KR20240046201A - 디지털 서명들의 생성 - Google Patents

디지털 서명들의 생성 Download PDF

Info

Publication number
KR20240046201A
KR20240046201A KR1020247007248A KR20247007248A KR20240046201A KR 20240046201 A KR20240046201 A KR 20240046201A KR 1020247007248 A KR1020247007248 A KR 1020247007248A KR 20247007248 A KR20247007248 A KR 20247007248A KR 20240046201 A KR20240046201 A KR 20240046201A
Authority
KR
South Korea
Prior art keywords
signature
share
participant
individual
private key
Prior art date
Application number
KR1020247007248A
Other languages
English (en)
Inventor
미카엘라 페티트
Original Assignee
엔체인 라이센싱 아게
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엔체인 라이센싱 아게 filed Critical 엔체인 라이센싱 아게
Publication of KR20240046201A publication Critical patent/KR20240046201A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

메시지에 서명하기 위한 디지털 서명을 생성하는 컴퓨터 구현 방법으로서, 방법은 제1 조정 당사자에 의해 수행되고, 방법은: 적어도 임계수의 개개의 서명 셰어를 획득하는 단계; 개개의 서명 셰어 각각에 대해, 개개의 서명 셰어의 개개의 커미트먼트를 획득하는 단계 ― 각각의 개개의 커미트먼트는 개개의 서명 셰어를 생성한 개개의 참가자에 의해 생성되었음 ― ; 머클 트리를 생성하는 단계 ― 머클 트리의 적어도 임계수의 개개의 리프 노드는 개개의 참가자 인덱스와 결합된 개개의 서명 커미트먼트의 개개의 해시를 포함하고, 개개의 참가자 인덱스는 개개의 서명 커미트먼트를 생성한 개개의 참가자와 연관됨 ― ; 적어도 임계수의 개개의 서명 셰어에 기초하여 서명을 생성하는 단계; 및 머클 트리의 머클 루트를 서명 셰어를 생성한 적어도 개개의 참가자에 대해 이용 가능하게 하는 단계를 포함한다.

Description

디지털 서명들의 생성
본 개시내용은 디지털 서명(digital signature)을 생성하는 방법 및 참가자가 디지털 서명의 셰어(share)를 기여했음을 증명하는 방법에 관한 것이다.
일반적으로 셰어드 비밀(shared secret)은 참가자들의 그룹 사이에서 분배되는 데이터 항목을 셰어링하는 데 사용될 수 있다. 각각의 참가자는 비밀의 상이한 셰어를 갖는다. 일반적으로 비밀은 특정 수("임계치"로서 지칭됨)의 참가자들이 예컨대, 비밀을 계산하기 위해 함께 결합되도록 각자의 셰어들을 사용 가능하게 할 때만 재구성될 수 있다.
공개 키 암호법은 개인 키의 소유자만에게만 알려지는 개인 키들 및 대응하는 개인 키에 기초하여 생성되고 개인 키의 보안을 손상시키지 않고 유포될 수 있는 공개 키들인 키들의 쌍들을 사용하는 일 유형의 암호 시스템이다.
공개 키 암호법은 전송자가 수신자의 공개 키(즉, 수신자에게만 알려지는 개인 키에 대응하는 공개 키)를 사용하여 메시지를 암호화하는 것을 가능하게 한다. 그런 다음, 암호화된 메시지는 수신자의 개인 키만을 사용하여 복호화될 수 있다.
유사하게, 전송자는 메시지에 서명하기 위해 예컨대, 메시지가 전송자에 의해 전송되고 있음을 입증하고 그리고/또는 전송자가 메시지에 동의함을 표시하기 위해 자신의 개인 키를 사용할 수 있다. 서명자(즉, 서명을 생성하는 당사자)는 메시지에 기초한 디지털 서명을 생성하기 위해 자신의 개인 키를 사용한다. 메시지에 기초한 디지털 서명을 생성하는 것은 메시지 및 개인 키 둘 모두에 기초하여 서명을 생성하는 함수에 메시지 및 개인 키를 제공하는 것을 의미한다. 서명은 메시지에 추가되거나(예컨대, 메시지 상에 태킹됨) 그렇지 않고 메시지와 연관된다. 서명자의 대응하는 공개 키를 갖는 사람은 누구나 동일한 메시지 및 메시지에 대한 디지털 서명을 사용하여, 서명이 유효하게 생성되었는지를, 즉, 서명자의 개인 키를 사용하여 서명이 실제로 이루어졌는지를 검증할 수 있다. 디지털 서명은 메시지의 진위를 보장할 뿐만 아니라 메시지의 무결성 및 부인 방지도 보장한다. 즉, 서명의 생성자가 나중에 서명을 생성했다는 사실을 부인할 수 없고 메시지가서명으로 서명된 이후 변경되지 않았음을 증명하는데 디지털 서명이 사용될 수 있다.
디지털 서명 체계는 통상적으로 3개의 절차들, 즉, 알고리즘들을 수반한다. 키 생성 알고리즘은 랜덤 개인 키 및 대응하는 공개 키를 생성하는 데 사용된다. 서명 알고리즘은 메시지 및 개인 키에 기초하여 서명을 생성하는 데 사용된다. 검증 알고리즘은 공개 키 및 메시지가 주어지면, 대응하는 개인 키를 사용하여 그리고 서명 알고리즘에 따라 서명이 생성되었는지를 검증하는 데 사용된다.
셰어드 비밀은 개인-공개 키 쌍의 셰어드 개인 키로서 일반적으로 사용된다. 즉, 개인 키는 단일 참가자가 개인 키에 대한 액세스를 갖지 않도록 참가자들의 그룹 사이에 분배될 수 있다. 따라서 단일 참가자는 메시지의 유효한 서명을 생성할 수 없다. 대신, 서명이 생성되기 위해 참가자들 중 일부 또는 전부가 개인 키를 함께 생성해야 한다.
참가자들이 서명을 생성하기 위해 자신의 개인 키 셰어들을 셰어링하는 대신, 이들은 임계 서명 체계를 사용할 수 있다. 임계 서명 체계는 개인 키가 임의의 하나의 참가자에 대해 이용 가능하게 되지 않고도 그룹 내 임계수의 참가자들이 셰어드 개인 키의 개별 셰어들을 사용하여 메시지에 기초하여 디지털 서명을 생성하도록 허용한다. 여기서, 디지털 서명은 서명될 메시지에 기초하여 생성되는 서명이다. 이러한 체계에서, 서명은 임계수의 참가자들이 메시지에 대한 서명을 생성하는데 동의하는 경우에만 생성될 수 있다. 더 적은 수의 참가자를 사용하여 서명을 생성하려는 어떠한 시도도 유효한 서명을 생성하지 않을 것이다. 따라서, 그룹에 의한 유효한 서명(즉, 메시지 및 셰어드 개인 키를 사용하여 생성된 서명)은 임계수의 사람들이 서명을 생성하는데 동의했음을 입증한다. 이는 또한, 임의의 적대자가 개인 키로 서명을 위조하기 위해 해당 개인 키의 임계수의 셰어들을 획득할 필요가 있음을 암시한다.
위에서 언급된 바와 같이, 임계 서명 체계들은 유효한 서명을 생성하기 위해 참가자들이 각자의 서명 셰어들에 기여하도록 요구한다. 유효한 서명은 적어도 임계수의 참가자들이 서명 셰어에 기여했음을 증명하지만, 그룹의 어느 참가자들이 서명 셰어에 기여했는지 증명하지는 않는다. 즉, 임계 서명 체계에서, 주어진 서명을 생성한 사람을 식별할 수 있는 어떠한 방법도 없고 ― 결과적인 서명은 서명을 만드는 데 어느 셰어들이 사용되었는지에 관계없이 항상 동일할 것이다. 따라서 서명자들(즉, 서명에 기여하는 참가자들)은 이들이 실제로 서명 셰어에 기여했음을 증명할 수 있도록 허용하는 임계 서명 체계가 필요하다. 이러한 체계는 다른 참가자들이 자신이 서명에 기여했음을 또는 증명 당사자가 서명에 기여하지 않았음을 허위로 주장하는 것을 방지하는 데 사용될 수 있다.
본원에서 개시된 일 양상에 따라, 메시지에 서명하기 위한 디지털 서명을 생성하는 컴퓨터 구현 방법이 제공되고, 참가자 그룹의 각각의 참가자는 셰어드 개인 키의 개개의 개인 키 셰어를 갖고, 셰어드 개인 키는 적어도 임계수의 개개의 개인 키 셰어로만 생성될 수 있고, 각각의 참가자는 개개의 참가자 인덱스와 연관되고, 방법은 조정 당사자에 의해 수행되고, 방법은: 적어도 임계수의 개개의 서명 셰어를 획득하는 단계 ― 각각의 개개의 서명은 개개의 개인 키 셰어에 기초하여 개개의 참가자에 의해 생성되었음 ― ; 개개의 서명 셰어 각각에 대해, 개개의 서명 셰어의 개개의 커미트먼트를 획득하는 단계 ― 각각의 개개의 커미트먼트는 개개의 서명 셰어를 생성한 개개의 참가자에 의해 생성되었음 ― ; 머클 트리를 생성하는 단계 ― 머클 트리의 적어도 임계수의 개개의 리프 노드는 개개의 참가자 인덱스와 결합된 개개의 서명 커미트먼트의 개개의 해시를 포함하고, 개개의 참가자 인덱스는 개개의 서명 커미트먼트를 생성한 개개의 참가자와 연관됨 ― ; 적어도 임계수의 개개의 서명 셰어에 기초하여 서명을 생성하는 단계; 및 머클 트리의 머클 루트를 개개의 서명 셰어를 생성한 적어도 개개의 참가자에 대해 이용 가능하게 하는 단계를 포함한다.
본원에서 개시된 일 양상에 따라, 참가자 그룹의 제1 참가자에 의해 수행되는, 제1 참가자가 메시지에 서명하기 위한 디지털 서명의 개개의 서명 셰어를 생성했음을 증명하는 컴퓨터 구현 방법이 제공되고, 그룹의 각각의 참가자는 셰어드 개인 키의 개개의 개인 키 셰어를 갖고, 셰어드 개인 키는 적어도 임계수의 개개의 개인 키 셰어로만 생성될 수 있고, 각각의 참가자는 개개의 참가자 인덱스와 연관되고, 방법은: 제1 개인 키 셰어 및 메시지에 기초하여 제1 서명 셰어를 생성하는 단계; 제1 서명 셰어의 제1 커미트먼트를 생성하는 단계; 각각, 적어도 임계수의 개개의 서명 셰어에 기초하여 a) 서명을 생성하고, b) 머클 트리를 생성하기 위한 a) 제1 서명 셰어 및 b) 제1 커미트먼트를 조정 당사자에 제공하는 단계 ― 머클 트리의 적어도 임계수의 개개의 리프 노드는 개개의 참가자 인덱스와 결합된 개개의 서명 커미트먼트의 개개의 해시를 포함하고, 개개의 참가자 인덱스는 개개의 서명 커미트먼트를 생성한 개개의 참가자와 연관됨 ― ; 머클 트리의 머클 루트를 획득하는 단계; 제1 참가자와 연관된 개개의 참가자 인덱스에 기초하여 생성된 머클 트리의 개개의 리프 노드에 기초하는 머클 증명을 획득하는 단계; 및 머클 루트를 갖는 머클 트리의 리프 노드가 제1 커미트먼트 및 제1 참가자 인덱스에 기초하여 생성되었음을 검증하기 위해 적어도 머클 증명, 제1 커미트먼트 및 제1 참가자 인덱스를 검증 당사자에게 제공하고, 이로써 조정 당사자가 제1 서명 셰어에 기초하여 서명을 생성했음을 검증하는 단계를 포함한다.
각각의 참가자는 인덱스와 연관된다. 조정 당사자(또는 조정자)는 임계수 이상의 서명 셰어를 수신하고, 이러한 서명 셰어에 기초하여 서명을 구성한다. 일반적으로, 임의의 임계 서명 체계는 서명 셰어를 생성하고 서명을 구성하는 데 사용될 수 있다. 조정자는 또한, 서명 셰어에 기여하는 각각의 참가자로부터, 해당 서명 셰어의 커미트먼트를 수신한다. 일부 예들에서, 커미트먼트는 서명 셰어 그 자체, 또는 서명 셰어의 해시이다. 다른 예들에서, 커미트먼트는 서명 셰어에 기초하지 않지만, 참가자에 대해 고유한 데이터에 기초하고, 서명 셰어에 링크되거나 그와 연관될 수 있다. 조정자는 머클 트리를 구성하기 위해 커미트먼트를 이용하며, 여기서 머클 트리의 적어도 일부의(또는 각각의, 수신된 서명 셰어들의 수에 의존함) 리프 해시들은 개개의 인덱스 및 개개의 커미트먼트에 기초하며, 여기서 인덱스는 커미트먼트를 제공한 참가자와 연관된다. 조정자는, 예컨대, 머클 루트를 블록체인 상에 공개함으로써 참가자에게 트리의 머클 루트를 제공한다.
참가자가 서명 셰어에 기여했다는 것을 증명하기를 원할 때, 그들은 검증 당사자에게 i) 그들의 인덱스, ii) 그들의 커미트먼트, 및 iii) 그들의 인덱스와 커미트먼트가 (공개된) 머클 루트를 갖는 머클 트리의 일부를 형성하는 리프 해시를 생성하는 데 사용되었다는 것을 증명하기 위한 머클 증명을 제공할 수 있다. 이러한 방식으로, (조정자를 포함하지 않고, 참가자 중) 입증 참가자만이 자신의 커미트먼트 ― 커미트먼트는 머클 트리를 구성하기 위해 조정자에 의해 사용되었음 ― 에 대한 액세스를 가질 수 있으므로, 입증 참가자는 조정자가 입증 참가자의 서명 셰어에 기초하여 서명을 생성하였다는 것을 입증한다.
본 개시내용의 실시예들의 이해를 보조하기 위해 그리고 그러한 실시예들이 어떻게 실행될 수 있는지를 보여주기 위하여, 단지 예로서 첨부 도면들에 대한 참조가 이루어진다.
도 1은 본 발명의 실시예들을 구현하기 위한 시스템의 개략적인 블록도이다.
도 2는 임계 서명 체계에서 8명의 서명자에 대응하는 머클 트리를 개략적으로 나타낸다.
도 3은 본 발명의 예시적인 실시예를 예시하는 흐름도이다.
도 4는 본 발명의 일부 실시예들에 따른 예시적인 서명 생성 방법을 예시하는 흐름도이다.
1. 암호화 준비들
다음 예들은 타원 곡선 암호화의 관점에서 설명되지만, 본 발명은 임의의 하나의 특정 암호화 체계로 제한되지 않고 일반적으로 임의의 암호화 체계, 예컨대 RSA 또는 다른 공개 키 암호화 체계들에 적용될 수 있다.
1.1 타원 곡선 그룹들
타원 곡선 E는 다음 방정식을 만족한다:
여기서 및 a, b는 을 만족하는 상수들이다. 이 타원 곡선 위의 그룹은 항등 요소인 무한대 에 있는 포인트와 함께 이 방정식을 만족하는 요소들의 세트(x,y)인 것으로 정의된다. 이 그룹 내 요소들에 대한 그룹 연산은 타원 곡선 포인트 덧셈(elliptic curve point addition)이라 칭해지고 +로 표시된다. 이 그룹은 에 의해 표시되고 그의 차수는 n에 의해 표시된다.
이 그룹 연산은 에 의해 표시되는 포인트 곱셈이라 칭해지는 요소들에 대한 다른 연산을 정의하는 데 사용될 수 있다. 포인트 및 스칼라 에 대해, 포인트 는 포인트 G 그 자체가 k번 더해진 것으로 정의된다.
타원 곡선 암호법에서, 개인 키는 스칼라 으로 정의되며 여기서 은 세트 에 대한 표기법이고, 대응하는 공개 키는 타원 곡선 상의 포인트 이다. 예컨대, 일부 블록체인 프로토콜들에서, 타원 곡선은 secp256k1 타원 곡선으로 선택되고 값들 a, b 및 p은 이 곡선에 의해 완전히 지정된다. 이 그룹의 차수 n은 이러한 값들을 고려하여 계산되었으며, 이는 이 곡선의 경우 소수이고, secp256k1 표준은 또한 이 그룹의 생성기로서 사용될 포인트 G를 지정한다.
1.2 타원 곡선 디지털 서명 알고리즘
개인 키 a를 사용하여 메시지 msg에 대한 서명을 생성하기 위해, 다음 단계들이 취해진다:
1. 임의의 해시 함수일 수 있는 메시지 다이제스트 를 계산한다. 예컨대, 일부 예들에서 이며, 여기서 은 SHA-256 해시 함수이다. 대신, 메시지는 한 번만 해시되거나 동일하거나 상이한 해시 함수들로 두 번을 초과하여 해시될 수 있다는 것에 주의한다.
2. 랜덤 정수 을 선택하며, 여기서 n은 타원 곡선 예컨대, secp256k1 곡선의 차수이다. 이하, k는 임시 개인 키로서 지칭된다.
3. 이 임시 개인 키 에 대응하는 임시 공개 키를 계산한다.
4. 을 계산한다. r=0인 경우, 단계 2로 리턴한다.
5. 임시 키의 곱셈 역(multiplicative inverse) 를 계산한다.
6. 을 계산한다. s=0인 경우, 단계 2로 리턴한다.
7. 메시지 msg에 대한 서명은 (r,s)이다.
임시 키는 비밀로 유지되어야 하고, 그렇지 않으면 메시지 및 서명이 주어지면, 개인 키가 계산될 수 있다. 부가적으로, 서명이 생성될 때마다, 상이한 임시 키가 사용되어야 한다. 그렇지 않은 경우, 두 개의 상이한 서명들 및 그의 대응하는 메시지들이 주어지면, 개인 키를 도출하는 것이 가능하다.
메시지 msg, 공개 키 및 대응하는 서명(r,s)이 주어지면, 다음 단계들을 완료함으로써 서명이 검증될 수 있다:
1. 메시지 다이제스트 예컨대, 를 계산한다.
2. s 모듈로 n의 곱셈 역 를 계산한다.
3. 을 계산한다.
4. 포인트 를 계산한다.
5. (무한대의 포인트)인 경우, 서명이 유효하지 않다.
6. 인 경우, 라고 하고, 을 계산한다. u=r인 경우, 서명은 유효하다.
임계 서명 체계들에서, 이 개인 키 a는 임계 체계 그룹 내 참가자들 간에 분배되는 키 셰어들로 분할된다.
1.3 공동 검증 가능한 랜덤 비밀 셰어링
N명의 참가자들이 해당 체계에서 참가자들 중 적어도 (t+1)명만에 의해 재생성될 수 있는 공동 비밀을 생성하기를 원한다고 가정한다. 셰어드 비밀을 생성하기 위해, 다음 단계들이 취해진다:
1. 참가자들은 각각의 참가자에 대한 고유 라벨 i에 동의한다. 각각의 참가자 i는 (t+1)개의 난수들을 생성한다.
여기서 은 세트 의 랜덤으로 생성된 요소를 의미하며, 여기서 은 세트 에 대한 표기법이다. 그런 다음, 각각의 참가자는 차수 t의 비밀 다항식을 갖는다.
i=1,…,N에 대해, 지금부터, 모듈로(modulo) n 표기법을 생략하고 정수들에 대한 모든 산술 연산들은 모듈로 n으로 행해지는 것으로 가정된다는 것에 주의한다.
2. 각각의 참가자 i는 예컨대, 참가자 j만과의 보안 통신 채널을 사용하여 값을 참가자 j에 전송한다.
3. 각각의 참가자 i는 다음과 같이 셰어드 비밀 다항식의 자신의 개인 비밀 셰어를 계산한다:
셰어드 비밀 셰어는 형식 를 갖는 포인트이며, 여기서 i는 해당 체계에서의 참가자 라벨이다. a의 비밀 셰어를 생성하기 위한 이 방법은 단계 1-3에서 설명한 바와 같이, 본원에서 참가자 i에 대해 에 의해 표시된다. "JVRSS"는 통상적으로 "Joint verification random secret sharing"을 나타내며 단계들 4 및 5를 또한 포함한다는 것에 주의한다. 그러나 이 문서 전반에 걸쳐, JVRSS는 적어도 단계들 1 내지 3을 수행하는 것을 의미하는 것으로 받아들여지며, 여기서 단계들 4 및 5는 선택적 단계들이다.
이제 참가자들은 셰어드 다항식을 생성했으므로, 참가자들은 다른 참가자들이 모든 참가자들에게 올바른 정보를 셰어링했는지, 그리고 모든 참가자들이 동일한 셰어드 다항식을 가지고 있는지 각각 검증할 수 있다. 이는 다음의 방식으로 행해진다.
4. 각각의 참가자 i는 다음의 난독화된 계수들을 모든 참가자들에게 브로드캐스팅한다:
에 대해,
이다.
5. 각각의 참가자 i는 를 계산하고 다음을 검증함으로써 각각의 참가자 j가 다항식 포인트를 올바르게 계산했음을 체크한다:
모든 참가자들은, 이 방정식이 각각의 다항식에 대해 홀딩되는 것을 발견하는 경우, 그룹은 이들이 모두 동일한 셰어드 다항식을 생성했다는 것을 집합적으로 확인할 수 있다.
1.4 셰어드 비밀 재구성
참가자가 0차의 셰어드 다항식인 셰어드 비밀 a를 재구성하기를 원한다고 가정한다. 다음 형태의 이 다항식에 (t+1)개의 포인트들이 주어지면,
,
셰어드 비밀 a를 찾기 위해, 다음이 계산된다:
.
이는 "라그랑주 보간(Lagrange Interpolation)"으로서 알려진 일반 공식으로부터 도출된다.
1.5 공개키 계산
JVRSS의 단계 4에서 셰어링된 N개의 0차 개인 다항식 계수 공개 키들 (i=1,…,N)이 주어지면, 각각의 참가자는 다음을 사용하여 셰어드 공개 키 P를 계산하며:
이는 셰어드 비밀 a에 대응한다.
1.6 셰어드 비밀들의 덧셈
어떠한 엔티티도 개별 비밀들을 알지 못하는 채로, 각각의 비밀 다항식이 차수 t를 갖는 N명의 참가자들의 그룹 간에 셰어링되는 2개의 셰어드 비밀들의 덧셈을 계산하기 위해, 다음 단계들이 취해진다:
1. 제1 셰어드 비밀 a를 생성하며, 여기서 참가자 i의 셰어는 (t+1)의 임계치를 갖는 에 의해 주어진다.
2. 제2 셰어드 비밀 b를 생성하며, 여기서 참가자 i의 셰어는 (t+1)의 임계치를 갖는 에 의해 주어진다.
3. 각각의 참가자 i는 다음과 같이 자신의 덧셈 셰어를 계산한다.
4. 모든 참가자들은 자신의 덧셈 셰어 를 다른 모든 참가자들에게 브로드캐스팅한다.
5. 각각의 참가자는 다음을 계산하기 위해 적어도 (t+1)개의 셰어 νi에 대해 보간한다:
.
셰어드 비밀들의 덧셈을 위한 이 방법은 참가자 i에 대한 ADDSS(i)에 의해 표시되며, 각각의 참가자 i가 를 알게 한다.
1.7 셰어드 비밀들의 곱
각각의 비밀 다항식이 차수 t를 갖는 N명의 참가자들의 그룹 간에 셰어링되는 2개의 셰어드 비밀들의 곱을 계산하기 위해, 그룹은 다음 단계들을 취한다:
1. 제1 셰어드 비밀 a를 생성하며, 여기서 참가자 i의 셰어는 (i=1,…,N)에 의해 주어진다. 셰어드 비밀 다항식은 차수 t를 가지며, 이는 재생성하기 위해서는 (t+1)명의 참가자들이 요구됨을 의미한다.
2. 제2 셰어드 비밀 b를 생성하며, 여기서 참가자 i의 셰어는 에 의해 주어지며, 셰어드 비밀 다항식은 재차 차수 t를 갖는다.
3. 각각의 참가자는 다음을 사용하여 자신의 곱셈 셰어 를 계산한다:
.
4. 모든 참가자들은 자신의 곱셈 셰어 를 다른 모든 참가자들에게 브로드캐스팅한다.
5. 각각의 참가자는 다음을 계산하기 위해 에서 적어도 (2t+1)개의 셰어들 에 대해 보간한다:
2개의 셰어드 비밀들의 곱을 계산하기 위한 이 방법은 본원에서 참가자 i에 대해 에 의해 표시된다.
1.8 셰어드 비밀의 역
셰어드 비밀 a의 역(inverse)을 계산하기 위해 다음 단계들이 취해진다:
1. 모든 참가자들은 셰어드 비밀들의 곱 PROSS(i)을 계산하며 그 결과는 이다.
2. 각각의 참가자는 μ의 모듈러 역(modular inverse)을 계산하며, 이는 다음을 초래한다:
.
3. 각각의 참가자 i는 다음을 계산함으로써 자신의 역 비밀 셰어를 계산한다:
.
셰어드 비밀들의 역을 계산하기 위한 이 방법은 참가자 i에 대해 에 의해 표시된다.
1.9 셰어드 개인 키 생성 및 검증
명의 참가자들 ― 서명을 생성하는 데 t+1명이 요구됨 ― 사이의 셰어드 개인 키 a를 계산하기 위해, 참가자들은 위에서 설명된 바와 같이 t+1의 임계치 및 공개 키 계산을 갖는 JVRSS를 실행한다. 결과는, 모든 각각의 참가자 이 개인 키 셰어 ai 및 대응하는 셰어드 공개 키 를 갖는다는 것이다.
1.10 임시 키 셰어들 생성
서명에서 요구되는 바와 같은 임시 키 셰어들 및 대응하는 r을 생성하기 위해, 임계치 (t+1)의 셰어드 개인 키 a를 갖는 크기 N의 그룹이 다음 단계들을 실행한다:
1. 셰어드 비밀의 역 셰어 를 생성하며, 여기서 이를 재생성하는 데 (t+1)개의 셰어들이 요구된다.
2. 각각의 참가자는 ki의 검증에서 셰어링된 난독화된 계수들을 사용하여, 다음을 계산하고:
그런 다음, 이들은 다음을 계산한다:
.
3. 각각의 참가자 i는 을 저장한다.
1.11 비-최적 서명 생성
적어도 2t+1명의 참가자들이 메시지에 대한 서명을 생성하고자 하고 참가자들 중 한 명이 이를 조정하기로 선택한다고 가정한다. 셰어드 개인 키 a로 그룹별로 서명을 생성하기 위해, 다음과 같은 단계들이 취해진다.
1. 조정자는 적어도 2t+1명의 참가자들로부터 메시지에 대한 서명을 요청한다.
2. 각각의 참가자 i는 이전 섹션에서 계산된 임시 키를 복원한다. 모든 사용자들은 동일한 임시 키에 대응하는 셰어를 사용해야 한다.
3. 각각의 참가자는 메시지 다이제스트 을 계산한다.
4. 각각의 참가자 i는 자신의 서명 셰어 si를 계산한다:
,
여기서 ai는 자신의 개인 키 셰어이다.
5. 각각의 참가자는 자신의 서명 셰어(r,si)를 조정자에게 전송한다.
6. 조정자가 2t+1개의 서명 셰어들을 수신하면, 이들은 다음을 계산한다:
,
그리고, (r,s)로서 서명을 출력한다.
7. 조정자는 표준 ECDSA 검증을 사용하여 서명을 검증한다. 검증이 실패하는 경우, 셰어들 중 적어도 하나가 올바르지 않아야 하고, 서명 생성 알고리즘을 다시 실행되어야 한다.
1.12 상이한 임계치들을 갖는 비밀들의 덧셈
차수 t 및 t'의 비밀들의 덧셈의 경우, 두 비밀들의 덧셈은 이를 계산하는데 개의 비밀들을 요구한다. 이면에 숨겨진 이유는 셰어드 비밀들의 셰어들의 덧셈 단계가 새로운 다항식의 셰어를 생성하기 때문이다. 이 새로운 덧셈 다항식은 두 셰어드 비밀들의 개별 다항식들을 더한 결과와 동일하다. 두 개의 다항식들을 더하는 것은 x의 각각의 차수에서 대응하는 계수들을 더하는 것이다. 따라서 덧셈 다항식의 차수는 두 다항식들 중 가장 높은 차수와 동일한 차수여야 한다. 이는 두 개 초과의 다항식들의 덧셈으로 일반화될 수 있으며, 여기서 결과적인 다항식의 차수는 가장 높은 차수의 개별 다항식의 차수와 동일하다.
상이한 임계치들을 갖는 두 비밀들의 덧셈이 계산되면, 더 높은 임계 비밀의 보안이 감소된다. 이는 이제 개개의 임계치들 t,t'과 관련하여 결과(a+b)를 알고 있고 t<t'라고 가정하면, t개의 셰어들로 a를 계산하고 그런 다음 (a+b)-a=b를 계산할 수 있고 이에 따라 값 b는 t개의 셰어들만으로도 계산되었기 때문이다. 이 더 낮은 임계치는 아래에서 b의 '내포된 임계치(implicated threshold)'로서 지칭된다.
1.13 상이한 임계치들을 갖는 비밀들의 곱셈
t 및 t'의 임계치를 갖는 두 비밀들의 곱셈의 경우, 곱셈의 계산은 t+t'+1개의 셰어들을 요구한다. 이 경우에 두 다항식들의 셰어들의 곱셈은 새로운 다항식에 대한 셰어를 초래한다. 이 새로운 다항식은 두 개의 개별 다항식들을 곱한 결과이고 이에 따라 결과의 차수는 2개의 개별 다항식들의 차수를 더한 것이다.
곱셈은 또한 임의의 수의 셰어드 비밀들로 일반화될 수 있으며, 결과적인 임계치는 개별 임계치들에 1을 더한 합, 즉, 이 되며, 여기서 ρ는 개별 셰어드 비밀들에 걸쳐 적용된다.
덧셈과 유사하게, 상이한 임계치들을 갖는 두 비밀들의 곱셈은 더 높은 임계 비밀의 내포된 임계치를 초래한다. 이전과 마찬가지로 a가 t의 임계치를 갖고 b가 t'의 임계치를 갖는 ab가 알려지고 t<t'인 경우, a 및 b 둘 모두는 t개의 셰어들로 계산될 수 있다. 먼저, a를 계산하고 을 사용하여 비밀의 t개의 셰어들만으로 b를 찾을 수 있다.
1.14 일 단계에서 셰어드 비밀들의 덧셈 및 곱셈의 결합
위의 내용을 일반화하여 일 단계에서 덧셈 및 곱셈의 임의의 결합을 계산하는 것이 가능하다. N명의 참가자들의 그룹이 결과 ab+c를 계산하고자 한다고 가정하며, 여기서 a,b,c는 각각 임계치들 을 갖는 셰어드 비밀이다. 이라는 조건이 있는데 즉, 체계의 참가자들의 수가 비밀 c의 차수 및 비밀들 a 및 b의 곱셈의 결과의 차수 사이의 최대치보다 커야 한다.
1. 각각의 참가자 i는 각각 임계치들 을 갖는 자신의 비밀 셰어들 , , 을 계산한다.
2. 각각의 참가자 i는 셰어 를 계산한다.
3. 각각의 참가자 i는 결과 λi를 다른 참가자들과 셰어링한다.
4. 각각의 참가자는 개의 셰어들에 대해 보간하여 결과 를 찾는다.
이는 아래의 일부 실시예들에 따른 셰어드 서명의 계산에서 행해진다. 즉, 에 대한 보간이 있다. 이는 본질적으로 위의 에 해당한다. 이 경우에, 이며, 개의 셰어들에 대해 보간된다.
1.16 머클 트리
머클 트리는 데이터 모음의 안전한 검증을 가능하게 하는 계층적 데이터 구조이다. 머클 트리에서, 트리의 각 노드에는 인덱스 쌍 (i,j)이 주어지고 N(i,j)로 표시된다. 인덱스들 i,j는 간단히 트리에서의 특정 위치와 관련된 숫자 라벨들이다.
이진 머클 트리(특정 유형의 머클 트리)의 특징은 자신의 노드들 각각의 구성이 다음 수학식들에 의해 좌우된다는 것이고:
여기서 H는 암호화 해시 함수이다.
이러한 수학식들에 따라 구성된 이진 머클 트리가 도 2에 도시되어 있다. 도시된 바와 같이, i=j 경우가 리프 노드에 대응하고, 이는 단순히 데이터 Di의 대응하는 i번째 패킷의 해시이다. i≠j 경우는 내부 또는 부모 노드에 대응하며, 이는, 하나의 부모(머클 루트)가 발견될 때까지 자식 노드들을 재귀적으로 해싱 및 연쇄함으로써 생성된다.
예컨대, 노드 N(0,3)은 다음과 같이 4개의 데이터 패킷들 로부터 구성된다.
트리 깊이 M은 트리에서 노드들의 가장 낮은 레벨로 정의되고, 노드의 깊이 m은 노드가 존재하는 레벨이다. 예컨대, 이고, 여기서 도 5에서 M=3이다.
비트코인 및 일부 다른 블록체인의 머클 트리에서, 해시 함수는 표준 해시 함수 SHA-256를 2번 적용하는 이중 해시인 H(x)=SHA256(SHA256(x))이다.
1.17 머클 증명
머클 트리의 주요 기능은, 일부 데이터 패킷 Di가 N개의 데이터 패킷들의 목록 또는 세트 의 구성원이라는 것을 검증하는 것이다. 검증을 위한 메커니즘은 머클 증명으로 알려져 있으며, 주어진 데이터 패킷 Di 및 머클 루트 R에 대한 머클 경로로 알려진 해시의 세트를 획득하는 것을 수반한다. 데이터 패킷에 대한 머클 증명은 간단히 반복되는 해싱 및 연쇄를 통해 루트 R을 재구성하는 데 필요한 최소 해시 목록이고, '인증 증명'으로 종종 지칭된다.
모든 패킷 및 그의 순서가 입증자에게 알려지면, 존재 증명이 평범하게 수행될 수 있다. 그러나, 이것은 머클 증명보다 훨씬 더 큰 스토리지 오버헤드가 필요할 뿐만 아니라, 전체 데이터 세트가 입증자에 대해 이용 가능한 것을 요구한다. 머클 증명을 사용하는 것과 전체 리스트를 사용하는 것의 비교가 아래의 표에 도시되고, 여기서 우리는 이진 머클 트리를 사용하였고, 데이터 블록의 수(N)가 2의 정수 거듭제곱(integer power)과 정확히 동일하다고 가정하였다.
머클 루트 R이 주어진 경우, 데이터 블록 D0이 R로 표현되는 순서화된 리스트 에 속한다는 것을 우리가 증명하기를 원한다면, 우리는 다음과 같은 머클 증명을 수행할 수 있고, 여기서 예시적인 머클 트리는 인덱스들 (0,0) 내지 (7,7)로 식별된 8개의 리프 해시들을 포함한다:
i. 신뢰할 수 있는 출처에서 머클 루트 R을 획득한다.
ii. 출처로부터 머클 증명 Γ를 획득한다. 이 경우, Γ는 해시의 세트이다:
.
iii. 다음과 같이 D1 및 Γ를 사용하여 머클 증명을 계산한다:
a. 데이터 블록을 해싱하여, 다음을 획득한다:
.
b. N(1,1)와 해시를 연쇄하여, 다음을 획득한다:
.
c. N(2,3)와 해시를 연결하여, 다음을 획득한다:
d. N(4,7)과 해시를 연쇄하여 루트를 획득한다:
,
.
e. 계산된 루트 R'를 (i)에서 획득한 루트 R과 비교한다.
1. R'=R이면, 트리 및 따라서 데이터 세트 D에서 D0의 존재가 확인된다.
2. R'≠R이면, 증명이 실패하였고 D0은 D의 구성원으로 확인되지 않는다.
이것은 일부 데이터가 머클 트리와 그의 루트로 표현되는 데이터 세트의 일부라는 존재 증명을 제공하기 위한 효율적인 메커니즘이다.
2. 서명 셰어의 생성
도 1은 본 발명의 실시예를 구현하기 위한 예시적인 시스템(100)을 예시한다. 도시된 바와 같이, 시스템(100)은 복수의 당사자들(본원에서 "참가자들"로서 지칭됨)(102)을 포함한다. 3명의 참가자들(102a, 102b, 102c)만이 도 1에 도시되지만, 일반적으로 시스템은 임의의 수의 참가자들을 포함할 수 있다는 것이 인지될 것이다. 시스템(100)은 또한 참가자들(102) 중 하나일 수도 있고 아닐 수도 있는 조정 당사자(104)(또는 간단히 "조정자")를 포함한다. 참가자들(102) 및 조정 당사자(104) 각각은 각자의 컴퓨팅 장비를 동작시킨다.
개개의 컴퓨팅 장비 각각은 하나 이상의 프로세서들, 예컨대, 하나 이상의 CPU(central processing unit)들, 가속기 프로세서 이를테면, GPU(graphic processing unit)들, 다른 애플리케이션 특정 프로세서들, 및/또는 FPGA(field programmable gate array)들을 포함하는 개개의 프로세싱 장치를 포함한다. 개개의 컴퓨팅 장비는 또한 메모리, 즉, 비-일시적 컴퓨터-판독 가능 매체 또는 매체들의 형태의 컴퓨터-판독 가능 저장소를 포함할 수 있다. 메모리는 하나 이상의 메모리 매체들, 예컨대, 하드 디스크와 같은 자기 매체; 솔리드 스테이트 드라이브(SSD), 플래시 메모리 또는 EEPROM과 같은 전자 매체; 및/또는 광학 디스크 드라이브와 같은 광학 매체를 사용하는 하나 이상의 메모리 유닛들을 포함할 수 있다. 개개의 컴퓨팅 장비는 적어도 하나 사용자 단말, 예컨대, 데스크 톱 또는 랩톱 컴퓨터, 태블릿, 스마트폰, 또는 스마트워치와 같은 웨어러블 디바이스를 포함할 수 있다. 대안적으로 또는 부가적으로, 개개의 컴퓨팅 장비는 사용자 단말을 통해 액세스되는 클라우드 컴퓨팅 자원들(클라우드 컴퓨팅 자원은 하나 이상의 사이트들에서 구현되는 하나 이상의 물리적 서버 디바이스들의 자원들을 포함함)과 같은 하나 이상의 다른 네트워킹된 자원들을 포함할 수 있다. 시스템(100)의 당사자에 의해 수행되는 것으로 설명된 임의의 액트(act)는 해당 당사자에 의해 동작되는 개개의 컴퓨팅 장치에 의해 수행될 수 있다는 것이 인지될 것이다.
참가자들(102) 각각은 LAN 또는 WAN 연결을 사용하여 인터넷과 같은 네트워크를 통해, 또는 대안적인 유선 또는 무선 통신 수단을 통해 다른 참가자들(102) 중 하나, 일부 또는 모두에게 데이터를 송신하도록 구성될 수 있다. 맥락에서 달리 요구하지 않는 한, 데이터를 송신하는 참가자(102)에 대한 참조는 예컨대, 제1 참가자(102a)와 제2 참가자(102b) 사이의 보안 통신 채널을 통해 다른 참가자들(102)에게 개별적으로 데이터를 송신하거나 예컨대, 이메일 또는 다른 수단을 통해 그룹 전체에 브로드캐스팅하는 것으로 이해될 수 있다. 재차, 맥락이 달리 요구되지 않는 한, 각각의 참가자(102)는 원시 형태로 또는 암호화된 형태로 데이터를 송신할 수 있다. 예컨대, 데이터는 수신자 참가자에게 전송되기 전에 수신자 참가자의 공개 키를 사용하여 암호화될 수 있다. 이는 조정자(104)가 참가자들(102) 중 한명, 일부 또는 전부에게 데이터를 송신 및 수신하는 경우에도 동일하게 적용된다.
본 발명의 실시예들은 주로 제1 참가자(102a)의 관점에서 설명될 것이다. 그러나 설명된 방법의 일반적인 단계들은 다른 참가자들, 예컨대, 제2 참가자(102b) 또는 제3 참가자(102c)에 의해 유사하게 수행될 수 있다는 것이 인지될 것이다. 또한, "제1", "제2", "제3" 등의 용어들은 본원에서 단지 구별 라벨들로서 사용되며 용어가 사용되는 특정 맥락이 그렇지 않은 것을 요구되지 않는 한 반드시 순서를 의미하는 것은 아니라는 점이 인지될 것이다.
본 발명은 한 그룹의 참가자(102)의 각각의 참가자(102)가 임계 서명의 개개의 셰어를 생성하는 것을 가능하게 하고, 조정자(14)에 대해서도 마찬가지이다. 또한, 본 발명은 참가자(102)가 임계 서명을 생성하는 데 사용된 개개의 셰어에 기여했다는 것을 참가자(102)가 입증하는 것을 가능하게 한다.
각각의 참가자(102)는 셰어드 개인 키의 개개의 셰어에 대한 액세스(예컨대, 각자의 컴퓨팅 장비의 메모리에 저장)를 갖는다. 이러한 개인 키 셰어들은 예컨대, JVRSS(위에서 설명됨) 또는 SSSS(Shamir's Secret Sharing Scheme)와 같은 비밀 셰어링 체계를 사용하여 생성될 수 있다. 셰어드 개인 키의 셰어들을 생성하기 위한 대안적인 체계들이 사용될 수 있다.
일부 실시예들에서, 각각의 참가자(102)는 또한 셰어드 임시 개인 키의 개개의 셰어에 대한 액세스를 갖는다. 임시 개인 키 셰어는 JVRSS, SSSS 또는 대안적인 체계를 사용하여 생성될 수 있다. 각각의 참가자(102)는 또한 그들 개개의 임시 개인 키 셰어의 역에 대한 액세스를 가질 수 있거나, 또는 역은, 예컨대, 위에서 설명된 INVSS 함수를 사용하여, 필요할 때, 생성될 수 있다. 각각의 참가자는 또한 임시 공개 키, 즉, 셰어드 임시 개인 키에 대응하는 공개 키에 대한 액세스를 가질 수 있다. 당분야에 공지된 바와 같이, 공개 키는 제1 (x) 및 제2 (y) 좌표들을 포함하고, 이하에서 논의될 바와 같이, 제1 좌표는 서명 셰어를 생성하는 데 사용된다. 각각의 참가자(102)는 또한 서명 셰어의 개개의 MIC(message independent component)에 대한 액세스를 가질 수 있고, 즉, 서명 셰어는 개개의 MIC에 기초하여 생성된다. MIC 자체는, 주어진 참가자(102)에 의해, 해당 참가자(102)의 개개의 개인 키 셰어 및 개개의 임시 개인 키, 및 또한 임시 공개 키의 제1 좌표에 기초하여 생성될 수 있다. 각각의 참가자(102)에 의해 요구되는 데이터는 생성될 특정 형태의 서명, 예컨대, ECDSA 서명에 의존할 것이다.
위의 모든 데이터 항목(예컨대, 개인 키 셰어, 임시 키 셰어 등)은 서명 페이즈 이전의 설정 페이즈 동안 생성될 수 있다. 예컨대, 데이터 항목들은, 서명 셰어를 제공하라는 요청을 조정자(104)로부터 수신하기 전에, 생성될 수 있다.
각각의 참가자는 본 명세서에서 "참가자 인덱스"로 지칭되는 개개의 인덱스와 연관된다. 예컨대, 제1 참가자(102a)는 제1 참가자 인덱스와 연관되고, 제2 참가자(102b)는 제2 참가자 인덱스와 연관되고, 이러한 식이다. 각각의 참가자 인덱스는 정수, 예컨대, 제1 참가자(102a)에 대해 "1"일 수 있고, 제2 참가자(102b)에 대해 "2"일 수 있고, 이러한 식일 수 있다. 참가자 인덱스의 특정 값은 중요하지 않으며, 오히려 각각의 참가자가 고유한 참가자 인덱스를 갖는 것만이 중요하다.
셰어드 개인 키는 임계치를 가지며, 즉, 개인 키는 적어도 임계수의 상이한 개인 키 셰어들에만 기초하여 성공적으로 생성될 수 있다. 유사하게, 서명은 임계치를 가지며, 이는 유효한 서명을 생성하기 위해 적어도 임계수의 상이한 서명 셰어들이 필요하다는 것을 의미한다. 임계치에 대한 임의의 참조는 개인 키의 임계치에 대응하는 수를 의미하는 것으로 간주된다는 것이 인지되어야 한다. 예컨대, 임계치는 2개, 3개, 또는 10개 등일 수 있다.
제1 참가자(102a)는 메시지에 기초하여 개개의 서명 셰어를 생성한다. 메시지는 (예컨대, 서명 셰어에 대한 요청의 부분으로서) 조정자(104)로부터 획득되었을 수 있고, 이는 미리 제1 참가자(102)에게 알려질 수 있다. 서명 셰어는 적어도 제1 개인 키 셰어에 기초하여 생성된다(즉, 이의 함수임). 일부 실시예들에서, 서명 셰어는 또한 제1 임시 키 셰어(또는 보다 구체적으로, 이의 역수), 임시 공개 키의 제1 좌표(또는 보다 구체적으로, 제1 좌표 mod n, 여기서 n은 타원 곡선의 차수임), 자식 개인 키, 메시지(또는 보다 구체적으로, 메시지의 해시), 및 제1 MIC 셰어에 기초하여 생성된다.
개개의 서명 셰어를 생성하고자 하는 다른 참가자들(예컨대, 제2 참가자(102b))은 개개의 서명 셰어를 생성하는 것과 등가의 프로세스를 수행한다.
제1 참가자(102a)는 적어도 임계수의 서명 셰어들에 기초하여 서명을 생성하기 위해 제1 서명 셰어를 조정자(104)에게 전송할 수 있다. 대안적으로, 제1 참가자(102a)는 조정자(104)일 수 있으며, 이 경우에 제1 참가자(102a)는 개개의 참가자로부터 개개의 서명 셰어를 획득할 수 있고, 그럼 다음 개개의 서명 셰어에 기초하여 서명을 생성할 수 있다.
조정자(104)는 적어도 임계수의 서명 셰어를 획득한다. 조정자(104)는 각각의 참가자(102)로부터 임계수, 예컨대, 하나 초과의 서명 셰어를 획득할 수 있다.
조정자(104)는 또한 참가자에 의해 제공되는 각각의 서명 셰어에 대한 개개의 서명 커미트먼트를 획득한다. 일부 예들에서, 서명 셰어 자체는 커미트먼트이다. 다른 예들에서, 커미트먼트는 서명 셰어에 기초하고, 예컨대, 커미트먼트는 서명 셰어의 해시일 수 있다.
다른 예들에서, 커미트먼트는 서명 셰어를 도출하는 데 사용되는 데이터에 기초할 수 있다. 예컨대, 개개의 서명 셰어의 커미트먼트는 서명 셰어를 도출하는 데 사용된 개개의 MIC 및 개개의 임시 개인 키 셰어에 기초할 수 있다. 커미트먼트는 또한 공개 키의 r-값과 같은 임시 공개 키의 x-좌표에 기초할 수 있으며, 여기서 r = x mod n 이다. 이러한 형태의 커미트먼트의 특정 예가 아래에 추가로 제공된다. 이러한 형태의 커미트먼트는, 서명 셰어 자체를 드러내지 않고, 참가자가 서명 셰어에 기여했다는 것을 증명하는 데 사용될 수 있다.
각각의 개개의 서명 셰어의 개개의 커미트먼트를 획득하였다면, 조정자(104)는 개개의 서명 셰어에 기여한 참가자들의 개개의 커미트먼트들 및 개개의 인덱스들에 기초하여 머클 트리를 구성한다. 보다 구체적으로, 각각의 커미트먼트는 커미트먼트를 제공한 참가자(102)의 인덱스로 매핑되고(예컨대, 이를테면, 연쇄를 통해 결합됨), 그런 다음 해싱되어 머클 트리의 개개의 리프 해시를 형성한다. 이러한 방식으로 구성된 예시적인 머클 트리(400)가 도 2에 도시된다. 도 2에서, 머클 트리의 각각의 리프 해시는 개개의 데이터(Di)에 기초하며, 여기서 해당 데이터는 개개의 참가자 인덱스 및 개개의 커미트먼트의 해시를 포함한다. 도 2의 예시적인 머클 트리는 8명의 참가자(102)가 개개의 서명에 기여하는 시나리오에 대응한다.
조정자(104)는 머클 루트(이는 도 2의 예에서 노드(h18)임)를 개개의 서명 셰어에 기여한 참가자들(102)에게 이용 가능하게 한다. 조정자(104)는 머클 루트를 참가자들(102)에 직접 전송할 수 있거나, 머클 루트는 웹페이지와 같이 참가자들에 의해 액세스 가능한 자원에 또는 블록체인 네트워크(106) 상에 저장될 수 있다. 즉, 조정자(104)는 블록체인 트랜잭션을 블록체인 네트워크(106)에 제출할 수 있으며, 트랜잭션은, 예컨대, 트랜잭션의 출력에 머클 루트를 포함한다.
조정자(104)는, 서명 셰어에 기여한 각각의 참가자(102)에게, 해당 참가자(102)의 개개의 인덱스 및 커미트먼트가 머클 루트를 갖는 머클 트리의 리프 해시를 형성하는 데 사용되었음을 증명하기 위한 개개의 머클 증명을 전송할 수 있다. 다른 예들에서, 조정자(104)는 머클 증명을 요청한 참가자에게만 머클 증명을 전송할 수 있다. 주어진 리프 해시에 대한 머클 증명은, 해당 리프 해시로부터 시작하는 머클 트리의 머클 루트를 도출하기 위해 요구될 해시의 세트를 포함한다. 일반적으로, 주어진 리프 해시 자체는 증명자(이 경우, 자신들이 서명 셰어에 기여했다는 것을 증명하기를 원하는 참가자)에게 알려지거나 증명자에 의해 도출될 수 있기 때문에, 이는 머클 증명에 포함되지 않는다. 그러나, 일부 예들에서 머클 증명이 주어진 리프 해시를 포함할 수 있다는 것이 배제되지 않는다. 다른 예들에서, 참가자는 대안적인 방식으로 머클 증명을 획득할 수 있다. 예컨대, 조정자(104)는 머클 트리 전체(데이터 Di 자체를 포함하지 않음)를 공개할 수 있다.
일부 예들에서, 조정자(104)는, 서명을 생성하기 전에, 머클 루트(또는 머클 트리)를 (예컨대, 블록체인 상에 이를 공개함으로써) 참가자들에게 이용 가능하게 할 수 있다. 이것은 참가자가, 머클 루트가 올바르게 계산되었다는 것을 검증하고, 올바르게 계산되지 않은 경우 이의를 제기하는 것을 허용할 수 있다. 일부 예들에서, 각각의 참가자는, 자신들의 서명 커미트먼트에 기초하여 머클 루트가 계산되었다는 것을 검증하기 위해 자신들의 개개의 머클 증명을 사용할 수 있다.
일부 예들에서, 참가자들(102)은, 그들의 서명 셰어들을 전송하기 전에, 그들의 서명 커미트먼트들을 조정자(104)에 전송할 수 있다(물론, 이러한 예들에서 서명 커미트먼트는 서명 셰어 자체일 수 없음). 예컨대, 참가자들(102)은 그들의 개개의 서명 셰어의 해시를 전송할 수 있다. 서명 커미트먼트가 서명 셰어 자체에 기초하지 않는 다른 예들에서, 참가자들(102)은 머클 루트를 수신하고 서명될 메시지에 머클 루트를 포함할 수 있어서, 서명 셰어가 머클 루트에 서명하게 한다. 이러한 방식으로, 참가자들(102)은 머클 루트를 증명한다.
아래에서 추가로 논의되는 바와 같이, 서명된 메시지는 블록체인 트랜잭션의 적어도 일부, 예컨대, 트랜잭션의 하나 이상의 입력 및 하나 이상의 출력을 포함할 수 있다. 사용되는 서명 커미트먼트에 의존하여, 서명된 트랜잭션은 머클 루트를 포함할 수 있다.
참가자, 예컨대, 제1 참가자(102a)가 그들이 서명의 셰어에 기여했다는 것을 증명하기를 원하거나 증명할 필요가 있을 때, 참가자(102)는 필요한 정보를 검증 당사자(도 1에 도시되지 않음)에게 제공한다. 즉, 참가자는, 머클 루트에 대응하는 머클 트리가 참가자의 각각의 커미트먼트 및 인덱스에 기초하여 생성되었음을 검증하기 위한 검증 당사자에게 자신의 개개의 커미트먼트(예컨대, 서명 셰어 또는 그의 해시), 자신의 개개의 인덱스, 및 개개의 머클 증명을 제공한다. 참가자는 또한 머클 트리의 머클 루트를 검증 당사자에게 제공할 수 있거나, 머클 루트는 다른 곳으로부터, 예컨대, 블록체인으로부터 또는 조정자(104)로부터 획득될 수 있다.
도 3은 본 발명의 일부 실시예들에 따른 예시적인 방법(300)을 도시한다. 단계(S301 내지 S305)는 조정자(104)에 의해 수행된다. 단계 중 적어도 일부는 도 3에 도시된 순서와 상이한 순서로 수행될 수 있다는 것이 유의된다. 단계(S301)에서, 조정자(104)는 참가자들(102)로부터 적어도 임계수의 서명 셰어를 획득하고, 단계(S302)에서, 조정자(104)는 이들 서명 셰어에 기초하여 서명을 생성한다. 단계(S303)에서, 조정자(104)는, 서명 셰어를 제공하는(또는 제공하려고 하는) 참가자들(102) 각각으로부터 개개의 커미트먼트를 획득한다. 단계(S304)에서, 조정자(104)는 이러한 커미트먼트들에 기초하여 머클 트리를 구성하고, 단계(S305)에서 조정자는 머클 트리의 머클 루트를 블록체인 상에 공개한다.
다음은 설명된 실시예들의 추가적인 구체적인 예들을 제공한다.
위에서 논의된 바와 같이, 서명자들의 서명 셰어들 및 인덱스들의 머클 트리(또는 그의 루트)가 생성되고 블록체인 트랜잭션, 예컨대, OP_RETURN 출력에 저장될 수 있다. 그런 다음, 메시지(예컨대, 블록체인 트랜잭션)에 서명했다는 것을 증명하기를 원하는 사람은 자신의 인덱스 및 서명 셰어가 머클 트리에 있음을 증명할 수 있다. 이러한 8명의 서명자에 대한 머클 트리의 구조의 예는 도 2에 도시된다. 도 2에서, 노드 는 참가자 i의 인덱스 및 서명 셰어인 데이터를 나타낸다. 노드 는 데이터의 해시 이고, 그런 다음 에 대한 표기법이고, 여기서 이다. 예로서, 참가자 5가 자신이 서명에 기여했다는 것을 증명하기 위해, 참가자 5는 간단히 노드 에서 데이터를 제공할 필요가 있다. 그런 다음 검증자는 그 결과 를 계산하고 이것이 머클 루트와 동일하다는 것을 확인할 수 있을 것이다. 검증자는, 해당 데이터를 명시적으로 제공받지 않고서는 다른 데이터 에 관한 어떠한 정보도 학습하지 않는다. 루트에 포함해야 하는 데이터의 수가 형태 (여기서 x는 임의의 양의 정수임)이 아니면, 0을 여분의 리프로서 패딩하여 와 같이 작성될 수 있는 다음 수의 리프를 생성한다는 것이 유의된다. 또 다른 예로서, 머클 트리에 여분의 리프로 패딩하고 이로써 리프가 0들이 되는 것보다는, 리프 해시와 페어링되지 않은 임의의 리프 해시가 그 자체와 페어링될 수 있다. 다시 말해서, 머클 트리에서 다음 계층의 노드를 형성하기 위해, 리프 해시가 자신과 연쇄되고(즉, 리프 해시가 복제됨), 그런 다음 해싱될 수 있다.
그룹의 조정자(104)는, 그들이 충분한 서명 셰어를 수신할 때, 이러한 머클 트리(여기서 )를 계산한다. 임계수 초과의 참가자가 응답하면, 조정자(104)는 여전히 머클 트리에 그 참가자들을 포함할 수 있다. 그런 다음 이것은 참가자들이 서명하는 데 동의했다는 증거로서 사용될 수 있을 것이다.
일단 조정자(104)가 이 머클 트리를 생성하면, 그들은 관련 데이터(예컨대, 머클 루트, 머클 증명 등)를 각각의 참가자에게 반환하고, 추가적으로 머클 루트를 브로드캐스팅할 수 있다. 그런 다음 각각의 참가자(102)는, 그들이 올바른 정보를 제공받았다는 것을 확인하기 위해 브로드캐스팅된 동일한 머클 루트를 그들 모두가 갖는다는 것을 검증할 수 있다. 조정자가 부정확한 트리를 생성하였다는 것이 밝혀지면, 조정자는 처벌받게 되고, 이로써 부정한 행위에 대해 제재를 받게 될 것이다.
일부 사용 사례에서, 머클 루트가 서명 전에 생성되었다는 증명을 제공할 수 있다는 것이 유익할 수 있다. 이후에 서명이 생성되면, 서명자가 이 머클 루트를 검증한다는 서명자로부터의 어떠한 증거도 없다. 이전에 이를 생성함으로써, 서명하는 행위는 머클 루트가 올바르다는 것에 대한 일 형태의 증거이다. 머클 루트를 블록체인 상에 저장함으로써, 머클 루트가 생성되었을 때의 타임스탬프가 획득될 수 있다.
서명되고 있는 메시지가 일반적인 메시지(즉, 반드시 블록체인 트랜잭션은 아님)인 경우, 이러한 머클 루트는, 필요할 때 참조될 수 있는 블록체인 상의 트랜잭션의 (OP_RETURN) 출력에 데이터로서 저장될 수 있다. 이것은, 서명자가 청구된 서명자임을 입증하도록, 신뢰할 수 있는 제3자가 제공하는 서비스일 수 있다. 반면에, 임계 서명이 블록체인 트랜잭션과 같이 머클 루트를 포함할 메시지에 서명하는 것이면, 고려해야 할 몇몇의 미묘한 사항이 있다. 누군가 서명되는 메시지에 바로 이러한 머클 루트를 포함하려는 경우, 그룹은 다음의 방식으로 서명을 무효화하지 않도록 주의해야 한다. 예컨대, 조정자(104)는 메시지에 대해 서명을 요청하고, 서명될 메시지를 참가자들에게 전송할 수 있다. 참가자들(102)은 그들의 서명 셰어를 생성하고 조정자에게 반환한다. 조정자(104)는 서명, 및 머클 트리를 생성한다. 그런 다음, 조정자는, 이를테면, 메시지의 끝에 연쇄함으로써 이 머클 루트를 포함하려고 시도하거나, 또는 메시지가 블록체인 트랜잭션인 경우, 이는 트랜잭션의 출력 필드에 포함될 수 있다. 일단 조정자가 이렇게 하면, 그들은 이제 메시지에 대한 서명을 무효화하고, 각각의 참가자에게 다른 서명 셰어를 요청해야 한다.
이를 우회하는 방식은, 조정자가 초기에 서명에 동의한 참가자에게 커미트먼트 를 생성하도록 요청하고 이를 조정자에게 반환하는 것이다. 이러한 특정 커미트먼트는, 그가 메시지에 대해 독립적이기 때문에 선택되고, 일단 조정자가 참가자 i의 서명 셰어를 수신하면 검증될 수 있다. 이 예에서 서명 셰어는 다음과 같이 생성된다는 것이 유의된다
이는 다음을 의미한다
따라서,
마지막 수학식은, 서명 셰어가 전송된 후에, , , , , 및 의 값으로서 메시지 독립 구성요소의 커미트먼트가 조정자에게 알려졌다는 것을 검증하는 데 사용될 수 있다.
이것은, 일단 참가자가 이 값 을 셰어링하면, 해당 값이 서명에 대한 자신들의 커미트먼트이기 때문에, 참가자는 자신의 마음을 변경하지 않는다는 것이 유의된다. 조정자는 이 요청에 응답하는 처음 t+1명을 선택하고, 이러한 참가자에 대한 리프 로서 이러한 값을 포함하는 머클 트리를 생성하고, 예컨대, 는 '참가자 i가 와 연쇄된 이러한 서명에 기여하고 있다는 것'이다. 조정자는 이를 그룹에 브로드캐스팅하고, 이 트리가 올바르게 구성되고, 이러한 t+1명의 선택된 서명자가 자신들의 머클 브랜치 및 머클 루트를 검증하면, 그들은 머클 루트를 포함하는 메시지에 대한 자신들의 서명 셰어를 생성하고, 서명을 생성하기 위해 그들의 셰어를 조정자에게 반환한다. 그런 다음 머클 루트는 서명자가 기여했다는 것을 증명하도록 요구될 때마다 사용될 수 있다는 것이 유의된다.
이러한 접근법에 대한 하나의 공격은, 조정자가 2t 초과의 커미트먼트를 수신하면, 조정자는 그룹 내 각각의 참가자에 대한 커미트먼트를 알아낼 수 있을 것이라는 것이다. 조정자가 기여 서명자와 공모하여 공모된 서명자 대신에 비서명자를 포함하는 트리를 구성하는 것이 가능하다. 이러한 문제를 완화하기 위해, 조정자에 의해 수신된 커미트먼트의 수에 대해 제한이 구현될 수 있다. 예컨대, 커미트먼트를 포함하는 인입 메시지를 처리하기 위해 조정자 측에서 카운터를 사용하는 단일 스레드 프로세스(single thread process)가 구현될 수 있다.
위의 접근법에 대한 대안은, 기껏해야 t명의 정직하지 못한 참가자가 있고 모든 정직한 서명자가 서명자와 비서명자 둘 모두가 자신의 서명 셰어를 생성하기 전에 둘 모두를 포착하도록 보장하기 위해 머클 트리를 전체적으로 검증할 것이라고 가정하는 것이다. 이것은, 서명 생성에 기여한 사람만이 아니라 서명할 의사가 있었던 사람이 누구인지를 그룹이 반영하는 것을 허용한다.
이를 행하기 위해, 참가자들은 대신 서명하고자 했던 사람들을 반영하는 머클 루트를 생성하고 이에 서명할 수 있다. 위와 같이, 조정자는 먼저 서명을 요청하고, 서명을 원하는 사람들은 값 로 서명하고자 하는 자신들의 의사를 기재한 메시지를 반환한다. 조정자는 머클 트리를 생성하고, 여기서 데이터 는 '참가자 i가 와 연쇄된 이러한 서명에 동의하는 것'과 같은 스테이트먼트이다. 조정자는 이를 그룹에 브로드캐스팅하고, 이 트리가 올바르게 구성된 경우 ― 사용 가능한 모든 참가자가 올바른 의도된 서명자가 포함되고 모든 비서명자가 제외되었음을 검증함 ― , 서명자는 이 머클 트리(또는 오직 머클 루트만)를 포함한 메시지에 대한 자신들의 서명 셰어를 생성한다. 이러한 프로세스에서, 서명자들은 머클 루트에 서명하며, 그것이 정확하다는 것을 증명한다. 이러한 비서명자들은, 기여 서명자들이 머클 트리의 정확성을 검증하고 증명하기 위해 부지런하고 정직하는 것에 의존한다는 것이 유의된다.
누군가는 올바른지 않은 머클 루트가 서명될 위험이 있다고 생각할 수도 있다. 그러나, 기껏해야 t명의 부정직한 참가자가 있다고 가정하기 때문에, 올바르지 않은 머클 루트를 사용해서는 서명이 결코 생성되지 않을 것이다. 이것은, 올바르지 않은 머클 루트를 포함한 메시지에 대해 서명을 생성하는 데 요구되는 임계치에 도달되지 못할 것이기 때문이다. 이것은 정직한 참가자가 정직한 참가자의 정의와 상반되는 프로토콜로부터 일탈하도록 요구할 것이다.
서명자의 머클 트리는 서명에 대한 증거로서 볼 수 있다. 서명 및 머클 트리가 주어지면, 검증자(예컨대, 감사자)는 머클 트리의 리프들이 실제로 서명자들을 포함한다는 것을 검증할 수 있다.
도 4는 본 발명의 실시예들에 따라 메시지에 대한 서명을 생성하기 위한 예시적인 방법(400)을 예시한다. 단계들(S401 내지 S408)은 이 예에서 임계수의 참가자들(102)(제1 참가자(102a)를 포함함) 각각에 의해 수행된다. 단계(S409)는 조정자(101)에 의해 수행되며, 이 조정자는 또한 단계들(S401 내지 S408)을 수행하는 참가자들 중 하나일 수 있다. 단계들 중 일부는 생략되거나 상이한 순서로 수행될 수 있다는 것이 인지될 것이다.
예시적인 방법(400)은 N≥2t+1명의 참가자들 그룹에서 임계치(t+1)의 셰어드 비밀의 생성을 가능하게 하며, 여기서 서명 임계치는 또한 (t+1)이다.
셋-업:
단계(S401)에서, 각각의 참가자(102)는 셰어드 개인 키 셰어 ai 및 대응하는 공개 키를 계산한다. 개인 키 셰어는 위에서 설명된 바와 같이 JVRSS를 사용하여 생성될 수 있다. 이 시점에, 각각의 참가자 i는 비밀 키 셰어 및 공개 키(ai,P)를 가지며, 여기서 P는 셰어드 개인 키에 대응하는 공개 키에 대한 표기이다. 셰어드 개인 키는 (t+1)의 임계치를 갖는다.
사전 계산:
단계(S402)에서, 각각의 참가자(102)는 셰어드 임시 키 셰어 및 대응하는 공개 키를 계산한다. 예컨대, 각각의 참가자(102)는 준비들에서 주어진 공개 키의 계산 및 JVRSS를 사용하여 셰어드 임시 키를 계산할 수 있다. 그런 다음, 각각의 참가자(102)는 임시 개인 키에 기초하여 역 셰어를 계산할 수 있다. 이는 각각의 참가자가 (t+1)의 임계치를 갖는 역 셰어를 갖게 한다.
단계(S403)에서, 각각의 참가자(102)는 2개의 상이한 셰어드 블라인딩 키 셰어들을 생성한다. 예컨대, 각각의 참가자(102)는 참가자 i가 셰어들 을 갖도록 2개의 셰어드 비밀들을 생성할 수 있고, 각각의 셰어드 비밀은 임계치 (t+1)을 갖는다. 일부 예들에서, 모든 셰어드 비밀들이 동일한 임계치를 가질 필요는 없다는 것에 주의한다.
단계(S404)에서, 각각의 참가자(102)는 중간 셰어를 계산하고 자신의 중간 셰어를 다른 참가자들에게 브로드캐스팅한다. 예컨대, 각각의 참가자 i는 중간 셰어 를 계산할 수 있다. 이 값은 (2t+1)의 임계치를 갖는다.
단계(S405)에서, 제1 참가자(102a)는 적어도 중간 셰어들에 기초하여 중간 값을 계산한다. 예컨대, 제1 참가자(102a)는 (2t+1)개의 셰어들에 대한 보간 을 사용하여 중간 값을 계산할 수 있다.
단계(S406)에서, 제1 참가자(102a)는 에 대한 지식을 갖고 있으며 이를 개인 키 셰어 및 대응하는 공개 키(ai,P)와 함께 저장한다.
각각의 서명에 대해 상이한 임시 키가 사용되기 때문에, 한 번에 다수의 임시 키들이 셋업될 있는데, 즉, 사전 계산 동안 다수의 임시 키들을 생성하도록 단계들(S402 내지 S406)이 반복되고 추후 사용을 위해 저장될 수 있다는 것에 주의한다. 이들은 어떠한 부가적인 통신 라운드들도 없도록 동시에 실행될 수 있다. 바람직하게는, 각각의 서명에 대해 상이한 값의 α 및 β가 사용되어야 한다는 것에 주의한다.
서명 생성:
메시지 msg에 서명하기 위해, 적어도 (t+1)명의 참가자들이 단계들(S407 및 S408)을 수행해야 한다. 단계(S407)에서, 적어도 임계수의 참가자들(102)이 서명될 메시지를 획득하고 메시지 다이제스트를 계산한다. 예컨대, 조정자(101)는 메시지 msg에 대한 서명 셰어를 생성하기 위한 요청은 (t+1)명의 참가자들에게 전송할 수 있다. 각각의 참가자 i는 메시지 다이제스트 를 계산할 수 있다. 일부 예들에서, 이 해시 함수는 이중 SHA-256 해시 함수이다. 대안적인 해시 함수들이 사용될 수 있다.
단계(S408)에서, 적어도 임계수의 참가자들(102)이 서명 셰어를 계산하고 이를 조정자(101)에게 전송한다. 예컨대, 각각의 참가자 i는 자신의 서명 셰어들 를 계산하고 그런 다음 이 서명 셰어(r,si)를 조정자에게 전송할 수 있다. 값 r은 모든 참가자들에 의해 전송되진 않을 수 있다는 것에 주의한다.
단계(S409)에서, 조정자(101)는 서명을 계산한다. 예컨대, 조정자(101)는 를 계산하고 최종적으로 서명 (r,s)를 계산할 수 있다. 이는 β 항이 소거되기 때문에 예상되는 서명 셰어가 발생한다. 이 프로토콜의 유사한 변형들은 (kα)-1 및 r이 계산에 포함될 때를 설명하는 위와 같이 이루어질 수 있다.
비밀들의 임계치들은 상이할 수 있다는 것에 주의한다. 즉, a,k,α,β의 임계치 자체가 서명 생성 체계를 실행하기 위해 반드시 동일할 필요는 없다. 예컨대, 6명의 그룹이 있고 서명 및/또는 개인 키를 생성하기 위해 3명이 필요한 경우, 이들은 기술적으로 k의 임계치가 4이고 다른 셰어드 비밀들의 임계치가 3인 계산을 행하며, 이들은 여전히 임계-최적 체계를 가질 것이다.
본 발명은 임의의 임계 서명 체계(최적이든 아니면 비최적이든)에 적용될 수 있으며 위에 설명된 도 3의 예로 제한되지 않는다는 것에 주의한다.
일반적으로, 본 발명의 실시예들은 임의의 메시지에 대한 서명을 생성하기 위해 사용될 수 있다. 특정 예시적인 사용 사례로서, 도 1에 도시된 바와 같이, 메시지는 블록체인 트랜잭션의 일부 또는 전부일 수 있다. 즉, 서명은 블록체인 트랜잭션의 하나 이상의 입력들 및/또는 하나 이상의 출력들에 서명하는 데 사용될 수 있다. 예컨대, 생성된 서명은 적어도 부분적으로 블록체인 트랜잭션의 출력을 잠금해제하는 데 사용될 수 있다. 특정 예로서, 이전 트랜잭션의 출력은 공개 키의 해시에 잠금된 P2PKH(pay-to-public-key-hash) 출력일 수 있다. 잠금해제되기 위해, P2PKH 출력을 참조하는 추후 트랜잭션의 입력에 (해싱되지 않은) 공개 키 및 공개 키에 대응하는 개인 키에 기초하여 생성된 서명을 포함할 필요가 있다. 조정자(104)는 블록체인 트랜잭션에 서명하고 서명된 트랜잭션을 블록체인 네트워크(106)의 하나 이상의 블록체인 노드들에 제출할 수 있다.
스크립트로 표현되는 "잠금 스크립트" 및 "잠금해제 스크립트"는 다음과 같은 형태를 취할 수 있다.
잠금 스크립트 = OP_DUP OP_HASH160 <Public KeyHash> OP_EQUAL OP_CHECKSIG
잠금해제 스크립트 = <Signature> <Public Key>
위에서 설명된 실시예들을 참조하면, <Public Key>는 와 같을 수 있으며, <Signature>는 임계 서명 s를 포함하며, 여기서 이전 트랜잭션은 서명될 메시지이다. 위에서 언급된 바와 같이, ECDSA 서명들은 형태 (r,s)라는 것에 주의한다.
설명된 서명 생성 방법은 임의의 특정 사용 사례로 제한되지 않으며 일반적으로 임의의 메시지에 기초하여 서명을 생성하는 데 사용될 수 있다는 것에 주의한다. 블록체인 트랜잭션의 전체 또는 일부에 서명하는 것은 단 하나의 예시적인 예일 뿐이다. 설명된 방법은 예컨대, 법적 문서(예컨대, 유언장, 증서 또는 다른 계약), 하나 이상의 당사자들 간의 서신, 디지털 인증서들(예컨대, 인증 기관에 의해 발행됨), 의료 처방전들, 은행 송금 또는 금융 상품, 모기지 또는 대출 신청 등에 서명하고 그리고/또는 이들을 인가하는 데 사용될 수 있다.
특정 예로서, 참가자들의 그룹(총 5명의 참가자들이라 하자)이 회사의 이사회를 형성할 수 있다. 회사의 의결 사안들은 이사회의 과반수(즉, 적어도 3명의 참가자들)가 특정 투표에 동의할 것을 요구할 수 있다. 이사회는 설명된 서명 생성 방법을 사용하여, 적어도 3명의 이사회 구성원들이 특정 결과에 찬성 투표하기로 동의했음을 입증할 수 있다. 이 예에서, 서명 생성 체계의 임계치는 3이다. 즉, 조정자가 서명을 성공적으로 생성하기 위해 이사회 구성원들 중 적어도 3명이 개개의 서명 셰어를 제공해야 한다. 서명이 성공적으로 생성된 경우, 적어도 임계수(예컨대, 3명)의 이사회 구성원들이 해당 결과에 찬성 투표하기로 동의해야 한다. 따라서 성공적인 서명 생성은 투표의 레코드로서 작용하고 이사회의 과반수가 특정 방식으로 투표했음을 입증한다.
본 발명의 다른 사용 사례는 예컨대, X.509 표준에 의해 발행된 디지털 인증서와 같은 디지털 인증서들의 분야에 있다. 디지털 인증서는 일부 데이터에 대해 서명하는 서명을 포함한다. 데이터는 일반적으로 임의의 데이터일 수 있지만, 디지털 인증서에 포함된 데이터의 하나의 특정 예는 공개 키이다. 디지털 인증서의 공개 키는 종종 "인증된 공개 키"로서 지칭된다. 디지털 인증서의 발행자("인증 기관")는 공개 키의 소유자에 대해 하나 이상의 체크들(예컨대, 노우-유어-커스터머(know-your-customer) 체크들)을 수행할 수 있으며, 체크들이 성공적인 경우, 인증 기관은 인증된 공개 키를 포함하는 디지털 인증서를 발행한다. 사용자는 예컨대, 인증된 공개 키에 대응하는 개인 키로 메시지에 서명함으로써 자신이 본인임을 입증하기 위해 인증된 공개 키를 사용할 수 있다. 인증 기관들에 대한 하나의 특정 용도는 인터넷 상의 보안 브라우징을 위해 HTTPS에서 사용되는 인증서들에 서명하는 것이다. 다른 일반적인 용도는 전자 서명 문서들에서 사용하기 위해 국가 정부들에 의해 아이덴티티 카드를 발행하는 것이다. 인증 기관은 개인 키를 사용하여 공개 키(또는 증명될 임의의 다른 데이터)에 서명한다.
위에서 언급된 바와 같이, 본 발명의 실시예들은 개인 키 셰어에 대응하는 공개 키로 메시지를 암호화하는 것 그리고 마찬가지로 개인 키 셰어로 메시지를 복호화하는 것을 포함할 수 있다. 이 경우, 제1 참가자(102a)는 상이한 당사자에 의해 암호화된 메시지를 복호화할 수 있다. 다른 옵션으로서, 메시지는 전체 개인 키, 예컨대, 전체 자식 키에 대응하는 공개 키로 암호화될 수 있다. 이 경우, 적어도 임계수의 참가자들이 메시지를 복호화하기 위해 자식 개인 키의 개개의 셰어들을 사용 가능하게 할 수 있다. 암호화된 메시지는 블록체인 트랜잭션의 일부 또는 전부를 포함할 수 있는데 예컨대, 암호화된 데이터는 블록체인에 레코딩될 트랜잭션에 포함될 수 있다.
결론
개시된 기술들의 다른 변형들 또는 사용 사례들은 본원에서의 개시가 주어지면 당업자에게 명백해질 수 있다. 본 개시내용의 범위는 설명된 실시예들에 의해 제한되는 것이 아니라 첨부된 청구항들에 의해서만 제한된다.
위의 실시예들은 단지 예로서만 설명되었다는 것이 인지될 것이다. 보다 일반적으로, 다음 스테이트먼트들 중 임의의 하나 이상에 따른 방법, 장치 또는 프로그램이 제공될 수 있다.
스테이트먼트 1. 메시지에 서명하기 위한 디지털 서명을 생성하는 컴퓨터 구현 방법으로서, 참가자 그룹의 각각의 참가자는 셰어드 개인 키의 개개의 개인 키 셰어를 갖고, 셰어드 개인 키는 적어도 임계수의 개개의 개인 키 셰어로만 생성될 수 있고, 각각의 참가자는 개개의 참가자 인덱스와 연관되고, 방법은 조정 당사자에 의해 수행되고, 방법은:
적어도 임계수의 개개의 서명 셰어를 획득하는 단계 ― 각각의 개개의 서명은 개개의 개인 키 셰어에 기초하여 개개의 참가자에 의해 생성되었음 ― ;
개개의 서명 셰어 각각에 대해, 개개의 서명 셰어의 개개의 커미트먼트를 획득하는 단계 ― 각각의 개개의 커미트먼트는 개개의 서명 셰어를 생성한 개개의 참가자에 의해 생성되었음 ― ;
머클 트리를 생성하는 단계 ― 머클 트리의 적어도 임계수의 개개의 리프 노드는 개개의 참가자 인덱스와 결합된 개개의 서명 커미트먼트의 개개의 해시를 포함하고, 개개의 참가자 인덱스는 개개의 서명 커미트먼트를 생성한 개개의 참가자와 연관됨 ― ;
적어도 임계수의 개개의 서명 셰어에 기초하여 서명을 생성하는 단계; 및
머클 트리의 머클 루트를 개개의 서명 셰어를 생성한 적어도 개개의 참가자에 대해 이용 가능하게 하는 단계를 포함한다.
스테이트먼트 2. 스테이트먼트 1의 방법에 있어서,
개개의 서명 셰어를 생성한 각각의 개개의 참가자에게, 개개의 머클 증명을 전송하는 단계를 포함하고, 개개의 머클 증명은 해당 개개의 참가자와 연관된 개개의 참가자 인덱스에 기초하여 생성되는 머클 트리의 개개의 리프 노드에 기초한다.
스테이트먼트 3. 스테이트먼트 1 또는 스테이트먼트 2의 방법에 있어서, 머클 루트를 이용 가능하게 하는 단계는 개개의 서명 셰어를 생성한 적어도 개개의 참가자에게 머클 루트를 전송하는 단계를 포함한다.
스테이트먼트 4. 임의의 선행 스테이트먼트의 방법에 있어서, 머클 루트를 이용 가능하게 하는 단계는 제1 블록체인 트랜잭션을 블록체인 네트워크에 제출하는 단계를 포함하고, 블록체인 네트워크는 머클 루트를 포함한다.
스테이트먼트 5. 임의의 선행 스테이트먼트의 방법에 있어서, 방법은, 서명의 생성을 수행하기 전에, 머클 루트를 이용 가능하게 하는 것을 수행하는 단계를 포함한다.
스테이트먼트 6. 스테이트먼트 5의 방법에 있어서, 개개의 서명 셰어는 머클 루트를 포함하는 메시지에 기초한다.
스테이트먼트 7. 임의의 선행 스테이트먼트의 방법에 있어서, 개개의 서명 셰어의 개개의 커미트먼트는 개개의 서명 셰어를 포함한다.
스테이트먼트 8. 스테이트먼트 1 내지 스테이트먼트 6항 중 어느 하나의 방법에 있어서, 각각의 참가자는 셰어드 임시 개인 키의 개개의 임시 개인 키 셰어, 셰어드 임시 개인 키에 대응하는 임시 공개 키의 제1 좌표, 및 개개의 서명 셰어의 MIC(message-independent component)의 개개의 셰어를 갖고, MIC의 각각의 개개의 셰어는 개개의 임시 개인 키 셰어, 개개의 개인 키 셰어 및 임시 공개 키의 제1 좌표에 기초하여 생성되고, 개개의 서명 셰어의 개개의 커미트먼트는 개개의 임시 개인 키 셰어, 임시 공개 키의 제1 좌표, MIC의 개개의 셰어, 및 타원 곡선 생성기 포인트에 기초한다.
스테이트먼트 9. 임의의 선행 스테이트먼트의 방법에 있어서, 메시지는 제2 블록체인 트랜잭션의 적어도 일부를 포함한다.
스테이트먼트 10. 스테이트먼트 4, 8 및 9의 방법에 있어서, 제1 블록체인 트랜잭션은 제2 블록체인 트랜잭션이다.
스테이트먼트 11. 참가자 그룹의 제1 참가자에 의해 수행되는, 제1 참가자가 메시지에 서명하기 위한 디지털 서명의 개개의 서명 셰어를 생성했음을 증명하는 컴퓨터 구현 방법으로서, 그룹의 각각의 참가자는 셰어드 개인 키의 개개의 개인 키 셰어를 갖고, 셰어드 개인 키는 적어도 임계수의 개개의 개인 키 셰어로만 생성될 수 있고, 각각의 참가자는 개개의 참가자 인덱스와 연관되고, 방법은:
제1 개인 키 셰어 및 메시지에 기초하여 제1 서명 셰어를 생성하는 단계;
제1 서명 셰어의 제1 커미트먼트를 생성하는 단계;
각각, 적어도 임계수의 개개의 서명 셰어에 기초하여 a) 서명을 생성하고, b) 머클 트리를 생성하기 위한 a) 제1 서명 셰어 및 b) 제1 커미트먼트를 조정 당사자에 제공하는 단계 ― 머클 트리의 적어도 임계수의 개개의 리프 노드는 개개의 참가자 인덱스와 결합된 개개의 서명 커미트먼트의 개개의 해시를 포함하고, 개개의 참가자 인덱스는 개개의 서명 커미트먼트를 생성한 개개의 참가자와 연관됨 ―;
머클 트리의 머클 루트를 획득하는 단계;
제1 참가자와 연관된 개개의 참가자 인덱스에 기초하여 생성된 머클 트리의 개개의 리프 노드에 기초하는 머클 증명을 획득하는 단계; 및
머클 루트를 갖는 머클 트리의 리프 노드가 제1 커미트먼트 및 제1 참가자 인덱스에 기초하여 생성되었음을 검증하기 위해 적어도 머클 증명, 제1 커미트먼트 및 제1 참가자 인덱스를 검증 당사자에게 제공하고, 이로써 조정 당사자가 제1 서명 셰어에 기초하여 서명을 생성했음을 검증하는 단계를 포함한다.
스테이트먼트 12. 스테이트먼트 11의 방법에 있어서, 머클 루트를 검증 당사자에게 제공하는 단계를 포함한다.
스테이트먼트 13. 스테이트먼트 11의 방법에 있어서, 머클 루트를 획득하는 단계는 조정 당사자로부터 머클 루트를 수신하는 단계를 포함한다.
스테이트먼트 14. 스테이트먼트 11의 방법에 있어서, 블록체인 상에 저장된 제1 블록체인 트랜잭션은 머클 루트를 포함하고, 머클 루트를 획득하는 단계는 블록체인으로부터 머클 루트를 획득하는 단계를 포함한다.
스테이트먼트 15. 스테이트먼트 11 또는 이에 종속하는 임의의 스테이트먼트의 방법에 있어서, 메시지는 머클 루트를 포함한다.
스테이트먼트 16. 스테이트먼트 11 또는 이에 종속하는 임의의 스테이트먼트의 방법에 있어서, 제1 서명 셰어의 제1 커미트먼트는 제1 서명 셰어를 포함한다.
스테이트먼트 17. 스테이트먼트 11 내지 스테이트먼트 15 중 어느 하나의 방법에 있어서, 각각의 참가자는 셰어드 임시 개인 키의 개개의 임시 개인 키 셰어, 셰어드 임시 개인 키에 대응하는 임시 공개 키의 제1 좌표, 및 상기 개개의 서명 셰어의 MIC(message-independent component)의 개개의 셰어를 갖고, MIC의 각각의 개개의 셰어는 개개의 개인 키 셰어, 개개의 개인 키 셰어 및 임시 공개 키의 제1 좌표에 기초하여 생성되고, 제1 서명 셰어의 제1 커미트먼트는 제1 임시 개인 키 셰어, 임시 공개 키의 제1 좌표, MIC의 제1 셰어, 및 타원 곡선 생성기 포인트에 기초한다.
스테이트먼트 18. 스테이트먼트 11 또는 이에 종속하는 임의의 스테이트먼트의 방법에 있어서, 메시지는 제2 블록체인 트랜잭션의 적어도 일부를 포함한다.
스테이트먼트 19. 스테이트먼트 14, 17 및 18의 방법에 있어서, 제1 블록체인 트랜잭션은 제2 블록체인 트랜잭션이다.
스테이트먼트 20. 컴퓨터 장비로서,
하나 이상의 메모리 유닛을 포함하는 메모리; 및
하나 이상의 프로세싱 유닛을 포함하는 프로세싱 장치를 포함하고, 메모리는 프로세싱 장치에서 실행되도록 배열된 코드를 저장하고, 코드는 프로세싱 장치 상에 있을 때 스테이트먼트 1 내지 19 중 어느 하나의 방법을 수행하도록 구성된다.
스테이트먼트 21. 컴퓨터 판독 가능 저장소 상에서 구현되고, 하나 이상의 프로세서들 상에서 실행될 때, 스테이트먼트 1 내지 스테이트먼트 19 중 어느 하나의 방법을 수행하도록 구성된 컴퓨터 프로그램.
본원에서 개시된 다른 양상에 따라, 조정 당사자 및 제1 참가자의 액션을 포함하는 방법이 제공될 수 있다.
본원에서 개시된 다른 양상에 따라, 조정 당사자 및 제1 참가자의 컴퓨터 장비를 포함하는 시스템이 제공될 수 있다.

Claims (21)

  1. 메시지에 서명하기 위한 디지털 서명(digital signature)을 생성하는 컴퓨터 구현 방법으로서,
    참가자 그룹의 각각의 참가자는 셰어드 개인 키(shared private key)의 개개의 개인 키 셰어(private key share)를 갖고, 상기 셰어드 개인 키는 적어도 임계수의 개개의 개인 키 셰어로만 생성될 수 있고, 각각의 참가자는 개개의 참가자 인덱스와 연관되고, 상기 방법은 조정 당사자에 의해 수행되고, 상기 방법은:
    적어도 임계수의 개개의 서명 셰어(signature share)를 획득하는 단계 ― 각각의 개개의 서명은 상기 개개의 개인 키 셰어에 기초하여 개개의 참가자에 의해 생성되었음 ― ;
    상기 개개의 서명 셰어 각각에 대해, 상기 개개의 서명 셰어의 개개의 커미트먼트(commitment)를 획득하는 단계 ― 각각의 개개의 커미트먼트는 상기 개개의 서명 셰어를 생성한 상기 개개의 참가자에 의해 생성되었음 ― ;
    머클 트리(Merkle tree)를 생성하는 단계 ― 상기 머클 트리의 적어도 임계수의 개개의 리프 노드(leaf node)는 개개의 참가자 인덱스와 결합된 개개의 서명 커미트먼트의 개개의 해시(hash)를 포함하고, 상기 개개의 참가자 인덱스는 상기 개개의 서명 커미트먼트를 생성한 상기 개개의 참가자와 연관됨 ― ;
    적어도 상기 임계수의 개개의 서명 셰어에 기초하여 상기 서명을 생성하는 단계; 및
    상기 머클 트리의 머클 루트(Merkle root)를 개개의 서명 셰어를 생성한 적어도 상기 개개의 참가자에 대해 이용 가능하게 하는 단계를 포함하는,
    컴퓨터 구현 방법.
  2. 제1항에 있어서,
    개개의 서명 셰어를 생성한 각각의 개개의 참가자에게, 개개의 머클 증명(Merkle proof)을 전송하는 단계를 포함하고, 상기 개개의 머클 증명은 해당 개개의 참가자와 연관된 개개의 참가자 인덱스에 기초하여 생성되는 상기 머클 트리의 개개의 리프 노드에 기초하는,
    컴퓨터 구현 방법.
  3. 제1항 또는 제2항에 있어서, 상기 머클 루트를 이용 가능하게 하는 단계는 개개의 서명 셰어를 생성한 적어도 상기 개개의 참가자에게 상기 머클 루트를 전송하는 단계를 포함하는,
    컴퓨터 구현 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서, 상기 머클 루트를 이용 가능하게 하는 단계는 제1 블록체인 트랜잭션을 블록체인 네트워크에 제출하는 단계를 포함하고, 상기 블록체인 네트워크는 상기 머클 루트를 포함하는,
    컴퓨터 구현 방법.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서, 상기 방법은, 상기 서명의 생성을 수행하기 전에, 상기 머클 루트를 이용 가능하게 하는 것을 수행하는 단계를 포함하는, 방법.
    컴퓨터 구현 방법.
  6. 제5항에 있어서, 상기 개개의 서명 셰어는 상기 머클 루트를 포함하는 메시지에 기초하는,
    컴퓨터 구현 방법.
  7. 제1항 내지 제6항 중 어느 한 항에 있어서, 상기 개개의 서명 셰어의 상기 개개의 커미트먼트는 상기 개개의 서명 셰어를 포함하는,
    컴퓨터 구현 방법.
  8. 제1항 내지 제6항 중 어느 한 항에 있어서, 각각의 참가자는 셰어드 임시 개인 키(shared ephemeral private key)의 개개의 임시 개인 키 셰어(ephemeral private key share), 상기 셰어드 임시 개인 키에 대응하는 임시 공개 키(ephemeral public key)의 제1 좌표(co-ordinate), 및 상기 개개의 서명 셰어의 MIC(message-independent component)의 개개의 셰어를 갖고, 상기 MIC의 각각의 개개의 셰어는 상기 개개의 임시 개인 키 셰어, 상기 개개의 개인 키 셰어 및 상기 임시 공개 키의 제1 좌표에 기초하여 생성되고, 상기 개개의 서명 셰어의 상기 개개의 커미트먼트는 상기 개개의 임시 개인 키 셰어, 상기 임시 공개 키의 제1 좌표, 상기 MIC의 개개의 셰어, 및 타원 곡선 생성기 포인트(elliptic curve generator point)에 기초하는,
    컴퓨터 구현 방법.
  9. 제1항 내지 제8항 중 어느 한 항에 있어서, 상기 메시지는 제2 블록체인 트랜잭션의 적어도 일부를 포함하는,
    컴퓨터 구현 방법.
  10. 제4항, 제8항 및 제9항 중 어느 한 항에 있어서, 상기 제1 블록체인 트랜잭션은 상기 제2 블록체인 트랜잭션인,
    컴퓨터 구현 방법.
  11. 참가자 그룹의 제1 참가자에 의해 수행되는, 상기 제1 참가자가 메시지에 서명하기 위한 디지털 서명의 개개의 서명 셰어를 생성했음을 증명하는 컴퓨터 구현 방법으로서,
    상기 그룹의 각각의 참가자는 셰어드 개인 키의 개개의 개인 키 셰어를 갖고, 상기 셰어드 개인 키는 적어도 임계수의 개개의 개인 키 셰어로만 생성될 수 있고, 각각의 참가자는 개개의 참가자 인덱스와 연관되고, 상기 방법은:
    제1 개인 키 셰어 및 상기 메시지에 기초하여 제1 서명 셰어를 생성하는 단계;
    상기 제1 서명 셰어의 제1 커미트먼트를 생성하는 단계;
    각각, 적어도 임계수의 개개의 서명 셰어에 기초하여 a) 서명을 생성하고, b) 머클 트리를 생성하기 위해 a) 상기 제1 서명 셰어 및 b) 상기 제1 커미트먼트를 조정 당사자에 제공하는 단계 ― 상기 머클 트리의 적어도 임계수의 개개의 리프 노드는 개개의 참가자 인덱스와 결합된 개개의 서명 커미트먼트의 개개의 해시를 포함하고, 상기 개개의 참가자 인덱스는 상기 개개의 서명 커미트먼트를 생성한 개개의 참가자와 연관됨 ― ;
    상기 머클 트리의 머클 루트를 획득하는 단계;
    상기 제1 참가자와 연관된 개개의 참가자 인덱스에 기초하여 생성된 상기 머클 트리의 개개의 리프 노드에 기초하는 머클 증명을 획득하는 단계; 및
    상기 머클 루트를 갖는 상기 머클 트리의 리프 노드가 상기 제1 커미트먼트 및 상기 제1 참가자 인덱스에 기초하여 생성되었음을 검증하기 위해 적어도 상기 머클 증명, 상기 제1 커미트먼트 및 상기 제1 참가자 인덱스를 검증 당사자에게 제공하고, 이로써 상기 조정 당사자가 상기 제1 서명 셰어에 기초하여 상기 서명을 생성했음을 검증하는 단계를 포함하는,
    컴퓨터 구현 방법.
  12. 제11항에 있어서, 상기 머클 루트를 상기 검증 당사자에게 제공하는 단계를 포함하는,
    컴퓨터 구현 방법.
  13. 제11항에 있어서, 상기 머클 루트를 획득하는 단계는 상기 조정 당사자로부터 상기 머클 루트를 수신하는 단계를 포함하는,
    컴퓨터 구현 방법.
  14. 제11항에 있어서, 블록체인 상에 저장된 제1 블록체인 트랜잭션은 상기 머클 루트를 포함하고, 상기 머클 루트를 획득하는 단계는 상기 블록체인으로부터 상기 머클 루트를 획득하는 단계를 포함하는,
    컴퓨터 구현 방법.
  15. 제11항 또는 제11항에 종속하는 어느 한 항에 있어서, 상기 메시지는 상기 머클 루트를 포함하는,
    컴퓨터 구현 방법.
  16. 제11항 또는 제11항에 종속하는 어느 한 항에 있어서, 상기 제1 서명 셰어의 상기 제1 커미트먼트는 상기 제1 서명 셰어를 포함하는,
    컴퓨터 구현 방법.
  17. 제11항 내지 제15항 중 어느 한 항에 있어서, 각각의 참가자는 셰어드 임시 개인 키의 개개의 임시 개인 키 셰어, 상기 셰어드 임시 개인 키에 대응하는 임시 공개 키의 제1 좌표, 및 상기 개개의 서명 셰어의 MIC(message-independent component)의 개개의 셰어를 갖고, 상기 MIC의 각각의 개개의 셰어는 개개의 개인 키 셰어, 상기 개개의 개인 키 셰어 및 상기 임시 공개 키의 상기 제1 좌표에 기초하여 생성되고, 상기 제1 서명 셰어의 제1 커미트먼트는 제1 임시 개인 키 셰어, 상기 임시 공개 키의 제1 좌표, 상기 MIC의 제1 셰어, 및 타원 곡선 생성기 포인트에 기초하는,
    컴퓨터 구현 방법.
  18. 제11항 또는 제11항에 종속하는 어느 한 항에 있어서, 상기 메시지는 제2 블록체인 트랜잭션의 적어도 일부를 포함하는,
    컴퓨터 구현 방법.
  19. 제14항, 제17항 및 제18항 중 어느 한 항에 있어서, 상기 제1 블록체인 트랜잭션은 상기 제2 블록체인 트랜잭션인,
    컴퓨터 구현 방법.
  20. 컴퓨터 장비로서,
    하나 이상의 메모리 유닛을 포함하는 메모리; 및
    하나 이상의 프로세싱 유닛을 포함하는 프로세싱 장치를 포함하고, 상기 메모리는 상기 프로세싱 장치 상에서 실행되도록 배열된 코드를 저장하고, 상기 코드는 프로세싱 장치 상에 있을 때 제1항 내지 제19항 중 어느 한 항의 방법을 수행하도록 구성되는,
    컴퓨터 장비.
  21. 컴퓨터 판독 가능 저장소 상에서 구현되고, 하나 이상의 프로세서들 상에서 실행될 때, 제1항 내지 제19항 중 어느 한 항의 방법을 수행하도록 구성된 컴퓨터 프로그램.
KR1020247007248A 2021-08-09 2022-07-11 디지털 서명들의 생성 KR20240046201A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
GB2111441.8 2021-08-09
GB2111441.8A GB2609907B (en) 2021-08-09 2021-08-09 Generating digital signatures
PCT/EP2022/069246 WO2023016728A1 (en) 2021-08-09 2022-07-11 Generating digital signatures

Publications (1)

Publication Number Publication Date
KR20240046201A true KR20240046201A (ko) 2024-04-08

Family

ID=82786542

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020247007248A KR20240046201A (ko) 2021-08-09 2022-07-11 디지털 서명들의 생성

Country Status (6)

Country Link
EP (1) EP4385167A1 (ko)
JP (1) JP2024529095A (ko)
KR (1) KR20240046201A (ko)
CN (1) CN117837123A (ko)
GB (1) GB2609907B (ko)
WO (1) WO2023016728A1 (ko)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4386609A3 (en) * 2017-04-11 2024-08-28 nChain Licensing AG Secure transfer between blockchains
US10503614B2 (en) * 2017-04-21 2019-12-10 Vmware, Inc. Byzantine agreement using communications having linear complexity

Also Published As

Publication number Publication date
EP4385167A1 (en) 2024-06-19
CN117837123A (zh) 2024-04-05
GB2609907A (en) 2023-02-22
JP2024529095A (ja) 2024-08-01
GB2609907B (en) 2023-12-27
WO2023016728A1 (en) 2023-02-16

Similar Documents

Publication Publication Date Title
JP2023535336A (ja) 共有秘密鍵の生成
KR20230024369A (ko) 비밀 공유의 생성
KR20230093432A (ko) 서비스 거부 공격들의 식별
TW202318833A (zh) 臨界簽章方案
US20240121109A1 (en) Digital signatures
US20230163977A1 (en) Digital signatures
KR20240045231A (ko) 디지털 서명 셰어의 생성
KR20240093465A (ko) 셰어드 키의 생성
JP2024534237A (ja) 共有暗号キーを生成すること
KR20240046201A (ko) 디지털 서명들의 생성
KR20240045226A (ko) 디지털 서명들의 생성
JP2024532557A (ja) 共有された暗号鍵の生成
JP2024515092A (ja) ネストされた閾値署名
CN118592008A (zh) 生成共享私钥