[发明专利]基于乘积秘密共享的SM9数字签名简捷生成方法及系统

摘要

基于乘积秘密共享的SM9数字签名简捷生成方法：m个标号为第1号到第m号的装置分别保存有[1,n‑1]中的整数秘密ci，n为SM9群的阶，i＝1,…,m，m≥2；PA＝[(c1c2…cm)‑1]dA，PB＝[b]dA，dA为用户私钥，b为[1,n‑1]内m个装置都不知的整数秘密；Q1＝[(c2c3…cm)‑1]PB，Q2＝[(c3…cm)‑1]PB，Qm‑1＝[(cm)‑1]PB，Qm＝PB；当需使用dA对消息签名时，计算得到w＝gB^(r1+r2+…+rm)，h＝H2(M||w,n)，取S0＝[‑h]PA，m个装置递归计算Si＝[ri]Qi+[ci]Si‑1，令S＝Sm，则(h,S)为针对消息的数字签名。

主权项

1.一种基于乘积秘密共享的SM9数字签名简捷生成方法，其特征是：所述方法涉及m个分别标号为第1号，第2号，…，到第m号的装置，m≥2；第i号装置保存有[1,n‑1]区间内的整数秘密c_i，i＝1,…,m，其中n为SM9密码算法中群G₁、G₂、G_T的阶；预先计算有：P_A＝[c^‑1]d_A，其中d_A为用户的SM9标识私钥，c＝(c₁c₂…c_m)mod n为m个装置都没有保存的整数秘密，c^‑1为c的模n乘法逆；P_B＝[b]d_A，其中b是[1,n‑1]区间内的m个装置都没有保存的整数秘密；b和c^‑1不必互异，b≠c；g_B＝g^b，其中^是幂运算，g＝e(P₁,P_pub)，P₁为G₁中的生成元，P_pub为主公钥；Q₁＝[(c₂c₃…c_m)^‑1]P_B，Q₂＝[(c₃…c_m)^‑1]P_B，…，Q_m‑1＝[(c_m)^‑1]P_B；取Q_m＝P_B；m个装置都不保存d_A；当需要使用用户的SM9标识私钥d_A针对消息M进行数字签名时，m个装置按如下方式进行数字签名的生成：首先，m个装置通过交互计算得到w＝g_B^(r₁+r₂+…+r_m)，其中r_i是计算过程中第i号装置在[1,n‑1]区间内随机选择的整数，i＝1,…,m；然后，计算h＝H₂(M||w,n)，其中H₂为SM9中规定的散列函数，M||w表示M和w的字串合并，n为G₁、G₂、G_T的阶；检查w与g^h是否相等，若w＝g^h，则两个装置重新进行w的计算，直到w≠g^h；取S₀＝[‑h]P_A；第1号装置计算S₁＝[r₁]Q₁+[c₁]S₀，其中r₁与计算w时的r₁相同，然将S₁传送给第2号装置；第i号装置接收到S_i‑1后，i＝2,…,m，计算S_i＝[r_i]Q_i+[c_i]S_i‑1，其中r_i与计算w时的r_i相同；若i＝m，则取S＝S_m，(h,S)为生成的针对消息M的数字签名，否则，将S_i传送给第i+1号装置，直到完成S_m的计算。