[发明专利]数字签名门限方法和装置

说明书

本申请实施例提供了一种数字签名门限方法，该方法包括：第一计算机设备获取第一矩阵；确定第一向量和第二向量；根据所述第一矩阵、所述第一向量和所述第二向量，确定第一密钥参数份；接收来自于a个计算机设备的a个密钥参数份；根据所述第一密钥参数份和所述a个密钥参数份，确定密钥参数的高位比特和低位比特；根据矩阵种子和所述密钥参数的高位比特，确定第一随机数；根据所述第一向量、所述第二向量、所述密钥参数的低位比特、所述第一随机数和所述矩阵种子，确定第一消息的签名信息；所述第一计算机设备向第二计算机设备发送所述第一消息和所述第一消息的签名信息。本申请的技术方案能够提高密钥管理的安全性，及抵抗侧信道攻击。

技术领域

本申请涉及密码学领域，具体涉及一种数字签名门限方法和装置。

背景技术

门限密码的工作原理是将密钥通过秘密共享方案(t-out-of-n secret sharing)拆分成n份并分发给n方独立保管，其中任意的≥t方一起可在不恢复密钥的情况下行使密钥的功能，如解密或签名。而密钥的私密性对于任意小于t方来说是信息论意义的，即完全获取不到密钥的任何有效信息。随着量子计算机的发展，传统的数字签名算法面临着被破解的风险。后量子数字签名算法是能够抵抗量子计算机对现有密码算法攻击的新一代密码算法。虽然对于门限传统密码的研究已经相当充分，但现阶段对门限后量子签名算法的研究却很少。

因此，如何对后量子数字签名算法进行门限化从而保证后量子密钥的安全，是一个亟待解决的问题。

发明内容

本申请实施例提供一种数字签名门限方法和装置，能够提高密钥管理的安全性，及在一定程度上可以抵抗侧信道攻击。

第一方面，提供了一种数字签名门限方法，该方法包括：第一计算机设备获取第一矩阵，所述第一矩阵为k行l列的矩阵，k和l为大于等于1的正整数；所述第一计算机设备确定第一向量和第二向量；所述第一计算机设备根据所述第一矩阵、所述第一向量和所述第二向量，确定第一密钥参数份；所述第一计算机设备接收来自于a个计算机设备的a个密钥参数份，a为大于或等于p-1的正整数，p为秘密共享方案的最小计算机设备数目；所述第一计算机设备根据所述第一密钥参数份和所述a个密钥参数份，确定密钥参数的高位比特和低位比特；所述第一计算机设备根据矩阵种子和所述密钥参数的高位比特，确定第一随机数；所述第一计算机设备根据所述第一向量、所述第二向量、所述密钥参数的低位比特、所述第一随机数和所述矩阵种子，确定第一消息的签名信息；所述第一计算机设备向第二计算机设备发送所述第一消息和所述第一消息的签名信息，所述第二计算机设备为所述a个计算机设备中的一个。

应理解，系统中有m个计算机设备，p为秘密共享方案的最小计算机设备数目，p小于等于m。

示例性地，第一矩阵可以用矩阵A表示。可选地，矩阵A可以根据公式A∈R_q^k×l:＝ExpandA(ρ)确定。其中，矩阵A为k×l的矩阵，矩阵A中的每一个元素都是多项式，每一个多项式可以由公开种子ρ随机生成，且每一个多项式的系数都是小于q的整数，q是一个素数。

可选地，获取矩阵A的方式可以是第一计算机设备通过公开种子ρ随机生成矩阵A，也可以使用预设的矩阵A，或者矩阵A也可以由多个计算机设备共同生成。例如，k＝5，l＝6，则矩阵A为5行6列的矩阵。其中，第一计算机设备生成矩阵A的其中一行元素，第二计算机设备生成剩下四行元素。或者，第一计算机设备生成矩阵A的其中一列元素，第二计算机设备生成另一列元素，第三计算机设备生成剩下四列元素。矩阵A的具体生成方式本申请不作限定。

应理解，矩阵A对于系统中m个计算机设备来说是公开的，也就是每个计算机设备都可以获得矩阵A。生成矩阵A的计算机设备可以将得到的矩阵A分发给系统中m个计算机设备。m个计算机设备也可以直接使用预设的矩阵A。