[发明专利]一种基于加密的私钥秘密的数字签名生成方法及系统

摘要

本发明涉及一种基于加密的私钥秘密的数字签名生成方法:c₁,…,c_m是m个装置分别保存的[1,n‑1]中任选的整数秘密，其中一个装置还保存有满足关系c_m+1＝(c₁c₂…c_m)(1+d_A)^‑1mod n的c_m+1，其中n是SM2椭圆曲线基点的阶；m个装置通过使用c₁,…,c_m,c_m+1及G_c＝[(c₁c₂…c_m)^‑1]G协同生成使用用户SM2私钥d_A针对消息的数字签名；与现有技术不同，本发明不保存不使用私钥的秘密份额，而是使用加密后的私钥秘密，从而提高了方案的安全性；进一步地每个装置可更新自己的秘密c_i，从而进一步提高方案的安全性。基于所述方法构建的数字签名生成系统包括应用所述方法的m个装置。

主权项

1.一种基于加密的私钥秘密的数字签名生成方法，其特征是：所述方法涉及m个装置，其中m≥2；m个装置分别标号为第1号到第m号装置；m个装置分别保存有[1,n‑1]区间内的整数秘密c₁,c₂,…,c_m，其中c_i是由第i号装置保存的秘密，i＝1,…,m；第m号装置同时保存有[1,n‑1]区间内的整数c_m+1；m个装置保存的秘密满足如下关系：c_m+1＝(c₁c₂…c_m)^‑1(1+d_A)^‑1mod n，其中，d_A是用户的SM2私钥，n是SM2密码运算所使用的椭圆曲线点群的阶，也即SM2密码运算所使用的椭圆曲线点群的基点G的阶；在初始化阶段预先计算得到：G_c＝[(c₁c₂…c_m)^‑1]G，P＝[d_A]G，其中，d_A是用户的SM2私钥，G是SM2密码运算所使用的椭圆曲线点群的基点，P是d_A对应的公钥；将G_c分发给所述m个装置、将P公开发布；当需要使用用户的SM2私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成：第1号装置在[1,n‑1]区间内随机选择一整数k₁，计算G₁＝[k₁]G_c或G₁＝[c₁k₁]G_c；第1号装置将G₁传送给下一个装置即第2号装置；第i号装置接收到G_i‑1后，i＝2,…,m，在[1,n‑1]区间内随机选择一整数k_i，计算G_i＝[c_i]G_i‑1+[k_i]G_c或G_i＝[c_i](G_i‑1+[k_i]G_c)；不同的装置计算G_i采用的计算公式相同或者不同；若i≠m，则完成G_i计算后，第i号装置将G_i传送给下一装置即第i+1号装置，直到第m号装置完成G_m的计算；若i＝m，则完成G_m计算后，第m号装置在[0,n‑1]区间内固定或随机选择一个整数k_m+1，计算G_m+1＝G_m+[k_m+1](G+P)或G_m+1＝(G_m+[k_m+1]G_c)，之后转入计算r；完成G_m+1的计算后，由m个装置中的一个装置或者由m个装置之外的一个装置计算r＝(e+x₁)mod n，其中x₁取自(x₁,y₁)＝G_m+1，e是从用户标识和消息M导出的杂凑值；若得到的r、G_m+1满足：r≠0且[r]G+G_m+1不是SM2椭圆曲线点群的零元，则继续计算数字签名，否则，重新计算G₁,…,G_m,G_m+1和r，直到r≠0且[r]G+G_m+1不是SM2椭圆曲线点群的零元；完成r的计算后转入s的计算；第1号装置选取s₀＝r；第1号装置按如下方式计算s₁：若之前计算G₁采用公式G₁＝[k₁]G_c，则s₁＝(c₁s₀+k₁)mod n；若之前计算G₁采用公式G₁＝[c₁k₁]G_c，则s₁＝(c₁s₀+c₁k₁)mod n；第1号装置将s₁传送给下一个装置即第2号装置；第i号装置接收到s_i‑1后，i＝2,…,m，按如下方式计算s_i：若之前计算G_i采用公式G_i＝[c_i]G_i‑1+[k_i]G_c，则s_i＝(c_is_i‑1+k_i)mod n；若之前计算G_i采用公式G_i＝[c_i](G_i‑1+[k_i]G_c)，则s_i＝c_i(s_i‑1+k_i)mod n；若i≠m，则完成s_i计算后，第i号装置将s_i传送给下一装置即第i+1号装置，直到第m号装置完成s_m的计算；若i＝m，则完成s_m计算后，第m号装置按如下方式计算s_m+1：若之前计算G_m+1采用公式G_m+1＝G_m+[k_m+1](G+P)，则s_m+1＝(c_m+1s_m+k_m+1)mod n；若之前计算G_m+1采用公式G_m+1＝(G_m+[k_m+1]G_c)，则s_m+1＝c_m+1(s_m+k_m+1)mod n第m号装置计算得到s＝(s_m+1‑r)mod n；(r,s)就是生成的针对消息M的数字签名。