[发明专利]两方EdDSA协同签名协议

权利要求书

1.两方EdDSA协同签名协议，包括密钥生成、签名过程和验证过程，其特征在于所述密钥生成过程：构造哈希函数H(·)，生成密钥sk，所述密钥生成中密钥sk分割成多个部分，并由双方分别保管；

所述签名过程：第一方和第二方共同完成签名过程，最后所得的签名为coding(R)||coding(S)，其中S由第一方所得，R由第二方所得；

所述验证过程：对于明文M签名后的消息coding(R)||coding(S)，使用验证密钥coding(A)验证；判断等式是否成立。

2.根据权利要求1所述的两方EdDSA协同签名协议，其特征在于所述密钥sk包括三个部分，第一部分是第一个l’/4位的d₁₁，第二部分是第二个l’/4位的d₁₀，最后一部分是其余的l’/2位的d₂。

3.根据权利要求2所述的双方EdDSA协同签名协议，其特征在于所述的密钥d₁₁、d₁₀、d₂分配完成后，第一部分是由第一方保存，剩下的两个部分是由第二方保存；第一方需要发送SHA256([s₁]B)给第二方，第二方发送在发送[s₂]B给第一方，第一方收到[s₂]B后，再发送[s₁]B给第二方。

4.根据权利要求2所述的两方EdDSA协同签名协议，其特征在于所述的共同完成签名的过程为：

1)第一方通过d₁₁计算出r₁＝H(d₁₁||M)，并计算σ_A＝(r₁-s₁-α)modL以及R_A＝[α]B；第一方将σ_A和R_A发送给第二方；

2)第二方通过d₁₀计算r₂＝H(d₁₀||M)，并令β＝H(coding(R)||coding(A)||M)；当第二方接收到第一方发送的σ_A和R_A后，计算出[r₁]B的值，于是能够得到R＝[r₁]B+[r₂]B＝[r]B；

3)第二方计算σ_B＝[σ_A+r₂+β(s₂-σ_A)]modL，并将σ_B和β发送给第一方；

4)第一方接收到σ_B和β后，计算出S＝[σ_B+s₁+α+β(r₁-α)]modL＝(r+βs)modL；

5)最后双方共同所得到的签名为coding(R)||coding(S)。

5.根据权利要求1所述的两方EdDSA协同签名协议，其特征在于所述哈希函数H(·)为h＝H(coding(R)||coding(A)||M)，将任意长度的比特串编码为l’长度的字符串；当xl’/2时，将其填充为l’/2比特，当x＝l’/2，将x分为l’/4比特的x₀，l’/4比特的x₁，剩下的为x₂，然后计算H(x)＝h(x₀||x₂)||h(x₁||x₂)。