一个具有前向安全的门限数字签名方法与系统

摘要

本发明属于信息安全技术领域，涉及对数字信息进行签名问题，更确切地说是涉及一种能够增加敌手窃取签名密钥难度并且能够减轻签名密钥泄露影响的数字签名方法与系统。该签名方法通过应用Shamir秘密共享技术以及多方安全计算技术为一个经典的基础数字签名方法添加了门限机制与子秘密更新机制。门限机制增强了签名密钥的安全性，并可以起到权利分散的作用；子秘密更新机制实现了签名密钥的前向安全，即：即使敌手获得当前时间段的签名密钥，敌手也不能够通过该密钥伪造出一个属于前一时间段的合法签名，保护了以前的签名的有效性，降低了密钥泄露的损失。另外，该签名方法还包括一个成员加入机制，加强了方案的安全性和适用范围。

主权项

1、一种数字签名方法与签名系统，该签名方法具有门限机制、子秘密更新机制以及成员加入机制。其特征是，以Shamir-SS协议、Mult-SS协议、Joint-Shamir-RSS协议为基础模块，设计出的前向安全的门限签名方案(FST-SIG签名方案)。整个数字签名方案包括五个部分：密钥生成协议、密钥进化协议、签名协议、签名验证算法、新成员加入协议。方案中涉及到的协议及算法的核心内容如下：Protocol FST-SIG.keygen(k，T)  // 密钥生成协议(1).分发者挑选两个随机的大素数p和q，并且满足p≡q≡3(mod4)，p，q需要保密；(2).分发者计算N，使N＝pq；(3).分发者在Z_N^*中随机选取S₀并计算U，$U={\left(S_0^{2^{l(T+1)}}\right)}^{-1};$(4).分发者利用Shamir-SS，在Z_n上计算S₀的子秘密：(5).令${\mathrm{SK}}_0^{\left(\rho \right)}=(N,T,0,S_0^{\left(\rho \right)})$(ρ＝1，2，…，n)，PK＝(N，T，U)；(6).分发者通过保密的信道将发送给第ρ个参与者并发布签名验证密钥PK。Protocol FST-SIG.sign(m，j)  // 签名协议(1).参与者利用Joint-Shamir-RSS共同生成随机数R(R∈Z_N)，每个参与者拥有R的子秘密R^(ρ)；(2).参与者根据R^(ρ)利用Mult-SS计算Y，使Y＝R^2l(T+1-j)；(3).每一个参与者ρ计算σ＝H(j，Y，m)；(4).利用Mult-SS参与者联合计算$Z={\mathrm{RS}}_j^{\sigma };$(5).公布消息m的签名<j，(Z，σ)>。Algorithm FST-SIG.verify(m，PK，sign)  // 签名验证算法假设：PK是(N，U，T)；sign是<j，(Z，σ)>；ifZ≡0(modN)return(0)；else Y′＝Z^2l(T+1-j)U^σmod N；if σ＝＝H(j，Y′，m)then return(1)；else return(0)；Protocal FST-SIG.update(j)  // 密钥进化协议(1).如果j＝T，则返回空串；否则，执行：(2).参与者根据各自的子秘密利用Mult-SS，计算S_j-1的2^l次方S_j的子秘密(3).每个参与者ρ删除Protocal FST-SIG.jion(j，n+1)//成员加入协议(1).每一个参与者P_i，i∈{1…n}在Z_q上选取一个随机t次多项式δ_i(x)，满足δ_i(n+1)＝0。(可以这样选取：在Z_q上选取随机数{δ_ij}_j∈{1…t}然后计算δ_i0＝-∑_j∈{1…t}δ_ij(n+1)^j(modq)。)(2).每个参与者P_i使用其他参与者P_j的公钥加密δ_i(j)(j∈{1…n}，j≠i)得到{ENC_j(δ_i(j))}并广播。(3).每个参与者P_i计算$S_j^{\left(i\right)\prime }=S_j^{\left(i\right)}+{\Sigma }_{P_j\in D}{\delta }_j\left(i\right)$并将保密传送给P_n+1。(4).新加入者P_n+1获得所有的用拉格朗日插值法恢复出属于他的子秘密，进而获得签名子密钥${\mathrm{SK}}_j^{(n+1)}=(N,T,j,S_j^{(n+1)}).$Shamir-SS算法算法参数：Z，s，n，t(1).执行者在集合Z中选择t个随机数a₁，a₂，…，a_t作为系数，以秘密s作为常数项构造t次多项式f(x)＝s+a₁x+a₂x²+…a_tx^t；(2).执行者为多项式赋值，得到关于秘密s的子秘密s₁＝f(1)，s₂＝f(2)，…，s_n＝f(n)。Mult-SS协议参与者P_i的输入：f_α(i)和f_β(i)的值(1).参与者选取一个随机t次多项式h_i(x)，满足h_i(0)＝f_α(i)f_β(i)，用各个参与者对应的公钥加密属于他们的值h_i(j)得到1≤j≤2t+1并以广播的形式将这些加密后的子秘密公布出去。(2).每一个参与者P_j接收解密出h_i(j)，然后计算属于他的αβ的子秘密：$H\left(j\right)=\underset{i=1}{\overset{2t+1}{\Sigma }}{\lambda }_i{h}_i\left(j\right).$Joint-Shamir-RSS协议(1).参与者P_i选取一个随机数s_i作为秘密，并选取t个随机数a_i1，a_i2，…，a_it作为系数构造t次多项式f_i(x)＝s_i+a_i1x+a_i2x²+…a_itx^t；(2).参与者P_i计算属于每一个参与者的子秘密：，用各个参与者对应的公钥加密属于他们的子秘密得到$E_{{\mathrm{PK}}_1}\left(S_i^{\left(1\right)}\right),E_{{\mathrm{PK}}_2}\left(S_i^2\right),···,E_{{\mathrm{PK}}_n}\left(S_i^{\left(n\right)}\right)$，并以广播的形式将这些加密后的子秘密公布出去；(3).每一个参与者P_j解密所有接收到的得，而参与者P_j掌握的对应的联合生成的随机数的子秘密为$S_1^{\left(j\right)}+S_2^{\left(j\right)}+···S_n^{\left(j\right)}.$