CN116961917A - 一种基于ecdsa的多方协同门限签名方法、装置和系统 - Google Patents
一种基于ecdsa的多方协同门限签名方法、装置和系统 Download PDFInfo
- Publication number
- CN116961917A CN116961917A CN202310704784.5A CN202310704784A CN116961917A CN 116961917 A CN116961917 A CN 116961917A CN 202310704784 A CN202310704784 A CN 202310704784A CN 116961917 A CN116961917 A CN 116961917A
- Authority
- CN
- China
- Prior art keywords
- party
- signature
- participant
- intermediate parameter
- ecdsa
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012795 verification Methods 0.000 claims abstract description 18
- 238000004364 calculation method Methods 0.000 claims abstract description 17
- 238000004891 communication Methods 0.000 claims abstract description 16
- 238000004422 calculation algorithm Methods 0.000 claims description 26
- 230000008569 process Effects 0.000 claims description 18
- 238000004590 computer program Methods 0.000 claims description 10
- 230000006870 function Effects 0.000 claims description 9
- 238000010200 validation analysis Methods 0.000 claims description 7
- 238000005516 engineering process Methods 0.000 abstract description 10
- 230000005540 biological transmission Effects 0.000 abstract description 3
- 230000000694 effects Effects 0.000 description 4
- 230000006872 improvement Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013496 data integrity verification Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3255—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3218—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
- H04L9/3221—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs interactive zero-knowledge proofs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
- H04L9/3252—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/46—Secure multiparty computation, e.g. millionaire problem
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于ECDSA的多方协同门限签名方法、装置和系统,属于密码学签名技术领域,基于ECDSA设计签名方案,其中的每个参与签名方在不泄露自己的部分签名密钥时生成各自的签名份额并保存,进而计算所有签名参与方对应的签名,整个签名方案计算复杂度低,数据交互拓扑简单,存储数据少,由此解决现有的多方门限协同签名算法往往计算开销、通信开销和存储开销高的技术问题。此外,还基于离散对数零知识证明以及可验证秘密共享技术进行传输信息合法性验证,无需引入高开销的范围证明或一致性校验等计算开销和通信开销高昂的技术,即可实现恶意敌手模型下的安全性。
Description
技术领域
本发明属于密码学签名技术领域,更具体地,涉及一种基于ECDSA的多方协同门限签名方法、装置和系统。
背景技术
数字签名是伴随着信息网络技术的发展而出现的一种安全保障技术,目的是通过技术手段实现传统的纸面签字或者盖章的功能,用于鉴定签名人的身份以及对一项电子数据内容的认可,以及确保传输电子文件的完整性、真实性和不可抵赖性。椭圆曲线数字签名算法(Elliptic Curve Digital Signature Algorithm,ECDSA)是椭圆曲线密码体制(Elliptic Curves Cryptography,ECC)与数字签名算法(Digital Signature Algorithm,DSA)的结合,具有计算量小、处理速度快、存储空间占用小、带宽要求低等特点,适用于计算能力、存储空间、带宽与功耗受限的应用场景。因此,ECDSA被广泛应用于电子商务系统和其他网络领域,用于提供身份认证、数据完整性验证、不可否认性等安全服务。随着比特币系统的成功部署与应用,ECDSA受到更广泛的关注,并逐渐成为当前主流区块链平台及项目的默认签名机制,如以太坊和HyperledgerFabric。
数字签名方案的安全性依赖于签名者私钥的安全性,为了防止私钥泄露并解决签名权力过度集中这一问题,多方协同数字签名目前已成为面向移动互联网的最具有应用潜力的密码解决方案之一,无论是在区块链还是传统金融机构等应用层面,门限签名方案都可以带来多种场景下的安全性和隐私性提升。现有的多方门限ECDSA签名往往都需要采用同态加密、不经意传输、beaver乘法三元组等密码源语构建一种将乘法份额转化为加法份额(MtA)的多方计算协议,从而解决多方ECDSA签名中的求逆运算,但这些密码原语的应用将造成协同签名计算开销过高、通信开销过高或存储开销过高的问题,从而难以广泛应用于实际系统。因此,如何在保证多方门限协同签名安全性的前提下,降低运行的计算开销、通信开销和存储开销,是当前多方门限ECDSA签名协议亟需解决的关键技术之一。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种基于ECDSA的多方协同门限签名方法、装置和系统,其目的在于,基于ECDSA设计签名方案,其中的每个参与签名方在不泄露自己的部分签名密钥时生成各自的签名份额并保存,进而计算所有签名参与方对应的签名,整个签名方案计算复杂度低,数据交互拓扑简单,存储数据少,由此解决现有的多方门限协同签名算法往往计算开销、通信开销和存储开销高的技术问题。
为实现上述目的,按照本发明的一个方面,提供了一种基于ECDSA的多方协同门限签名方法,包括:
S1:对于任一参与方Pi,i∈{1,2,…,N},N为参与方的数量;Pi选择随机数ki计算出第一中间参量Ri=kiG,G为椭圆曲线上的基点坐标;利用ki和最少参与方的门限值t选出随机多项式gi(x),利用实际参与签名的参与方数量T和最少参与方的门限值t选出随机多项式wi(x),并计算参与方Pi和参与方Pj对应的第二中间参量gij和第三中间参量wij,gij=gi(xj),wij=wi(xj);xj为参与方Pj的标签;
S2:参与方Pi将第一中间参量Ri、第二中间参量gij和第三中间参量wij发送给参与方Pj;
S3:参与方Pj计算第四中间参量和第五中间参量/> q为基点G的阶;利用二者计算出第六中间参量ρj=gj·wj mod q;还计算第七中间参量/>进而得到签名参数r=rx mod q和签名参数e为加密消息;还计算第八中间参量
S4:参与方Pj将ρj发送给参与方Pi;
S5:参与方Pi计算九中间参量δi=(hi+r·di)·wi mod q和签名份额di为参与方Pi的私钥份额;
S6:所有签名参与方按照S1-S5的方法得到各自的签名份额sk,k∈{1,2,…,T},进而得到签名当多参与方与其他通信方建立通信时,其他通信方收到签名数据(r,s)后利用所有参与方对应的公钥Q验证签名数据(r,s)。
在其中一个实施例中,当应用场景为恶意敌手模型时,在S2和S3之间还包括:参与方Pj验证接收到的Ri,gij,wij的合法性,若Ri,gij,wij则执行S3。
在其中一个实施例中,
验证Ri的过程:参与方Pj接收参与方Pi发送的(πi,Ri),其中(πi,Ri)是参与方Pi调用离散对数零知识证明证据生成算法DLZK.Gen(ki,Ri)生成的证据πi和Ri的组合;然后参与方Pj调用离散对数零知识证明验证算法DLZK.Ver(πi)对πi进行验证,以确定Ri的合法性;
验证gij的过程:参与方Pj基于可验证秘密共享VSS算法验证接收到的gij的合法性;
验证wij的过程:参与方Pj基于VSS算法验证接收到的wij的合法性。
在其中一个实施例中,选择两个随机多项式 与其中,ki为参与方Pi对应的随机数,bil和cil为参与方Pi选取的的随机数。
在其中一个实施例中,所有参与方公钥Q的确定方式如下:
A1:任一参与方Pi选择随机数计算公钥份额Qi=uiG,再选择随机多项式根据其他参与方Pj的xj计算得到第一函数值fij,其中{ail}1≤l≤t-1为Pi选择的随机数,t表示多项式fi(x)对应的门限值;
A2、参与方Pi将自己的公钥份额Qi和第一函数值fij发送给参与方Pj;
A3、参与方Pj计算私钥门限份额计算公钥/> 然后安全存储{Q,dj},dj用于参与方Pj计算自己的签名份额。
在其中一个实施例中,当应用场景为恶意敌手模型时,在B2和B3之间还包括:参与方Pj验证接收到的Qi和fij的合法性,若Qi和fij均合法则执行B3。
在其中一个实施例中,
验证Qi的过程为:参与方Pj接收参与方Pi发送的(πi,Qi),其中(πi,Qi)是参与方Pi调用离散对数零知识证明证据生成算法DLZK.Gen(ki,Qi)生成的证据πi和Qi的组合;然后参与方Pj调用离散对数零知识证明验证算法DLZK.Ver(πi)对πi进行验证,以确定Qi的合法性;
验证fij的过程为:参与方Pj基于VSS算法验证接收到的fij的合法性。
按照本发明的另一方面,提供了一种基于ECDSA的多方协同门限签名装置,包括:
第一计算模块,用于对于任一参与方Pi,i∈{1,2,…,N},N为参与方的数量;Pi选择随机数ki计算出第一中间参量Ri=kiG,G为椭圆曲线上的基点坐标;利用ki和允许最大共谋参与方值t-1选出随机多项式gi(x),利用参与签名的门限值T和允许最大共谋参与方值t-1选出随机多项式wi(x),并计算参与方Pi和参与方Pj对应的第二中间参量gij和第三中间参量wij,gij=gi(xj),wij=wi(xj);xj为参与方Pj的标签;
第一发送模块,用于参与方Pi将Ri、gij和wij发送给参与方Pj;
第二计算模块,用于参与方Pj计算第四中间参量和第五中间参量/>q为基点G的阶;以计算出第六中间参量ρj=gj·wj mod q;
第二发送模块,用于参与方Pj将ρj进行广播,所有参与方收到ρj;;
份额确定模块,用于参与方Pi计算第七中间参量进而得到签名参数r=rx mod q和签名参数/>e为加密消息,/>为参与方Pi的标签xi的l次幂;还计算第八中间参量/> 和九中间参量δi=(hi+r·di)·wi mod q,di为参与方Pi的私钥份额;最终计算得到签名份额
签名模块,用于所有签名参与方按照S1-S5的方法得到各自的签名份额sk,k∈{1,2,…,T},进而得到签名当多参与方与其他通信方通信时,其他通信方收到签名数据(r,s)后利用所有参与方对应的公钥Q验签。
按照本发明的另一方面,提供了一种基于ECDSA的多方协同门限签名系统,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
按照本发明的另一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)本发明基于ECDSA算法设计的多方协同门限签名方法,仅采用简单的加法线性秘密共享和Shamir秘密共享,即可实现多个参与方在不泄露各自私钥份额的情况下完成签名计算,满足多方协同签名的正确性以及高效性需求。其中的每个参与签名方在不泄露自己的部分签名密钥时生成各自的签名份额并保存,进而计算所有签名参与方对应的签名,整个签名方案计算复杂度低,数据交互拓扑简单,存储数据少,由此解决现有的多方门限协同签名算法往往计算开销、通信开销和存储开销高的技术问题。
(2)本方案基于ECDSA算法设计的多方协同门限签名方法,在恶意敌手模型下,基于离散对数零知识证明以及可验证秘密共享技术对传输信息的合法性进行验证,无需引入高开销的范围证明或一致性校验等计算开销和通信开销高昂的技术。
(3)本方案基于ECDSA算法设计的多方协同门限签名方法,选取随机多项式与/>结合简单的加法线性秘密共享和Shamir秘密共享,即可实现多个参与方在不泄露各自私钥份额的情况下完成签名计算,满足多方协同签名的正确性以及高效性需求。
附图说明
图1是本发明一实施例中半诚实敌手模型下私钥门限份额和公钥生成算法的流程图。
图2是本发明一实施例中半诚实敌手模型下签名份额生成算法的流程图。
图3是本发明一实施例中恶意敌手模型下私钥门限份额和公钥生成算法的流程图。
图4是本发明一实施例中恶意敌手模型下签名份额生成算法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
本发明中每个参与方都是密钥生成的参与方,对于参与签名密钥生成的N台计算设备(如个人电脑,智能移动设备),生成各自公钥份额Qi,以及其他参与方生成私钥份额si所需的fij,然后各方均计算保存自己的私钥份额si。签名生成最少只需T个参与方进行。该过程中,完成了去中心化,其中某一方的密钥泄露也不会影响签名的安全性。接下来,用Pi与Pj作为参与方代表进行说明。
在其中一个实施例中,如图2所示,提供一种基于ECDSA的多方协同门限签名方法,适用于半诚实敌手模型下,该方法包括:
S1:对于任一参与方Pi,i∈{1,2,…,N},N为参与方的数量;Pi选择随机数ki计算出第一中间参量Ri=kiG,G为椭圆曲线上的基点坐标;利用ki和允许最大共谋参与方值t-1选出随机多项式gi(x),利用参与签名的门限值T和允许最大共谋参与方值t-1选出随机多项式wi(x),并计算参与方Pi和参与方Pj对应的第二中间参量gij和第三中间参量wij,gij=gi(xj),wij=wi(xj);xj为参与方Pj的标签;
S2:参与方Pi将第一中间参量Ri、第二中间参量gij和第三中间参量wij发送给参与方Pj;
S3:参与方Pj计算第四中间参量和第五中间参量/> q为基点G的阶;以计算出第六中间参量ρj=gj·wj mod q;
S4:参与方Pj将ρj进行广播,所有参与方收到ρj;
S5:参与方Pi计算第七中间参量进而得到签名参数r=rxmod q和签名参数/>e为加密消息,/>为参与方Pi的标签xi的l次幂;还计算第八中间参量/> 和九中间参量δi=(hi+r·di)·wi mod q,di为参与方Pi的私钥份额;最终计算得到签名份额
S6:所有签名参与方按照S1-S5的方法得到各自的签名份额sk,k∈{1,2,…,T},进而得到签名当多参与方与其他通信方建立通信时,其他通信方收到签名数据(r,s)后利用所有参与方对应的公钥Q验证签名s。
在其中一个实施例中,如图4所示,当应用场景为恶意敌手模型时,在S2和S3之间还包括:参与方Pj验证接收到的Ri,gij,wij的合法性,若Ri,gij,wij则执行S3。
其中,在恶意敌手模型下,对于各方产生的Ri的验证,利用离散对数零知识证明,根据参与方选择的随机数与产生的Ri,生成零知识证据πi,与Ri一起传给其他参与方用于验证。如果零知识证据和公钥份额无法通过验证,则停止签名活动。
其中,在恶意敌手模型下,参与方利用可验证的秘密共享技术交互生成gi,wi,该过程中可以验证其他参与方发送的多项式产生的份额是否正确,如果过程中验证不通过,则停止签名活动。
在其中一个实施例中,选择两个随机多项式 与其中,ki为参与方Pi对应的随机数,,bil和cil为参与方Pi选取的的随机数。。上述两个多项式的选择均加入了随机数,上述多项式中,ki的随机选取是为了保护签名消息,结合ki得到最终的签名形成离散对数问题,可以避免泄露消息;wi(x)是主要用于中间过程,随机数的选取可以保证中间数据的随机性,保护消息。
在其中一个实施例中,如图1所示,在半诚实敌手模型下,协同签名初始化阶段:
1、参与方Pi选择随机数计算公钥份额Qi=uiG,再选择一个随机多项式后根据其他参与方Pj的label计算得到第一函数值fij,其中{ail}1≤l≤t-1为Pi选择的随机数,t表示多项式fi(x)对应的门限值。
2、参与方Pi将公钥份额Qi和第一函数值fij发送给参与方Pj。
3、参与方Pj计算私钥门限份额计算公钥/>然后安全存储{Q,dj}。
具体的,参与方Pi选定各自随机数ui计算自己的公钥份额,选择随机多项式计算fij,并将Qi,fij传给参与方Pj,同理参与方Pj将计算的Qj,fji传给参与方Pi。参与方Pi均要计算公钥/>分别计算自己的私钥门限份额然后存储{Q,di},参与方Pj同理。
在其中一个实施例中,如图3所示,在恶意敌手模型下,协同签名初始化阶段:
1、参与方Pi选择随机数计算公钥份额Qi=uiG,再选择一个随机多项式后根据其他参与方Pj的label计算得到第一函数值fij,其中{ail}1≤l≤t-1为Pi选择的随机数,t表示多项式fi(x)对应的门限值。
2.1、参与方Pi将Qi发送给参与方Pj;
2.2、参与方Pi将第一函数值fij发送给参与方Pj;
3、参与方Pj验证Qi和fij的合法性,若合法,则执行下一步;
4、参与方Pj计算私钥门限份额计算公钥/>然后安全存储{Q,dj}。
在一个实施例中,参与方Pi调用离散对数零知识证明证据生成算法DLZK.Gen(ki,Qi)生成的证据πi,将其中与Qi进行融合得到(πi,Qi)并发送给参与方Pj,Pj调用离散对数零知识证明验证算法DLZK.Ver(πi)对πi进行验证,以确定Qi的合法性。
其中,在恶意敌手模型下,对于公钥份额的验证,利用离散对数零知识证明,根据参与方Pi选择的随机数与产生的公钥份额Qi,生成零知识证据πi,与自己的公钥份额Qi一起传给其他参与方用于验证。如果零知识证据和公钥份额无法通过验证,则停止签名活动。
在一个实施例中,在恶意敌手模型下,参与方Pj利用可验证的秘密共享技术交互生成私钥门限份额,该过程中可以验证其他方发送的多项式产生的数据是否正确,如果过程中验证不通过,则停止签名活动。
按照本发明的另一方面,提供了一种基于ECDSA的多方协同门限签名装置,包括:
第一计算模块,用于对于任一参与方Pi,i∈{1,2,…,N},N为参与方的数量;Pi选择随机数ki计算出第一中间参量Ri=kiG,G为椭圆曲线上的基点坐标;利用ki和允许最大共谋参与方值t-1选出随机多项式gi(x),利用参与签名的门限值T和允许最大共谋参与方值t-1选出随机多项式wi(x),并计算参与方Pi和参与方Pj对应的第二中间参量gij和第三中间参量wij,gij=gi(xj),wij=wi(xj);xj为参与方Pj的标签;
第一发送模块,用于参与方Pi将Ri、gij和wij发送给参与方Pj;
第二计算模块,用于参与方Pj计算第四中间参量和第五中间参量/>q为基点G的阶;以计算出第六中间参量ρj=gj·wj mod q;
第二发送模块,用于参与方Pj将ρj进行广播,所有参与方收到ρj;;
份额确定模块,用于参与方Pi计算第七中间参量进而得到签名参数r=rx mod q和签名参数/>e为加密消息,/>为参与方Pi的标签xi的l次幂;还计算第八中间参量/> 和九中间参量δi=(hi+r·di)·wi mod q,di为参与方Pi的私钥份额;最终计算得到签名份额
签名模块,用于所有签名参与方按照S1-S5的方法得到各自的签名份额sk,k∈{1,2,…,T},进而得到签名当多参与方与其他通信方通信时,其他通信方收到签名数据(r,s)后利用所有参与方对应的公钥Q验签。
按照本发明的另一方面,提供了一种基于ECDSA的多方协同门限签名系统,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
其中,基于本发明构造的ECDSA协同签名生成系统包括N台设备参与密钥生成,其中的T台设备参与对消息的签名的产生以及对签名的验证,在通过加入离散对数零知识证明以及可验证秘密共享技术,保证了在恶意敌手模型下的安全性。
按照本发明的另一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于ECDSA的多方协同门限签名方法,其特征在于,包括:
S1:对于任一参与方Pi,i∈{1,2,…,N},N为参与方的数量;Pi选择随机数ki计算出第一中间参量Ri=kiG,G为椭圆曲线上的基点坐标;利用ki和允许最大共谋参与方值t-1选出随机多项式gi(x),利用参与签名的门限值T和允许最大共谋参与方值t-1选出随机多项式wi(x),并计算参与方Pi和参与方Pj对应的第二中间参量gij和第三中间参量wij,gij=gi(xj),wij=wi(xj);xj为参与方Pj的标签;
S2:参与方Pi将Ri、gij和wij发送给参与方Pj;
S3:参与方Pj计算第四中间参量和第五中间参量/> q为基点G的阶;以计算出第六中间参量ρj=gj·wjmod q;
S4:参与方Pj将ρj进行广播,所有参与方收到ρj;
S5:参与方Pi计算第七中间参量进而得到签名参数r=rxmodq和签名参数/>e为加密消息,/>为参与方Pi的标签xi的l次幂;还计算第八中间参量/> 和九中间参量δi=(hi+r·di)·wimod q,di为参与方Pi的私钥份额;最终计算得到签名份额
S6:所有签名参与方按照S1-S5的方法得到各自的签名份额sk,k∈{1,2,…,T},进而得到签名当多参与方与其他通信方通信时,其他通信方收到签名数据(r,s)后利用所有参与方对应的公钥Q验签。
2.如权利要求1所述的基于ECDSA的多方协同门限签名方法,其特征在于,当应用场景为恶意敌手模型时,在S2和S3之间还包括:参与方Pj验证接收到的Ri,gij,wij的合法性,若Ri,gij,wij则执行S3。
3.如权利要求2所述的基于ECDSA的多方协同门限签名方法,其特征在于,
验证Ri的过程:参与方Pj接收参与方Pi发送的(πi,Ri),其中(πi,Ri)是参与方Pi调用离散对数零知识证明证据生成算法DLZK.Gen(ki,Ri)生成的证据πi和Ri的组合;然后参与方Pj调用离散对数零知识证明验证算法DLZK.Ver(πi)对πi进行验证,以确定Ri的合法性;
验证gij的过程:参与方Pj基于可验证秘密共享VSS算法验证接收到的gij的合法性;
验证wij的过程:参与方Pj基于VSS算法验证接收到的wij的合法性。
4.如权利要求1所述的基于ECDSA的多方协同门限签名方法,其特征在于,
选择两个随机多项式与/>其中,ki为参与方Pi对应的随机数,bil和cil为参与方Pi选取的的随机数。
5.如权利要求1所述的基于ECDSA的多方协同门限签名方法,其特征在于,所有参与方公钥Q的确定方式如下:
A1:任一参与方Pi选择随机数计算公钥份额Qi=uiG,再选择随机多项式根据其他参与方Pj的xj计算得到第一函数值fij,其中{ail}1≤l≤t-1为Pi选择的随机数,t表示多项式fi(x)对应的门限值;
A2、参与方Pi将自己的公钥份额Qi和第一函数值fij发送给参与方Pj;
A3、参与方Pj计算私钥门限份额计算公钥/> 然后安全存储{Q,dj},dj用于参与方Pj计算自己的签名份额。
6.如权利要求5所述的基于ECDSA的多方协同门限签名方法,其特征在于,
当应用场景为恶意敌手模型时,在B2和B3之间还包括:参与方Pj验证接收到的Qi和fij的合法性,若Qi和fij均合法则执行B3。
7.如权利要求6所述的基于ECDSA的多方协同门限签名方法,其特征在于,
验证Qi的过程为:参与方Pj接收参与方Pi发送的(πi,Qi),其中(πi,Qi)是参与方Pi调用离散对数零知识证明证据生成算法DLZK.Gen(ki,Qi)生成的证据πi和Qi的组合;然后参与方Pj调用离散对数零知识证明验证算法DLZK.Ver(πi)对πi进行验证,以确定Qi的合法性;
验证fij的过程为:参与方Pj基于VSS算法验证接收到的fij的合法性。
8.一种基于ECDSA的多方协同门限签名装置,其特征在于,包括:
第一计算模块,用于对于任一参与方Pi,i∈{1,2,…,N},N为参与方的数量;Pi选择随机数ki计算出第一中间参量Ri=kiG,G为椭圆曲线上的基点坐标;利用ki和允许最大共谋参与方值t-1选出随机多项式gi(x),利用参与签名的门限值T和允许最大共谋参与方值t-1选出随机多项式wi(x),并计算参与方Pi和参与方Pj对应的第二中间参量gij和第三中间参量wij,gij=gi(xj),wij=wi(xj);xj为参与方Pj的标签;
第一发送模块,用于参与方Pi将Ri、gij和wij发送给参与方Pj;
第二计算模块,用于参与方Pj计算第四中间参量和第五中间参量q为基点G的阶;以计算出第六中间参量ρj=gj·wjmod q;
第二发送模块,用于参与方Pj将ρj进行广播,所有参与方收到ρj;;
份额确定模块,用于参与方Pi计算第七中间参量进而得到签名参数r=rxmod q和签名参数/>e为加密消息,/>为参与方Pi的标签xi的l次幂;还计算第八中间参量/> 和九中间参量δi=(hi+r·di)·wimod q,di为参与方Pi的私钥份额;最终计算得到签名份额
签名模块,用于所有签名参与方按照S1-S5的方法得到各自的签名份额sk,k∈{1,2,…,T},进而得到签名当多参与方与其他通信方通信时,其他通信方收到签名数据(r,s)后利用所有参与方对应的公钥Q验签。
9.一种基于ECDSA的多方协同门限签名系统,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310704784.5A CN116961917A (zh) | 2023-06-14 | 2023-06-14 | 一种基于ecdsa的多方协同门限签名方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310704784.5A CN116961917A (zh) | 2023-06-14 | 2023-06-14 | 一种基于ecdsa的多方协同门限签名方法、装置和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116961917A true CN116961917A (zh) | 2023-10-27 |
Family
ID=88455549
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310704784.5A Pending CN116961917A (zh) | 2023-06-14 | 2023-06-14 | 一种基于ecdsa的多方协同门限签名方法、装置和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116961917A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117728959A (zh) * | 2024-02-06 | 2024-03-19 | 中国信息通信研究院 | 门限签名方法和装置、电子设备和存储介质 |
-
2023
- 2023-06-14 CN CN202310704784.5A patent/CN116961917A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117728959A (zh) * | 2024-02-06 | 2024-03-19 | 中国信息通信研究院 | 门限签名方法和装置、电子设备和存储介质 |
CN117728959B (zh) * | 2024-02-06 | 2024-05-10 | 中国信息通信研究院 | 门限签名方法和装置、电子设备和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3669491B1 (en) | Threshold ecdsa for securing bitcoin wallet | |
US20230421375A1 (en) | Threshold digital signature method and system | |
Tso et al. | Strongly secure certificateless short signatures | |
Hassan et al. | An efficient outsourced privacy preserving machine learning scheme with public verifiability | |
Al-Riyami | Cryptographic schemes based on elliptic curve pairings | |
Lou et al. | Efficient three‐party password‐based key exchange scheme | |
Yuan et al. | Certificateless threshold signature scheme from bilinear maps | |
CN104754570B (zh) | 一种基于移动互联网络的密钥分发和重构方法与装置 | |
CN114710275B (zh) | 物联网环境下基于区块链的跨域认证和密钥协商方法 | |
CN113676333A (zh) | 一种两方协作生成sm2盲签名方法 | |
Tsai et al. | An ECC‐based blind signcryption scheme for multiple digital documents | |
CN116961917A (zh) | 一种基于ecdsa的多方协同门限签名方法、装置和系统 | |
Yang et al. | A provably secure and efficient strong designated verifier signature scheme | |
Tan | An efficient pairing‐free identity‐based authenticated group key agreement protocol | |
Wang et al. | Dynamic threshold changeable multi‐policy secret sharing scheme | |
Chen et al. | Threshold identity authentication signature: Impersonation prevention in social network services | |
Ansah et al. | Enhancing user and transaction privacy in bitcoin with unlinkable coin mixing scheme | |
Zhang et al. | Provably secure and subliminal-free variant of schnorr signature | |
Ebrahimi et al. | Enhancing cold wallet security with native multi-signature schemes in centralized exchanges | |
Rasslan et al. | An IoT Privacy-Oriented selective disclosure credential system | |
Zhang et al. | An efficient proxy ring signature without bilinear pairing | |
Dahshan et al. | A threshold blind digital signature scheme using elliptic curve dlog-based cryptosystem | |
Singh et al. | Cloud assisted semi-static secure accountable authority identity-based broadcast encryption featuring public traceability without random oracles | |
Ren et al. | A certificateless-based one-round authenticated group key agreement protocol to prevent impersonation attacks | |
Huang et al. | A secure and efficient smartphone payment scheme in IoT/Cloud environments |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |