[发明专利]一种两方SM2数字签名生成方法

摘要

本发明公布了一种两方SM2数字签名的生成方法，属于信息安全技术领域，利用Paillier同态加密方案使互不信任的双方可以合作生成SM2数字签名。本发明还针对性的给出了零知识证明的构造方法，以证明双方在合作过程中没有违反协议的行为，当签名失败时，通过零知识证明可以快速鉴别出不合作的一方。相比基于多项式秘密共享的两方签名方案，本发明方法具有更高的效率、更好的安全性及隐私性。

主权项

1.一种两方SM2数字签名的生成方法，所述SM2为SM2椭圆曲线公钥密码算法的简称；所述方法基于Paillier同态加密方案实现；假设d是双方的公共私钥，满足d≡_nd₁d₂‑1，其中是第一方的私钥；是第二方的私钥；表示阶为n的有限域；P、P₁、P₂均为双方所共知的公钥；P＝dG、P₁＝d₁G、P₂＝d₂G；G为椭圆曲线的基点；通过以下步骤实现两方合作对消息m签出公钥P对应的SM2签名：1)初始化，执行如下操作：11)由可信的第三方生成参数其中均为安全质数；12)可信第三方随机生成阶为的参数h₂：随机数13)可信第三方计算14)对两方均公开h₁、h₂，销毁χ；2)进行签名：两方合作对消息m签出私钥d1d2‑1对应的签名，且签名过程中两方均不会向对方泄露自己的私钥；具体执行如下操作：21)第一方生成临时私钥k1，并将消息m及(d1)‑1、(d1)‑1k1用pk加密后的值即＜m,α,ζ>发给第二方；pk为第一方的Paillier加密的公钥；22)第二方对从第一方收到的数据进行一致性校验，并生成临时私钥k2，将Q2＝k2G发送给第一方；23)第一方收到Q2后计算出临时公钥Q；并将Q附带一个零知识证明П发送给第二方；П可使第二方确信第二方后续发送给第一方的消息不会泄露自己的私钥；24)第二方收到＜Q,Π>后，校验П及Q；如果校验通过，利用步骤21)收到的α、ζ、m、Q及自己的临时私钥k2、私钥x2，进行一系列同态乘操作×pk及同态加操作+pk，生成密文u；第二方将u、u′←Epk′((k2)‑1及零知识证明Π′即＜u,u′,П′>发送给第一方；25)第一方收到＜u,u′,П′>后对u、u′及П′进行校验，校验通过后解密u，经过计算得到签名；3)验签：其他人利用公钥P对第一方得到的签名进行验签；4)生成证明ProofП及进行校验；执行如下操作：ProofΠ满足：其中，pk＝＜N,g>为Paillier同态加密的公钥；sk＝＜N,g,λ(N)>为对应的私钥，满足N>n6；假设生成证明的一方知道η₁,r₁,使得[η₁]P₁≡G，[η₂/η₁]G≡Q₁，及生成证明Proof∏的步骤包括：41)生成随机参数，包括：σ、β、γ、ρ1、δ、μ、v、ρ2、ρ3、∈；42)计算得到ProofΠ中的各项参数，包括：z1、U1、u2、u3、z2、Y、V1、V2、v3、v4、e、s1、s2、s3、t1、t2、t3、t4；43)生成Proof∏：П←＜z1,U1,u2,u3,z2,Y,V1,V2,v3,v4,s1,s2,s3,t1,t2,t3,t4>；5)ProofП′的生成及校验；ProofП′构造为如下形式：其中，pk＝＜N,g>；sk＝＜N,g,λ(N)>及pk′＝＜N′,g′>、sk′＝＜N′,g′,λ(N′)>为两对Paillier加密的公私钥，且满足N>n⁸，N′>n⁶，n₁,n₂∈[‑n⁴,n⁴]，D_sk(m₃)＝n₁，D_sk(m₄)＝n₂，生成证明方已知：η₁,r₁,使得[η₁]P₂≡G、[η₂/η₁]G≡Q₂、及ProofΠ′的构建过程包括：51)生成随机参数，包括：α、β、γ、ρ1、δ、μ、v、ρ2、ρ3、ρ4、∈、σ、τ；52)计算ProofΠ′中的各项参数，包括：z1、U1、u2、u3、z2、Y、V1、V2、v3、v4、z3、v5、e、s1、s2、s3、t1、t2、t3、t4、t5、t6；53)生成ProofΠ′：Π′←＜z1,U1,u2,u3,z2,z3,Y,V1,V2,v3,v4,v5,s1,s2,s3,t1,t2,t3,t4,t5,t6>通过上述步骤，实现两方合作生成SM2数字签名。