CN110061847B - 密钥分布式生成的数字签名方法 - Google Patents

Abstract

本发明公开了一种密钥分布式生成的数字签名方法，用于解决现有数字签名方法效率低的技术问题。技术方案是在密钥生成阶段，t个签名参与者选取自己的子私钥，通过与第一个签名参与者的交互完成私钥的生成。在签名阶段，t个签名参与者依次利用自己持有的子私钥进行分布式签名，然后由第t个签名参与者在同态加密条件下完成签名第二部分的合成，再由第一个签名参与者完成最终的签名合成与验证。本发明利用paillier同态加密算法，每个签名参与者不需要利用零知识证明来保证签名的正确性，最后的签名验证只需要一个椭圆曲线上的点加运算和两个椭圆曲线上的点乘运算，与背景技术t次零知识证明相比，提高了计算效率。

Description

密钥分布式生成的数字签名方法

技术领域

本发明涉及一种数字签名方法，特别涉及一种密钥分布式生成的数字签名方法。

背景技术

文献“Goldfeder S,Gennaro R,Kalodner H,et al.Securing Bitcoin walletsvia a new DSA/ECDSA threshold signature scheme.2015.”中提出了一种分布式门限签名方法，该方法利用的主要技术是paillier同态加密算法和零知识证明。该方法中，签名的私钥由t个人掌握，签名过程需要t个人参与完成，因此提高了签名私钥的安全性。然而，这个方法中使用了大量的零知识证明操作，零知识证明需要验证方与被验证方进行多次交互，交互次数的量级越高，被验证方的可信度越高，这是一个耗时操作，因此该方法的效率相对较低。在该方法中，完成一次签名需要进行t次零知识证明，假设进行一次零知识证明需要t_z次交互，那么完成所有的零知识证明就需要t·t_z次交互，交互的次数太多导致该方法并不适合在真实场景中应用。

发明内容

为了克服现有数字签名方法效率低的不足，本发明提供一种密钥分布式生成的数字签名方法。该方法在密钥生成阶段，t个签名参与者选取自己的子私钥，通过与第一个签名参与者的交互完成私钥的生成。在签名阶段，t个签名参与者依次利用自己持有的子私钥进行分布式签名，然后由第t个签名参与者在同态加密条件下完成签名第二部分的合成，再由第一个签名参与者完成最终的签名合成与验证。本发明利用paillier同态加密算法，每个签名参与者不需要利用零知识证明来保证签名的正确性，只需要由第一个签名参与者对签名进行验证就可以保证最终签名的正确性，最后的签名验证只需要一个椭圆曲线上的点加运算和两个椭圆曲线上的点乘运算，与背景技术t次零知识证明相比，提高了计算效率。

本发明解决其技术问题所采用的技术方案：一种密钥分布式生成的数字签名方法，其特点是包括以下步骤：

步骤一、第一个签名参与者ID₁选取自己的子私钥d₁∈{1,2,…,n-1}，然后计算自己的子私钥d₁在模n下是否存在乘法逆元

如果存在，则执行下一步骤，如果不存在，则重新选取自己的子私钥d₁∈{1,2,…,n-1}并重新计算自己的子私钥d₁在模n下是否存在乘法逆元

直到找到一个存在乘法逆元

的子私钥d₁，然后执行下一步骤；

其中，ID₁表示第一个签名参与者，d₁表示第一个签名参与者ID₁的子私钥，

表示第一个签名参与者ID₁的子私钥d₁在模n下的乘法逆元，n为正整数，表示椭圆曲线基点的阶；

步骤二、按照下式，第一个签名参与者ID₁计算自己的子公钥Q₁和伪子公钥Q₁′，然后将子公钥Q₁和伪子公钥Q₁′都广播给所有签名参与者：

Q₁＝d₁G

其中，Q₁表示第一个签名参与者ID₁的子公钥，Q₁′表示第一个签名参与者ID₁的伪子公钥，G表示椭圆曲线上一个阶为n的基点；

步骤三、接收到第一个签名参与者ID₁的子公钥Q₁和伪子公钥Q₁′后，第i个签名参与者ID_i选取自己的子私钥d_i∈{1,2,…,n-1}，然后按照下式，计算自己的伪子公钥Q_i′，并将伪子公钥Q_i′发送给第一个签名参与者ID₁，i＝2,3,...,t：

Q_i′＝d_iQ₁′

其中，ID_i表示第i个签名参与者，d_i表示第i个签名参与者ID_i的子私钥，Q_i′表示第i个签名参与者ID_i的伪子公钥，t为正整数，表示签名参与者ID_i的数目；

步骤四、第一个签名参与者ID₁在接收到所有签名参与者的伪子公钥Q_i′后，按照下式，依次计算每一个签名参与者ID_i的子公钥Q_i，然后将所有计算出的子公钥Q_i公开：

Q_i＝d₁Q_i′

其中，Q_i表示第i个签名参与者ID_i的子公钥；

步骤五、每一个签名参与者ID_i接收到第一个签名参与者ID₁公开的子公钥Q_i后，验证等式

Q_i＝d_iG

是否成立，如果每一个签名参与者的验证结果都是成立，则执行下一步骤，如果有任何一个签名参与者的验证结果是不成立，则返回步骤一；

步骤六、按照下式，每一个签名参与者ID_i计算签名公钥Q并对签名公钥Q进行公开：

其中，Q表示签名公钥，∑表示求和操作；

步骤七、第一个签名参与者ID₁选取自己的秘密值k₁∈{1,2,…,n-1}，然后计算自己的秘密值k₁在模n下是否存在乘法逆元

如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k₁∈{1,2,…,n-1}并重新计算自己的秘密值k₁在模n下是否存在乘法逆元

直到找到一个存在乘法逆元

的秘密值k₁，然后执行下一步骤；

其中，k₁表示第一个签名参与者ID₁的秘密值，

表示第一个签名参与者ID₁的秘密值k₁在模n下的乘法逆元；

步骤八、按照下式，第一个签名参与者ID₁计算第一个签名参数中间值R₁，并将第一个签名参数中间值R₁发送给第二个签名参与者ID₂：

R₁＝k₁G

其中，R₁表示第一个签名参数中间值，ID₂表示第二个签名参与者；

步骤九、第i个签名参与者ID_i接收到第i-1个签名参数中间值R_i-1后，选取自己的秘密值k_i∈{1,2,…,n-1}，然后计算自己的秘密值k_i在模n下是否存在乘法逆元k_i ^-1，如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_i∈{1,2,…,n-1}并重新计算自己的秘密值k_i在模n下是否存在乘法逆元

直到找到一个存在乘法逆元

的秘密值k_i，然后执行下一步骤，i＝2,3,…,t-1；

其中，k_i表示第i个签名参与者ID_i的秘密值，

表示第i个签名参与者ID_i的秘密值k_i在模n下的乘法逆元；

步骤十、按照下式，第i个签名参与者ID_i计算第i个签名参数中间值R_i，并将第i个签名参数中间值R_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t-1：

R_i＝k_iR_i-1

其中，R_i表示第i个签名参数中间值，R_i-1表示第i-1个签名参数中间值，ID_i+1表示第i+1个签名参与者；

步骤十一、第t个签名参与者ID_t接收到第t-1个签名参数中间值R_t-1后，选取自己的秘密值k_t∈{1,2,…,n-1}，然后计算自己的秘密值k_t在模n下是否存在乘法逆元

如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_t∈{1,2,…,n-1}并重新计算自己的秘密值k_t在模n下是否存在乘法逆元

直到找到一个存在乘法逆元

的秘密值k_t，然后执行下一步骤；

其中，ID_t表示第t个签名参与者，k_t表示第t个签名参与者ID_t的秘密值，

表示第t个签名参与者ID_t的秘密值k_t在模n下的乘法逆元；

步骤十二、按照下式，第t个签名参与者ID_t计算签名参数R，然后判断签名参数R是否为椭圆曲线上的零点，如果是，则返回步骤六，如果不是，则将签名参数R广播给所有的签名参与者：

R＝k_tR_t-1＝(x_R,y_R)

其中，R_t-1表示第t-1个签名参数中间值，R表示签名参数，x_R表示签名参数R的横坐标，y_R表示签名参数R的纵坐标；

步骤十三、第i个签名参与者ID_i接收到签名参数R后，按照下式，计算第一部分签名r：

r＝x_Rmod n

然后判断r＝0是否成立，如果成立，则返回步骤三，如果不成立，则继续执行下一步骤；

其中，r表示第一部分签名，mod表示求模运算；

步骤十四、按照下式，第一个签名参与者ID₁计算消息M的哈希值H，然后按照数据类型转换规则，将H转换为一个整数e：

H＝hash(M)

其中，M表示消息，H表示消息M的哈希值，hash表示一个密码哈希算法，e表示哈希值H转换后的整数值；

步骤十五、第一个签名参与者ID₁选择paillier同态加密算法的私钥sk和公钥pk，将私钥sk秘密保存，并将公钥pk公开；

其中，paillier表示同态加密算法，sk表示paillier同态加密算法的私钥，用来做解密运算，pk表示paillier同态加密算法的公钥，用来做加密运算；

步骤十六、按照下式，第一个签名参与者ID₁计算第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁，然后将第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁发送给第二个签名参与者ID₂：

β₁＝E_pk(rd₁mod n)

其中，α₁表示第一个签名生成参数第一部分，β₁表示第一个签名生成参数第二部分，E_pk(.)表示paillier同态加密算法的加密运算；

步骤十七、第i个签名参与者ID_i接收到第i-1个签名生成参数第一部分α_i-1和第i-1个签名生成参数第二部分β_i-1后，按照下式，计算第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i，然后将第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t-1：

β_i＝E_pk(rd_imodn)+_Eβ_i-1

其中，α_i表示第i个签名生成参数第一部分，β_i表示第i个签名生成参数第二部分，α_i-1表示第i-1个签名生成参数第一部分，β_i-1表示第i-1个签名生成参数第二部分，×_E表示paillier同态加密算法下的乘法同态运算，+_E表示paillier同态加密算法下的加法同态运算；

步骤十八、第t个签名参与者ID_t接收到第t-1个签名生成参数第一部分α_t-1和第t-1个签名生成参数第二部分β_t-1后，按照下式，计算第t个签名生成参数第一部分α_t和第t个签名生成参数第二部分β_t：

β_t＝E_pk(rd_tmod n)+_Eβ_t-1

其中，α_t表示第t个签名生成参数第一部分，β_t表示第t个签名生成参数第二部分，α_t-1表示第t-1个签名生成参数第一部分，β_t-1表示第t-1个签名生成参数第二部分，d_t表示第t个签名参与者ID_t的子私钥；

步骤十九、第t个签名参与者ID_t选取秘密混淆值ρ∈{1,2,…,n-1}，然后计算秘密混淆值ρ在模n下是否存在乘法逆元ρ^-1，如果存在，则执行下一步骤，如果不存在，则重新选取秘密混淆值ρ∈{1,2,…,n-1}并重新计算秘密混淆值ρ在模n下是否存在乘法逆元ρ^-1，直到找到一个存在乘法逆元ρ^-1的秘密混淆值ρ，然后执行下一步骤；

其中，ρ表示秘密混淆值，ρ^-1表示秘密混淆值ρ在模n下的乘法逆元；

步骤二十、按照下式，第t个签名参与者ID_t计算第t+1个签名生成参数第二部分β_t+1，然后将第t+1个签名生成参数第二部分β_t+1发送给第t-1个签名参与者ID_t-1：

其中，β_t+1表示第t+1个签名生成参数第二部分，ID_t-1表示第t-1个签名参与者；

步骤二十一、按照下式，第i个签名参与者ID_i计算第2t-i+1个签名生成参数第二部分β_2t-i+1，然后将第2t-i+1个签名生成参数第二部分β_2t-i+1发送给第i-1个签名参与者ID_i-1，i＝t-1,t-2,…,2：

其中，β_2t-i+1表示第2t-i+1个签名生成参数第二部分，β_2t-i表示第2t-i个签名生成参数第二部分；

步骤二十二、按照下式，第一个签名参与者ID₁计算第2t个签名生成参数第二部分β_2t，然后将第2t个签名生成参数第二部分β_2t发送给第t个签名参与者ID_t：

其中，β_2t表示第2t个签名生成参数第二部分，β_2t-1表示第2t-1个签名生成参数第二部分；

步骤二十三、按照下式，第t个签名参与者ID_t计算第2t+1个签名生成参数第二部分β_2t+1：

β_2t+1＝β_2t×_Eρ^-1

其中，β_2t+1表示第2t+1个签名生成参数第二部分；

步骤二十四、按照下式，第t个签名参与者ID_t计算第二部分签名s在paillier同态加密下的密文C，然后将第二部分签名s在paillier同态加密下的密文C发送给第一个签名参与者ID₁：

C＝α_t+_Eβ_2t+1

其中，s表示第二部分签名，C表示第二部分签名s在paillier同态加密下的密文；

步骤二十五、按照下式，第一个签名参与者ID₁计算第二部分签名s：

s＝D_sk(C)mod n

其中，D_sk(.)表示paillier同态加密算法的解密运算；

步骤二十六、按照下式，第一个签名参与者ID₁计算签名验证参数R′，R′＝(x_R′,y_R′)：

R′＝s^-1(eG+rQ)

其中，R′表示签名验证参数，x_R′表示签名验证参数R′的横坐标，y_R′表示签名验证参数R′的纵坐标，s^-1表示第二部分签名s在模n下的乘法逆元；

步骤二十七、按照下式，第一个签名参与者ID₁计算第一部分签名的验证参数r′，然后判断等式r′＝r是否成立，如果成立，则执行下一步骤，如果不成立，则签名失败，返回步骤六：

r′≡x_R′mod n

其中，r′表示第一部分签名的验证参数，≡表示同余符号；

步骤二十八、第一个签名参与者ID₁提取签名(r,s)，然后将签名(r,s)广播给所有签名参与者；

其中，(r,s)表示最终生成的签名。

本发明的有益效果是：该方法在密钥生成阶段，t个签名参与者选取自己的子私钥，通过与第一个签名参与者的交互完成私钥的生成。在签名阶段，t个签名参与者依次利用自己持有的子私钥进行分布式签名，然后由第t个签名参与者在同态加密条件下完成签名第二部分的合成，再由第一个签名参与者完成最终的签名合成与验证。本发明利用paillier同态加密算法，每个签名参与者不需要利用零知识证明来保证签名的正确性，只需要由第一个签名参与者对签名进行验证就可以保证最终签名的正确性，最后的签名验证只需要一个椭圆曲线上的点加运算和两个椭圆曲线上的点乘运算，与背景技术t次零知识证明相比，提高了计算效率。

另外，本发明实现了私钥的分布式生成与存储，私钥的生成不需要可信中心，私钥的安全性较高。

本发明实现了由t个人分布式生成签名的功能，在签名时不需要显式地合成私钥，避免了私钥泄露所带来的风险。

下面结合附图和具体实施方式对本发明作详细说明。

附图说明

图1是本发明密钥分布式生成的数字签名方法的流程图。

具体实施方式

名词解释：

T：椭圆曲线secp256k1的参数；

p：生成有限域F_p的大素数，其值为FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F＝2²⁵⁶-2³²-2⁹-2⁸-2⁷-2⁶-2⁴-1；

a,b：椭圆方程的参数，a＝0，b＝7；

G：椭圆曲线上一个阶为n的基点，其值为0479BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8；

n：椭圆曲线基点G的阶，其值为FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141；

h：余因数，控制选取点的密度，其值为01；

ID₁：第一个签名参与者；

ID₂：第二个签名参与者；

ID_i：第i个签名参与者；

ID_i+1：第i+1个签名参与者；

ID_t：第t个签名参与者；

ID_t-1：第t-1个签名参与者；

t：正整数，表示签名参与者ID_i的数目；

d₁：第一个签名参与者ID₁的子私钥；

第一个签名参与者ID₁的子私钥d₁在模n下的乘法逆元；

d_i：第i个签名参与者ID_i的子私钥；

d_t：第t个签名参与者ID_t的子私钥；

Q₁：第一个签名参与者ID₁的子公钥；

Q₁′：表示第一个签名参与者ID₁的伪子公钥；

Q_i：第i个签名参与者ID_i的子公钥；

Q_i′：第i个签名参与者ID_i的伪子公钥；

Q：签名公钥；

∑：求和操作，例如

k₁：第一个签名参与者ID₁的秘密值；

第一个签名参与者ID₁的秘密值k₁在模n下的乘法逆元；

k_i：第i个签名参与者ID_i的秘密值；

第i个签名参与者ID_i的秘密值k_i在模n下的乘法逆元；

k_t：第t个签名参与者ID_t的秘密值；

第t个签名参与者ID_t的秘密值k_t在模n下的乘法逆元；

R₁：第一个签名参数中间值；

R_i：第i个签名参数中间值；

R_i-1：第i-1个签名参数中间值；

R_t-1：第t-1个签名参数中间值；

R：签名参数；

x_R：签名参数R的横坐标；

y_R：签名参数R的纵坐标；

r：第一部分签名；

mod：求模运算，例如7mod4＝3；

M：消息；

H：消息M的哈希值；

hash：密码哈希算法；

e：哈希值H转换后的整数值；

paillier：同态加密算法；

sk：paillier同态加密算法的私钥；

pk：paillier同态加密算法的公钥；

E_pk(.)：paillier同态加密算法的加密运算；

D_sk(.)：paillier同态加密算法的解密运算；

×_E：paillier同态加密算法下的乘法同态运算；

+_E：paillier同态加密算法下的加法同态运算；

α₁：第一个签名生成参数第一部分；

α_i：第i个签名生成参数第一部分；

α_i-1：第i-1个签名生成参数第一部分；

α_t-1：第t-1个签名生成参数第一部分；

α_t：第t个签名生成参数第一部分；

β₁：第一个签名生成参数第二部分；

β_i：第i个签名生成参数第二部分；

β_i-1：第i-1个签名生成参数第二部分；

β_t-1：第t-1个签名生成参数第二部分；

β_t：第t个签名生成参数第二部分；

β_t+1：第t+1个签名生成参数第二部分；

β_2t-i+1：第2t-i+1个签名生成参数第二部分；

β_2t-i：第2t-i个签名生成参数第二部分；

β_2t：第2t个签名生成参数第二部分；

β_2t-1：第2t-1个签名生成参数第二部分；

β_2t+1：第2t+1个签名生成参数第二部分；

ρ：秘密混淆值；

ρ^-1：秘密混淆值ρ在模n下的乘法逆元；

s：第二部分签名；

s^-1：第二部分签名s在模n下的乘法逆元；

C：第二部分签名s在paillier同态加密下的密文；

R′：签名验证参数；

x_R′：签名验证参数R′的横坐标；

y_R′：签名验证参数R′的纵坐标；

r′：第一部分签名的验证参数；

≡：同余符号；

(r,s)：最终生成的签名。

参照图1。本发明密钥分布式生成的数字签名方法具体步骤如下：

确定***参数：这是具体实施之前的准备工作。

选取椭圆曲线secp256k1，确定参数T＝(p,a,b,G,n,h)，其中，T表示椭圆曲线secp256k1的参数，p表示生成有限域F_p的大素数，p＝FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEFFFFFC2F＝2²⁵⁶-2³²-2⁹-2⁸-2⁷-2⁶-2⁴-1，a,b表示椭圆方程的参数，a＝0，b＝7，G表示椭圆曲线上一个阶为n的基点，G＝0479BE667EF9DCBBAC55A06295CE870B07029BFCDB2DCE28D959F2815B16F81798483ADA7726A3C4655DA4FBFC0E1108A8FD17B448A68554199C47D08FFB10D4B8，n表示椭圆曲线基点G的阶，n＝FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFEBAAEDCE6AF48A03BBFD25E8CD0364141，h表示余因数，控制选取点的密度，h＝01。

步骤一、第一个签名参与者ID₁选取自己的子私钥d₁∈{1,2,…,n-1}，然后计算自己的子私钥d₁在模n下是否存在乘法逆元d₁ ^-1，如果存在，则执行下一步骤，如果不存在，则重新选取自己的子私钥d₁∈{1,2,…,n-1}并重新计算自己的子私钥d₁在模n下是否存在乘法逆元

直到找到一个存在乘法逆元

的子私钥d₁，然后执行下一步骤；

其中，ID₁表示第一个签名参与者，d₁表示第一个签名参与者ID₁的子私钥，

表示第一个签名参与者ID₁的子私钥d₁在模n下的乘法逆元，n为正整数，表示椭圆曲线基点的阶；

步骤二、按照下式，第一个签名参与者ID₁计算自己的子公钥Q₁和伪子公钥Q₁′，然后将子公钥Q₁和伪子公钥Q₁′都广播给所有签名参与者：

Q₁＝d₁G

其中，Q₁表示第一个签名参与者ID₁的子公钥，Q₁′表示第一个签名参与者ID₁的伪子公钥，G表示椭圆曲线上一个阶为n的基点；

步骤三、接收到第一个签名参与者ID₁的子公钥Q₁和伪子公钥Q₁′后，第i个签名参与者ID_i选取自己的子私钥d_i∈{1,2,…,n-1}，然后按照下式，计算自己的伪子公钥Q_i′，并将伪子公钥Q_i′发送给第一个签名参与者ID₁，i＝2,3,...,t：

Q_i′＝d_iQ₁′

其中，ID_i表示第i个签名参与者，d_i表示第i个签名参与者ID_i的子私钥，Q_i′表示第i个签名参与者ID_i的伪子公钥，t为正整数，表示签名参与者ID_i的数目；

步骤四、第一个签名参与者ID₁在接收到所有签名参与者的伪子公钥Q_i′后，按照下式，依次计算每一个签名参与者ID_i的子公钥Q_i，然后将所有计算出的子公钥Q_i公开：

Q_i＝d₁Q_i′

其中，Q_i表示第i个签名参与者ID_i的子公钥；

步骤五、每一个签名参与者ID_i接收到第一个签名参与者ID₁公开的子公钥Q_i后，验证等式

Q_i＝d_iG

是否成立，如果每一个签名参与者的验证结果都是成立，则执行下一步骤，如果有任何一个签名参与者的验证结果是不成立，则返回步骤一；

步骤六、按照下式，每一个签名参与者ID_i计算签名公钥Q并对签名公钥Q进行公开：

其中，Q表示签名公钥，∑表示求和操作；

步骤七、第一个签名参与者ID₁选取自己的秘密值k₁∈{1,2,…,n-1}，然后计算自己的秘密值k₁在模n下是否存在乘法逆元

如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k₁∈{1,2,…,n-1}并重新计算自己的秘密值k₁在模n下是否存在乘法逆元

直到找到一个存在乘法逆元

的秘密值k₁，然后执行下一步骤；

其中，k₁表示第一个签名参与者ID₁的秘密值，

表示第一个签名参与者ID₁的秘密值k₁在模n下的乘法逆元；

步骤八、按照下式，第一个签名参与者ID₁计算第一个签名参数中间值R₁，并将第一个签名参数中间值R₁发送给第二个签名参与者ID₂：

R₁＝k₁G

其中，R₁表示第一个签名参数中间值，ID₂表示第二个签名参与者；

步骤九、第i个签名参与者ID_i接收到第i-1个签名参数中间值R_i-1后，选取自己的秘密值k_i∈{1,2,…,n-1}，然后计算自己的秘密值k_i在模n下是否存在乘法逆元k_i ^-1，如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_i∈{1,2,…,n-1}并重新计算自己的秘密值k_i在模n下是否存在乘法逆元

直到找到一个存在乘法逆元

的秘密值k_i，然后执行下一步骤，i＝2,3,…,t-1；

其中，k_i表示第i个签名参与者ID_i的秘密值，

表示第i个签名参与者ID_i的秘密值k_i在模n下的乘法逆元；

步骤十、按照下式，第i个签名参与者ID_i计算第i个签名参数中间值R_i，并将第i个签名参数中间值R_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t-1：

R_i＝k_iR_i-1

其中，R_i表示第i个签名参数中间值，R_i-1表示第i-1个签名参数中间值，ID_i+1表示第i+1个签名参与者；

步骤十一、第t个签名参与者ID_t接收到第t-1个签名参数中间值R_t-1后，选取自己的秘密值k_t∈{1,2,…,n-1}，然后计算自己的秘密值k_t在模n下是否存在乘法逆元

如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_t∈{1,2,…,n-1}并重新计算自己的秘密值k_t在模n下是否存在乘法逆元

直到找到一个存在乘法逆元

的秘密值k_t，然后执行下一步骤；

其中，ID_t表示第t个签名参与者，k_t表示第t个签名参与者ID_t的秘密值，

表示第t个签名参与者ID_t的秘密值k_t在模n下的乘法逆元；

步骤十二、按照下式，第t个签名参与者ID_t计算签名参数R，然后判断签名参数R是否为椭圆曲线上的零点，如果是，则返回步骤六，如果不是，则将签名参数R广播给所有的签名参与者：

R＝k_tR_t-1＝(x_R,y_R)

其中，R_t-1表示第t-1个签名参数中间值，R表示签名参数，x_R表示签名参数R的横坐标，y_R表示签名参数R的纵坐标；

步骤十三、第i个签名参与者ID_i接收到签名参数R后，按照下式，计算第一部分签名r：

r＝x_Rmod n

然后判断r＝0是否成立，如果成立，则返回步骤三，如果不成立，则继续执行下一步骤；

其中，r表示第一部分签名，mod表示求模运算；

步骤十四、按照下式，第一个签名参与者ID₁计算消息M的哈希值H，然后按照数据类型转换规则，将H转换为一个整数e：

H＝hash(M)

其中，M表示消息，H表示消息M的哈希值，hash表示一个密码哈希算法，e表示哈希值H转换后的整数值；

步骤十五、第一个签名参与者ID₁选择paillier同态加密算法的私钥sk和公钥pk，将私钥sk秘密保存，并将公钥pk公开；

其中，paillier表示同态加密算法，sk表示paillier同态加密算法的私钥，用来做解密运算，pk表示paillier同态加密算法的公钥，用来做加密运算；

步骤十六、按照下式，第一个签名参与者ID₁计算第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁，然后将第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁发送给第二个签名参与者ID₂：

β₁＝E_pk(rd₁mod n)

其中，α₁表示第一个签名生成参数第一部分，β₁表示第一个签名生成参数第二部分，E_pk(.)表示paillier同态加密算法的加密运算；

步骤十七、第i个签名参与者ID_i接收到第i-1个签名生成参数第一部分α_i-1和第i-1个签名生成参数第二部分β_i-1后，按照下式，计算第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i，然后将第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t-1：

β_i＝E_pk(rd_imod n)+_Eβ_i-1

其中，α_i表示第i个签名生成参数第一部分，β_i表示第i个签名生成参数第二部分，α_i-1表示第i-1个签名生成参数第一部分，β_i-1表示第i-1个签名生成参数第二部分，×_E表示paillier同态加密算法下的乘法同态运算，+_E表示paillier同态加密算法下的加法同态运算；

步骤十八、第t个签名参与者ID_t接收到第t-1个签名生成参数第一部分α_t-1和第t-1个签名生成参数第二部分β_t-1后，按照下式，计算第t个签名生成参数第一部分α_t和第t个签名生成参数第二部分β_t：

β_t＝E_pk(rd_tmod n)+_Eβ_t-1

其中，α_t表示第t个签名生成参数第一部分，β_t表示第t个签名生成参数第二部分，α_t-1表示第t-1个签名生成参数第一部分，β_t-1表示第t-1个签名生成参数第二部分，d_t表示第t个签名参与者ID_t的子私钥；

步骤十九、第t个签名参与者ID_t选取秘密混淆值ρ∈{1,2,…,n-1}，然后计算秘密混淆值ρ在模n下是否存在乘法逆元ρ^-1，如果存在，则执行下一步骤，如果不存在，则重新选取秘密混淆值ρ∈{1,2,…,n-1}并重新计算秘密混淆值ρ在模n下是否存在乘法逆元ρ^-1，直到找到一个存在乘法逆元ρ^-1的秘密混淆值ρ，然后执行下一步骤；

其中，ρ表示秘密混淆值，ρ^-1表示秘密混淆值ρ在模n下的乘法逆元；

步骤二十、按照下式，第t个签名参与者ID_t计算第t+1个签名生成参数第二部分β_t+1，然后将第t+1个签名生成参数第二部分β_t+1发送给第t-1个签名参与者ID_t-1：

其中，β_t+1表示第t+1个签名生成参数第二部分，ID_t-1表示第t-1个签名参与者；

步骤二十一、按照下式，第i个签名参与者ID_i计算第2t-i+1个签名生成参数第二部分β_2t-i+1，然后将第2t-i+1个签名生成参数第二部分β_2t-i+1发送给第i-1个签名参与者ID_i-1，i＝t-1,t-2,…,2：

其中，β_2t-i+1表示第2t-i+1个签名生成参数第二部分，β_2t-i表示第2t-i个签名生成参数第二部分；

步骤二十二、按照下式，第一个签名参与者ID₁计算第2t个签名生成参数第二部分β_2t，然后将第2t个签名生成参数第二部分β_2t发送给第t个签名参与者ID_t：

其中，β_2t表示第2t个签名生成参数第二部分，β_2t-1表示第2t-1个签名生成参数第二部分；

步骤二十三、按照下式，第t个签名参与者ID_t计算第2t+1个签名生成参数第二部分β_2t+1：

β_2t+1＝β_2t×_Eρ^-1

其中，β_2t+1表示第2t+1个签名生成参数第二部分；

步骤二十四、按照下式，第t个签名参与者ID_t计算第二部分签名s在paillier同态加密下的密文C，然后将第二部分签名s在paillier同态加密下的密文C发送给第一个签名参与者ID₁：

C＝α_t+_Eβ_2t+1

其中，s表示第二部分签名，C表示第二部分签名s在paillier同态加密下的密文；

步骤二十五、按照下式，第一个签名参与者ID₁计算第二部分签名s：

s＝D_sk(C)mod n

其中，D_sk(.)表示paillier同态加密算法的解密运算；

步骤二十六、按照下式，第一个签名参与者ID₁计算签名验证参数R′，R′＝(x_R′,y_R′)：

R′＝s^-1(eG+rQ)

其中，R′表示签名验证参数，x_R′表示签名验证参数R′的横坐标，y_R′表示签名验证参数R′的纵坐标，s^-1表示第二部分签名s在模n下的乘法逆元；

步骤二十七、按照下式，第一个签名参与者ID₁计算第一部分签名的验证参数r′，然后判断等式r′＝r是否成立，如果成立，则执行下一步骤，如果不成立，则签名失败，返回步骤六：

r′≡x_R′mod n

其中，r′表示第一部分签名的验证参数，≡表示同余符号；

步骤二十八、第一个签名参与者ID₁提取签名(r,s)，然后将签名(r,s)广播给所有签名参与者；

其中，(r,s)表示最终生成的签名。

Claims (1)

1.一种密钥分布式生成的数字签名方法，其特征在于包括以下步骤：

步骤一、第一个签名参与者ID₁选取自己的子私钥d_1∈{1,2,…,n-1}，然后计算自己的子私钥d₁在模n下是否存在乘法逆元

如果存在，则执行下一步骤，如果不存在，则重新选取自己的子私钥d_1∈{1,2,…,n-1}并重新计算自己的子私钥d₁在模n下是否存在乘法逆元

直到找到一个存在乘法逆元

的子私钥d₁，然后执行下一步骤；

其中，ID₁表示第一个签名参与者，d₁表示第一个签名参与者ID₁的子私钥，

表示第一个签名参与者ID₁的子私钥d₁在模n下的乘法逆元，n为正整数，表示椭圆曲线基点的阶；

步骤二、按照下式，第一个签名参与者ID₁计算自己的子公钥Q₁和伪子公钥Q₁′，然后将子公钥Q₁和伪子公钥Q₁′都广播给所有签名参与者：

Q₁＝d₁G

其中，Q₁表示第一个签名参与者ID₁的子公钥，Q₁′表示第一个签名参与者ID₁的伪子公钥，G表示椭圆曲线上一个阶为n的基点；

步骤三、接收到第一个签名参与者ID₁的子公钥Q₁和伪子公钥Q₁′后，第i个签名参与者ID_i选取自己的子私钥d_i∈{1,2,…,n-1}，然后按照下式，计算自己的伪子公钥Q_i′，并将伪子公钥Q_i′发送给第一个签名参与者ID₁，i＝2,3,...,t：

Q_i′＝d_iQ₁′

其中，ID_i表示第i个签名参与者，d_i表示第i个签名参与者ID_i的子私钥，Q_i′表示第i个签名参与者ID_i的伪子公钥，t为正整数，表示签名参与者ID_i的数目；

步骤四、第一个签名参与者ID₁在接收到所有签名参与者的伪子公钥Q_i′后，按照下式，依次计算每一个签名参与者ID_i的子公钥Q_i，然后将所有计算出的子公钥Q_i公开：

Q_i＝d₁Q_i′

其中，Q_i表示第i个签名参与者ID_i的子公钥；

步骤五、每一个签名参与者ID_i接收到第一个签名参与者ID₁公开的子公钥Q_i后，验证等式

Q_i＝d_iG

是否成立，如果每一个签名参与者的验证结果都是成立，则执行下一步骤，如果有任何一个签名参与者的验证结果是不成立，则返回步骤一；

步骤六、按照下式，每一个签名参与者ID_i计算签名公钥Q并对签名公钥Q进行公开：

其中，Q表示签名公钥，∑表示求和操作；

步骤七、第一个签名参与者ID₁选取自己的秘密值k₁∈{1,2,…,n-1}，然后计算自己的秘密值k₁在模n下是否存在乘法逆元

如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k₁∈{1,2,…,n-1}并重新计算自己的秘密值k₁在模n下是否存在乘法逆元

直到找到一个存在乘法逆元

的秘密值k₁，然后执行下一步骤；

其中，k₁表示第一个签名参与者ID₁的秘密值，

表示第一个签名参与者ID₁的秘密值k₁在模n下的乘法逆元；

步骤八、按照下式，第一个签名参与者ID₁计算第一个签名参数中间值R₁，并将第一个签名参数中间值R₁发送给第二个签名参与者ID₂：

R₁＝k₁G

其中，R₁表示第一个签名参数中间值，ID₂表示第二个签名参与者；

步骤九、第i个签名参与者ID_i接收到第i-1个签名参数中间值R_i-1后，选取自己的秘密值k_i∈{1,2,…,n-1}，然后计算自己的秘密值k_i在模n下是否存在乘法逆元

如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_i∈{1,2,…,n-1}并重新计算自己的秘密值k_i在模n下是否存在乘法逆元

直到找到一个存在乘法逆元

的秘密值k_i，然后执行下一步骤，i＝2,3,…,t-1；

其中，k_i表示第i个签名参与者ID_i的秘密值，

表示第i个签名参与者ID_i的秘密值k_i在模n下的乘法逆元；

步骤十、按照下式，第i个签名参与者ID_i计算第i个签名参数中间值R_i，并将第i个签名参数中间值R_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t-1：

R_i＝k_iR_i-1

其中，R_i表示第i个签名参数中间值，R_i-1表示第i-1个签名参数中间值，ID_i+1表示第i+1个签名参与者；

步骤十一、第t个签名参与者ID_t接收到第t-1个签名参数中间值R_t-1后，选取自己的秘密值k_t∈{1,2,…,n-1}，然后计算自己的秘密值k_t在模n下是否存在乘法逆元

如果存在，则执行下一步骤，如果不存在，则重新选取自己的秘密值k_t∈{1,2,…,n-1}并重新计算自己的秘密值k_t在模n下是否存在乘法逆元

直到找到一个存在乘法逆元

的秘密值k_t，然后执行下一步骤；

其中，ID_t表示第t个签名参与者，k_t表示第t个签名参与者ID_t的秘密值，

表示第t个签名参与者ID_t的秘密值k_t在模n下的乘法逆元；

步骤十二、按照下式，第t个签名参与者ID_t计算签名参数R，然后判断签名参数R是否为椭圆曲线上的零点，如果是，则返回步骤六，如果不是，则将签名参数R广播给所有的签名参与者：

R＝k_tR_t-1＝(x_R,y_R)

其中，R_t-1表示第t-1个签名参数中间值，R表示签名参数，x_R表示签名参数R的横坐标，y_R表示签名参数R的纵坐标；

步骤十三、第i个签名参与者ID_i接收到签名参数R后，按照下式，计算第一部分签名r：

r＝x_Rmodn

然后判断r＝0是否成立，如果成立，则返回步骤三，如果不成立，则继续执行下一步骤；

其中，r表示第一部分签名，mod表示求模运算；

步骤十四、按照下式，第一个签名参与者ID₁计算消息M的哈希值H，然后按照数据类型转换规则，将H转换为一个整数e：

H＝hash(M)

其中，M表示消息，H表示消息M的哈希值，hash表示一个密码哈希算法，e表示哈希值H转换后的整数值；

步骤十五、第一个签名参与者ID₁选择paillier同态加密算法的私钥sk和公钥pk，将私钥sk秘密保存，并将公钥pk公开；

其中，paillier表示同态加密算法，sk表示paillier同态加密算法的私钥，用来做解密运算，pk表示paillier同态加密算法的公钥，用来做加密运算；

步骤十六、按照下式，第一个签名参与者ID₁计算第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁，然后将第一个签名生成参数第一部分α₁和第一个签名生成参数第二部分β₁发送给第二个签名参与者ID₂：

β₁＝E_pk(rd₁modn)

其中，α₁表示第一个签名生成参数第一部分，β₁表示第一个签名生成参数第二部分，E_pk(.)表示paillier同态加密算法的加密运算；

步骤十七、第i个签名参与者ID_i接收到第i-1个签名生成参数第一部分α_i-1和第i-1个签名生成参数第二部分β_i-1后，按照下式，计算第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i，然后将第i个签名生成参数第一部分α_i和第i个签名生成参数第二部分β_i发送给第i+1个签名参与者ID_i+1，i＝2,3,…,t-1：

β_i＝E_pk(rd_imodn)+_Eβ_i-1

其中，α_i表示第i个签名生成参数第一部分，β_i表示第i个签名生成参数第二部分，α_i-1表示第i-1个签名生成参数第一部分，β_i-1表示第i-1个签名生成参数第二部分，×_E表示paillier同态加密算法下的乘法同态运算，+_E表示paillier同态加密算法下的加法同态运算；

步骤十八、第t个签名参与者ID_t接收到第t-1个签名生成参数第一部分α_t-1和第t-1个签名生成参数第二部分β_t-1后，按照下式，计算第t个签名生成参数第一部分α_t和第t个签名生成参数第二部分β_t：

β_t＝E_pk(rd_tmodn)+_Eβ_t-1

其中，α_t表示第t个签名生成参数第一部分，β_t表示第t个签名生成参数第二部分，α_t-1表示第t-1个签名生成参数第一部分，β_t-1表示第t-1个签名生成参数第二部分，d_t表示第t个签名参与者ID_t的子私钥；

步骤十九、第t个签名参与者ID_t选取秘密混淆值ρ∈{1,2,…,n-1}，然后计算秘密混淆值ρ在模n下是否存在乘法逆元ρ^-1，如果存在，则执行下一步骤，如果不存在，则重新选取秘密混淆值ρ∈{1,2,…,n-1}并重新计算秘密混淆值ρ在模n下是否存在乘法逆元ρ^-1，直到找到一个存在乘法逆元ρ^-1的秘密混淆值ρ，然后执行下一步骤；

其中，ρ表示秘密混淆值，ρ^-1表示秘密混淆值ρ在模n下的乘法逆元；

步骤二十、按照下式，第t个签名参与者ID_t计算第t+1个签名生成参数第二部分β_t+1，然后将第t+1个签名生成参数第二部分β_t+1发送给第t-1个签名参与者ID_t-1：

其中，β_t+1表示第t+1个签名生成参数第二部分，ID_t-1表示第t-1个签名参与者；

步骤二十一、按照下式，第i个签名参与者ID_i计算第2t-i+1个签名生成参数第二部分β_2t-i+1，然后将第2t-i+1个签名生成参数第二部分β_2t-i+1发送给第i-1个签名参与者ID_i-1，i＝t-1,t-2,…,2：

其中，β_2t-i+1表示第2t-i+1个签名生成参数第二部分，β_2t-i表示第2t-i个签名生成参数第二部分；

步骤二十二、按照下式，第一个签名参与者ID₁计算第2t个签名生成参数第二部分β_2t，然后将第2t个签名生成参数第二部分β_2t发送给第t个签名参与者ID_t：

其中，β_2t表示第2t个签名生成参数第二部分，β_2t-1表示第2t-1个签名生成参数第二部分；

步骤二十三、按照下式，第t个签名参与者ID_t计算第2t+1个签名生成参数第二部分β_2t+1：

β_2t+1＝β_2t×_Eρ^-1

其中，β_2t+1表示第2t+1个签名生成参数第二部分；

步骤二十四、按照下式，第t个签名参与者ID_t计算第二部分签名s在paillier同态加密下的密文C，然后将第二部分签名s在paillier同态加密下的密文C发送给第一个签名参与者ID₁：

C＝α_t+_Eβ_2t+1

其中，s表示第二部分签名，C表示第二部分签名s在paillier同态加密下的密文；

步骤二十五、按照下式，第一个签名参与者ID₁计算第二部分签名s：

s＝D_sk(C)modn

其中，D_sk(.)表示paillier同态加密算法的解密运算；

步骤二十六、按照下式，第一个签名参与者ID₁计算签名验证参数R′，R′＝(x_R′,y_R′)：

R′＝s^-1(eG+rQ)

其中，R′表示签名验证参数，x_R′表示签名验证参数R′的横坐标，y_R′表示签名验证参数R′的纵坐标，s^-1表示第二部分签名s在模n下的乘法逆元；

步骤二十七、按照下式，第一个签名参与者ID₁计算第一部分签名的验证参数r′，然后判断等式r′＝r是否成立，如果成立，则执行下一步骤，如果不成立，则签名失败，返回步骤六：

r′＝x_R′modn

其中，r′表示第一部分签名的验证参数；

步骤二十八、第一个签名参与者ID₁提取签名(r,s)，然后将签名(r,s)广播给所有签名参与者；

其中，(r,s)表示最终生成的签名。

Images