[发明专利]数字签名方法及验证方法、设备、存储介质

说明书

本发明公开一种数字签名和验证方法及装置、存储介质，主要解决采用Pedersen commitment作为签名验证公钥的签名问题。其中方法包括签名的过程：针对Pedersen commitment C＝gsupgt;x/supgt;hsupgt;a/supgt;(该C即为对应的签名验证公钥)，采用哈希算法对待签名消息m、签名验证公钥C和预先选取的随机数R进行哈希运算得到一个随机值e，e＝Hash(R，C，m)，然后基于随机值e计算中间参数u，v，再采用随机数R和中间参数u，v组成待签名消息m的一个签名(R，u，v)；还包括签名后的验证过程：基于中间参数u，v计算验证参数S，S＝gsupgt;u/supgt;hsupgt;v/supgt;；若等式S＝RCsupgt;e/supgt;成立，则确认针对待签名消息m的签名验证通过。采用本发明，给应用Pedersen commitment方案的区块链提供一种签名和验证方法，在保证签名安全性的前提下，可以提高签名的便捷性。

技术领域

本发明涉及区块链和加密技术领域，尤其涉及一种数字签名方法及验证方法、设备、存储介质。

背景技术

当前已知的数字签名算法，比如Schnorr签名算法(美国专利U.S.Pat.No.4,995,082)，或Gregory Maxwell等人所开发的MuSig签名方案(文献“Simple Schnorr Multi-Signatures with Applications to Bitcoin”)被认为是纯公钥模型下的安全的签名方案，纯公钥模型的意思是签名方案的安全性只依赖于一个且唯一一个要求，即每个签名者必须拥有一个合格的公钥，该公钥由签名者独立生成。这些签名方案都有一个基本的要求，即签名者必须知道私钥，否则无法执行签名。

Commitment方案是一个基本的密码学原语，它允许使用者将一个数值以一种方式置入一个盒子中，以便没有人可以窥探该数值的实际值(即隐藏特性)，但是使用者自己无法用两种不同的方式来拆解这个盒子(即绑定特性)。多个数值在执行各自的Commitment以后，依然有办法可以证明所置入的这些数值之间所满足的一些数学关系而无需揭示任何关于这些数值本身的具体值，即Commitment具备零知识证明特性。

为了支持交易的隐私保护功能，一些区块链项目采用Pedersen commitment(由TorbenPryds Pedersen开发，见文献“Non-Interactive and Information-TheoreticSecure Verifiable Secret Sharing”)作为交易输入和输出格式，从而使得交易金额数值得以隐藏。Pedersen commitment的定义是：给定两个生成元g和h，并使得h的离散对数解无人知晓，即没有人知道一个数值y使得h＝g^y，取一个随机的用户私钥x，一个用以隐藏数值a的标准的Pedersen commitment构造方式可以定义为：C＝g^xh^a。

Pedersen commitment具有完美隐藏特性和计算绑定特性，现有技术中，Pedersencommitment有很多替代方案，如Time Ruffing等人开发的Switch commitment方案(见文献“Switch Commitments:A Safety Switch for Confidential Transactions”)，Switchcommitment的绑定特性介于计算绑定和统计绑定之间。再如ElGamal commitment方案，具有完美绑定特性和计算隐藏特性，一个典型的ElGamal commitment可以定义为(g^xh^a,h^x)，其前半部分就是一个Pedersen commitment。

以上commitment方案都有一个共同特点，即commitment本身就是/或包含一个椭圆曲线点，即一个公钥，该公钥虽然必有一个对应的私钥然而却无人知晓。因而也就不能直接将commitment作为签名验证公钥用于现有的任何一种数字签名方案。