KR20240045231A - 디지털 서명 셰어의 생성 - Google Patents

디지털 서명 셰어의 생성 Download PDF

Info

Publication number
KR20240045231A
KR20240045231A KR1020247005303A KR20247005303A KR20240045231A KR 20240045231 A KR20240045231 A KR 20240045231A KR 1020247005303 A KR1020247005303 A KR 1020247005303A KR 20247005303 A KR20247005303 A KR 20247005303A KR 20240045231 A KR20240045231 A KR 20240045231A
Authority
KR
South Korea
Prior art keywords
private key
participant
share
key
signature
Prior art date
Application number
KR1020247005303A
Other languages
English (en)
Inventor
미카엘라 페티트
Original Assignee
엔체인 라이센싱 아게
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엔체인 라이센싱 아게 filed Critical 엔체인 라이센싱 아게
Publication of KR20240045231A publication Critical patent/KR20240045231A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Abstract

메시지에 서명하기 위한 디지털 서명의 개개의 서명 셰어를 생성하는 컴퓨터 구현 방법이 제공되고, 방법은 그룹의 제1 참가자에 의해 수행되고, 방법은: 적어도 임계수의 개개의 참가자 인덱스를 획득하는 단계 ― 획득된 개개의 참가자 인덱스는 제1 참가자와 연관된 제1 참가자 인덱스를 포함함 ― ; 개인 키 인덱스를 생성하는 단계 ― 개인 키 인덱스는 획득된 개개의 참가자 인덱스의 결합의 해시에 기초하여 생성됨 ― ; 제1 계층적 키 구조의 제2 공통 개인 키를 생성하는 단계; 및 디지털 서명의 제1 서명 셰어를 생성하는 단계를 포함한다.

Description

디지털 서명 셰어의 생성
본 개시는 디지털 서명의 셰어를 생성하는 방법에 관한 것이다. 특히, 방법은 참가자가 디지털 서명의 셰어를 생성하였다는 것을 그들이 입증하는 것을 가능하게 한다.
일반적으로, 셰어드 비밀(shared secret)은 참가자들의 그룹 사이에서 분배되는 데이터 항목을 셰어링하는 데 사용될 수 있다. 각각의 참가자는 비밀의 상이한 셰어를 갖는다. 일반적으로 비밀은 특정 수("임계치"로서 지칭됨)의 참가자들이 예컨대, 비밀을 계산하기 위해 함께 결합되도록 각자의 셰어들을 사용 가능하게 할 때만 재구성될 수 있다.
공개 키 암호법은 개인 키의 소유자에게만 알려지는 개인 키들 및 대응하는 개인 키에 기초하여 생성되고 개인 키의 보안을 손상시키지 않고 유포될 수 있는 공개 키들인 키들의 쌍들을 사용하는 일 유형의 암호 시스템이다.
공개 키 암호법은 전송자가 수신자의 공개 키(즉, 수신자에게만 알려지는 개인 키에 대응하는 공개 키)를 사용하여 메시지를 암호화하는 것을 가능하게 한다. 그런 다음, 암호화된 메시지는 수신자의 개인 키만을 사용하여 복호화될 수 있다.
유사하게, 전송자는 메시지에 서명하기 위해 예컨대, 메시지가 전송자에 의해 전송되고 있음을 입증하고 그리고/또는 전송자가 메시지에 동의함을 표시하기 위해 자신의 개인 키를 사용할 수 있다. 서명자(즉, 서명을 생성하는 당사자)는 메시지에 기초한 디지털 서명을 생성하기 위해 자신의 개인 키를 사용한다. 메시지에 기초한 디지털 서명을 생성하는 것은 메시지 및 개인 키 둘 모두에 기초하여 서명을 생성하는 함수에 메시지 및 개인 키를 제공하는 것을 의미한다. 서명은 메시지에 추가되거나(예컨대, 메시지 상에 태킹됨) 그렇지 않고 메시지와 연관된다. 서명자의 대응하는 공개 키를 갖는 사람은 누구나 동일한 메시지 및 메시지에 대한 디지털 서명을 사용하여, 서명이 유효하게 생성되었는지를, 즉 서명자의 개인 키를 사용하여 서명이 실제로 이루어졌는지를 검증할 수 있다. 디지털 서명은 메시지의 진위를 보장할 뿐만 아니라 메시지의 무결성 및 부인 방지도 보장한다. 즉, 서명의 생성자가 나중에 서명을 생성했다는 사실을 부인할 수 없고 메시지가 서명으로 서명된 이후 변경되지 않았음을 증명하는 데 디지털 서명이 사용될 수 있다.
디지털 서명 체계는 통상적으로 3개의 절차들, 즉 알고리즘들을 수반한다. 키 생성 알고리즘은 랜덤 개인 키 및 대응하는 공개 키를 생성하는 데 사용된다. 서명 알고리즘은 메시지 및 개인 키에 기초하여 서명을 생성하는 데 사용된다. 검증 알고리즘은 공개 키 및 메시지가 주어지면, 대응하는 개인 키를 사용하여 그리고 서명 알고리즘에 따라 서명이 생성되었는지를 검증하는 데 사용된다.
셰어드 비밀은 개인-공개 키 쌍의 셰어드 개인 키로서 일반적으로 사용된다. 즉, 개인 키는 단일 참가자가 개인 키에 대한 액세스를 갖지 않도록 참가자들의 그룹 사이에 분배될 수 있다. 따라서 단일 참가자는 메시지의 유효한 서명을 생성할 수 없다. 대신, 서명이 생성되기 위해 참가자들 중 일부 또는 전부가 개인 키를 함께 생성해야 한다.
참가자들이 서명을 생성하기 위해 자신의 개인 키 셰어들을 셰어링하는 대신, 이들은 임계 서명 체계를 사용할 수 있다. 임계 서명 체계는 개인 키가 임의의 하나의 참가자에 대해 이용 가능하게 되지 않고도 그룹 내 임계수의 참가자들이 셰어드 개인 키의 개별 셰어들을 사용하여 메시지에 기초하여 디지털 서명을 생성하도록 허용한다. 여기서, 디지털 서명은 서명될 메시지에 기초하여 생성되는 서명이다. 이러한 체계에서, 서명은 임계수의 참가자들이 메시지에 대한 서명을 생성하는 데 동의하는 경우에만 생성될 수 있다. 더 적은 수의 참가자를 사용하여 서명을 생성하려는 어떠한 시도도 유효한 서명을 생성하지 않을 것이다. 따라서, 그룹에 의한 유효한 서명(즉, 메시지 및 셰어드 개인 키를 사용하여 생성된 서명)은 임계수의 사람들이 서명을 생성하는데 동의했음을 입증한다. 이는 또한, 임의의 적대자가 개인 키로 서명을 위조하기 위해 해당 개인 키의 임계수의 셰어들을 획득할 필요가 있음을 암시한다.
위에서 언급된 바와 같이, 임계 서명 체계들은 유효한 서명을 생성하기 위해 참가자들이 각자의 서명 셰어들에 기여하도록 요구한다. 유효한 서명은 적어도 임계수의 참가자들이 서명 셰어에 기여했음을 증명하지만, 그룹의 어느 참가자들이 서명 셰어에 기여했는지 증명하지는 않는다. 즉, 임계 서명 체계에서, 주어진 서명을 생성한 사람을 식별할 수 있는 어떠한 방법도 없고 ― 결과적인 서명은 서명을 만드는 데 어느 셰어들이 사용되었는지에 관계없이 항상 동일할 것이다. 따라서 서명자들(즉, 서명에 기여하는 참가자들)은 이들이 실제로 서명 셰어에 기여했음을 증명할 수 있도록 허용하는 임계 서명 체계가 필요하다. 이러한 체계는 다른 참가자들이 자신이 서명에 기여했음을 또는 증명 당사자가 서명에 기여하지 않았음을 허위로 주장하는 것을 방지하는 데 사용될 수 있다.
본원에서 개시된 일 양상에 따라, 메시지에 서명하기 위한 디지털 서명의 개개의 서명 셰어를 생성하는 컴퓨터 구현 방법이 제공되고, 참가자 그룹의 각각의 참가자는 i) 셰어드 개인 키의 개개의 개인 키 셰어 ― 셰어드 개인 키는 적어도 임계수의 개개의 개인 키 셰어로만 생성될 수 있음 ― , ii) 셰어드 임시 개인 키의 개개의 임시 개인 키 셰어, iii) 셰어드 임시 개인 키에 대응하는 임시 공개 키의 제1 좌표, 및 iv) 제1 계층적 키 구조의 제1 공통 개인 키를 갖고, 각각의 참가자는 개개의 참가자 인덱스와 연관되고, 방법은 그룹의 제1 참가자에 의해 수행되고, 방법은: 적어도 임계수의 개개의 참가자 인덱스를 획득하는 단계 ― 획득된 개개의 참가자 인덱스는 제1 참가자와 연관된 제1 참가자 인덱스를 포함함 ― ; 개인 키 인덱스를 생성하는 단계 ― 개인 키 인덱스는 획득된 개개의 참가자 인덱스의 결합의 해시에 기초하여 생성됨 ― ; 제1 계층적 키 구조의 제2 공통 개인 키를 생성하는 단계 ― 제2 공통 개인 키는 제1 공통 개인 키 및 제1 해시 값에 기초하여 생성되고, 제1 해시 값은 적어도 a) 제1 공통 개인 키 또는 대응하는 공개 키, 및 b) 개인 키 인덱스를 해시 함수에 입력함으로써 생성됨 ― ; 및 디지털 서명의 제1 서명 셰어를 생성하는 단계 ― 제1 서명 셰어는 제1 임시 키 셰어, 메시지, 제2 공통 개인 키, 임시 공개 키의 제1 좌표, 및 제1 개인 키 셰어에 기초하여 생성됨 ― 를 포함한다.
계층 결정적(HD) 지갑이 예인 키 구조는 결정론적으로 링크된 개인 키의 집합이며, 여기서 키들 중 적어도 일부는 계층 구조에서 상이한 레벨들 및 위치들과 연관된다. 예컨대, 마스터 개인 키는 계층적 구조의 최상부(즉, 레벨 0)에 위치하고, 하나 이상의 자식 키는 다음 레벨(즉, 레벨 1)에 위치한다. 레벨 1에서의 각각의 자식 키는 마스터 개인 키에 링크된다. 레벨 1에서의 각각의 자식 키는 레벨 2에서의 자식 키들의 하나 이상의 각각의 세트들에 링크될 수 있다. 따라서, 레벨 1의 자식 키들은 또한, 마스터 키의 자식들이면서, 레벨 2의 자식 키들에 대한 부모들일 수 있다. HD 지갑은 임의의 수의 레벨 및 키를 포함할 수 있다는 것이 인지될 것이다. 키 구조에서 각각의 자식 키는 부모 키 및 인덱스(본원에서, "개인 키 인덱스" 또는 "키 인덱스"로 지칭됨)에 기초하여 생성된다. 각각의 자식 키는 또한, 예컨대, 부모 키의 체인 코드와 같은 추가적인 데이터에 기초하여 생성될 수 있다. 체인 코드 자체는 당업계에 공지되어 있다.
본 발명의 실시예들은 서명 셰어에 기여하는 각각의 참가자가 동일한 키 구조의 동일한 자식 개인 키를 생성하도록 요구하고, 여기서 개개의 참가자의 각각의 서명 셰어는 동일한 자식 개인 키를 사용하여 생성된다. 각각의 참가자는 개개의 참가자 인덱스와 연관된다. 자식 개인 키의 키 인덱스는, 서명 셰어에 기여하는 각각의 참가자의 개개의 참가자 인덱스에 기초하여 생성된다. 예컨대, 참가자 1, 3 및 5가 서명 셰어에 기여(하려고 의도)하는 경우, 자식 개인 키의 키 인덱스는 참가자 인덱스 1, 3 및 5에 기초하여 생성된다. 키 인덱스는 참가자 인덱스의 결합(예컨대, 합산 또는 컨케터네이션)을 해싱함으로써 생성된다.
각각의 서명 셰어는 또한 셰어드 개인 키의 개개의 셰어에 기초하여 생성된다. 따라서, 셰어드 개인 키는 임계 체계의 임계 양상을 시행하는 데 사용된다. 논의될 바와 같이, 서명 키(즉, 서명에 대응하는 개인 키)는 (어떠한 개별 참가자도 액세스할 수 없는) 셰어드 개인 키 및 각각의 참가자에게 공통인 자식 개인 키에 기초한다. 참가자("입증 당사자")는 입증 당사자의 각각의 참가자 인덱스에 기초하는 키 인덱스를 이용하여 공통 자식 개인 키가 생성되었음을 검증 당사자에게 입증할 수 있다. 따라서 입증 당사자는 자신을 서명 당사자로 식별할 수 있다. 이것은 다른 참가자가 자신이 서명에 기여하였다고 허위로 주장하거나, 입증 당사자가 서명에 기여하지 아니한 것을 허위로 주장하는 것을 방지하는 데 사용될 수 있다.
본 개시내용의 실시예들의 이해를 보조하기 위해 그리고 그러한 실시예들이 어떻게 실행될 수 있는지를 보여주기 위하여, 단지 예로서 첨부 도면들에 대한 참조가 이루어진다.
도 1은 본 발명의 실시예를 구현하기 위한 시스템의 개략적인 블록도이다.
도 2는 계층 결정적 키 구조를 개략적으로 표현한다.
도 3은 본 발명의 예시적인 실시예를 도시하는 흐름도이다.
도 4는 본 발명의 일부 실시예에 따른 예시적인 서명 생성 방법을 도시하는 흐름도이다.
1. 암호화 준비들
다음 예들은 타원 곡선 암호화의 관점에서 설명되지만, 본 발명은 임의의 하나의 특정 암호화 체계로 제한되지 않고 일반적으로 임의의 암호화 체계, 예를 들어 RSA 또는 다른 공개 키 암호화 체계들에 적용될 수 있다.
1.1 타원 곡선 그룹들
타원 곡선 E는 다음 방정식을 만족한다:
여기서 및 a,b는 을 만족하는 상수들이다. 이 타원 곡선 위의 그룹은 항등 요소인 무한대 에 있는 포인트와 함께 이 방정식을 만족하는 요소들의 세트(x,y)인 것으로 정의된다. 이 그룹 내 요소들에 대한 그룹 연산은 타원 곡선 포인트 덧셈(elliptic curve point addition)이라 칭해지고 +로 표시된다. 이 그룹은 에 의해 표시되고 그의 차수는 n에 의해 표시된다.
이 그룹 연산은 에 의해 표시되는 포인트 곱셈이라 칭해지는 요소들에 대한 다른 연산을 정의하는 데 사용될 수 있다. 포인트 및 스칼라 에 대해, 포인트 는 포인트 G 그 자체가 k번 더해진 것으로 정의된다.
타원 곡선 암호법에서, 개인 키는 스칼라 으로 정의되며 여기서 은 세트 에 대한 표기법이고, 대응하는 공개 키는 타원 곡선 상의 포인트 이다. 예컨대, 일부 블록체인 프로토콜들에서, 타원 곡선은 secp256k1 타원 곡선으로 선택되고 값들 a, b 및 p은 이 곡선에 의해 완전히 지정된다. 이 그룹의 차수 n은 이러한 값들을 고려하여 계산되었으며, 이는 이 곡선의 경우 소수이고, secp256k1 표준은 또한 이 그룹의 생성기로서 사용될 포인트 G를 지정한다.
1.2 타원 곡선 디지털 서명 알고리즘
개인 키 a를 사용하여 메시지 msg에 대한 서명을 생성하기 위해, 다음 단계들이 취해진다:
1. 임의의 해시 함수일 수 있는 메시지 다이제스트 를 계산한다. 예컨대, 일부 예들에서 이며, 여기서 은 SHA-256 해시 함수이다. 대신, 메시지는 한 번만 해싱되거나 동일하거나 상이한 해시 함수들로 두 번을 초과하여 해싱될 수 있다는 것에 주의한다.
2. 랜덤 정수 을 선택하며, 여기서 n은 타원 곡선 예컨대, secp256k1 곡선의 차수이다. 이하, k는 임시 개인 키로서 지칭된다.
3. 이 임시 개인 키 에 대응하는 임시 공개 키를 계산한다.
4. 을 계산한다. r=0인 경우, 단계 2로 리턴한다.
5. 임시 키의 곱셈 역(multiplicative inverse) 를 계산한다.
6. 을 계산한다. s=0인 경우, 단계 2로 리턴한다.
7. 메시지 msg에 대한 서명은 (r,s)이다.
임시 키는 비밀로 유지되고, 그렇지 않으면 메시지 및 서명이 주어지면, 개인 키가 계산될 수 있다. 부가적으로, 서명이 생성될 때마다, 상이한 임시 키가 사용되어야 한다. 그렇지 않은 경우, 두 개의 상이한 서명들 및 그의 대응하는 메시지들이 주어지면, 개인 키를 도출하는 것이 가능하다.
메시지 msg, 공개 키 및 대응하는 서명(r,s)이 주어지면, 다음 단계들을 완료함으로써 서명이 검증될 수 있다:
1. 메시지 다이제스트 예컨대, 를 계산한다.
2. s 모듈로 n의 곱셈 역 를 계산한다.
3. 을 계산한다.
4. 포인트 를 계산한다.
5. (무한대의 포인트)인 경우, 서명이 유효하지 않다.
6. 인 경우, 라고 하고, 을 계산한다. u=r인 경우, 서명은 유효하다.
임계 서명 체계들에서, 이 개인 키 a는 임계 체계 그룹 내 참가자들 간에 분배되는 키 셰어들로 분할된다.
1.3 공동 검증 가능한 랜덤 비밀 셰어링
N명의 참가자들이 해당 체계에서 참가자들 중 적어도 (t+1)명만에 의해 재생성될 수 있는 공동 비밀을 생성하기를 원한다고 가정한다. 셰어드 비밀을 생성하기 위해, 다음 단계들이 취해진다:
1. 참가자들은 각각의 참가자에 대한 고유 라벨 i에 동의한다. 각각의 참가자 i는 (t+1)개의 난수들을 생성한다.
여기서 은 세트 의 랜덤으로 생성된 요소를 의미하며, 여기서 은 세트 에 대한 표기법이다. 그런 다음, 각각의 참가자는 차수 t의 비밀 다항식을 갖는다.
i=1,…,N에 대해, 지금부터, 모듈로(modulo) n 표기법을 생략하고 정수들에 대한 모든 산술 연산들은 모듈로 n으로 행해지는 것으로 가정된다는 것에 주의한다.
2. 각각의 참가자 i는 예컨대, 참가자 j만과의 보안 통신 채널을 사용하여 값을 참가자 j에 전송한다.
3. 각각의 참가자 i는 다음과 같이 셰어드 비밀 다항식의 자신의 개인 비밀 셰어를 계산한다:
셰어드 비밀 셰어는 형식 를 갖는 포인트이며, 여기서 i는 해당 체계에서의 참가자 라벨이다. a의 비밀 셰어를 생성하기 위한 이 방법은 단계 1-3에서 설명한 바와 같이, 본원에서 참가자 i에 대해 에 의해 표시된다. "JVRSS"는 통상적으로 "Joint verification random secret sharing"을 나타내며 단계들 4 및 5를 또한 포함한다는 것에 주의한다. 그러나 이 문서 전반에 걸쳐, JVRSS는 적어도 단계들 1 내지 3을 수행하는 것을 의미하는 것으로 받아들여지며, 여기서 단계들 4 및 5는 선택적 단계들이다.
이제 참가자들은 셰어드 다항식을 생성했으므로, 참가자들은 다른 참가자들이 모든 참가자들에게 올바른 정보를 셰어링했는지, 그리고 모든 참가자들이 동일한 셰어드 다항식을 가지고 있는지 각각 검증할 수 있다. 이는 다음의 방식으로 행해진다.
4. 각각의 참가자 i는 다음의 난독화된 계수들을 모든 참가자들에게 브로드캐스팅한다:
에 대해,
이다.
5. 각각의 참가자 i는 를 계산하고 다음을 검증함으로써 각각의 참가자 j가 다항식 포인트를 올바르게 계산했음을 체크한다:
모든 참가자들은, 이 방정식이 각각의 다항식에 대해 홀딩되는 것을 발견하는 경우, 그룹은 이들이 모두 동일한 셰어드 다항식을 생성했다는 것을 집합적으로 확인할 수 있다.
1.4 셰어드 비밀 재구성
참가자가 0차의 셰어드 다항식인 셰어드 비밀 a를 재구성하기를 원한다고 가정한다. 다음 형태의 이 다항식에 (t+1)개의 포인트들이 주어지면,
,
셰어드 비밀 a를 찾기 위해, 다음이 계산된다:
.
이는 "라그랑주 보간(Lagrange Interpolation)"으로서 알려진 일반 공식으로부터 도출된다.
1.5 공개키 계산
JVRSS의 단계 4에서 셰어링된 N개의 0차 개인 다항식 계수 공개 키들 (i=1,…,N)이 주어지면, 각각의 참가자는 다음을 사용하여 셰어드 공개 키 P를 계산하며:
이는 셰어드 비밀 a에 대응한다.
1.6 셰어드 비밀들의 덧셈
어떠한 엔티티도 개별 비밀들을 알지 못하는 채로, 각각의 비밀 다항식이 차수 t를 갖는 N명의 참가자들의 그룹 간에 셰어링되는 2개의 셰어드 비밀들의 덧셈을 계산하기 위해, 다음 단계들이 취해진다:
1. 제1 셰어드 비밀 a를 생성하며, 여기서 참가자 i의 셰어는 (t+1)의 임계치를 갖는 에 의해 주어진다.
2. 제2 셰어드 비밀 b를 생성하며, 여기서 참가자 i의 셰어는 (t+1)의 임계치를 갖는 에 의해 주어진다.
3. 각각의 참가자 i는 다음과 같이 자신의 덧셈 셰어를 계산한다.
4. 모든 참가자들은 자신의 덧셈 셰어 를 다른 모든 참가자들에게 브로드캐스팅한다.
5. 각각의 참가자는 다음을 계산하기 위해 적어도 (t+1)개의 셰어 νi에 대해 보간한다:
.
셰어드 비밀들의 덧셈을 위한 이 방법은 참가자 i에 대한 ADDSS(i)에 의해 표시되며, 각각의 참가자 i가 를 알게 한다.
1.7 셰어드 비밀들의 곱
각각의 비밀 다항식이 차수 t를 갖는 N명의 참가자들의 그룹 간에 셰어링되는 2개의 셰어드 비밀들의 곱을 계산하기 위해, 그룹은 다음 단계들을 취한다:
1. 제1 셰어드 비밀 a를 생성하며, 여기서 참가자 i의 셰어는 (i=1,…,N)에 의해 주어진다. 셰어드 비밀 다항식은 차수 t를 가지며, 이는 재생성하기 위해서는 (t+1)명의 참가자들이 요구됨을 의미한다.
2. 제2 셰어드 비밀 b를 생성하며, 여기서 참가자 i의 셰어는 에 의해 주어지며, 셰어드 비밀 다항식은 재차 차수 t를 갖는다.
3. 각각의 참가자는 다음을 사용하여 자신의 곱셈 셰어 를 계산한다:
.
4. 모든 참가자들은 자신의 곱셈 셰어 를 다른 모든 참가자들에게 브로드캐스팅한다.
5. 각각의 참가자는 다음을 계산하기 위해 에서 적어도 (2t+1)개의 셰어들 에 대해 보간한다:
2개의 셰어드 비밀들의 곱을 계산하기 위한 이 방법은 본원에서 참가자 i에 대해 에 의해 표시된다.
1.8 셰어드 비밀의 역
셰어드 비밀 a의 역(inverse)을 계산하기 위해 다음 단계들이 취해진다:
1. 모든 참가자들은 셰어드 비밀들의 곱 PROSS(i)을 계산하며 그 결과는 이다.
2. 각각의 참가자는 μ의 모듈러 역(modular inverse)을 계산하며, 이는 다음을 초래한다:
.
3. 각각의 참가자 i는 다음을 계산함으로써 자신의 역 비밀 셰어를 계산한다:
.
셰어드 비밀들의 역을 계산하기 위한 이 방법은 참가자 i에 대해 에 의해 표시된다.
1.9 셰어드 개인 키 생성 및 검증
명의 참가자들 ― 서명을 생성하는 데 t+1명이 요구됨 ― 사이의 셰어드 개인 키 a를 계산하기 위해, 참가자들은 위에서 설명된 바와 같이 t+1의 임계치 및 공개 키 계산을 갖는 JVRSS를 실행한다. 결과는, 모든 각각의 참가자 이 개인 키 셰어 ai 및 대응하는 셰어드 공개 키 를 갖는다는 것이다.
1.10 임시 키 셰어들 생성
서명에서 요구되는 바와 같은 임시 키 셰어들 및 대응하는 r을 생성하기 위해, 임계치 (t+1)의 셰어드 개인 키 a를 갖는 크기 N의 그룹이 다음 단계들을 실행한다:
1. 셰어드 비밀의 역 셰어 를 생성하며, 여기서 이를 재생성하는 데 (t+1)개의 셰어들이 요구된다.
2. 각각의 참가자는 ki의 검증에서 셰어링된 난독화된 계수들을 사용하여, 다음을 계산하고:
그런 다음, 이들은 다음을 계산한다:
.
3. 각각의 참가자 i는 을 저장한다.
1.11 비-최적 서명 생성
적어도 2t+1명의 참가자들이 메시지에 대한 서명을 생성하고자 하고 참가자들 중 한 명이 이를 조정하기로 선택한다고 가정한다. 셰어드 개인 키 a로 그룹별로 서명을 생성하기 위해, 다음과 같은 단계들이 취해진다.
1. 조정자는 적어도 2t+1명의 참가자들로부터 메시지에 대한 서명을 요청한다.
2. 각각의 참가자 i는 이전 섹션에서 계산된 임시 키를 복원한다. 모든 사용자들은 동일한 임시 키에 대응하는 셰어를 사용해야 한다.
3. 각각의 참가자는 메시지 다이제스트 을 계산한다.
4. 각각의 참가자 i는 자신의 서명 셰어 si를 계산하고:
,
여기서 ai는 자신의 개인 키 셰어이다.
5. 각각의 참가자는 자신의 서명 셰어(r,si)를 조정자에게 전송한다.
6. 조정자가 2t+1개의 서명 셰어들을 수신하면, 이들은 다음을 계산하고:
,
그리고, (r,s)로서 서명을 출력한다.
7. 조정자는 표준 ECDSA 검증을 사용하여 서명을 검증한다. 검증이 실패하는 경우, 셰어들 중 적어도 하나가 올바르지 않아야 하고, 서명 생성 알고리즘을 다시 실행되어야 한다.
1.12 상이한 임계치들을 갖는 비밀들의 덧셈
차수 t 및 t'의 비밀들의 덧셈의 경우, 두 비밀들의 덧셈은 이를 계산하는데 개의 비밀들을 요구한다. 이면에 숨겨진 이유는 셰어드 비밀들의 셰어들의 덧셈 단계가 새로운 다항식의 셰어를 생성하기 때문이다. 이 새로운 덧셈 다항식은 두 셰어드 비밀들의 개별 다항식들을 더한 결과와 동일하다. 두 개의 다항식들을 더하는 것은 x의 각각의 차수에서 대응하는 계수들을 더하는 것이다. 따라서 덧셈 다항식의 차수는 두 다항식들 중 가장 높은 차수와 동일한 차수이어야 한다. 이는 두 개 초과의 다항식들의 덧셈으로 일반화될 수 있으며, 여기서 결과적인 다항식의 차수는 가장 높은 차수의 개별 다항식의 차수와 동일하다.
상이한 임계치들을 갖는 두 비밀들의 덧셈이 계산되면, 더 높은 임계 비밀의 보안이 감소된다. 이는 이제 개개의 임계치들 t,t'과 관련하여 결과(a+b)를 알고 있고 t<t'라고 가정하면, t개의 셰어들로 a를 계산하고 그런 다음 (a+b)-a=b를 계산할 수 있고 이에 따라 값 b는 t개의 셰어들만으로도 계산되었기 때문이다. 이 더 낮은 임계치는 아래에서 b의 '내포된 임계치(implicated threshold)'로서 지칭된다.
1.13 상이한 임계치들을 갖는 비밀들의 곱셈
t 및 t'의 임계치를 갖는 두 비밀들의 곱셈의 경우, 곱셈의 계산은 t+t'+1개의 셰어들을 요구한다. 이 경우에 두 다항식들의 셰어들의 곱셈은 새로운 다항식에 대한 셰어를 초래한다. 이 새로운 다항식은 두 개의 개별 다항식들을 곱한 결과이고 이에 따라 결과의 차수는 2개의 개별 다항식들의 차수를 더한 것이다.
곱셈은 또한 임의의 수의 셰어드 비밀들로 일반화될 수 있으며, 결과적인 임계치는 개별 임계치들에 1을 더한 합, 즉 이 되며, 여기서 ρ는 개별 셰어드 비밀들에 걸쳐 적용된다.
덧셈과 유사하게, 상이한 임계치들을 갖는 두 비밀들의 곱셈은 더 높은 임계 비밀의 내포된 임계치를 초래한다. 이전과 마찬가지로 a가 t의 임계치를 갖고 b가 t'의 임계치를 갖는 ab가 알려지고 t<t'인 경우, a 및 b 둘 모두는 t개의 셰어들로 계산될 수 있다. 먼저, a를 계산하고 을 사용하여 비밀의 t개의 셰어들만으로 b를 찾을 수 있다.
1.14 일 단계에서 셰어드 비밀들의 덧셈 및 곱셈의 결합
위의 내용을 일반화하여 일 단계에서 덧셈 및 곱셈의 임의의 결합을 계산하는 것이 가능하다. N명의 참가자들의 그룹이 결과 ab+c를 계산하고자 한다고 가정하며, 여기서 a,b,c는 각각 임계치들 을 갖는 셰어드 비밀이다. 이라는 조건이 있는데 즉, 체계의 참가자들의 수가 비밀 c의 차수 및 비밀들 a 및 b의 곱셈의 결과의 차수 사이의 최대치보다 커야 한다.
1. 각각의 참가자 i는 각각 임계치들 을 갖는 자신의 비밀 셰어들 , , 을 계산한다.
2. 각각의 참가자 i는 셰어 를 계산한다.
3. 각각의 참가자 i는 결과 λi를 다른 참가자들과 셰어링한다.
4. 각각의 참가자는 개의 셰어들에 대해 보간하여 결과 를 찾는다.
이는 아래의 일부 실시예들에 따른 셰어드 서명의 계산에서 행해진다. 즉, 에 대한 보간이 있다. 이는 본질적으로 위의 에 해당한다. 이 경우에, 이며, 개의 셰어들에 대해 보간된다.
1.15 HD 지갑
BIP32(Bitcoin Improvement Proposal 32) 지갑이 특정 유형인 계층 결정적 지갑은 단일 입력으로부터 많은 키가 도출될 수 있는 결정적 지갑이다. 입력은 시드라고 불리는 일부 랜덤한 엔트로피이며, 이로부터 마스터 키가 도출된다. 그런 다음 마스터 키는 도 2에 도시된 바와 같이 다수의 자식 키를 도출하는 데 사용된다.
BIP32에서, 마스터 개인 키는 시드의 HMAC-SHA512의 결과의 좌측 32 바이트이거나, 명시적으로, 이는 다음과 같고,
,
그리고 체인 코드는 다음과 같고
,
그런 다음 모든 자식 키는 이들로부터 도출될 수 있고, 여기서
는 SHA512 해시 함수를 사용하는 HMAC이다. 위 수학식에서, opad는 블록 크기의 외부 패딩이고, ipad는 블록 크기의 내부 패딩이다.
HMAC는 2개의 입력, 즉, c 및 K를 요구한다. 단순화를 위해, 그리고 사용자가 단일 시드만을 기억하거나 저장하도록 요구되도록, BIP32 프로토콜은 첫 번째 입력을 스트링 'Bitcoin Seed', 즉, c='Bitcoin Seed'로 세팅한다. 이것은 HD 지갑을 생성하기 위한 하나의 예시적인 프로토콜이고, 상이한 프로토콜들은 상이한 입력들, 예컨대, 2개의 랜덤하게 생성된 시드들을 요구할 수 있다는 것이 인지될 것이다. 다시 말해서, 스트링 '비트코인 시드'의 사용은 HD 지갑을 생성하기 위해 반드시 필요한 요건은 아니다.
부모 개인 키(skparent)로부터 강화된 자식 개인 키(skchild)를 계산하는 수학식은 다음과 같고,
여기서, cparent는 부모 체인 코드이고, 은 자식 인덱스이고, HMAC-SHA512L은 SHA-512 해시 함수로 계산된 HMAC 함수의 결과의 좌측 32바이트이다. 자식 공개 키에 대한 대응하는 수학식은, 이러한 수학식에 기준점(G)을 단순히 포인트 곱함으로써 도출된다.
부모 공개 키(pkparent) 및 부모 개인 키(skparent)로부터 강화되지 않은 자식 개인 키(skchild)를 계산하는 수학식은 다음과 같고,
여기서 cparent는 부모 체인 코드이고, 는 자식 인덱스이고, HMAC-SHA512는 SHA-512 해시 함수로 계산된 HMAC 함수이다. 이러한 제2 유형의 자식 키는 자식 공개 키가 부모 공개 키와 체인 코드에 대해 알고 있는 누군가에 의해 다음 수학식을 사용하여 도출되는 것을 허용한다
.
이것은, 키 재사용을 피하면서 통신 및 저장의 회차를 줄이면서 필요에 따라 외부 당사자에 의해 다양한 지불 주소를 도출하는 데 사용될 수 있다.
일반적으로, HD 지갑은 개인-공개 키 쌍들의 일부 계층적 트리형 구조를 생성해야 한다. 이것은 하나의 시드로부터 모두 재생성될 수 있는 매우 많은 수의 키 쌍을 제공한다.
2. 서명 셰어들의 생성
도 1은 본 발명의 실시예들을 구현하기 위한 예시적인 시스템(100)을 예시한다. 도시된 바와 같이, 시스템(100)은 복수의 당사자들(아래에서 "참가자들"로서 지칭됨)(102)을 포함한다. 3명의 참가자들(102a, 102b, 102c)만이 도 1에 도시되지만, 일반적으로 시스템은 임의의 수의 참가자들을 포함할 수 있다는 것이 인지될 것이다. 시스템(100)은 또한 참가자들(102) 중 하나일 수도 있고 아닐 수도 있는 조정 당사자(104)(또는 간단히 "조정자")를 포함한다. 참가자들(102) 및 조정 당사자(104) 각각은 각자의 컴퓨팅 장비를 동작시킨다.
개개의 컴퓨팅 장비 각각은 하나 이상의 프로세서들, 예컨대, 하나 이상의 CPU(central processing unit)들, 가속기 프로세서 이를테면, GPU(graphic processing unit)들, 다른 애플리케이션 특정 프로세서들, 및/또는 FPGA(field programmable gate array)들을 포함하는 개개의 프로세싱 장치를 포함한다. 개개의 컴퓨팅 장비는 또한 메모리, 즉 비-일시적 컴퓨터-판독 가능 매체 또는 매체들의 형태의 컴퓨터-판독 가능 저장소를 포함할 수 있다. 메모리는 하나 이상의 메모리 매체들, 예컨대, 하드 디스크와 같은 자기 매체; 솔리드 스테이트 드라이브(SSD), 플래시 메모리 또는 EEPROM과 같은 전자 매체; 및/또는 광학 디스크 드라이브와 같은 광학 매체를 사용하는 하나 이상의 메모리 유닛들을 포함할 수 있다. 개개의 컴퓨팅 장비는 적어도 하나 사용자 단말, 예컨대, 데스크 톱 또는 랩톱 컴퓨터, 태블릿, 스마트폰, 또는 스마트워치와 같은 웨어러블 디바이스를 포함할 수 있다. 대안적으로 또는 부가적으로, 개개의 컴퓨팅 장비는 사용자 단말을 통해 액세스되는 클라우드 컴퓨팅 자원들(클라우드 컴퓨팅 자원은 하나 이상의 사이트들에서 구현되는 하나 이상의 물리적 서버 디바이스들의 자원들을 포함함)과 같은 하나 이상의 다른 네트워킹된 자원들을 포함할 수 있다. 시스템(100)의 당사자에 의해 수행되는 것으로 설명된 임의의 액트(act)는 해당 당사자에 의해 동작되는 개개의 컴퓨팅 장치에 의해 수행될 수 있다는 것이 인지될 것이다.
참가자들(102) 각각은 LAN 또는 WAN 연결을 사용하여 인터넷과 같은 네트워크를 통해, 또는 대안적인 유선 또는 무선 통신 수단을 통해 다른 참가자들(102) 중 하나, 일부 또는 모두에게 데이터를 송신하도록 구성될 수 있다. 맥락에서 달리 요구하지 않는 한, 데이터를 송신하는 참가자(102)에 대한 참조는 예컨대, 제1 참가자(102a)와 제2 참가자(102b) 사이의 보안 통신 채널을 통해 다른 참가자들(102)에게 개별적으로 데이터를 송신하거나 예컨대, 이메일 또는 다른 수단을 통해 그룹 전체에 브로드캐스팅하는 것으로 이해될 수 있다. 재차, 맥락이 달리 요구되지 않는 한, 각각의 참가자(102)는 원시 형태로 또는 암호화된 형태로 데이터를 송신할 수 있다. 예컨대, 데이터는 수신자 참가자에게 전송되기 전에 수신자 참가자의 공개 키를 사용하여 암호화될 수 있다. 이는 조정자(104)가 참가자들(102) 중 한 명, 일부 또는 전부에게 데이터를 송신 및 수신하는 경우에도 동일하게 적용된다.
본 발명의 실시예들은 주로 제1 참가자(102a)의 관점에서 설명될 것이다. 그러나 설명된 방법의 일반적인 단계들은 다른 참가자들, 예컨대, 제2 참가자(102b) 또는 제3 참가자(102c)에 의해 유사하게 수행될 수 있다는 것이 인지될 것이다. 또한, "제1", "제2", "제3" 등의 용어들은 본원에서 단지 구별 라벨들로서 사용되며 용어가 사용되는 특정 맥락이 그렇지 않은 것을 요구되지 않는 한 반드시 순서를 의미하는 것은 아니라는 점이 인지될 것이다.
본 발명은 일 그룹의 참가자들(102)의 각각의 참가자(102)가 임계 서명의 개개의 셰어들을 생성하는 것을 가능하게 한다.
각각의 참가자(102)는 셰어드 개인 키의 개개의 셰어에 대한 액세스를 갖는다(예컨대, 그들 개개의 컴퓨팅 장비의 메모리에 저장함). 이러한 개인 키 셰어들은, 예컨대, JVRSS(위에서 설명됨) 또는 SSSS(Shamir's Secret Sharing Scheme)와 같은 비밀 셰어링 체계를 사용하여 생성될 수 있다. 셰어드 개인 키의 셰어들을 생성하기 위한 대안적인 체계들이 사용될 수 있다. 각각의 참가자(102)는 또한 셰어드 임시 개인 키의 개개의 셰어에 대한 액세스를 갖는다. 임시 개인 키 셰어들은 JVRSS, SSSS 또는 대안적인 체계를 사용하여 생성될 수 있다. 각각의 참가자(102)는 또한 그들 개개의 임시 개인 키 셰어의 역에 대한 액세스를 가질 수 있거나, 역은, 예컨대, 위에서 설명된 INVSS 함수를 사용하여, 필요 시에, 생성될 수 있다. 각각의 참가자는 또한 임시 공개 키, 즉 셰어드 임시 개인 키에 대응하는 공개 키에 대한 액세스를 갖는다. 당분야에 알려진 바와 같이, 공개 키는 제1(x) 및 제2(y) 좌표들을 포함하고, 아래에 논의될 바와 같이, 제1 좌표는 서명 셰어를 생성하는 데 사용된다. 각각의 참가자(102)는 또한 서명 셰어의 개개의 MIC(message independent component)에 대한 액세스를 가질 수 있는데 즉, 서명 셰어는 또한 개개의 MIC에 기초하여 생성될 수 있다. MIC 자체는 해당 참가자(102)의 개개의 개인 키 셰어 및 개개의 임시 개인 키 및 또한, 임시 공개 키의 제1 좌표에 기초하여 주어진 참가자(102)에 의해 생성될 수 있다.
각각의 참가자(102)는 또한 계층적 키 구조(예컨대, BIP32 HD 지갑)의 동일한 부모 개인 키에 대한 액세스를 갖는다. 즉, 부모 개인 키는 각각의 참가자에게 공통이고 각각의 참가자에게 알려져 있다. 이것은, 각각의 참가자(102)가 셰어드 개인 키의 개개의 셰어에 대한 액세스만을 갖는 셰어드 개인 키와 대조된다. 각각의 참가자(102)는 키 구조의 많은 개인 키들에 대한 액세스를 가질 수 있지만, "부모 개인 키"에 대한 참조가 그러한 개인 키들 중 동일한 특정 키를 의미하는 것으로 간주된다는 것이 이해되어야 한다. 예컨대, 부모 개인 키는 마스터 개인 키일 수 있다. 대안적으로, 부모 개인 키는 키 구조의 상이한 레벨에 속할 수 있다.
각각의 참가자는 본 명세서에서 "참가자 인덱스"로 지칭되는 개개의 인덱스와 연관된다. 예컨대, 제1 참가자(102a)는 제1 참가자 인덱스와 연관되고, 제2 참가자(102b)는 제2 참가자 인덱스와 연관되고, 이러한 식이다. 각각의 참가자 인덱스는 정수, 예컨대, 제1 참가자(102a)에 대해 "1"일 수 있고, 제2 참가자(102b)에 대해 "2"일 수 있고, 이러한 식일 수 있다. 참가자 인덱스의 특정 값은 중요하지 않으며, 오히려 각각의 참가자가 고유한 참가자 인덱스를 갖는 것만이 중요하다.
위의 모든 데이터 항목(예컨대, 개인 키 셰어, 임시 키 셰어 등)은 서명 페이즈 이전의 설정 페이즈 동안 생성될 수 있다. 예컨대, 데이터 항목들은, 서명 셰어를 제공하라는 요청을 조정자(104)로부터 수신하기 전에, 생성될 수 있다.
셰어드 개인 키는 임계치를 가지며, 즉, 개인 키는 적어도 임계수의 상이한 개인 키 셰어들에만 기초하여 성공적으로 생성될 수 있다. 유사하게, 서명은 임계치를 가지며, 이는 유효한 서명을 생성하기 위해 적어도 임계수의 상이한 서명 셰어들이 필요하다는 것을 의미한다. 임계치에 대한 임의의 참조는 개인 키의 임계치에 대응하는 수를 의미하는 것으로 간주된다는 것이 인지되어야 한다. 예컨대, 임계치는 2개, 3개, 또는 10개 등일 수 있다.
서명 셰어를 생성하기 위해, 제1 참가자(102a)는 적어도 임계수의 개개의 참가자 인덱스를 먼저 획득한다. 획득된 개개의 참가자 인덱스들 중 하나는 제1 참가자(102a)의 개개의 참가자 인덱스이다. 예컨대, 임계치가 5인 경우, 제1 참가자(102a)는 5개의 참가자 인덱스들을 획득하며, 5개의 인덱스 중 하나는 제1 참가자(102a)의 참가자 인덱스이다. 참가자 인덱스들은 조정자(104)로부터 획득될 수 있는데, 예컨대, 조정자(104)는 참가자 인덱스들을 결정하고 참가자들에게 알릴 수 있다. 대안적으로, 참가자 인덱스들은 참가자들(102) 자신으로부터 획득될 수 있거나, 또는 참가자 인덱스는 미리 결정되었을 수 있고, 이 경우에, 참가자 인덱스들을 획득하는 것은 제1 참가자(102a)의 메모리로부터 획득하는 것을 포함할 수 있다.
임계수(또는 그 이상)의 참가자 인덱스를 획득한 경우, 제1 참가자(102a)는 각각의 참가자에게 알려진 부모 개인 키에 기초하여 자식 개인 키를 생성하기 위한 개인 키 인덱스를 생성한다. 개인 키 인덱스는 획득된 참가자 인덱스의 결합의 해시에 기초하여 생성된다. 예컨대, 참가자 인덱스들은 컨케터네이팅되고 그런 다음 해싱될 수 있다. 일반적으로, 임의의 적절한 해시 함수, 예컨대, SHA256 또는 SHA512가 사용될 수 있다. 또한, 참가자 인덱스들은 컨케터네이션(concatenation)을 통해서만이 아니라 다른 방식들, 예컨대, 합산으로 결합될 수 있다. 일부 예들에서, 해시 다이제스트, 즉, 결합된 참가자 인덱스들을 해싱한 결과는 개인 키 인덱스를 생성하기 위해 추가적인 프로세싱을 겪을 수 있다. 예컨대, 모듈로 함수는 특정 길이의 인덱스를 생성하기 위해 해시 다이제스트에 적용될 수 있다. 추가적으로 또는 대안적으로, 최소 크기의 인덱스를 생성하기 위해 정수가 해시 다이제스트(또는 해시 다이제스트의 모듈로)에 추가될 수 있다.
그런 다음 자식 개인 키는 부모 공개 키에 기초하여 생성(즉, 도출)된다. 즉, 부모 공개 키가 키 구조의 레벨 n에 속하면, 도출된 자식 개인 키는 키 구조의 레벨 n+1에 속하게 될 것이다. 조정자(104)는 키 구조의 개인 키들 중 어떤 것이 부모 개인 키로서 사용될지를 제1 참가자에게 알려줄 수 있다. 대안적으로, 사용될 부모 개인 키가 미리 결정될 수 있다.
자식 개인 키는 부모 개인 키와 제1 해시 값의 함수이다. 제1 해시 값은 적어도 부모 개인 키 및 개인 키 인덱스를 해시 함수, 예컨대, SHA256 또는 SHA512에 입력함으로써 생성된다. 일부 실시예들에서, 해시 함수는 HMAC 함수이다. 이러한 실시예들에서, 부모 개인 키의 체인 코드는 또한 제1 해시 값을 생성하기 위해 HMAC 함수에 입력될 수 있다. 사용되는 해시 함수에 의존하여, 예컨대, HMAC 함수가 사용되는 경우, 제1 해시 값은 해시 함수에 데이터를 입력함으로써 생성되는 해시 다이제스트의 일부만을 포함할 수 있다. 예컨대, 제1 해시 값은 해시 다이제스트의 최좌측의 x 바이트의 양일 수 있다.
그런 다음, 제1 참가자(102a)는 메시지에 기초하여 개개의 서명 셰어를 생성한다. 메시지는, 자식 개인 키를 생성하기 전에, 또는 자식 개인 키를 생성한 후에, 획득(예컨대, 조정자(104)에 의해 제1 참가자(102a)에게 전송)되었을 수 있다. 서명 셰어는 제1 임시 키 셰어(또는 보다 구체적으로, 이의 역수), 임시 공개 키의 제1 좌표(또는 보다 구체적으로, 제1 좌표 mod n, 여기서 n은 타원 곡선의 차수임), 자식 개인 키, 메시지(또는 보다 구체적으로, 메시지의 해시), 및 제1 MIC 셰어에 기초하여 생성된다(즉, 이들의 함수임).
개개의 서명 셰어를 생성하고자 하는 다른 참가자들(예컨대, 제2 참가자(102b))은 참가자 인덱스를 획득하고, 개인 키 인덱스를 생성하고, 자식 개인 키를 생성하고, 개개의 서명 셰어를 생성하는 것과 등가의 프로세스를 수행한다.
제1 참가자(102a)는 적어도 임계수의 서명 셰어들에 기초하여 서명을 생성하기 위해 제1 서명 셰어를 조정자(104)에게 전송할 수 있다. 대안적으로, 제1 참가자(102a)는 조정자(104)일 수 있으며, 이 경우에 제1 참가자(102a)는 개개의 참가자로부터 개개의 서명 셰어를 획득할 수 있고, 그럼 다음 개개의 서명 셰어에 기초하여 서명을 생성할 수 있다.
일부 예들에서, 제1 참가자(102a)는 자식 개인 키에 대응하는 공개 키 및 셰어드 개인 키에 대응하는 공개 키를 생성할 수 있다. 이러한 2개의 공개 키로부터, 서명 개인 키(즉, 평문(in the clear)으로 존재한다면, 서명을 생성하기 위해 사용될 수 있는 개인 키)에 대응하는 공개 키("타겟 공개 키")가 생성될 수 있다. 제1 참가자(102a) 또는 조정자(104)는 서명을 검증하기 위해 검증 당사자에게 타겟 공개 키를 이용하게 할 수 있다.
이들 또는 대안적인 예들에서, 제1 참가자(102a)는, 자식 개인 키를 생성하는데 사용된 개인 키 인덱스가 제1 참가자와 연관된 제1 참가자 인덱스에 기초한다는 증명을 검증 당사자에게 제공할 수 있다. 이것은 제1 참가자(102a)가 서명을 생성하기 위한 서명 셰어에 기여했다는 증명을 제공한다.
도 3은 본 발명의 일부 실시예들에 따른 예시적인 방법(300)을 도시한다. 단계(S301)에서, 제1 참가자(102a)는 참가자 인덱스들을 획득한다. 단계(S302)에서, 제1 참가자(102a)는 획득된 참가자 인덱스들에 기초하여 개인 키 인덱스를 생성한다. 단계(S303)에서, 제1 참가자(102a)는 공통 부모 개인 키 및 개인 키 인덱스에 기초하여 공통 자식 개인 키를 생성한다. 단계(S304)에서, 제1 참가자(102a)는 공통 자식 개인 키에 기초하여 셰어드 서명을 생성한다. 제1 참가자가 조정자인 경우, 단계(S305)에서, 제1 참가자는 적어도 임계수의 서명 셰어에 기초하여 서명을 생성한다.
일부 실시예들에서, 각각의 참가자(102)는 단일 셰어드 개인 키의 개개의 셰어를 가질 수 있다. 즉, 각각의 참가자(102)는, 각각의 개개의 서명 셰어를 생성할 때, 동일한 개개의 개인 키 셰어를 사용한다. 다른 실시예들에서, 각각의 참가자(102)는 셰어드 키 구조를 생성할 수 있고, 여기서 셰어드 키 구조는 완전한 개인 키들을 포함하는 대신에, 셰어드 키 구조는 개인 키 셰어들을 포함한다. 예컨대, 제1 참가자(102a)는 셰어드 마스터 개인 키의 제1 셰어를 갖고, 제2 참가자(102b)는 동일한 셰어드 마스터 개인 키의 제2 셰어를 갖고, 제3 참가자(102c)는 동일한 셰어드 마스터 개인 키의 제3 셰어를 갖고, 이러한 식이다. 참가자들(102)은 또한 하나 이상의 셰어드 보조 개인 키들의 개개의 셰어들을 가지며, 여기서 각각의 셰어드 보조 개인 키는 셰어드 마스터 개인 키로부터 역추적될 수 있다(즉, 그의 함수임). 어떠한 개별 참가자(102)도 셰어드 키 구조의 완전한 개인 키들 중 임의의 것에 대한 액세스를 갖지 않는다. 개개의 서명 셰어를 생성할 때, 각각의 참가자(102)는, 개개의 서명 셰어를 생성하는 데 필요한 셰어드 개인 키의 개개의 셰어로서, 셰어드 마스터 개인 키의 개개의 셰어 또는 셰어드 보조 개인 키들 중 하나의 개개의 셰어 중 어느 하나를 사용한다.
다음은 셰어드 키 구조를 생성하는 예시적인 방법을 설명한다. 제1 참가자(102a)는 제1 시드 셰어를 획득, 예컨대, 생성 또는 수신한다. 위에 제시된 바와 같이, "제1"은 단지 라벨로서 본원에서 사용된다. "시드 셰어"는 바람직하게는 제1 당사자(102a)에게만 알려진 정수 또는 스트링일 수 있다. 시드 셰어는 랜덤하게 또는 의사-랜덤하게 생성될 수 있다. 시드 셰어가 제1 참가자(102a)에게 이전에 알려진 것이 또한 배제되지 않는다. 셰어라고 지칭되지만, 바람직하게는 참가자 개개의 시드 셰어들은 공통 시드의 셰어(즉, 구성요소)가 아니지만, 이것이 배제되지는 않는다. 제2 참가자(102b) 및 제3 참가자(102c)는 또한 개개의 시드 셰어를 획득하는데, 예컨대, 제2 참가자(102b)는 제2 시드 셰어를 생성한다.
제1 참가자(102a)는 제1 마스터 개인 키 셰어, 즉, 셰어드 마스터 개인 키의 셰어를 생성한다. 제1 마스터 개인 키 셰어는 제1 시드 셰어(즉, 제1 참가자의 셰어) 및 각각의 다른 참가자의 개개의 시드 셰어에 기초하여 생성되고, 즉, 이들의 함수이다. 예컨대, 위의 예로부터 후속하여, 제1 마스터 개인 키 셰어는 제1, 제2 및 제3 시드 셰어 각각에 기초하여 생성된다. 유사하게, 제2 참가자(102b) 및 제3 참가자(102c)는 제2 마스터 개인 키 셰어 및 제3 마스터 개인 키 셰어를 각각 생성한다.
제1 마스터 개인 키 셰어를 생성하였다면, 제1 참가자(102a)는 하나 이상의 제1 개인 키 셰어를 생성하고, 여기서 각각의 제1 개인 키 셰어는 상이한 셰어드 개인 키의 셰어이다. 다시, "제1"은 마스터 개인 키 셰어에 기초하여 생성되는, 즉, 이의 함수인 개인 키 셰어를 지칭하기 위한 라벨로 사용된다. 많은 다른 "제1 개인 키 셰어"가 있을 수 있다. 각각의 다른 참가자, 예컨대, 제2 참가자(102b) 및 제3 참가자(102c)는 또한 셰어드 개인 키들의 개개의 셰어들을 생성할 수 있다. 개인 키 셰어들(예컨대, 제1 마스터 개인 키 셰어 및 제1 개인 키 셰어 각각)은 함께 한 번에 생성될 수 있거나, 그들은 요구될 때 그리고 요구된 경우 생성될 수 있다. 유사하게, 생성된 개인 키 셰어들 각각은 함께 또는 개별적으로 저장될 수 있다. 생성된 개인 키 셰어들 중 하나 이상은 사용 후에 삭제될 수 있다.
일부 실시예들에서, 제1 참가자(102a)는 제1 시드 셰어에 기초하여, 즉, 이의 함수로서, 제1 데이터 항목을 생성할 수 있다. 제1 데이터 항목을 생성하는 것은 제1 데이터 항목의 제1 구성요소를 생성하기 위해 적어도 제1 시드 셰어에 해시 함수를 적용하는 것을 포함할 수 있고, 즉, 제1 구성요소는 적어도 제1 시드 셰어의 해시의 일부 또는 전부이다. 임의의 해시 함수, 예컨대, SHA256, SHA512 등이 사용될 수 있다. 일부 예들에서, 이중-해시, 예컨대, SHA256 다음에 SHA256과 같은, 하나 초과의 해싱 연산을 수행하는 해시 함수가 사용될 수 있다. 다른 참가자들은 유사하게 개개의 데이터 항목을 생성하고, 예컨대, 제2 참가자(102b)는 제2 데이터 항목을 생성하고, 제3 참가자(102c)는 제3 데이터 항목을 생성한다. 제1 참가자(102a)는 다른 데이터 항목들을 획득, 예컨대, 수신하고, 제1 데이터 항목 및 다른 데이터 항목들에 기초하여, 즉, 이의 함수로서 제1 마스터 개인 키 셰어를 생성한다. 다른 참가자들은 유사한 방식으로 그들 개개의 마스터 개인 키 셰어를 생성한다.
바람직하게는, 해시 함수는 HMAC(hash-based message authentication code) 함수이다. 이들 예들에서, HMAC 함수가 2개의 입력들을 요구하기 때문에, 제1 참가자(102a)는 제1 시드 셰어 및 다른 입력 둘 모두를 HMAC에 입력한다. 다른 입력은 상이한 시드 셰어, 동일한 시드 셰어, 또는 각각의 참가자에게 알려진 데이터, 예컨대, 알려진 정수 또는 스트링일 수 있다. 이들 예들에서, 제1 구성요소는 HMAC 함수의 전체 출력, 또는 출력의 일부, 예컨대, 좌측 256 바이트들일 수 있다.
개개의 마스터 개인 키 셰어는 비밀 셰어링 체계를 이용하여 생성될 수 있다. 즉, 각각의 참가자(102)는 셰어드 비밀의 개개의 셰어를 생성하기 위해 비밀 셰어링 체계에 참가한다. 예컨대, 비밀 셰어링 체계는 JVRSS(joint verifiable secret sharing scheme) 또는 SSSS(Shamir's secret sharing scheme), 또는 상이한 체계일 수 있다. 예컨대, 그리고 위에서 설명된 바와 같이, JVRSS에서, 각각의 참가자는 t+1개의 난수(aij)를 생성하고, 그런 다음 난수들을 차수 t의 다항식의 계수들로서 사용한다. 이제, 본 발명에 대해, 제1 참가자는 값(ai0)을 "제1 구성요소", 예컨대, 제1 시드의 해시의 일부 또는 부분으로 세팅할 수 있다. 그런 다음 "제1 데이터 항목"은 이고, 제1 마스터 개인 키 셰어는 이고, 여기서 N은 참가자의 수이다. JVRSS가 비밀을 셰어링하기 위해 사용될 수 있는 딜러-리스(dealer-less) 체계의 예이지만, 딜러(예컨대, 신뢰할 수 있는 제3자)를 갖는 체계가 또한 마스터 개인 키 셰어를 생성하는 활용될 수 있다.
HD 키 구조들(또는 HD 지갑들)의 개념이 위에서 소개된다. 제1 참가자(102a)는 개인 키 셰어들의 HD 키 구조를 생성할 수 있으며, 여기서 각각의 개인 키 셰어는 궁극적으로 제1 마스터 키 셰어로부터 도출될 수 있다. HD 키 구조는 다수의 레벨의 부모 개인 키 셰어 및/또는 자식 개인 키 셰어를 포함할 수 있다. 일부 개인 키 셰어들은 개개의 자식 개인 키 셰어에 대한 부모 및 개개의 부모 개인 키 셰어의 자식 둘 모두일 수 있다.
HD 키 구조가 어떻게 생성될 수 있는지를 설명하기 전에, 마스터 개인 키 셰어(ai-master)를 생성하기 위한 예시적인 방법이 제공된다. 이러한 특정 예는 JVRSS를 사용하여 마스터 키(amaster)를 도출하여, 다음과 같이 마스터 개인 키를 정의하고,
여기서 seedi는 참가자 i의 시드이고, 참가자의 개인 BIP32 지갑의 브랜치로부터 나올 수 있다. 어떠한 단일 참가자도 이 결과를 알 수 없으며, 대신에 참가자는 JVRSS를 사용하여 계산된 이러한 ai-master의 셰어를 갖는다. 이것은 일반적인 JVRSS에서와 같은 랜덤한 값 대신에 다음과 같이 JVRSS의 단계 1에서 ai0를 정의함으로써 달성되고:
,
HMAC의 결과의 우측 절반은 참가자 i 시드의 대응하는 체인 코드일 것이다.
이때, 참가자들(102)은 개인 마스터 키(ai-master)의 비밀 셰어, 및 시드 i에 대응하는 개별 체인 코드(ci-master)를 갖는다. 참가자들(102)이 일부 임계치를 갖는 셰어(ai-master)를 갖기 때문에, 셰어들 중 임의의 셰어가 손실되면, 키는 여전히 복구가능하다. 모든 셰어가 손실될 가능성이 없는 경우, 키는 각각의 참가자 i로부터의 시드를 사용하여 재도출될 수 있다.
제1 마스터 개인 키 셰어에 기초하여 제1 개인 키 셰어를 생성하는 옵션이 이제 설명될 것이다. 하나의 옵션은 보조 개인 키들의 세트, 예컨대, 보조 HD 키 구조 또는 보조 지갑의 사용을 포함한다. 제1 참가자(102a)는 기존의 보조 개인 키의 세트를 이용하거나 새로운 세트를 생성할 수 있다. 그런 다음, 각각의 제1 개인 키 셰어는 제1 마스터 개인 키 셰어 및 보조 개인 키의 세트 중 개개의 보조 개인 키에 기초하여 생성되고, 즉, 이들의 함수이다. 예컨대, 제1 참가자(102a)는 셰어드 HD 키 구조(또는 셰어드 지갑)를 생성하기 위해 구조의 상이한 레벨들 및/또는 위치들에서 보조 개인 키들을 포함하는 HD 키 구조를 사용할 수 있으며, 여기서 셰어드 HD 키 구조는 대응하는 레벨들 및/또는 위치들에서 개인 키들의 셰어들을 포함한다. 예컨대, 셰어드 HD 키 구조에서 부모 개인 키의 셰어는 보조 키 구조에서 대응하는 위치에서의 보조 부모 개인 키에 기초하여 생성될 수 있다. 유사하게, 셰어드 HD 키 구조에서 자식 개인 키의 셰어는 보조 키 구조의 대응하는 위치에서의 보조 자식 개인 키에 기초하여 생성될 수 있다.
각각의 다른 참가자(102)는 유사하게, 동일한 보조 개인 키들 및 그들의 개개의 마스터 개인 키 셰어를 사용하여 동일한 셰어드 개인 키들의 개개의 셰어들을 생성할 수 있다. 그렇게 하기 위해, 각각의 참가자는 동일한 보조 개인 키(s)를 요구한다. 일부 예들에서, 각각의 참가자(102)는 각각의 참가자에게 알려진 공통 마스터 보조 개인 키를 사용하고, 마스터 보조 개인 키로부터 임의의 다른 요구되는 보조 개인 키를 도출한다.
일부 예들에서, 각각의 참가자는 보조 마스터 개인 키를 도출하기 위해 공통 시드를 사용한다. 공통 시드는 하나의 참가자, 예컨대, 제1 참가자(102a)에 의해 생성될 수 있고, 다른 참가자들(102)과 셰어링될 수 있다. 대안적으로, 공통 시드는 비밀 셰어링 체계, 예컨대, JVRSS 또는 SSSS를 이용하여 집단적으로 생성될 수 있다. 공통 시드는 제1 셰어드 비밀(예컨대, 셰어드 마스터 개인 키) 및 제2 셰어드 비밀(예컨대, 블라인딩 또는 난독화 키)에 기초하여 생성될 수 있다. 즉, 각각의 참가자는 제1 셰어드 비밀의 개개의 셰어 및 제2 셰어드 비밀의 개개의 셰어를 갖는다. 각각의 참가자는 개개의 "결합된 셰어"를 생성하기 위해 2개의 그들 개개의 셰어를 결합한다. 참가자들은 그들 개개의 결합된 셰어를 각각의 다른 참가자(102)와 셰어링할 수 있는데, 즉, 제1 참가자(102a)는 개개의 결합된 셰어를 각각의 다른 참가자(102)로부터 획득한다. 그럼 다음 결합된 셰어들은 보조 마스터 개인 키가 생성되는 공통 시드를 생성하기 위해 결합, 예컨대, 보간될 수 있다. 셰어드 비밀들이 임계 비밀들이면, 각각의 다른 참가자로부터의 개개의 공통 셰어를 필요로 하기보다는, 제1 참가자들(102a)은 공통 시드를 생성하기 위해 임계수의 공통 셰어들만을 필요로 한다.
보조 마스터 개인 키는 적어도 공통 시드에 해시 함수를 적용함으로써 생성될 수 있다. 해시 함수는 HMAC 함수일 수 있고, 이 경우에, 공통 시드 및 추가적인 시드 둘 모두가 HMAC 함수에 입력된다. 보조 마스터 개인 키는 HMAC 출력의 일부, 예컨대, 좌측 256 바이트일 수 있다.
이들 실시예들은 셰어드 HD 지갑, 예컨대, 셰어드 BIP32 지갑을 생성하는 데 사용될 수 있다. 예컨대, 별개의 BIP32 지갑은, 키 셰어(ai-master)에 추가되는 키(skparent, skchild) 등을 도출하는 데 사용될 수 있다. 마스터 개인 키(skmaster)는 평소처럼 시드로부터 도출되고 모든 각각의 참가자에게 알려져 있다. 마스터 개인 키는 새로운 키 셰어들의 계산에 사용되지 않지만, 마스터 키(skmaster)로부터 도출된 제1 자식 키들은 사용될 수 있고, 아래에 skparent로 라벨링된다. 개인 자식 키 셰어는 다음과 같이 정의되고,
,
그리고 손자 키는 다음과 같을 것이고,
,
(여기서 skchild는 skparent로부터 일반적인 BIP32 자식 키로 도출됨) 이러한 식이다. 이것은 전체 자식 개인 키(바람직하게는, 결코 존재하지 않음)가 다음과 같고,
그리고 손자 키에 대한 등가의 수학식일 것임을 의미한다. 이러한 키는, 보조 지갑 키가 강화되는지 또는 강화되지 않는지 여부에 의존하여 강화되거나 강화되지 않는 것으로 정의될 것이다.
이러한 지갑에 대한 하나의 옵션은, 값(skmaster)을 블라인드 개인 키(a+ρ)가 되도록 하고, 이로부터 모든 추가적인 자식 키를 도출하여, 어떠한 단일 당사자도 a를 명시적으로 알지 못하고 이를 셰어드 개인 키(a)와 관련시키는 것이다. 명시적으로, 이에 대한 단계는 다음과 같다.
1. 참가자들은 2개 회차의 JVRSS를 실행하고, 하나는 셰어드 개인 키(a)에 대응하고, 다른 하나는 블라인딩 비밀(ρ)에 대응한다. 각각의 참가자(i)는 대응하는 개인 키 셰어(ai) 및 블라인딩 비밀 셰어(ρi)를 갖는다.
2. 각각의 참가자(i)는 자신의 비밀 셰어의 덧셈(ai i)을 계산하고, 이를 다른 참가자들에게 브로드캐스팅한다.
3. 각각의 참가자는 적어도 t+1개의 덧셈 셰어에 걸쳐 보간하여 a + ρ를 구한다.
4. 이러한 결과는 다음과 같도록 skmaster의 시드로 사용되고,
그리고 체인 코드는 다음과 같고
이는 skparent 키를 도출하는 데 사용되며, 위에서 설명한 수학식에 사용된다. 정상 BIP32 지갑 키인 보조 키를 추가하는 방법은, 셰어드 비밀의 셋업과 함께 필요한 정보를 셰어링할 수 있으므로, 어떠한 추가적인 회차의 통신도 요구하지 않는다.
제1 마스터 개인 키 셰어에 기초하여 제1 개인 키 셰어들을 생성하기 위한 다른 옵션은 해시(예컨대, HMAC) 함수들의 사용을 포함한다. 이러한 옵션은 특히 셰어드 HD 키 구조를 생성하는 데 적합하다. 도 2에 도시된 바와 같이, HD 키 구조에서 각각의 개인 키는 부모 개인 키를 갖는다. HD 키 구조의 제1 레벨에서의 개인 키들의 부모는 마스터 개인 키일 수 있고, 여기서 마스터 개인 키는 제0 레벨에 있다.
셰어드 HD 키 구조가 생성될 수 있으며, 여기서 각각의 개인 키 셰어(즉, 자식 키 셰어)는 개개의 부모 개인 키 셰어 및 자식 개인 키 셰어에 할당된 인덱스에 기초하여 생성된다. 인덱스는 트리에서의 키 위치를 지정한다. 각각의 자식 개인 키 셰어는 또한 개개의 부모 개인 키 셰어의 개개의 체인 코드에 기초하여 생성될 수 있다. 보다 구체적으로, 각각의 자식 개인 키 셰어는 제1 항 및 제2 항에 기초하여 생성될 수 있다. 제1 항은 부모 개인 키 셰어에 기초하여 생성되고, 즉, 이의 함수이다. 일부 예들에서, 제1 항은 부모 개인 키 셰어일 수 있다. 제2 항은 적어도 부모 개인 키 셰어 또는 대응하는 공개 키를 해시 함수에 입력함으로써 생성된다. 또한 해시 함수에 대한 입력은 생성되고 있는 자식 개인 키 셰어의 인덱스이다. 일부 예들에서, 부모 개인 키 셰어 및 인덱스는 컨케터네이팅될 수 있다.
부모 개인 키를 해시 함수에 입력함으로써 생성된 자식 개인 키는 때때로 "강화된 자식 개인 키"로 지칭된다. 유사하게, 부모 개인 키 셰어를 해시 함수에 입력함으로써 생성된 자식 개인 키 셰어는 이하에서 "강화된 자식 개인 키 셰어"로 지칭된다. 이와 대조적으로, 부모 개인 키에 대응하는 공개 키를 해시 함수에 입력함으로써 생성된 자식 개인 키는 때때로 "강화되지 않은 자식 개인 키"로 지칭된다. 유사하게, 부모 개인 키 셰어에 대응하는 공개 키를 해시 함수에 입력함으로써 생성된 자식 개인 키 셰어는 이하에서 "강화되지 않은 자식 개인 키 셰어"로 지칭된다.
해시 함수는 HMAC 함수일 수 있다. 자식 개인 키 셰어는 HMAC 출력의 제1 부분, 예컨대, HMAC가 SHA256 해시 함수를 사용하는 경우 좌측 256 바이트에 기초하여 생성될 수 있다.
부모 개인 키 셰어의 체인 코드 셰어는 또한, 예컨대, 해시 함수가 2개의 별개의 입력들을 필요로 하는 경우, 해시 함수에 입력될 수 있다. 체인 코드의 목적은 자식 키의 도출에 더 많은 엔트로피를 추가하는 것이다. 주어진 개인 키 셰어에 대해, 해당 개인 키 셰어에 대한 체인 코드 셰어는 HMAC 출력의 제2 부분일 수 있다. 예컨대, 체인 코드 셰어는 우측 256 바이트일 수 있다. 주어진 개인 키 셰어("타겟 키 셰어"라고 함)의 체인 코드 셰어는 부모 개인 키 셰어, 타겟 키 셰어의 인덱스 및 부모 개인 키 셰어의 체인 코드 셰어에 기초한다.
위의 예는 부모 개인 키 셰어 또는 부모 개인 키 셰어에 대응하는 공개 키를 사용하여 자식 개인 키를 도출한다. 자식 개인 키 셰어는 또한 마스터 공개 키, 또는 더 일반적으로는 부모 공개 키를 사용하여 생성될 수 있다. 즉, 개인 키 셰어에 대응하는 공개 키가 아닌, 전체 마스터 개인 키 또는 전체 부모 개인 키에 대응하는 공개 키가 사용된다. 이러한 경우, 전체 개인 키 자체가 존재하지 않기 때문에, 전체 개인 키에 대한 체인 코드는 존재하지 않고, 즉, 어떤 참가자도 전체 개인 키를 알지 못한다. 따라서, 각각의 참가자(102)는 이러한 방식으로 도출되는 각각의 자식 개인 키 셰어에 대한 공통 체인 코드를 사용할 수 있다. 즉, 참가자들(102)은 사용하기 위한 공통 체인 코드에 동의할 수 있다. 공통 체인 코드는, 전체 부모 개인 키에 대응하는 개개의 부모 개인 키 셰어들의 개개의 부모 체인 코드 셰어들에 기초하여 생성될 수 있고, 예컨대, 전체 부고 개인 키에 대응하는 개개의 부모 개인 키 셰어들의 개개의 부모 체인 코드 셰어들의 합을 포함할 수 있다. 예로서, 제1 참가자(102)는 각각의 참가자로부터 대응하는 마스터 체인 코드 셰어를 획득하고, 제1 마스터 개인 키 셰어의 제1 마스터 체인 코드 셰어와 함께 이들을 사용하여, 공통 체인 코드를 생성할 수 있다. 그런 다음, 제1 자식 개인 키 셰어를 생성할 때, 공통 체인 코드, 부모 개인 키에 대응하는 공개 키 및 제1 자식 개인 키 셰어의 개개의 인덱스를 해시 함수(예컨대, HMAC 함수)에 입력함으로써 제2 항이 생성된다. 공개 키와 인덱스는 컨케터네이팅될 수 있다. 이러한 자식 키 셰어가 공개 키를 사용하여 도출되므로, 그들은 "강화되지 않은 키 셰어"로 지칭된다.
다음은 자식 개인 키 셰어 및 대응하는 공개 키를 생성하는 방법에 대한 추가의 자세한 내용을 제공한다.
강화된 자식 키는 개별 BIP32 항의 합을 사용하여 도출될 수 있다
.
그런 다음, 손자 키는 다음과 같을 것이고,
이러한 식이다. 전체 개인 키 자체는 실제로 생성되지 않는다는 것이 유의된다.
이러한 수학식들에서 제2 항은, 참가자(i)의 비밀 다항식의 상수 항이 인 JVRSS를 사용하여 계산된다. 그런 다음, 로 라벨링된 이러한 JVRSS에 대응하는 셰어를 계산한 후, 그들의 오래된 셰어(ai-parent)에 셰어를 간단히 더하여 새로운 셰어는 다음과 같을 수 있다.
손자 키에 대해서도 등가의 관계가 있고, 이러한 식이다. 이 결과에 대한 보간은 위의 자식 키를 발생시킬 것이다. 이러한 방식으로 자식 키를 도출함으로써, 키가 손상되더라도, 자식 키가 계산될 수 없고, 이는 일반적인 BIP32 지갑보다 훨씬 더 안전하다.
다음은 강화되지 않은 자식 키 셰어를 생성하는 2개의 방법을 설명한다. 제1 방법은 강화된 키를 생성하기 위한 전술된 방법과 유사하다. 키 셰어에 대응하는 개별 공개 키를 셰어링해야 한다는 단점이 있지만, 이것은 대응하는 체인 코드(들)와 동시에 수행할 수 있어서, 어떠한 경우에도 어떠한 추가적인 통신도 없다. 제2 방법은 더 많은 정보를 셰어링할 필요가 있는 이러한 이슈를 해결하며, 일반적인 BIP32 지갑에서와 같이 공개 키와 체인 코드에 대한 지식을 가진 임의의 외부 당사자에 의해 계산될 수 있다.
제1 방법에서, 셰어드 비밀 체계의 각각의 참가자는 수학식을 사용하여 자신의 자식 개인 키 셰어를 도출한다
.
쌍 (ai-child,achild·G)는 셰어드 비밀 체계에서 셰어(ai,a·G)와 동일한 방식으로 사용될 수 있다. 대응하는 공개 키를 도출하기를 원하는 외부 당사자에 대해
이고,
추가 정보 cj-parent 및 (aj-parent·G)는 초기에 셰어링되어야 한다. 첫 번째 반복 후에, 그들은 스스로 이 정보를 계산할 수 있다.
제2 방법에서, 제1 자식 키의 도출을 고려할 때, 마스터 키의 도출로 인해 어떠한 단일 체인 코드(cparent)도 없다. 이 경우에, cparent는 다음과 같이 정의된다
.
참가자는 제1 부모 체인 코드를 획득하기 위해 자신의 개별 체인 코드를 추가한다. 강화되지 않은 제1 자식 키가 도출된 후, 체인 코드는 정상 정의로 되돌아간다.
그런 다음, 해당 체계의 각각의 참가자는 수학식을 사용하여 자신의 자식 개인 키 셰어를 도출하고,
그리고 자식 공개 키는 다음을 사용하여 외부 당사자에 의해 계산될 수 있다.
위에서 논의된 바와 같이, 마스터 개인 키 셰어에 기초하여 생성되는 개인 키 셰어들(예컨대, 자식 개인 키 셰어들의 부모 개인 키 셰어들)은 메시지에 서명하기 위해 위에서 설명된 서명 체계의 일부로서 사용될 수 있다. 예컨대, 개개의 서명 셰어를 생성하기 위해 각각의 참가자(102)에 의해 사용되는 개개의 개인 키 셰어는, 서명 셰어를 생성하기 위해 각각의 참가자(102)에 의해 사용되는 공통 자식 개인 키(즉, 참가자 인덱스들에 기초하여 도출된 자식 개인 키)의 공통 부모 개인 키의 위치에 대응하는 셰어드 키 구조에서의 위치를 차지할 수 있다.
다음은 설명된 실시예들에 따라 서명 셰어를 생성하는 특정한 예를 제공한다. 위에서 언급한 바와 같이, 임계 서명 체계에서, 서명 도출로 인해 주어진 서명을 누가 생성했는지를 식별할 어떠한 방법도 없고, 결과적인 서명은 서명을 생성하기 위해 어떤 셰어들이 사용되었든 항상 동일할 것이다. 그룹의 서브세트를 입증하기 위해, 도출된 키에서 서명을 생성하는 서명자의 아이덴티티들 또는 인덱스들(또는 인덱스)에 대한 약간의 레코드를 갖는 것이 목적이다. 임계 서명 체계가 전술한 바와 같이 셰어드 보조 키 구조(예컨대, 지갑)를 구현하고 있다고 가정한다. 셰어드 개인 키가 서명을 생성한 사람을 식별하는 서명을 생성하기 위해, 도출된 HD 키(skchild)의 인덱스는 해당 체계에서 서명자들의 인덱스들에 의존하도록 생성된다. 서명자가 일반성의 손실 없이 편의상 인덱스(1,..., t+1)를 가진다고 가정한다. 도출된 키(skchild)의 인덱스는 강화된 키에 대해
또는 강화되지 않은 키에 대해
을 사용하여 계산된다. 즉, 사용할 서명 키는 다음과 같을 것이고,
여기서 skchild를 도출하는 데 사용되는 인덱스는 위와 같다. skchild에 대한 공식은 다음 형태를 취할 수 있다는 것을 상기하라.
서명 생성 동안에, 참가자는 서명을 생성하라는 요청을 수신하고 서명 의지가 있는 참가자는 해당 영향에 대해 브로드캐스팅되는 메시지로 응답한다. 그럼 다음, 조정자는 응답하기 위해 첫 번째 t+1을 선택하고, 서명자의 인덱스들(및 이전 섹션에서 설명된 바와 같이, 각각의 키에 따라 변하는 경우 aparent의 식별자)을 서로 통신한다. 각각의 서명자(i)는 자신의 서명 셰어를 계산하고,
여기서, , σi 및 r은 사전 서명 생성 동안 미리 계산되었다. 여기서, σi는 임시 개인 키 셰어이고, σi는 MIC 셰어이고, r은 임시 공개 키의 x-좌표로부터 도출되고, e는 메시지의 해시이다. 그런 다음 이것은 유효한 서명을 생성하기 위해 조정자에게 반환된다. 그들(또는 조정자)은 또한 수학식을 사용하여 서명 키에 대응하는 공개 키를 계산하고,
이는 서명의 임의의 검증자에 의해 사용될 수 있다.
마지막으로, 이러한 서명을 생성한 사람들을 입증하기 위해, 서명자는, 임계 서명 체계에서 자신의 인덱스로부터 도출된 인덱스로부터 skchild가 도출되고, 이며, 마지막으로, 생성된 서명이 이러한 공개 키에 대응한다는 것을 입증한다.
이것이 누가 서명을 생성하는지에 관한 정보를 포함하더라도, 키는 필요한 경우 해당 체계의 임의의 참가자에 의해 도출될 수 있다. aparent 항은 도출된 키의 임계 요건에 기여하고, skchild는 부모 키 셰어에 추가되는 상수로 간주될 수 있다. HD 키 도출을 이용함으로써, 이것은 시드로부터만의 skchild 복구가능성을 허용한다. 복구가능성을 향상시키기 위해, 인덱스는 서명되는 메시지에 포함될 수 있다.
서명자는, skchild가 몇몇의 방식 중 하나로 그들의 개개의 참가자 인덱스로부터 도출된 인덱스로부터 도출된다는 것을 제공할 수 있다. 예컨대, 개인 키(skchild)가 강화되지 않은 키(즉, 부모 공개 키로부터 도출됨)이면, 인덱스의 완전한 도출을 드러내는 것이 안전하다. 개인 키(skchild)가 강화된 키(즉, 부모 개인 키로부터 도출됨)이면, 서명자는 인덱스의 제로-지식 증명 또는 동등한 증명을 제공할 수 있다. 다른 예로서, 증명은 신뢰할 수 있는 제3자에 의해 제공될 수 있다. 예컨대, 직렬화된 확장 공개 키가 인덱스를 포함하므로, 신뢰할 수 있는 제3자가 공개 키를 제공하면, 인덱스는 신뢰될 수 있다.
도 4는 본 발명의 실시예들에 따라 메시지에 대한 서명을 생성하기 위한 예시적인 방법(400)을 예시한다. 단계들(S401 내지 S409)은 이 예에서 임계수의 참가자들(102)(제1 참가자(102a)를 포함함) 각각에 의해 수행된다. 단계(S410)는 조정자(104)에 의해 수행되며, 이 조정자는 또한 단계들(S401 내지 S409)을 수행하는 참가자들 중 하나일 수 있다. 단계들 중 일부는 생략되거나 상이한 순서로 수행될 수 있다는 것이 인지될 것이다.
예시적인 방법(400)은 N≥2t+1명의 참가자들 그룹에서 임계치(t+1)의 셰어드 비밀의 생성을 가능하게 하며, 여기서 서명 임계치는 또한 (t+1)이다.
셋-업:
단계(S401)에서, 각각의 참가자(102)는 자식 개인 키 셰어 및 대응하는 공개 키를 계산한다. 자식 개인 키 셰어 의 생성은 위에서 설명되었다. 이 시점에, 각각의 참가자 i는 비밀 자식 키 셰어 및 공개 키(,P)를 가지며, 여기서 P는 셰어드 개인 키, 즉, achild·G에 대응하는 공개 키에 대한 표기이다. 셰어드 개인 키는 (t+1)의 임계치를 갖는다.
사전 계산:
단계(S402)에서, 각각의 참가자(102)는 셰어드 임시 키 셰어 및 대응하는 공개 키를 계산한다. 예컨대, 각각의 참가자(102)는 준비들에서 주어진 공개 키의 계산 및 JVRSS를 사용하여 셰어드 임시 키를 계산할 수 있다. 그런 다음, 각각의 참가자(102)는 임시 개인 키에 기초하여 역 셰어를 계산할 수 있다. 이는 각각의 참가자가 (t+1)의 임계치를 갖는 역 셰어를 갖게 한다.
단계(S403)에서, 각각의 참가자(102)는 2개의 상이한 셰어드 블라인딩 키 셰어들을 생성한다. 예컨대, 각각의 참가자(102)는 참가자 i가 셰어들 을 갖도록 2개의 셰어드 비밀들을 생성할 수 있고, 각각의 셰어드 비밀은 임계치 (t+1)을 갖는다. 일부 예들에서, 모든 셰어드 비밀들이 동일한 임계치를 가질 필요는 없다는 것에 주의한다.
단계(S404)에서, 각각의 참가자(102)는 중간 셰어를 계산하고 자신의 중간 셰어를 다른 참가자들에게 브로드캐스팅한다. 예컨대, 각각의 참가자 i는 중간 셰어 를 계산할 수 있다. 이 값은 (2t+1)의 임계치를 갖는다.
단계(S405)에서, 각각의 참가자(102)는 적어도 중간 셰어들에 기초하여 중간 값을 계산한다. 예컨대, 각각의 참가자(102)는 (2t+1)개의 셰어들에 대한 보간 을 사용하여 중간 값을 계산할 수 있다.
단계(S406)에서, 각각의 참가자(102)는 사전 서명 셰어(즉, 서명 셰어의 메시지 독립 구성요소)를 계산한다. 예컨대, 각각의 참가자(i)는 자신의 사전 서명 셰()를 계산할 수 있다. 각각의 참가자(102)는 , 및 개인 키 셰어 및 대응하는 공개 키 를 저장할 수 있다.
각각의 서명에 대해 상이한 임시 키가 사용되기 때문에, 한 번에 다수의 임시 키들이 셋업될 있는데, 즉, 사전 계산 동안 다수의 임시 키들을 생성하도록 단계들(S402 내지 S406)이 반복되고 추후 사용을 위해 저장될 수 있다는 것에 주의한다. 이들은 어떠한 부가적인 통신 라운드들도 없도록 동시에 실행될 수 있다. 바람직하게는, 각각의 서명에 대해 상이한 값의 α 및 β가 사용되어야 한다는 것에 주의한다.
서명 생성:
메시지 msg에 서명하기 위해, 적어도 (t+1)명의 참가자들이 단계들(S407 및 S408)을 수행해야 한다.
단계(S407)에서, 적어도 임계수의 참가자들(102)이 서명될 메시지를 획득하고 메시지 다이제스트를 계산한다. 예컨대, 조정자(104)는 메시지 msg에 대한 서명 셰어를 생성하기 위한 요청을 (t+1)명의 참가자들에게 전송할 수 있다. 각각의 참가자 i는 메시지 다이제스트 를 계산할 수 있다. 일부 예들에서, 이 해시 함수는 이중 SHA-256 해시 함수이다. 대안적인 해시 함수들이 사용될 수 있다.
단계(S408)에서, 적어도 임계수의 참가자(102)는, 위에 설명된 바와 같이, 공통 자식 개인 키를 생성한다.
단계(S409)에서, 적어도 임계수의 참가자들(102)이 서명 셰어를 계산하고 이를 조정자(104)에게 전송한다. 예컨대, 각각의 참가자 i는 자신의 서명 셰어들 를 계산하고 그런 다음 그들의 서명 셰어(r,si)를 조정자에게 전송할 수 있다. 값 r은 모든 참가자들에 의해 전송되진 않을 수 있다는 것에 주의한다.
단계(S410)에서, 조정자(104)는 서명을 계산한다. 예컨대, 조정자(104)는 를 계산하고 최종적으로 서명 (r,s)를 계산할 수 있다.
일반적으로, 본 발명의 실시예들은 임의의 메시지에 대한 서명을 생성하기 위해 사용될 수 있다. 특정 예시적인 사용 사례로서, 도 1에 도시된 바와 같이, 메시지는 블록체인 트랜잭션의 일부 또는 전부일 수 있다. 즉, 서명은 블록체인 트랜잭션의 하나 이상의 입력들 및/또는 하나 이상의 출력들에 서명하는 데 사용될 수 있다. 예컨대, 생성된 서명은 적어도 부분적으로 블록체인 트랜잭션의 출력을 잠금해제하는 데 사용될 수 있다. 특정 예로서, 이전 트랜잭션의 출력은 공개 키의 해시에 잠금된 P2PKH(pay-to-public-key-hash) 출력일 수 있다. 잠금해제되기 위해, P2PKH 출력을 참조하는 추후 트랜잭션의 입력에 (해싱되지 않은) 공개 키 및 공개 키에 대응하는 개인 키에 기초하여 생성된 서명을 포함할 필요가 있다. 조정자(104)는 블록체인 트랜잭션에 서명하고 서명된 트랜잭션을 블록체인 네트워크(106)의 하나 이상의 블록체인 노드들에 제출할 수 있다.
스크립트로 표현되는 "잠금 스크립트" 및 "잠금해제 스크립트"는 다음과 같은 형태를 취할 수 있다.
잠금 스크립트 = OP_DUP OP_HASH160 <Public KeyHash> OP_EQUAL OP_CHECKSIG
잠금해제 스크립트 = <Signature> <Public Key>
위에서 설명된 실시예들을 참조하면, <Public Key> 는 와 같을 수 있으며, <Signature>는 임계 서명 s를 포함하며, 여기서 이전 트랜잭션은 서명될 메시지이다. 위에서 언급된 바와 같이, ECDSA 서명들은 형태 (r,s)라는 것에 주의한다.
설명된 서명 생성 방법은 임의의 특정 사용 사례로 제한되지 않으며 일반적으로 임의의 메시지에 기초하여 서명을 생성하는 데 사용될 수 있다는 것에 주의한다. 블록체인 트랜잭션의 전체 또는 일부에 서명하는 것은 단 하나의 예시적인 예일 뿐이다. 설명된 방법은 예컨대, 법적 문서(예컨대, 유언장, 증서 또는 다른 계약), 하나 이상의 당사자들 간의 서신, 디지털 인증서들(예컨대, 인증 기관에 의해 발행됨), 의료 처방전들, 은행 송금 또는 금융 상품, 모기지 또는 대출 신청 등에 서명하고 그리고/또는 이들을 인가하는 데 사용될 수 있다.
특정 예로서, 참가자들의 그룹(총 5명의 참가자들이라 하자)이 회사의 이사회를 형성할 수 있다. 회사의 의결 사안들은 이사회의 과반수(즉, 적어도 3명의 참가자들)가 특정 투표에 동의할 것을 요구할 수 있다. 이사회는 설명된 서명 생성 방법을 사용하여, 적어도 3명의 이사회 구성원들이 특정 결과에 찬성 투표하기로 동의했음을 입증할 수 있다. 이 예에서, 서명 생성 체계의 임계치는 3이다. 즉, 조정자가 서명을 성공적으로 생성하기 위해 이사회 구성원들 중 적어도 3명이 개개의 서명 셰어를 제공해야 한다. 서명이 성공적으로 생성된 경우, 적어도 임계수(예컨대, 3명)의 이사회 구성원들이 해당 결과에 찬성 투표하기로 동의해야 한다. 따라서 성공적인 서명 생성은 투표의 레코드로서 작용하고 이사회의 과반수가 특정 방식으로 투표했음을 입증한다.
본 발명의 다른 사용 사례는 예컨대, X.509 표준에 의해 발행된 디지털 인증서와 같은 디지털 인증서들의 분야에 있다. 디지털 인증서는 일부 데이터에 대해 서명하는 서명을 포함한다. 데이터는 일반적으로 임의의 데이터일 수 있지만, 디지털 인증서에 포함된 데이터의 하나의 특정 예는 공개 키이다. 디지털 인증서의 공개 키는 종종 "인증된 공개 키"로서 지칭된다. 디지털 인증서의 발행자("인증 기관")는 공개 키의 소유자에 대해 하나 이상의 체크들(예컨대, 노우-유어-커스터머(know-your-customer) 체크들)을 수행할 수 있으며, 체크들이 성공적인 경우, 인증 기관은 인증된 공개 키를 포함하는 디지털 인증서를 발행한다. 사용자는 예컨대, 인증된 공개 키에 대응하는 개인 키로 메시지에 서명함으로써 자신이 본인임을 입증하기 위해 인증된 공개 키를 사용할 수 있다. 인증 기관들에 대한 하나의 특정 용도는 인터넷 상의 보안 브라우징을 위해 HTTPS에서 사용되는 인증서들에 서명하는 것이다. 다른 일반적인 용도는 전자 서명 문서들에서 사용하기 위해 국가 정부들에 의해 아이덴티티 카드를 발행하는 것이다. 인증 기관은 개인 키를 사용하여 공개 키(또는 증명될 임의의 다른 데이터)에 서명한다.
위에서 언급된 바와 같이, 본 발명의 실시예들은 개인 키 셰어에 대응하는 공개 키로 메시지를 암호화하는 것 그리고 마찬가지로 개인 키 셰어로 메시지를 복호화하는 것을 포함할 수 있다. 이 경우, 제1 참가자(102a)는 상이한 당사자에 의해 암호화된 메시지를 복호화할 수 있다. 다른 옵션으로서, 메시지는 전체 개인 키, 예컨대, 전체 자식 키에 대응하는 공개 키로 암호화될 수 있다. 이 경우, 적어도 임계수의 참가자들이 메시지를 복호화하기 위해 자식 개인 키의 개개의 셰어들을 사용 가능하게 할 수 있다. 암호화된 메시지는 블록체인 트랜잭션의 일부 또는 전부를 포함할 수 있는데 예컨대, 암호화된 데이터는 블록체인에 레코딩될 트랜잭션에 포함될 수 있다.
결론
개시된 기술들의 다른 변형들 또는 사용 사례들은 본원에서의 개시가 주어지면 당업자에게 명백해질 수 있다. 본 개시내용의 범위는 설명된 실시예들에 의해 제한되는 것이 아니라 첨부된 청구항들에 의해서만 제한된다.
위의 실시예들은 단지 예로서만 설명되었다는 것이 인지될 것이다. 보다 일반적으로, 다음 스테이트먼트들 중 임의의 하나 이상에 따른 방법, 장치 또는 프로그램이 제공될 수 있다.
스테이트먼트 1. 메시지에 서명하기 위한 디지털 서명의 개개의 서명 셰어를 생성하는 컴퓨터 구현 방법으로서, 참가자 그룹의 각각의 참가자는 i) 셰어드 개인 키의 개개의 개인 키 셰어 ― 셰어드 개인 키는 적어도 임계수의 개개의 개인 키 셰어로만 생성될 수 있음 ― , ii) 셰어드 임시 개인 키의 개개의 임시 개인 키 셰어, iii) 셰어드 임시 개인 키에 대응하는 임시 공개 키의 제1 좌표, 및 iv) 제1 계층적 키 구조의 제1 공통 개인 키를 갖고, 각각의 참가자는 개개의 참가자 인덱스와 연관되고, 방법은 그룹의 제1 참가자에 의해 수행되고, 방법은:
적어도 임계수의 개개의 참가자 인덱스를 획득하는 단계 ― 획득된 개개의 참가자 인덱스는 제1 참가자와 연관된 제1 참가자 인덱스를 포함함 ― ;
개인 키 인덱스를 생성하는 단계 ― 개인 키 인덱스는 획득된 개개의 참가자 인덱스의 결합의 해시에 기초하여 생성됨 ― ;
제1 계층적 키 구조의 제2 공통 개인 키를 생성하는 단계 ― 제2 공통 개인 키는 제1 공통 개인 키 및 제1 해시 값에 기초하여 생성되고, 제1 해시 값은 적어도 a) 제1 공통 개인 키 또는 대응하는 공개 키, 및 b) 개인 키 인덱스를 해시 함수에 입력함으로써 생성됨 ― ; 및
디지털 서명의 제1 서명 셰어를 생성하는 단계 ― 제1 서명 셰어는 제1 임시 키 셰어, 메시지, 제2 공통 개인 키, 임시 공개 키의 제1 좌표, 및 제1 개인 키 셰어에 기초하여 생성됨 ― 를 포함한다.
스테이트먼트 2. 스테이트먼트 1의 방법에 있어서, 각각의 참가자는 v) 개개의 서명 셰어의 MIC(message-independent component)의 개개의 셰어를 갖고, MIC의 각각의 개개의 셰어는 개개의 임시 개인 키 셰어, 개개의 개인 키 셰어 및 임시 공개 키의 제1 좌표에 기초하여 생성되고, 제1 서명 셰어는 MIC의 제1 셰어에 기초한다.
스테이트먼트 3. 스테이트먼트 1 또는 스테이트먼트 2의 방법에 있어서, 제1 참가자는 조정 당사자이고, 방법은:
개개의 참가자로부터, 디지털 서명의 적어도 임계수의 개개의 서명 셰어를 획득하는 단계 ― 개개의 서명 셰어를 획득하는 단계는 디지털 서명의 제1 서명 셰어를 생성하는 단계를 포함함 ― ; 및
획득된 임계수의 개개의 서명 셰어에 기초하여 디지털 서명을 생성하는 단계를 포함한다.
스테이트먼트 4. 스테이트먼트 1 또는 스테이트먼트 2의 방법에 있어서,
개개의 참가자에 의해 생성된 디지털 서명의 적어도 임계수의 개개의 서명 셰어에 기초하여 디지털 서명을 생성하기 위해 조정 당사자에 대해 디지털 서명의 제1 서명 셰어를 이용 가능하게 하는 단계를 포함한다.
스테이트먼트 5. 스테이트먼트 4의 방법에 있어서, 적어도 임계수의 개개의 참가자 인덱스를 획득하는 단계는, 조정 당사자로부터 개개의 참가자 인덱스 중 일부 또는 전부를 획득하는 단계를 포함한다.
스테이트먼트 6. 임의의 선행 스테이트먼트의 방법에 있어서, 적어도 임계수의 개개의 참가자 인덱스를 획득하는 단계는 개개의 참가자로부터 개개의 참가자 인덱스들 중 적어도 일부를 획득하는 단계를 포함한다.
스테이트먼트 7. 임의의 선행 스테이트먼트의 방법에 있어서, 해시 함수는 HMAC 함수이다.
스테이트먼트 8. 스테이트먼트 7의 방법에 있어서, 제1 공통 개인 키는 제1 체인 코드와 연관되고, 제1 해시 값은 적어도 제1 체인 코드, 제1 공통 개인 키, 및 개인 키 인덱스를 HMAC 함수에 입력함으로써 생성된다.
스테이트먼트 9. 스테이트먼트 7 또는 스테이트먼트 8의 방법에 있어서, 제1 해시 값은 적어도 제1 공통 개인 키 및 개인 키 인덱스를 HMAC 함수에 입력한 결과의 제1 부분이다.
스테이트먼트 10. 임의의 선행 스테이트먼트의 방법에 있어서, 제1 공통 개인 키는 제1 계층적 키 구조의 마스터 개인 키이다.
스테이트먼트 11. 스테이트먼트 1 내지 스테이트먼트 9 중 어느 하나의 방법에 있어서, 제1 공통 개인 키는 마스터 개인 키 외에 제1 계층적 키 구조의 개인 키이다.
스테이트먼트 12. 임의의 선행 스테이트먼트의 방법에 있어서,
제1 계층적 키 구조의 어떤 개인 키가 제1 공통 개인 키로서 사용될 것인지에 대한 표시를 획득하는 단계를 포함한다.
표시는 조정 당사자로부터 획득될 수 있다.
스테이트먼트 13. 임의의 선행 스테이트먼트의 방법에 있어서, 셰어드 개인 키의 제1 개인 키 셰어는:
제1 시드 셰어를 획득하는 것 ― 각각의 다른 참가자는 개개의 시드 셰어를 가짐 ― ;
셰어드 마스터 개인 키의 제1 마스터 개인 키 셰어를 생성하는 것 ― 제1 마스터 개인 키 셰어는 각각의 다른 참가자의 개개의 시드 셰어 및 제1 시드 셰어에 기초하여 생성되고, 각각의 다른 참가자는 개개의 마스터 개인 키 셰어를 갖고, 제1 개인 키 셰어는 제1 마스터 개인 키 셰어 또는 제1 마스터 개인 키 셰어에 기초하여 생성된 하나 이상의 보조 개인 키 셰어 중 하나임 ― 에 의해 생성된다.
스테이트먼트 14. 스테이트먼트 13의 방법에 있어서, 제1 마스터 개인 키 셰어 및 하나 이상의 보조 개인 키 세어 각각은 제2 계층적 키 구조로 배열되고, 하나 이상의 보조 개인 키 셰어는 개개의 부모 개인 키 셰어, 및/또는 개개의 자식 개인 키 셰어이고, 제2 계층적 키 구조에서 주어진 레벨의 각각의 부모 개인 키 셰어는 제2 계층적 키 구조에서 후속 레벨의 하나 이상의 자식 개인 키 셰어에 대한 부모이고, 제1 개인 키 셰어는 제2 계층적 키 구조에서 제1 계층적 키 구조에서의 공통 개인 키와 동일한 위치를 차지한다.
스테이트먼트 15. 임의의 선행 스테이트먼트의 방법에 있어서, 각각의 참가자는 셰어드 개인 키에 대응하는 공개 키를 갖고, 방법은:
제2 공통 개인 키에 대응하는 제2 공개 키를 생성하는 단계; 및
디지털 서명을 검증하기 위한 타겟 공개 키를 생성하는 단계 ― 타겟 공개 키는 셰어드 개인 키에 대응하는 공개 키 및 제2 공통 개인 키에 대응하는 제2 공개 키에 기반하여 생성됨 ― 를 포함한다.
스테이트먼트 16. 스테이트먼트 15의 방법에 있어서,
디지털 서명을 검증하기 위한 타겟 공개 키를 검증 당사자에게 전송하는 단계를 포함한다.
스테이트먼트 17. 임의의 선행 스테이트먼트의 방법에 있어서,
제2 공통 개인 키를 생성하는 데 사용된 개인 키 인덱스가 제1 참가자와 연관된 제1 참가자 인덱스에 기초하여 생성되었다는 증거를 검증 당사자에게 전송하고, 이로써, 제1 참가자가 디지털 서명의 서명 셰어를 생성했음을 입증하는 단계를 포함한다.
스테이트먼트 18. 임의의 선행 스테이트먼트의 방법에 있어서, 메시지는 블록체인 트랜잭션 중 적어도 일부를 포함한다.
스테이트먼트 19. 컴퓨터 장비로서,
하나 이상의 메모리 유닛을 포함하는 메모리; 및
하나 이상의 프로세싱 유닛을 포함하는 프로세싱 장치를 포함하고, 메모리는 프로세싱 장치에서 실행되도록 배열된 코드를 저장하고, 코드는 프로세싱 장치 상에 있을 때 스테이트먼트 1 내지 18 중 어느 하나의 방법을 수행하도록 구성된다.
스테이트먼트 20. 컴퓨터 판독 가능 저장소 상에서 구현되고, 하나 이상의 프로세서들 상에서 실행될 때, 스테이트먼트 1 내지 스테이트먼트 18 중 어느 하나의 방법을 수행하도록 구성된 컴퓨터 프로그램.
본원에 개시된 또 다른 양상에 따르면, 각각의 참가자의 동작을 포함하는 방법이 제공될 수 있다.
본원에 개시된 또 다른 양상에 따르면, 각각의 참가자의 컴퓨터 장비를 포함하는 시스템이 제공될 수 있다.

Claims (20)

  1. 메시지에 서명하기 위한 디지털 서명의 개개의 서명 셰어를 생성하는 컴퓨터 구현 방법으로서,
    참가자 그룹의 각각의 참가자는 i) 셰어드 개인 키의 개개의 개인 키 셰어 ― 상기 셰어드 개인 키는 적어도 임계수의 개개의 개인 키 셰어로만 생성될 수 있음 ― , ii) 셰어드 임시 개인 키의 개개의 임시 개인 키 셰어, iii) 상기 셰어드 임시 개인 키에 대응하는 임시 공개 키의 제1 좌표, 및 iv) 제1 계층적 키 구조의 제1 공통 개인 키를 갖고, 각각의 참가자는 개개의 참가자 인덱스와 연관되고, 상기 방법은 상기 그룹의 제1 참가자에 의해 수행되고, 상기 방법은:
    적어도 임계수의 개개의 참가자 인덱스를 획득하는 단계 ― 상기 획득된 개개의 참가자 인덱스는 상기 제1 참가자와 연관된 제1 참가자 인덱스를 포함함 ― ;
    개인 키 인덱스를 생성하는 단계 ― 상기 개인 키 인덱스는 상기 획득된 개개의 참가자 인덱스의 조합의 해시에 기초하여 생성됨 ― ;
    상기 제1 계층적 키 구조의 제2 공통 개인 키를 생성하는 단계 ― 상기 제2 공통 개인 키는 상기 제1 공통 개인 키 및 제1 해시 값에 기초하여 생성되고, 상기 제1 해시 값은 적어도 a) 상기 제1 공통 개인 키 또는 대응하는 공개 키, 및 b) 상기 개인 키 인덱스를 해시 함수에 입력함으로써 생성됨 ― ; 및
    상기 디지털 서명의 제1 서명 셰어를 생성하는 단계 ― 상기 제1 서명 셰어는 상기 셰어드 임시 개인 키의 제1 임시 키 셰어, 상기 메시지, 상기 제2 공통 개인 키, 상기 임시 공개 키의 제1 좌표, 및 상기 셰어드 개인 키의 제1 개인 키 셰어에 기초하여 생성됨 ― 를 포함하는,
    컴퓨터 구현 방법.
  2. 제1항에 있어서, 각각의 참가자는 v) 상기 개개의 서명 셰어의 MIC(message-independent component)의 개개의 셰어를 갖고, 상기 MIC의 각각의 개개의 셰어는 상기 개개의 임시 개인 키 셰어, 상기 개개의 개인 키 셰어 및 상기 임시 공개 키의 제1 좌표에 기초하여 생성되고, 상기 제1 서명 셰어는 상기 MIC의 제1 셰어에 기초하는,
    컴퓨터 구현 방법.
  3. 제1항 또는 제2항에 있어서, 상기 제1 참가자는 조정 당사자이고, 상기 방법은:
    개개의 참가자로부터, 상기 디지털 서명의 적어도 임계수의 개개의 서명 셰어를 획득하는 단계 ― 상기 개개의 서명 셰어를 획득하는 단계는 상기 디지털 서명의 제1 서명 셰어를 생성하는 단계를 포함함 ― ; 및
    상기 획득된 임계수의 개개의 서명 셰어에 기초하여 상기 디지털 서명을 생성하는 단계를 포함하는,
    컴퓨터 구현 방법.
  4. 제1항 또는 제2항에 있어서,
    개개의 참가자에 의해 생성된 디지털 서명의 적어도 임계수의 개개의 서명 셰어에 기초하여 상기 디지털 서명을 생성하기 위해 조정 당사자에 대해 상기 디지털 서명의 제1 서명 셰어를 이용 가능하게 하는 단계를 포함하는,
    컴퓨터 구현 방법.
  5. 제4항에 있어서, 상기 적어도 임계수의 개개의 참가자 인덱스를 획득하는 단계는, 상기 조정 당사자로부터 상기 개개의 참가자 인덱스 중 일부 또는 전부를 획득하는 단계를 포함하는,
    컴퓨터 구현 방법.
  6. 제1항 내지 제5항 중 어느 한 항에 있어서, 상기 적어도 임계수의 개개의 참가자 인덱스를 획득하는 단계는 상기 개개의 참가자로부터 상기 개개의 참가자 인덱스들 중 적어도 일부를 획득하는 단계를 포함하는,
    컴퓨터 구현 방법.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서, 상기 해시 함수는 HMAC 함수인,
    컴퓨터 구현 방법.
  8. 제7항에 있어서, 상기 제1 공통 개인 키는 제1 체인 코드와 연관되고, 상기 제1 해시 값은 적어도 상기 제1 체인 코드, 상기 제1 공통 개인 키, 및 상기 개인 키 인덱스를 상기 HMAC 함수에 입력함으로써 생성되는,
    컴퓨터 구현 방법.
  9. 제7항 또는 제8항에 있어서, 상기 제1 해시 값은 적어도 상기 제1 공통 개인 키 및 상기 개인 키 인덱스를 상기 HMAC 함수에 입력한 결과의 제1 부분인,
    컴퓨터 구현 방법.
  10. 제1항 내지 제9항 중 어느 한 항에 있어서, 상기 제1 공통 개인 키는 상기 제1 계층적 키 구조의 마스터 개인 키인,
    컴퓨터 구현 방법.
  11. 제1항 내지 제9항 중 어느 한 항에 있어서, 상기 제1 공통 개인 키는 상기 마스터 개인 키 외에 상기 제1 계층적 키 구조의 개인 키인,
    컴퓨터 구현 방법.
  12. 제1항 내지 제16항 중 어느 한 항에 있어서,
    상기 제1 계층적 키 구조의 어떤 개인 키가 상기 제1 공통 개인 키로서 사용될 것인지에 대한 표시를 획득하는 단계를 포함하는,
    컴퓨터 구현 방법.
  13. 제1항 내지 제12항 중 어느 한 항에 있어서, 상기 셰어드 개인 키의 제1 개인 키 셰어는:
    제1 시드 셰어를 획득하는 것 ― 각각의 다른 참가자는 개개의 시드 셰어를 가짐 ― ;
    셰어드 마스터 개인 키의 제1 마스터 개인 키 셰어를 생성하는 것 ― 상기 제1 마스터 개인 키 셰어는 상기 각각의 다른 참가자의 개개의 시드 셰어 및 상기 제1 시드 셰어에 기초하여 생성되고, 각각의 다른 참가자는 개개의 마스터 개인 키 셰어를 갖고, 상기 제1 개인 키 셰어는 상기 제1 마스터 개인 키 셰어 또는 상기 제1 마스터 개인 키 셰어에 기초하여 생성된 하나 이상의 보조 개인 키 셰어 중 하나임 ― 에 의해 생성되는,
    컴퓨터 구현 방법.
  14. 제13항에 있어서, 상기 제1 마스터 개인 키 셰어 및 상기 하나 이상의 보조 개인 키 셰어 각각은 제2 계층적 키 구조로 배열되고, 상기 하나 이상의 보조 개인 키 셰어는 개개의 부모 개인 키 셰어, 및/또는 개개의 자식 개인 키 셰어이고, 상기 제2 계층적 키 구조에서 주어진 레벨의 각각의 부모 개인 키 셰어는 상기 제2 계층적 키 구조에서 후속 레벨의 하나 이상의 자식 개인 키 셰어에 대한 부모이고, 상기 제1 개인 키 셰어는 상기 제2 계층적 키 구조에서 상기 제1 계층적 키 구조에서의 상기 공통 개인 키와 동일한 위치를 차지하는,
    컴퓨터 구현 방법.
  15. 제1항 내지 제14항 중 어느 한 항에 있어서, 각각의 참가자는 상기 셰어드 개인 키에 대응하는 공개 키를 갖고, 상기 방법은:
    상기 제2 공통 개인 키에 대응하는 제2 공개 키를 생성하는 단계; 및
    상기 디지털 서명을 검증하기 위한 타겟 공개 키를 생성하는 단계 ― 상기 타겟 공개 키는 상기 셰어드 개인 키에 대응하는 공개 키 및 상기 제2 공통 개인 키에 대응하는 제2 공개 키에 기반하여 생성됨 ― 를 포함하는,
    컴퓨터 구현 방법.
  16. 제15항에 있어서,
    상기 디지털 서명을 검증하기 위한 상기 타겟 공개 키를 검증 당사자에게 전송하는 단계를 포함하는,
    컴퓨터 구현 방법.
  17. 제1항 내지 제16항 중 어느 한 항에 있어서,
    상기 제2 공통 개인 키를 생성하는 데 사용된 개인 키 인덱스가 상기 제1 참가자와 연관된 제1 참가자 인덱스에 기초하여 생성되었다는 증거를 상기 검증 당사자에게 전송하고, 이로써, 제1 참가자가 상기 디지털 서명의 서명 셰어를 생성했음을 입증하는 단계를 포함하는,
    컴퓨터 구현 방법.
  18. 제1항 내지 제17항 중 어느 한 항에 있어서, 상기 메시지는 블록체인 트랜잭션 중 적어도 일부를 포함하는,
    컴퓨터 구현 방법.
  19. 컴퓨터 장비로서,
    하나 이상의 메모리 유닛을 포함하는 메모리; 및
    하나 이상의 프로세싱 유닛을 포함하는 프로세싱 장치를 포함하고, 상기 메모리는 상기 프로세싱 장치 상에서 실행되도록 배열된 코드를 저장하고, 상기 코드는 프로세싱 장치 상에 있을 때 제1항 내지 제18항 중 어느 한 항의 방법을 수행하도록 구성되는,
    컴퓨터 장비.
  20. 컴퓨터 판독 가능 저장소 상에서 구현되고, 하나 이상의 프로세서들 상에서 실행될 때, 제1항 내지 제18항 중 어느 한 항의 방법을 수행하도록 구성된 컴퓨터 프로그램.
KR1020247005303A 2021-08-09 2022-07-11 디지털 서명 셰어의 생성 KR20240045231A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB2111440.0A GB2609906B (en) 2021-08-09 2021-08-09 Generating digital signature shares
GB2111440.0 2021-08-09
PCT/EP2022/069249 WO2023016729A1 (en) 2021-08-09 2022-07-11 Generating digital signature shares

Publications (1)

Publication Number Publication Date
KR20240045231A true KR20240045231A (ko) 2024-04-05

Family

ID=82786302

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020247005303A KR20240045231A (ko) 2021-08-09 2022-07-11 디지털 서명 셰어의 생성

Country Status (4)

Country Link
KR (1) KR20240045231A (ko)
CN (1) CN117795901A (ko)
GB (1) GB2609906B (ko)
WO (1) WO2023016729A1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11902451B2 (en) * 2021-07-01 2024-02-13 Fujitsu Limited Cross-blockchain identity and key management

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3669490A1 (en) * 2017-08-15 2020-06-24 Nchain Holdings Limited Threshold digital signature method and system
US11531985B2 (en) * 2018-01-17 2022-12-20 Tzero Ip, Llc Multi-approval system using M of N keys to generate a sweeping transaction at a customer device
GB2576081A (en) * 2018-06-03 2020-02-05 Vvow Company Ltd Peer-to-peer cryptocurrency and crypto asset trading platform
GB201817507D0 (en) * 2018-10-27 2018-12-12 Nchain Holdings Ltd Computer implemented system and method

Also Published As

Publication number Publication date
CN117795901A (zh) 2024-03-29
GB2609906A (en) 2023-02-22
GB2609906B (en) 2023-12-27
WO2023016729A1 (en) 2023-02-16

Similar Documents

Publication Publication Date Title
US20150288527A1 (en) Verifiable Implicit Certificates
US20230224147A1 (en) Generating shared private keys
US20230246825A1 (en) Generating secret shares
TW202318833A (zh) 臨界簽章方案
US20230319103A1 (en) Identifying denial-of-service attacks
US20230163977A1 (en) Digital signatures
US20240121109A1 (en) Digital signatures
KR20240045231A (ko) 디지털 서명 셰어의 생성
WO2023036528A1 (en) Generating shared cryptographic keys
WO2023072502A1 (en) Generating shared keys
KR20240046201A (ko) 디지털 서명들의 생성
KR20240045226A (ko) 디지털 서명들의 생성
WO2023143880A1 (en) Generating shared private keys
WO2023036534A1 (en) Generating shared cryptographic keys
EP4331176A1 (en) Nested threshold signatures