[发明专利]SM9数字签名分离交互生成方法及系统

摘要

发明涉及SM9数字签名的分离交互生成方法：装置1和装置2有[1,n‑1]内的整数秘密c1,c2，n为G1、G2、GT的阶；PA＝[(c1c2)‑1]dA，dA是用户的SM9私钥；当需使用dA针对消息M数字签名时，两装置先计算w＝g^(r1r2)，r1、r2是装置1、2在[1,n‑1]中任选整数，g＝e(P1,Ppub)；若w≠g^h，装置1计算h＝H2(M||w,n)，S1＝[r1]PA，将S1发送给装置2；装置2计算S2＝[c2r2]S1+[‑c2h]PA，将S2发送给装置1；装置1计算S＝[c1]S2，验证(h,S)作为消息M数字签名的有效性，若验证通过，则(h,S)为消息M的数字签名。

主权项

一种SM9数字签名分离交互生成方法，其特征是：所述方法涉及两个分别标号为第1号和第2号的装置；两个装置分别保存有[1,n‑1]区间内的整数秘密c1,c2，其中n为SM9密码算法中群G1、G2、GT的阶，ci是第i号装置保存的秘密，i＝1,2；在初始化阶段预先计算得到：PA＝[(c1c2)‑1]dA，其中dA是用户的身份标识IDA所对应的SM9标识私钥，(c1c2)‑1为(c1c2)mod n的模n乘法逆；当需要使用用户的SM9标识私钥dA针对消息M进行数字签名时，两个装置按如下方式进行数字签名的生成：首先，两个装置通过交互计算得到w＝g^(r1r2)或者w＝g^(r1+r2)，其中r1是第1号装置在[1,n‑1]区间内随机选择的整数，r2是第2号装置在[1,n‑1]区间内随机选择的整数，g＝e(P1,Ppub)，P1为G1中的生成元，Ppub为主公钥；然后，第1号装置计算h＝H2(M||w,n)，其中H2为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G1、G2、GT的阶；第1号装置检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；第1号装置取S0＝PA，S1＝[r1]PA或者取S0＝[(r1)‑1]PA，S1＝PA，将S0、S1发送给第2号装置；第2号装置接收到S0、S1后，按如下方式进行S2的计算：若w的计算式是w＝g^(r1r2)，则S2＝[c2r2]S1+[‑c2h]S0；若w的计算式是w＝g^(r1+r2)，则S2＝[c2]S1+[c2(r2‑h)]S0；第2号装置将S2发送给第1号装置；第1号装置接收到S2后按如下方式计算S：若第1号装置之前取S0＝PA，则S＝[c1]S2；若第1号装置之前取S0＝[(r1)‑1]PA，则S＝[c1r1]S2；然后第1号装置利用用户的身份标识IDA、消息M，验证(h,S)作为消息M的数字签名的有效性，若有效，则(h,S)为生成的针对消息M的数字签名，否则，第1号装置报错，或者两个装置重新生成数字签名。