⁴]；

2、服务器端S进行如下计算：

2.1、计算服务器端S签名公钥片：P_S＝x_S·G；

2.2、计算域元素k_Smodq在域F_q中的乘法逆元：b₁＝k_S ^-1modq；

2.3、以b₀+ρ×q为明文ek_A为随机数进行加法同态加密得到的密文：

2.4、计算重要中间变量：otx_S＝(x_S-b₀×k_S)modq；

服务器端S向用户端A发送签名公钥片P_S；

用户端A收到签名公钥片P_S后，计算ECDSA签名验证公钥pk＝P_S+x_A·G，并将pk返回给服务器端S。如果需要，可以由注册机构RA为其颁发公钥证书。

最后，输出：

用户端A安全存储：PtK_A＝{g,N,N²,λ,μ,k_A,R_A}；

服务器端S安全存储：PtK_S＝{ID_A,x_S,g,N,N²,ek_A,k_S,ex_A,otx_S}；

假设待签名消息为m，为获得待签名消息m的数字签名σ＝(r,s)，签名用户端A和服务器端S先通过认证协议(认证协议是基于口令/或者口令+手机验证码的形式进行用户端身份认证)建立安全会话，假设该会话为Session(A,S)，其包含用户端身份标识ID_A和用户端证书Cert_A；然后通过以下方法生成数字签名。

用户端A取出PtK_A＝{g,N,N²,λ,μ,k_A,R_A}，计算待签名消息m的哈希(hash)值h＝H(m)，其中函数H为密码杂凑函数；h是密码杂凑函数作用于消息m的输出值且为消息m的摘要信息。

用户端A向服务器端S发送ID_A,h,R_A，其中，ID_A为用户端A的身份标识，R_A为用户端A签名时的承诺；

服务器端S利用用户端A的身份标识ID_A检索数据库，取出数据PtK_S＝{ID_A,x_S,g,N,N²,ek_A,k_S,ex_A,otx_S}，并进行如下计算：

1.1、承诺：(r_x,r_y)＝R＝k_S·R_A；

1.2、ECDSA签名的第一部分：r＝r_xmodq；

1.3、ECDSA签名的临时第二部分：ps＝(k_S)^-1(h+r×otx_S)modq；

服务器端S向用户端A发送ex_A,ps,r；

用户端A接收ex_A,ps,r后，进行如下计算：

2.1、重要中间变量otx_A＝(L(ex_A,λ,N²,N)×μmodN)modq；

2.2、ECDSA签名的第二部分：s＝(k_A)^-1(ps+r×otx_A)modq；

用户端A输出ECDSA签名σ＝(r,s)。

最后，用户端A和服务器端S分别进行如下预计算：

用户端A：

利用随机数发生器产生k_A∈Z_q，并计算R_A＝k_A·G，然后把k_A,R_A写回到参数PtK_A中。

服务器端S：

利用随机数发生器产生k_S,b₀∈Z_q和ρ∈[1,q⁴]，并进行如下计算：

S.1、b₁＝k_S ^-1modq

S.2、

S.3、otx_S＝(x_S-b₀×k_S)modq

然后把k_S,ex_A,otx_S写回到参数PtK_S中。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (8)

1.一种基于ECDSA的协同签名方法，其特征在于，包括下述步骤：

用户端A生成自身的签名协同数据PtK_A，所述PtK_A包括一对加法同态加密方案的公私钥对(PK,SK)、随机数k_A以及R_A；服务器端S生成自身的签名协同数据PtK_S，所述PtK_S包括用户端A的加法同态加密方案的公钥PK、随机数k_S、用户A的签名私钥片的密文ek_A及其更新值ex_A、服务器S的签名私钥片x_S及其更新值otx_S；

所述用户端A生成自身的签名协同数据PtK_A包括下述步骤：

用户端A利用随机数发生器产生两个大素数p₁、p₂，其中p₁,p₂＞q³,且满足gcd(p₁p₂,(p₁-1)(p₂-1))＝1，函数gcd表示计算两个输入整数的最大公约数,q为一素数；

用户端A利用随机数发生器产生x_A,k_A∈Z_q和r₁∈[1,N-1]，其中x_A为用户端A的签名私钥片，Z_q为整数模q乘法群，r₁为加法同态加密方案的随机数，[1,N-1]表示集合{1,2,...,N-1}；

用户端A进行如下计算：

整数N＝p₁×p₂；

正整数g＝N+1；

最小公倍数λ＝LCM(p₁-1,p₂-1)，函数LCM表示计算两个输入整数的最小公倍数；

群元素L(g,λ,N²,N)mod N在整数模N乘法群Z_N ^*中的乘法逆元：μ＝L(g,λ,N²,N)^-1mod N；

以x_A为明文r₁为随机数进行加法同态加密得到的用户端A签名私钥片的密文：

承诺：R_A＝k_A·G；承诺用于保护随机数k_A，其中G表示椭圆曲线E上一个阶为素数的基点；

用户端A向服务器端S发送ID_A,g,N,N²,ek_A并存储自身的签名协同数据PtK_A＝{g,N,N²,λ,μ,k_A,R_A}，其中ID_A为用户端A的身份标识，(N,g)为加法同态加密方案的公钥PK，(λ,μ)为加法同态加密方案的私钥SK；

用户端A计算待签名消息的哈希值h，并将身份标识ID_A、待签名消息哈希值h以及PtK_A中包含的承诺R_A发送至服务器端S；

服务器端S根据R_A计算ECDSA签名的第一部分r，并根据h生成签名的临时第二部分ps，将r、ps以及PtK_S中包含的密文ex_A发送至用户端A；

用户端A根据ex_A、ps、r以及PtK_A中包含的SK、k_A计算输出ECDSA签名σ；

最后，用户端A与服务器端S分别采用随机数发生器生成新随机数，进行部分私钥更新，并分别更新签名协同数据PtK_A和PtK_S。

2.根据权利要求1所述基于ECDSA的协同签名方法，其特征在于，用户端A和服务器端S共享基于ECDSA的协同签名方法的椭圆曲线参数E(F_q)、G和q，椭圆曲线E为定义在有限域F_q上的椭圆曲线，G为椭圆曲线E上阶为素数q的一个基点，q为256比特。

3.根据权利要求2所述基于ECDSA的协同签名方法，其特征在于，所述服务器端S生成自身的签名协同数据PtK_S包括下述步骤：

服务器端S利用随机数发生器产生x_S,k_S,b₀∈Z_q和ρ∈[1,q⁴]，其中b₀和ρ为加法同态加密方案的随机数；

服务器端S进行如下计算：

服务器端S的签名公钥片P_S＝x_S·G；

域元素k_Smodq在域F_q中的乘法逆元：

以b₀+ρ×q为明文ek_A为随机数进行加法同态加密得到的密文：

重要中间变量otx_S＝(x_S-b₀×k_S)modq；

服务器端S向用户端A发送P_S并存储自身的签名协同数据PtK_S＝{ID_A,x_S,g,N,N²,ek_A,k_S,ex_A,otx_S}。

4.根据权利要求1所述基于ECDSA的协同签名方法，其特征在于，该方法进一步包括下述步骤：

用户端A接收P_S后，计算ECDSA协同签名验证公钥pk＝P_S+x_A·G，并将pk返回至服务器端S。

5.根据权利要求1所述基于ECDSA的协同签名方法，其特征在于，所述用户端A计算待签名消息的哈希值h包括下述步骤：

用户端A取出PtK_A＝{g,N,N²,λ,μ,k_A,R_A}，计算待签名消息m的哈希值h＝H(m)，其中函数H为密码杂凑函数；h是密码杂凑函数作用于消息m的输出值且为消息m的摘要信息。

6.根据权利要求1所述基于ECDSA的协同签名方法，其特征在于，所述服务器端S根据R_A计算ECDSA签名的第一部分r，并根据h生成签名的临时第二部分ps包括下述步骤：

服务器端S利用用户端A的身份标识ID_A检索数据库，取出数据PtK_S＝{ID_A,x_S,g,N,N²,ek_A,k_S,ex_A,otx_S}；

服务器端S计算承诺：(r_x,r_y)＝R＝k_S·R_A；r_y表示点R在y轴方向的坐标；

服务器端S计算ECDSA签名的第一部分：r＝r_xmod q；

服务器端S计算签名的临时第二部分：ps＝(k_S)^-1(h+r×otx_S)mod q。

7.根据权利要求1所述基于ECDSA的协同签名方法，其特征在于，所述用户端A根ex_A、ps、r、SK和k_A计算输出ECDSA签名σ包括下述步骤：

用户端A计算重要中间变量otx_A＝(L(ex_A,λ,N²,N)×μmod N)modq；

用户端A计算ECDSA签名的第二部分：s＝(k_A)^-1(ps+r×otx_A)modq；

用户端A输出ECDSA签名σ＝(r,s)。

8.根据权利要求1所述基于ECDSA的协同签名方法，其特征在于，所述用户端A与服务器端S分别采用随机数发生器生成新的随机数，进行部分私钥更新，并分别更新签名协同数据PtK_A和PtK_S包括下述步骤：

用户端A利用随机数发生器产生k_A∈Z_q，并计算R_A＝k_A·G，然后把k_A,R_A写回到参数PtK_A中，

服务器端S利用随机数发生器产生k_S,b₀∈Z_q和

并进行如下计算：

b₁＝k_S ^-1mod q；

otx_S＝(x_S-b₀×k_S)mod q；

然后把k_S,ex_A,otx_S写回到参数PtK_S中。

Images