CN110166256B - 具有乘积r参数的SM9数字签名多方协同生成方法及系统 - Google Patents
具有乘积r参数的SM9数字签名多方协同生成方法及系统 Download PDFInfo
- Publication number
- CN110166256B CN110166256B CN201910521921.5A CN201910521921A CN110166256B CN 110166256 B CN110166256 B CN 110166256B CN 201910521921 A CN201910521921 A CN 201910521921A CN 110166256 B CN110166256 B CN 110166256B
- Authority
- CN
- China
- Prior art keywords
- digital signature
- devices
- message
- parameter
- product
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
发明涉及SM9数字签名生成方法:m个标号为第1号到第m号的装置分别保存有[1,n‑1]中的整数秘密ci,n为SM9群的阶,i=1,…,m,m≥2;PA=[(c1+c2+…+cm)‑1]dA,PB=[b]dA,dA为用户的私钥,b为m个装置都不知的[1,n‑1]内的整数秘密;当需使用dA对消息签名时,计算得到w=gB^(r1r2…rm),h=H2(M||w,n),Q1=[(r2r3…rm)‑1]PA,Q2=[(r3…rm)‑1]PA,Qm‑1=[(rm)‑1]PA,取Qm=PA,S0=PB;m个装置递归计算Si=[ri]Si‑1+[‑cih]Qi,令S=Sm,则(h,S)为针对消息的数字签名。
Description
技术领域
本发明属于信息安全技术领域,特别是具有乘积r参数的SM9数字签名多方协同生成方法及系统。
背景技术
SM9是由国家密码管理局颁布的一种基于双线性映射(配对运算)的标识密码算法,其中的双线性映射(配对运算)为:
e:G1×G2→GT时,其中G1、G2是加法循环群,GT是一个乘法循环群,G1、G2、GT的阶是素数n(注:在SM9规范中,G1、G2、GT的阶用的是大写字母N,本专利申请采用小写n),即若P、Q、R分别为G1、G2中的元,则e(P,Q)为GT中的元,且:
e(P+R,Q)=e(P,Q)e(R,Q),
e(P,Q+R)=e(P,Q)e(P,R),
e(aP,bQ)=e(P,Q)ab。
基于SM9密码算法能实现基于标识的数字签名、密钥交换及数据加密。在SM9密码算法中,使用用户的SM9私钥dA针对消息M生成数字签名的过程如下:
计算得到w=g^r,这里符号^表示幂运算(g的r次幂),r是在[1,n-1]区间内随机选择的整数,n是SM9密码算法的群G1、G2、GT的阶,g=e(P1,Ppub),P1为G1中的生成元,Ppub为主公钥(即Ppub=[s]P2,s为主私钥或主密钥,P2为G2中的生成元,参见SM9规范;注意,这里的主私钥或主密钥,主公钥,用户标识私钥使用的符号与SM9规范略有不同);
然后,计算h=H2(M||w,n),其中H2为SM9中规定的散列函数,M||w表示M和w的字串合并,n为G1、G2、GT的阶(参见SM9规范);
若r≠h,计算S=[r-h]dA,则(h,S)为生成的数字签名;若r=h,则重新选择r,重新计算w、h,直到r≠h。
针对一些特殊的需求,比如,为了保证非硬件环境下用户私钥使用的安全性,人们提出了一些基于秘密共享(分享)的SM9数字签名生成方法。在这些方法中,多个装置分别保存有用户SM9私钥的秘密份额,或者分别保存有与私钥有关的秘密的秘密份额;在需要使用用户私钥针对一个消息M生成数字签名时,每个装置利用自己的秘密份额与其他装置交互、协同运算,生成针对消息的数字签名。
现有的基于秘密共享的SM9数字签名协同生成方案,通常在密码运算的过程中计算w=g^(a1r1+...+amrm),其中ri是第i个装置在[1,n-1]中随机选择的整数,而ai是常数,i=1,...,m(假设有m个装置);然后计算h=H2(M||w,n),最后m个装置通过协同计算得到S=[(a1r1+...+amrm)-h]dA。这种方案通常是没有问题的,但也可能出现一种情况,就是恰好出现(a1r1+...+amrm)mod n=0,而出现这样情况恰好被其中一个装置观测到(比如通过检查w是否是单位元),但却不报告,则这个装置就有可能从最终得到的数字签名(h,S)中得到用户的SM9私钥。出现这种情况的概率虽然极小,但是仍然有可能发生,尤其是在ri很难做到是真正随机选择的情况下。
如果基于秘密共享的数字签名协同生成方案能做到所采用的方案是w=g^(ar1...rm),S=[(ar1...rm)-h]dA,即这里的r1,...,rm以及一个常数a是以乘积的形式出现,则不会出现(ar1...rm)mod n=0的情况,这样的方案具有更高的安全性。我们在这里把r1,...,rm以及常数a是以乘积形式出现的情形称为乘积r参数的情形,而把生成数字签名过程中r1,…,rm以及常数a以乘积形式出现的SM9数字签名协同生成方法,称为具有乘积r参数的SM9数字签名协同生成方法。
发明内容
本发明的目的是提出增强安全的SM9数字签名多方协同生成技术方案,即具有乘积r参数的SM9数字签名多方协同生成技术方案,以增强基于秘密共享的SM9数字签名协同生成技术方案的安全性。
针对本发明的目的,本发明提出的技术方案包括具有乘积r参数的SM9数字签名多方协同生成方法及相应的系统。
在以下对本发明技术方案的描述中,若P、Q是加法群G1、G2中的元,则P+Q表示P、Q在加法群上的加,P-Q表示P加上Q的逆元(加法逆元),[k]P表示k个P在加法群上的加,即P+P+...+P(共有k个P)(若k是负数,则是|k|个P相加的结果的加法逆元;这里[]符号的使用与SM9规范一致);
省略号“...”,表示多个同样(类型)的数据项或多个同样的运算;
若a、b是乘法群GT中的元,则ab或a·b表示a、b在乘法群GT上的乘(只要不产生无二义性,“·”可以省略),a-1表示a在乘法群中逆元(乘法逆元),at表示t个a在乘法群GT上相乘(t是负数,则是|t|个a相乘的结果的乘法逆元),即幂运算,at的另一种表达方式是a^t;
若c为整数,则c-1表示整数c的模n乘法逆(即cc-1mod n=1);如无特别说明,本专利发明中整数的乘法逆都是针对群G1、G2、GT的阶n的模n乘法逆;
多个整数相乘(包括整数符号相乘、常数与整数符号相乘),在不产生二义性的情况下,省略掉乘号“·”,如k1·k2简化为k1k2,3·c,简化为3c;
mod n表示模n运算(modulo operation),对应于SM9规范中的modN;还有,模n运算的算子mod n的优先级是最低的,如a+b mod n等同于(a+b)mod n,a-b mod n等同于(a-b)mod n,ab mod n等同于(ab)mod n。
本发明提出的具有乘积r参数的SM9数字签名多方协同生成方法具体如下。
所述方法涉及m个分别标号为第1号,第2号,...,到第m号的装置,m≥2;
第i号装置保存有[1,n-1]区间内的整数秘密ci,i=1,...,m,其中n为SM9密码算法中群G1、G2、GT的阶(为素数),且(c1+c2+...+cm)mod n≠0;
(初始化阶段)预先计算有:
PA=[c-1]dA,其中dA为用户的SM9标识私钥,c-1为c的模n乘法逆,c=(c1+c2+...+cm)mod n为m个装置都没有保存的整数秘密;
PB=[b]dA,其中b是[1,n-1]区间内的m个装置都没有保存的整数秘密;
b和c-1不必互异(二者不同或者相同);
gB=g^b,其中^是幂运算(对^前面的元进行幂运算,^后面为幂运算的次数),g=e(P1,Ppub),P1为G1中的生成元,Ppub为主公钥(即Ppub=[s]P2,s为主私钥或主密钥,P2为G2中的生成元,参见SM9规范);
m个装置都不保存dA;
当需要使用用户的SM9标识私钥dA针对消息M进行数字签名时,m个装置按如下方式进行数字签名的生成(需要使用用户的SM9标识私钥dA、针对消息M进行数字签名的主体可以是调用这m个装置的密码应用程序、系统或密码模块,或者m个装置之一中的密码应用程序、系统):
首先,m个装置通过交互计算得到w=gB^(r1r2...rm),其中ri是计算过程中第i号装置在[1,n-1]区间内随机选择的整数,i=1,...,m;
然后,(m个装置中的一个装置或其他装置)计算h=H2(M||w,n),其中H2为SM9中规定的散列函数,M||w表示M和w的字串合并,n为G1、G2、GT的阶;
(h无需保密,可根据需要自由传送)
(m个装置中的一个装置或其他装置)检查w与g^h是否相等,若w=g^h,则m个装置重新进行w的计算,直到w≠g^h;
之后,计算得到Q1=[(r2r3...rm)-1]PA,Q2=[(r3...rm)-1]PA,...,Qm-1=[(rm)-1]PA,取Qm=PA;
取S0=PB;
第1号装置计算S1=[r1]S0+[-c1h]Q1,其中r1与计算w时的r1相同,然将S1传送给第2号装置;
第i号装置接收到Si-1后,i=2,...,m,若检查发现Si-1为零元,则报错,否则,计算Si=[ri]Si-1+[-cih]Qi,其中ri与计算w时的ri相同;
若i=m,则取S=Sm,(h,S)为生成的针对消息M的数字签名,否则,将Si传送给第i+1号装置,直到完成Sm的计算。
(此时S=[r1r2...rm]PB+[-c1hr2...rm]Q1+[-c2hr3...rm]Q2+...+[-cm-1hrm]Qm-1+[-cmh]Qm=[r1r2...rm]PB+[-(c1+c2+...+cm)h]PA=[(r1r2...rm)b-h]dA)
对于以上所述的具有乘积r参数的SM9数字签名多方协同生成方法,m个装置计算得到w=gB^(r1r2...rm)的方法包括(不是全部可能的方式):
第1号装置计算g1=gB^r1,将g1发送第2号装置;
第i号装置接收到gi-1后,i=2,...,m,计算gi=gi-1^ri;
若i=m,则取w=gm,完成计算,否则,将第i号装置gi传送给第i+1号装置;
或者,
第m号装置计算gm=gB^rm,将gm发送第m-1号装置;
第i号装置接收gi+1到后,i=m-1,...,1,计算gi=gi+1^ri;
若i=1,则取w=g1,完成计算,否则,将第i号装置gi传送给第i-1号装置。
对于以上所述的具有乘积r参数的SM9数字签名多方协同生成方法,若在计算过程中不检查w与g^h是否相等,则计算得到S后,若(m个装置中的一个或其他装置)检查发现S为零元,则m个装置重新进行协同计算,直到S不为零元。
对于以上所述的具有乘积r参数的SM9数字签名多方协同生成方法,计算得到Q1=[(r2r3...rm)-1]PA,Q2=[(r3...rm)-1]PA,...,Qm-1=[(rm)-1]PA的一种方式如下:
第m号装置取Qm=PA,计算Qm-1=[(rm)-1]Qm,将Qm-1发送给第m-1号装置;
第i号装置接收到Qi后,i=m-1,…,1,若i=1,则第1号装置将Q1临时保留,完成Q1,Q2,...,Qm-1的计算,否则,第i号装置计算Qi-1=[(ri)-1]Qi,将Qi临时保留,将Qi-1传送给第i-1号装置。
对于以上所述的具有乘积r参数的SM9数字签名多方协同生成方法,若取cm=0并将PA作为秘密由第m号装置保存,且b≠c-1(即PB≠PA),则按前述方法计算得到Sm(此时[-cmh]Qm为零元)后,第m号装置取S=Sm,检验(h,S)作为消息M的数字签名的有效性,若有效,则(h,S)是针对消息M的数字签名,否则,第m号装置报错。
在以上所述的具有乘积r参数的SM9数字签名多方协同生成方法的基础上可构建SM9数字签名协同生成系统,系统包括m个分别标号为第1号,第2号,...,到第m号的装置,m≥2;第i号装置保存有[1,n-1]区间内的整数秘密ci,i=1,...,m;当需要使用用户的SM9标识私钥dA针对消息M进行数字签名时,m个装置按所述具有乘积r参数的SM9数字签名多方协同生成方法生成针对消息M的数字签名;特别地,若取cm=0,并将PA作为秘密由第m号装置保存,且b≠c-1(即PB≠PA),则按所述具有乘积r参数的SM9数字签名多方协同生成方法计算得到Sm(此时[-cmh]Qm为零元)后,第m号装置取S=Sm,检验(h,S)作为消息M的数字签名的有效性,若有效,则(h,S)是针对消息M的数字签名,否则,第m号装置报错。
从以上描述可以看到,通过本发明的方法和系统,当需要使用用户标识私钥dA对消息进行数字签名时,多个装置可以通过交互协同生成针对消息的数字签名,且协同计算过程采用的是乘积r参数,从而具有较高的安全性。
附图说明
无。
具体实施方式
下面结合实施例对本发明作进一步的描述。以下实施例仅是本发明列举的几个可能的实施例,不代表全部可能的实施例,不作为对本发明的限定。
实施例1、
此实施例有两个标号为第1号、第2号的装置,第1号装置保存有[1,n-1]区间内的整数秘密c1,第2号装置保存有[1,n-1]区间内的整数秘密c2,其中n为SM9密码算法中群G1、G2、GT的阶(为素数),且(c1+c2)mod n≠0;
(初始化阶段)预先计算有:
PA=[c-1]dA,其中dA为用户的SM9标识私钥,c-1为c的模n乘法逆,c=(c1+c2)mod n为两个装置都没有保存的整数秘密;
PB=[b]dA,其中b是[1,n-1]区间内的m个装置都没有保存的整数秘密;
b和c-1不必互异(二者不同或者相同);
gB=g^b,其中^是幂运算(对^前面的元进行幂运算,^后面为幂运算的次数),g=e(P1,Ppub),P1为G1中的生成元,Ppub为主公钥(即Ppub=[s]P2,s为主私钥或主密钥,P2为G2中的生成元,参见SM9规范);
两个装置都不保存dA;
当需要使用用户的SM9标识私钥dA针对消息M进行数字签名时,两个装置首先通过交互计算得到w=gB^(r1r2),其中r1是第1号装置在[1,n-1]区间内随机选择的整数,r2是第2号装置在[1,n-1]区间内随机选择的整数;
然后,(两个装置中的一个装置或其他装置)计算h=H2(M||w,n),其中H2为SM9中规定的散列函数,M||w表示M和w的字串合并,n为G1、G2、GT的阶;
(两个装置中的一个装置或其他装置)检查w与g^h是否相等,若w=g^h,则两个装置重新进行w的计算,直到w≠g^h;
之后,计算得到Q1=[(r2)-1]PA,取Q2=PA;
取S0=PB;
第1号装置计算S1=[r1]S0+[-c1h]Q1,其中r1与计算w时的r1相同,然将S1传送给第2号装置;
第2号装置接收到S1后,若检查发现S1为零元,则报错,否则,计算S2=[r2]S1+[-c2h]Q2,其中r2与计算w时的r2相同;
取S=S2,则(h,S)为针对消息M的数字签名。
(此时S=[r1r2]PB+[-c1hr2]Q1+[-c2h]Q2=[r1r2]PB+[-(c1+c2)h]PA
=[(r1r2)b-h]dA)
对于此实施例,在初始化阶段,可以由知道dA的装置(两个装置中的一个或之外的一个装置)在[1,n-1]中随机选择两个整数c1、c2,检查(c1+c2)mod n是否为0,若为0,则在[1,n-1]内重新选择两个整数c1、c2,直到(c1+c2)mod n不为0;
若(c1+c2)mod n不为0,则将c1、c2分别交由第1号、第2号装置作为秘密保存;
然后,知道dA的装置计算PA=[c-1]dA,其中c-1为c的模n乘法逆,c=(c1+c2)mod n;在[1,n-1]中随机选择一个整数b,计算PB=[b]dA;
最后将PA、PB交由需要的装置使用,将c、b、dA销毁。
实施例2、
此实施例有m个分别标号为第1号,第2号,...,到第m号的装置,m≥2,其中第i号装置保存有[1,n-1]区间内的整数秘密ci,i=1,...,m,其中n为SM9密码算法中群G1、G2、GT的阶(为素数),且(c1+c2+...+cm)mod n≠0;
(初始化阶段)预先计算有:
PA=[c-1]dA,其中dA为用户的SM9标识私钥,c=(c1+c2+...+cm)mod n为m个装置都没有保存的整数秘密,c-1为c的模n乘法逆;
PB=[b]dA,其中b是[1,n-1]区间内的m个装置都没有保存的整数秘密;
b和c-1不必互异(二者不同或者相同);
gB=g^b,其中^是幂运算(对^前面的元进行幂运算,^后面为幂运算的次数),g=e(P1,Ppub),P1为G1中的生成元,Ppub为主公钥(即Ppub=[s]P2,s为主私钥或主密钥,P2为G2中的生成元,参见SM9规范);
m个装置都不保存dA;
当需要使用用户的SM9标识私钥dA针对消息M进行数字签名时,m个装置首先通过交互计算得到w=gB^(r1r2...rm),其中ri是计算过程中第i号装置在[1,n-1]区间内随机选择的整数,i=1,...,m;
然后,(m个装置中的一个装置或其他装置)计算h=H2(M||w,n),其中H2为SM9中规定的散列函数,M||w表示M和w的字串合并,n为G1、G2、GT的阶;
(h无需保密,可根据需要自由传送)
(m个装置中的一个装置或其他装置)检查w与g^h是否相等,若w=g^h,则m个装置重新进行w的计算,直到w≠g^h;
之后,计算得到Q1=[(r2r3...rm)-1]PA,Q2=[(r3...rm)-1]PA,...,Qm-1=[(rm)-1]PA,取Qm=PA;
取S0=PB;
第1号装置计算S1=[r1]S0+[-c1h]Q1,其中r1与计算w时的r1相同,然将S1传送给第2号装置;
第i号装置接收到Si-1后,i=2,...,m,若检查发现Si-1为零元,则报错,否则,计算Si=[ri]Si-1+[-cih]Qi,其中ri与计算w时的ri相同;
若i=m,则取S=Sm,(h,S)为生成的针对消息M的数字签名,否则,将Si传送给第i+1号装置。
(此时S=[r1r2...rm]PB+[-c1hr2...rm]Q1+[-c2hr3...rm]Q2+...+[-cm-1hrm]Qm-1+[-cmh]Qm=[r1r2...rm]PB+[-(c1+c2+...+cm)h]PA=[(r1r2...rm)b-h]dA)
对于此实施例,在初始化阶段,可以由知道dA的装置(m个装置中的一个或之外的一个装置)在[1,n-1]中随机选择m个整数ci,i=1,...,m,检查(c1+c2+...+cm)mod n是否为0,若为0,则在[1,n-1]内重新选择m个整数,直到(c1+c2+...+cm)mod n不为0;
若(c1+c2+...+cm)mod n不为0,则将ci交由第i号装置作为秘密保存,i=1,...,m;
然后知道dA的装置计算PA=[c-1]dA,其中c-1为c的模n乘法逆,c=(c1+c2+...+cm)mod n;
然后知道dA的装置在[1,n-1]中随机选择一个整数b,计算PB=[b]dA;
最后将PA、PB交由需要的装置,将c、b、dA销毁。
实施例3、
此实施例有两个标号为第1号、第2号的装置,第1号装置保存有[1,n-1]区间内的整数秘密c1,其中n为SM9密码算法中群G1、G2、GT的阶(为素数);第2号装置保存有秘密PA=[(c1)-1]dA(此时c2=0),其中dA为用户的SM9标识私钥,(c1)-1为c1的模n乘法逆;
(初始化阶段)预先计算有:
PB=[b]dA,其中b是[1,n-1]区间内的m个装置都没有保存的整数秘密;
b和(c1)-1不同;
gB=g^b,其中^是幂运算(对^前面的元进行幂运算,^后面为幂运算的次数),g=e(P1,Ppub),P1为G1中的生成元,Ppub为主公钥(即Ppub=[s]P2,s为主私钥或主密钥,P2为G2中的生成元,参见SM9规范);
两个装置都不保存dA;
当需要使用用户的SM9标识私钥dA针对消息M进行数字签名时,两个装置首先通过交互计算得到w=gB^(r1r2),其中r1是第1号装置在[1,n-1]区间内随机选择的整数,r2是第2号装置在[1,n-1]区间内随机选择的整数;
然后,(两个装置中的一个装置或其他装置)计算h=H2(M||w,n),其中H2为SM9中规定的散列函数,M||w表示M和w的字串合并,n为G1、G2、GT的阶;
(两个装置中的一个装置或其他装置)检查w与g^h是否相等,若w=g^h,则两个装置重新进行w的计算,直到w≠g^h;
之后,计算得到Q1=[(r2)-1]PA;
取S0=PB;
第1号装置计算S1=[r1]S0+[-c1h]Q1,其中r1与计算w时的r1相同,然将S1传送给第2号装置;
第2号装置接收到S1后,若检查发现S1为零元,则报错,否则,计算S2=[r2]S1(此时c2=0),其中r2与计算w时的r2相同;
第2号装置取S=S2,检查(h,S)作为消息M的数字签名的有效性,若有效,则(h,S)为针对消息M的数字签名,否则,第2号装置报错。
(此时S=[r1r2]PB+[-c1r2h]Q1=[r1r2]PB+[-c1h]PA=[(r1r2)b-h]dA)
对于此实施例,在初始化阶段,可以由知道dA的装置(两个装置中的一个或之外的一个装置)在[1,n-1]中随机选择一个整数c1,将c1交由第1号装置作为秘密保存;计算PA=[(c1)-1]dA,将PA交由第2号装置作为秘密保存(此时c2=0);知道dA的装置在[1,n-1]内随机选择一个整数b且b≠(c1)-1,计算PB=[b]dA,将PB交由需要的装置,将b、dA销毁。
实施例4、
此实施例有m个分别标号为第1号,第2号,...,到第m号的装置,m≥2,其中第1号到第m-1号装置分别保存有[1,n-1]区间内的整数秘密ci,i=1,...,m-1,其中n为SM9密码算法中群G1、G2、GT的阶(为素数),且(c1+c2+...+cm-1)mod n≠0;第m号装置保存有秘密PA=[c-1]dA,其中dA为用户的SM9标识私钥,c-1为c的模n乘法逆,c=(c1+c2+...+cm-1)mod n;
(初始化阶段)预先计算有:
PB=[b]dA,其中b是[1,n-1]区间内的m个装置都没有保存的整数秘密;
b和c-1不同;
gB=g^b,其中^是幂运算(对^前面的元进行幂运算,^后面为幂运算的次数),g=e(P1,Ppub),P1为G1中的生成元,Ppub为主公钥(即Ppub=[s]P2,s为主私钥或主密钥,P2为G2中的生成元,参见SM9规范);
m个装置都不保存dA;
当需要使用用户的SM9标识私钥dA针对消息M进行数字签名时,m个装置首先通过交互计算得到w=gB^(r1r2...rm),其中ri是计算过程中第i号装置在[1,n-1]区间内随机选择的整数,i=1,...,m;
然后,(m个装置中的一个装置或其他装置)计算h=H2(M||w,n),其中H2为SM9中规定的散列函数,M||w表示M和w的字串合并,n为G1、G2、GT的阶;
(h无需保密,可根据需要自由传送)
(m个装置中的一个装置或其他装置)检查w与g^h是否相等,若w=g^h,则m个装置重新进行w的计算,直到w≠g^h;
之后,计算得到Q1=[(r2r3...rm)-1]PA,Q2=[(r3…rm)-1]PA,...,Qm-1=[(rm)-1]PA,取Qm=PA;
取S0=PB;
第1号装置计算S1=[r1]S0+[-c1h]Q1,其中r1与计算w时的r1相同,然将S1传送给第2号装置;
第i号装置接收到Si-1后,i=2,...,m,若检查发现Si-1为零元,则报错,否则,计算Si=[ri]Si-1+[-cih]Qi,其中ri与计算w时的ri相同;这里若i=m,cm=0;
若i=m,则结束S1,S2,...,Sm的计算,否则,将Si传送给第i+1号装置;
第m号装置取S=Sm,检查(h,S)作为消息M的数字签名的有效性,若有效,则(h,S)为针对消息M的数字签名,否则,第m号装置报错。
(此时S=[r1r2...rm]PB+[-c1hr2...rm]Q1+[-c2hr3...rm]Q2+...+[-cm-1hrm]Qm-1=[r1r2…rm]PB+[-(c1+c2+...+cm-1)h]PA=[(r1r2...rm)b-h]dA)
对于此实施例,在初始化阶段,可以由知道dA的装置(m个装置中的一个或之外的一个装置)在[1,n-1]中随机选择m-1个整数ci,i=1,...,m-1,检查(c1+c2+...+cm-1)mod n是否为0,若为0,则在[1,n-1]内重新选择m-1个整数,直到(c1+c2+...+cm-1)mod n不为0;
若(c1+c2+...+cm-1)mod n不为0,则将ci交由第i号装置作为秘密保存,i=1,...,m-1(此时cm=0);
然后知道dA的装置计算PA=[c-1]dA,其中c-1为c的模n乘法逆,c=(c1+c2+...+cm-1)mod n;
然后知道dA的装置在[1,n-1]中随机选择一个整数b且b≠c-1,计算PB=[b]dA;
最后将PA交由第m号装置作为秘密保存,将PB交给需要的装置,将c、b、dA销毁。
在以上实施例1-4中,m个装置计算得到w=gB^(r1r2...rm)的方法包括(不是全部可能的方式):
第1号装置计算g1=gB^r1,将g1发送第2号装置;
第i号装置接收到gi-1后,i=2,...,m,计算gi=gi-1^ri;
若i=m,则w=gm,完成计算,否则,将第i号装置gi传送给第i+1号装置;
或者,
第m号装置计算gm=gB^rm,将gm发送第m-1号装置;
第i号装置接收gi+1到后,i=m-1,...,1,计算gi=gi+1^ri;
若i=1,则w=g1,完成计算,否则,将第i号装置gi传送给第i-1号装置。
在以上实施例1-4中,若在计算过程中不检查w与g^h是否相等,则计算得到S后,若检查发现S为零元,则m个装置重新进行协同计算,直到S不为零元。
在以上实施例1-4中,计算得到Q1=[(r2r3...rm)-1]PA,Q2=[(r3...rm)-1]PA,...,Qm-1=[(rm)-1]PA的一种方式如下:
第m号装置取Qm=PA,计算Qm-1=[(rm)-1]Qm,将Qm-1发送给第m-1号装置;
第i号装置接收到Qi后,i=m-1,...,1,若i=1,则第1号装置将Q1临时保留,完成Q1,Q2,...,Qm-1的计算,否则,第i号装置计算Qi-1=[(ri)-1]Qi,将Qi临时保留,将Qi-1传送给第i-1号装置。
依据本发明的具有乘积r参数的SM9数字签名多方协同生成方法可构建相应的SM9数字签名协同生成系统,系统包括m个分别标号为第1号,第2号,...,到第m号的装置,m≥2;第i号装置保存有[1,n-1]区间内的整数秘密ci,i=1,...,m;当需要使用用户的SM9标识私钥dA针对消息M进行数字签名时,m个装置按所述具有乘积r参数的SM9数字签名多方协同生成方法生成针对消息M的数字签名;特别地,若取cm=0,并将PA作为秘密由第m号装置保存,且b≠c-1(即PB≠PA),则按所述具有乘积r参数的SM9数字签名多方协同生成方法计算得到Sm(此时[-cmh]Qm为零元)后,第m号装置取S=Sm,检验(h,S)作为消息M的数字签名的有效性,若有效,则(h,S)是针对消息M的数字签名,否则,第m号装置报错。
其他未说明的具体技术实施,对于相关领域的技术人员而言是众所周知,不言自明的。
Claims (6)
1.一种具有乘积r参数的SM9数字签名多方协同生成方法,其特征是:
所述方法涉及m个分别标号为第1号,第2号,…,到第m号的装置,m≥2;
第i号装置保存有[1,n-1]区间内的整数秘密ci,i=1,…,m,其中n为SM9密码算法中群G1、G2、GT的阶,且(c1+c2+…+cm)mod n≠0;
预先计算有:
PA=[c-1]dA,其中dA为用户的SM9标识私钥,c-1为c的模n乘法逆,c=(c1+c2+…+cm)mod n为m个装置都没有保存的整数秘密;
PB=[b]dA,其中b是[1,n-1]区间内的m个装置都没有保存的整数秘密;
b和c-1不必互异;
gB=g^b,其中^是幂运算,g=e(P1,Ppub),P1为G1中的生成元,Ppub为主公钥;
m个装置都不保存dA;
当需要使用用户的SM9标识私钥dA针对消息M进行数字签名时,m个装置按如下方式进行数字签名的生成:
首先,m个装置通过交互计算得到w=gB^(r1r2…rm),其中ri是计算过程中第i号装置在[1,n-1]区间内随机选择的整数,i=1,…,m;
然后,计算h=H2(M||w,n),其中H2为SM9中规定的散列函数,M||w表示M和w的字串合并,n为G1、G2、GT的阶;
检查w与g^h是否相等,若w=g^h,则m个装置重新进行w的计算,直到w≠g^h;
之后,计算得到Q1=[(r2r3…rm)-1]PA,Q2=[(r3…rm)-1]PA,…,Qm-1=[(rm)-1]PA,取Qm=PA;
取S0=PB;
第1号装置计算S1=[r1]S0+[-c1h]Q1,其中r1与计算w时的r1相同,然将S1传送给第2号装置;
第i号装置接收到Si-1后,i=2,…,m,若检查发现Si-1为零元,则报错,否则,计算Si=[ri]Si-1+[-cih]Qi,其中ri与计算w时的ri相同;
若i=m,则取S=Sm,(h,S)为生成的针对消息M的数字签名,否则,将Si传送给第i+1号装置,直到完成Sm的计算。
2.根据权利要求1所述的具有乘积r参数的SM9数字签名多方协同生成方法,其特征是:
m个装置计算得到w=gB^(r1r2…rm)的方法包括:
第1号装置计算g1=gB^r1,将g1发送第2号装置;
第i号装置接收到gi-1后,i=2,…,m,计算gi=gi-1^ri;
若i=m,则取w=gm,完成计算,否则,将第i号装置gi传送给第i+1号装置;
或者,
第m号装置计算gm=gB^rm,将gm发送第m-1号装置;
第i号装置接收gi+1到后,i=m-1,…,1,计算gi=gi+1^ri;
若i=1,则取w=g1,完成计算,否则,将第i号装置gi传送给第i-1号装置。
3.根据权利要求1所述的具有乘积r参数的SM9数字签名多方协同生成方法,其特征是:
若在计算过程中不检查w与g^h是否相等,则计算得到S后,若检查发现S为零元,则m个装置重新进行协同计算,直到S不为零元。
4.根据权利要求1所述的具有乘积r参数的SM9数字签名多方协同生成方法,其特征是:
计算得到Q1=[(r2r3…rm)-1]PA,Q2=[(r3…rm)-1]PA,…,Qm-1=[(rm)-1]PA的一种方式如下:
第m号装置取Qm=PA,计算Qm-1=[(rm)-1]Qm,将Qm-1发送给第m-1号装置;
第i号装置接收到Qi后,i=m-1,…,1,若i=1,则第1号装置将Q1临时保留,完成Q1,Q2,…,Qm-1的计算,否则,第i号装置计算Qi-1=[(ri)-1]Qi,将Qi临时保留,将Qi-1传送给第i-1号装置。
5.根据权利要求1所述的具有乘积r参数的SM9数字签名多方协同生成方法,其特征是:
若取cm=0并将PA作为秘密由第m号装置保存,且b≠c-1,则按前述方法计算得到Sm后,第m号装置取S=Sm,检验(h,S)作为消息M的数字签名的有效性,若有效,则(h,S)是针对消息M的数字签名,否则,第m号装置报错。
6.一种基于权利要求1-4中任一项所述的具有乘积r参数的SM9数字签名多方协同生成方法的SM9数字签名协同生成系统,其特征是:
所述系统包括m个分别标号为第1号,第2号,…,到第m号的装置,m≥2;第i号装置保存有[1,n-1]区间内的整数秘密ci,i=1,…,m;当需要使用用户的SM9标识私钥dA针对消息M进行数字签名时,m个装置按所述具有乘积r参数的SM9数字签名多方协同生成方法生成针对消息M的数字签名;
若取cm=0并将PA作为秘密由第m号装置保存,且b≠c-1,则按所述具有乘积r参数的SM9数字签名多方协同生成方法计算得到Sm后,第m号装置取S=Sm,检验(h,S)作为消息M的数字签名的有效性,若有效,则(h,S)是针对消息M的数字签名,否则,第m号装置报错。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910521921.5A CN110166256B (zh) | 2019-06-17 | 2019-06-17 | 具有乘积r参数的SM9数字签名多方协同生成方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910521921.5A CN110166256B (zh) | 2019-06-17 | 2019-06-17 | 具有乘积r参数的SM9数字签名多方协同生成方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110166256A CN110166256A (zh) | 2019-08-23 |
CN110166256B true CN110166256B (zh) | 2020-10-02 |
Family
ID=67625737
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910521921.5A Active CN110166256B (zh) | 2019-06-17 | 2019-06-17 | 具有乘积r参数的SM9数字签名多方协同生成方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110166256B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104780050A (zh) * | 2015-04-23 | 2015-07-15 | 北京航空航天大学 | 基于椭圆曲线的前向安全的成员可撤销无证书群签名方案 |
CN107104793A (zh) * | 2017-04-12 | 2017-08-29 | 武汉理工大学 | 一种数字签名生成方法及系统 |
CN107438005A (zh) * | 2017-06-21 | 2017-12-05 | 深圳奥联信息安全技术有限公司 | Sm9联合数字签名方法和装置 |
CN107819585A (zh) * | 2017-11-17 | 2018-03-20 | 武汉理工大学 | Sm9数字签名协同生成方法及系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7209555B2 (en) * | 2001-10-25 | 2007-04-24 | Matsushita Electric Industrial Co., Ltd. | Elliptic curve converting device, elliptic curve converting method, elliptic curve utilization device and elliptic curve generating device |
CN107968710B (zh) * | 2017-11-27 | 2020-08-25 | 武汉理工大学 | Sm9数字签名分离交互生成方法及系统 |
-
2019
- 2019-06-17 CN CN201910521921.5A patent/CN110166256B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104780050A (zh) * | 2015-04-23 | 2015-07-15 | 北京航空航天大学 | 基于椭圆曲线的前向安全的成员可撤销无证书群签名方案 |
CN107104793A (zh) * | 2017-04-12 | 2017-08-29 | 武汉理工大学 | 一种数字签名生成方法及系统 |
CN107438005A (zh) * | 2017-06-21 | 2017-12-05 | 深圳奥联信息安全技术有限公司 | Sm9联合数字签名方法和装置 |
CN107819585A (zh) * | 2017-11-17 | 2018-03-20 | 武汉理工大学 | Sm9数字签名协同生成方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110166256A (zh) | 2019-08-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107819585B (zh) | Sm9数字签名协同生成方法及系统 | |
CN107968710B (zh) | Sm9数字签名分离交互生成方法及系统 | |
CN1326351C (zh) | 有限域离散对数密码系统的割圆多项式结构 | |
US8429408B2 (en) | Masking the output of random number generators in key generation protocols | |
CN107707358B (zh) | 一种ec-kcdsa数字签名生成方法及系统 | |
Kaya et al. | Threshold cryptography based on Asmuth–Bloom secret sharing | |
CN107733648B (zh) | 一种基于身份的rsa数字签名生成方法及系统 | |
Hu et al. | Verifiable multi-secret sharing based on LFSR sequences | |
CN110213057B (zh) | 具有乘积r参数的SM9数字签名协同生成方法及系统 | |
CN110545279A (zh) | 兼具隐私和监管功能的区块链交易方法、装置及系统 | |
US20120221858A1 (en) | Accelerated Key Agreement With Assisted Computations | |
CN109951292B (zh) | 精简的sm9数字签名分离交互生成方法及系统 | |
CN109962783B (zh) | 基于递进计算的sm9数字签名协同生成方法及系统 | |
CN110166235B (zh) | 增强安全的sm9数字签名协同生成方法及系统 | |
CN111355582A (zh) | 基于sm2算法的两方联合签名和解密的方法及系统 | |
CN110519051B (zh) | r参数和秘密双乘积的SM9签名协同生成方法及系统 | |
CN110380855B (zh) | 支持多方协同增强安全的sm9数字签名生成方法及系统 | |
CN110299998B (zh) | 借助中间参数的sm9数字签名协同生成方法及系统 | |
CN110266486B (zh) | 基于乘积秘密共享的sm9数字签名简捷生成方法及系统 | |
CN110798313B (zh) | 基于秘密动态共享的包含秘密的数的协同生成方法及系统 | |
EP2395698B1 (en) | Implicit certificate generation in the case of weak pseudo-random number generators | |
CN110401524B (zh) | 一种借助同态加密的包含秘密的数的协同生成方法及系统 | |
CN110166256B (zh) | 具有乘积r参数的SM9数字签名多方协同生成方法及系统 | |
EP2493112A1 (en) | Accelerated key agreement with assisted computations | |
CN110557260A (zh) | 一种sm9数字签名生成方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |