CN111130786A

CN111130786A - 一种多方协同sm2密钥生成、密文解密方法与介质

Info

Publication number: CN111130786A
Application number: CN201911024400.5A
Authority: CN
Inventors: 何德彪; 张语荻; 冯琦; 王婧; 陈泌文
Original assignee: Wuhan University WHU
Current assignee: Wuhan University WHU
Priority date: 2019-10-25
Filing date: 2019-10-25
Publication date: 2020-05-08

Abstract

本发明涉及一种多方协同SM2密钥生成、密文解密方法与介质，通过以下技术方案实现：参加算法产生的t个参与者，在集合{1，...，n}中随机选取x_i，并通过交互产生SM2密文的验证公钥Q。t个参与者都计算部分密文C′₁发并广播，最后可以由一个或者多个用户计算出最终的明文M′。本发明具有实现复杂度低、安全性高、易验证等特点，使用于多方在不泄漏各自部分私钥的情况下协同解密SM2密文，解密过程必须t方同时参与，解密SM2密文的过程不会泄漏原始的解密私钥，保证了私钥的安全性，提高了多方解密SM2密文的公平性。

Description

一种多方协同SM2密钥生成、密文解密方法与介质

技术领域

本发明涉及一种SM2密钥生成、密文解密方法与介质，尤其是涉及一种多方协同SM2密钥生成、密文解密方法与介质。

背景技术

随着科学技术的飞速发展，云计算、雾计算等平台为数据的存储和传输提供了强大的支撑平台，给人们的日常生活提供了更多的便利。新的体系结构给数据的完整性、机密性、可用性带来了新的挑战，数据的安全和隐私问题已经成为人们高度关注的问题。

对于此类问题，比较常见的解决方法是将私钥分割为多份后发给多个参与方，当需要使用私钥进行解密时，t个被分割的密钥份额可以恢复用户的原始私钥，如果低于t个参与者，则无法恢复原始私钥。一旦私钥被恢复，拥有原始私钥的一方都可以在其他参与方不知晓的情况下对密文进行解密。

针对这种情况，本专利设计了一种多方协同解密SM2密文的方案，此方案在多方协同解密的情况下，既能保证解密的正确性，又能保证私钥不被泄露，且产生解密的过程中必须由多方同时参与。

SM2是由国家密码管理局颁布的一种椭圆曲线公钥密码算法(参见《SM2椭圆曲线公钥密码算法》规范，国家密码管理局，2010年12月)，基于此算法能实现数字签名、密钥交换及数据加密。在这里，不同于各种普通的密钥分割或门限秘密分割。本专利提出的多方协同解密SM2密文的方法与系统，必须在多方共同运算下才能解密，并且任何一方都无法得到原始解密私钥。

目前现有的普通的密钥分割或门限秘密分割能够将密钥进行分割，但是在解密的阶段，密钥会被恢复并被某一方所掌握，这样降低了多方解密的安全性和公平性，持有完整私钥的一方可以在其他用户不知情的情况下完成解密。

发明内容

本发明的上述技术问题主要是通过下述技术方案得以解决的：

一种多方协同SM2密钥生成方法，其特征在于，包括：

步骤1、用户U_i从{1，...，n}中随机选取一个数x_i，计算Q_i＝x₁G，并生成Q₁的零知识证明π_i，将Q_i和π_i广播给其他用户；

步骤2、U_i验证来自其他t-1个用户的零知识证明通过后，计算保存

一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

一种多方协同SM2密文解密方法，其特征在于，包括：

步骤1、从密文C中提取比特串C₁，按照SM2规范将C₁的数据类型转换成椭圆曲线上的点，验证C₁是否满足椭圆曲线方程，若不满足则报错并退出；

步骤2、用户U_i(1≤i≤t)计算S_i＝x_iC₁；用户U_i(2≤i≤t)生成S_i的零知识证明π_t+i，并将S_i和π_t+i发送给U₁；

步骤3、用户U₁验证来自其他t-1个用户的零知识证明通过后，计算

若S是无穷远点，则报错并退出；

步骤4、用户U₁按照SM2规范，使用SM2原始解密步骤继续计算明文：

步骤4.1、计算S的坐标(s_x，s_y)，将坐标s_x、s_y的数据类型转换为比特串；

步骤4.2、计算t＝KDF(s_x||s_y，klen)，若t为全0比特串，则报错并退出；

步骤4.3、从C中提取比特串C₂，计算

步骤4.4、计算u＝Hash(s_x|M′||s_y)，从C中提取比特串C₃，若u≠C₃，则报错并退出；

步骤4.5、输出明文M′。

若S是无穷远点，则报错并退出；

步骤4.2、计算t＝KDF(s_x|s_y，klen)，若t为全0比特串，则报错并退出；

步骤4.3、从C中提取比特串C₂，计算

步骤4.5、输出明文M′。

因此，本发明具有如下优点：本发明具有实现复杂度低、安全性高、易验证等特点，使用于多方在不泄漏各自部分私钥的情况下协同解密SM2密文，解密过程必须t方同时参与，解密SM2密文的过程不会泄漏原始的解密私钥，保证了私钥的安全性，提高了多方解密SM2密文的公平性。。

附图说明

附图1是本发明中多方协同产生密钥对的流程示意图。

附图2是本发明中多方协同SM2解密的流程示意图。

具体实施方式

下面通过实施例，并结合附图，对本发明的技术方案作进一步具体的说明。

实施例：

下面结合实施例及附图对本方案做详细的描述，以下实施方案只表示本发明一种可能的实施方式，不是全部可能的实施方案，不作为对本发明的限定。

一、符号及定义

U_i：第i个用户。

x：SM2用户的解密私钥。

e：密码杂凑函数作用于消息m的输出值。

G：椭圆曲线的一个基点，其阶为素数。

HashO：消息摘要长度为v比特的密码杂凑函数。

KDFO：密钥派生函数。

M：待加密的消息。

M′：解密得到的消息。

mod n：模n运算。例如，23mod7≡2。

n：基点G的阶。

O：椭圆曲线上的一个特殊点，称为无穷远点或零点，是椭圆曲线加法群的单位元。

x||y：x与y的拼接，其中x，y可以是比特串或字节串。

kP：椭圆曲线上点P的k倍点，k是正整数。

{x，y}：大于或等于x且小于或等于y的整数的集合。

(r_x，r_y)：某一点的x坐标的值和y坐标的值。

C＝(C₁，C₂，C₃)：SM2密文

∑_ia_i：将所有的a_i都累加起来，即a₁+a_i+…+a_n。

∑_i，j∈sa_ib_j：将所有i，j属于集合S的a_ib_j累加起来，即a₁∑_j∈sb_j+a₂∑_j∈sb_j+…+a_n∑_j∈sb_j。

对于本方案，需要t个用户构成的集合S中的所有用户参与，假设第t(2≤t≤n)个用户是U_i。

二、多方协同产生密钥对阶段：

1、用户U_i从{1，...，n}中随机选取一个数x_i，计算Q_i＝x₁G，并生成Q₁的零知识证明π_i，将Q_i和π_i广播给其他用户。

2、U_i验证来自其他t-1个用户的零知识证明通过后，计算保存

三、多方协同SM2解密阶段

1、从密文C中提取比特串C₁，按照SM2规范将C₁的数据类型转换成椭圆曲线上的点，验证C₁是否满足椭圆曲线方程，若不满足则报错并退出。

2、用户U_i(1≤i≤t)计算S_i＝x_iC₁。用户U_i(2≤i≤t)生成S_i的零知识证明π_t+i，并将S_i和π_t+i发送给U₁。

3、用户U₁验证来自其他t-1个用户的零知识证明通过后，计算

若S是无穷远点，则报错并退出。

4、用户U₁按照SM2规范，使用SM2原始解密步骤继续计算明文：

1)计算S的坐标(s_x，s_y)，将坐标s_x、s_y的数据类型转换为比特串；

2)计算t＝KDF(s_x||s_y，klen)，若t为全0比特串，则报错并退出；

3)从C中提取比特串C₂，计算

4)计算u＝Hash(s_x||M′||s_y)，从C中提取比特串C₃，若u≠C₃，则报错并退出；

5)输出明文M′。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims

1.一种多方协同SM2密钥生成方法，其特征在于，包括：

2.一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

3.一种多方协同SM2密文解密方法，其特征在于，包括：

若S是无穷远点，则报错并退出；

步骤4.3、从C中提取比特串C₂，计算

步骤4.4、计算u＝Hash(s_x||M′|s_y)，从C中提取比特串C₃，若u≠C₃，则报错并退出；

步骤4.5、输出明文M′。

4.一种计算机存储介质，其特征在于，存储有计算机程序，运行计算机程序包括以下步骤：

若S是无穷远点，则报错并退出；

步骤4.3、从C中提取比特串C₂，计算

步骤4.4、计算u＝Hash(s_x|M′||s_y||)，从C中提取比特串C₃，若u≠C₃，则报错并退出；

步骤4.5、输出明文M′。