基于RSA的实用门限签名算法

转载

shift0ogg 2021-08-06 10:33:54

文章标签 密码正确性证明签名验证数字签名区块链技术 文章分类 数据结构与算法人工智能

1 门限签名

门限签名是普通数字签名的一个重要分支，是门限秘密共享技术和数字签名的一种结合。1991年，Desmedt-Frankel首次提出了 $基于RSA的实用门限签名算法_数字签名$ 门限签名方案。 $基于RSA的实用门限签名算法_数字签名$ 门限签名方案是指由 $基于RSA的实用门限签名算法_签名验证_03$ 个成员组成一个签名群体，该群体有一对公钥和私钥，群体内大于等于 $基于RSA的实用门限签名算法_区块链技术_04$ 个合法、诚实的成员组合可以代表群体用群私钥进行签名，任何人可利用该群体的公钥进行签名验证。这里 $基于RSA的实用门限签名算法_区块链技术_04$ 是门限值，只有大于等于 $基于RSA的实用门限签名算法_区块链技术_04$ 个合法成员才能代表群体进行签名，群体中任何 $基于RSA的实用门限签名算法_签名验证_07$ 个或更少的成员不能代表该群体进行签名，同时任何成员不能假冒其他成员进行签名。采用门限签名方式可以实现权力分配，避免滥用职权。

2 基于RSA的门限签名

本算法[1]由IBM实验室提出，算法有以下特点：

1. it is unforgeable and robust in the random oracle model, assuming the RSA problem is hard;
2. signature share generation and verification is completely non-inter-active;
3. the size of an individual signature share is bounded by a constant times the size of the RSA modulus.

算法流程：

2.1 RSA算法

2.1.1 RSA加解密

首先，RSA算法的安全性是建立在大整数因子分解的困难性之上的。

秘钥生成：选择两个互异的大素数 $基于RSA的实用门限签名算法_密码_09$ 和 $基于RSA的实用门限签名算法_签名验证_10$ ，二者保密。计算 $基于RSA的实用门限签名算法_签名验证_11$ ，公开 $基于RSA的实用门限签名算法_签名验证_03$ 。 $基于RSA的实用门限签名算法_签名验证_13$ ， $基于RSA的实用门限签名算法_区块链技术_14$ 保密，选择一个公开的随机数 $基于RSA的实用门限签名算法_区块链技术_15$ ，满足 $基于RSA的实用门限签名算法_区块链技术_16$ ，计算 $基于RSA的实用门限签名算法_数字签名_17$ ， $基于RSA的实用门限签名算法_签名验证_18$ 保密。此时，公钥为 $基于RSA的实用门限签名算法_签名验证_19$ ，私钥为 $基于RSA的实用门限签名算法_区块链技术_20$ 。
加密：加密结果 $基于RSA的实用门限签名算法_区块链技术_21$ ，已知条件 $基于RSA的实用门限签名算法_正确性证明_22$ ，公钥 $基于RSA的实用门限签名算法_签名验证_19$ 。
解密：解密结果 $基于RSA的实用门限签名算法_数字签名_24$ ，已知条件 $基于RSA的实用门限签名算法_数字签名_25$ ，私钥 $基于RSA的实用门限签名算法_区块链技术_26$ 。

2.1.2 RSA签名验签

选取整数 $基于RSA的实用门限签名算法_签名验证_11$ ，消息空间与签名空间均为整数空间，即 $基于RSA的实用门限签名算法_正确性证明_28$ ，定义秘钥集合 $基于RSA的实用门限签名算法_签名验证_29$ 。

对 $基于RSA的实用门限签名算法_签名验证_30$ ，Bob要对 $基于RSA的实用门限签名算法_密码_31$ 签名，取 $基于RSA的实用门限签名算法_签名验证_32$ ， $基于RSA的实用门限签名算法_密码_33$ ，于是验证等式 $基于RSA的实用门限签名算法_签名验证_34$ 是否成立。

2.2 系统初始化

系统中有 $基于RSA的实用门限签名算法_数字签名_35$ 个参与者，编号分别为 $基于RSA的实用门限签名算法_密码_36$ ，有一个可信的dealer和一个敌手adversary。dealer选择两个长度（512bit）相等的素数 $基于RSA的实用门限签名算法_密码_09$ 和 $基于RSA的实用门限签名算法_签名验证_10$ ，设 $基于RSA的实用门限签名算法_区块链技术_39$ ，其中 $基于RSA的实用门限签名算法_正确性证明_40$ 也都是素数。RSA模 $基于RSA的实用门限签名算法_签名验证_11$ ，令 $基于RSA的实用门限签名算法_密码_42$ ，并选择公共一个素数指数 $基于RSA的实用门限签名算法_正确性证明_43$ 。

此时，RSA公钥为 $基于RSA的实用门限签名算法_数字签名_44$ 。

2.3 密钥分享

接下来，dealer选择 $基于RSA的实用门限签名算法_签名验证_45$ ，满足 $基于RSA的实用门限签名算法_区块链技术_46$ ，即 $基于RSA的实用门限签名算法_签名验证_18$ 就是要分享的秘密值。设置 $基于RSA的实用门限签名算法_数字签名_48$ ，dealer随机的选择 $基于RSA的实用门限签名算法_区块链技术_49$ 为门限值。即构成的关于 $基于RSA的实用门限签名算法_正确性证明_50$ 次多项式为 $基于RSA的实用门限签名算法_密码_51$ 。

对于 $基于RSA的实用门限签名算法_正确性证明_52$ ，计算分享的密钥值 $基于RSA的实用门限签名算法_数字签名_53$ 。 $基于RSA的实用门限签名算法_正确性证明_54$ 就是对于参与者 $基于RSA的实用门限签名算法_数字签名_55$ 的私钥 $基于RSA的实用门限签名算法_密码_56$ 。

接下来，计算 verification keys，用于验证签名的是否有效。dealer选择一个随机值 $基于RSA的实用门限签名算法_数字签名_57$ ，并计算 $基于RSA的实用门限签名算法_密码_58$ ，令 $基于RSA的实用门限签名算法_数字签名_59$ 。

接下来，计算拉格朗日系数。令 $基于RSA的实用门限签名算法_区块链技术_60$ ，对于集合大小为 $基于RSA的实用门限签名算法_数字签名_61$ 的子集 $基于RSA的实用门限签名算法_正确性证明_62$ ，其中元素均属于 $基于RSA的实用门限签名算法_密码_63$ ，对于任何 $基于RSA的实用门限签名算法_签名验证_64$ ，定义:

$基于RSA的实用门限签名算法_正确性证明_65$

这些值是标准拉格朗日插值公式系数。从拉格朗日插值公式可得：

$基于RSA的实用门限签名算法_区块链技术_66$

2.4 生成门限签名份额

下面，计算一个关于消息 $基于RSA的实用门限签名算法_正确性证明_67$ 的一个签名份额：令 $基于RSA的实用门限签名算法_区块链技术_68$ ，对于参与者 $基于RSA的实用门限签名算法_数字签名_55$ 计算 $基于RSA的实用门限签名算法_正确性证明_70$ ， $基于RSA的实用门限签名算法_正确性证明_71$ 是一个参与者 $基于RSA的实用门限签名算法_数字签名_55$ 的签名份额。

每个签名份额对于有一个正确性的证明，这个正确性证明仅对于基 $基于RSA的实用门限签名算法_区块链技术_73$ 的 $基于RSA的实用门限签名算法_签名验证_74$ 离散对数与对于基 $基于RSA的实用门限签名算法_密码_75$ 的 $基于RSA的实用门限签名算法_数字签名_76$ 离散对数相似。

下面，计算内阁签名份额的正确性证明以及如何验证这个签名份额： $基于RSA的实用门限签名算法_数字签名_77$ 是 $基于RSA的实用门限签名算法_签名验证_03$ 的比特长度， $基于RSA的实用门限签名算法_数字签名_79$ 是一个hash函数，函数输出一个 $基于RSA的实用门限签名算法_正确性证明_80$ bit的整数，此处 $基于RSA的实用门限签名算法_密码_81$ 是第二个安全参数。为了生成正确性证明，参与者选择随机数 $基于RSA的实用门限签名算法_签名验证_82$ ，计算：

$基于RSA的实用门限签名算法_正确性证明_83$

此时，正确性证明就变成 $基于RSA的实用门限签名算法_正确性证明_84$ 。为了验证这个证明，只需要检查下面等式是否成立：

$基于RSA的实用门限签名算法_正确性证明_85$

此处，计算的是 $基于RSA的实用门限签名算法_签名验证_86$ ，而不是 $基于RSA的实用门限签名算法_正确性证明_71$ ，原作者是这样解释的：Although $基于RSA的实用门限签名算法_正确性证明_71$ is supposed to be a square, this is not easily verified. This way, we are sure to be working in $基于RSA的实用门限签名算法_签名验证_89$ , where we need to be working to ensure soundness.

2.5 组合签名份额

在组合所有签名份额之前，先要验证每一个签名份额，并且要满足有效的签名份额个数不能小于门限 $基于RSA的实用门限签名算法_数字签名_61$ 。

假设此处有一组有效的签名份额集合 $基于RSA的实用门限签名算法_正确性证明_62$ ， $基于RSA的实用门限签名算法_密码_92$ 。令 $基于RSA的实用门限签名算法_数字签名_93$ ，且假设 $基于RSA的实用门限签名算法_区块链技术_94$ 。然后组合签名份额，计算：

$基于RSA的实用门限签名算法_区块链技术_95$

此处的 $基于RSA的实用门限签名算法_正确性证明_96$ 就是2.3节中的 $基于RSA的实用门限签名算法_正确性证明_97$ 。根据 $基于RSA的实用门限签名算法_数字签名_98$ ，可得 $基于RSA的实用门限签名算法_正确性证明_99$ ，此处 $基于RSA的实用门限签名算法_签名验证_100$ 。

因为 $基于RSA的实用门限签名算法_签名验证_101$ ，通过算法： $基于RSA的实用门限签名算法_正确性证明_102$ ，即为组合后的签名结果。此处 $基于RSA的实用门限签名算法_密码_103$ 和 $基于RSA的实用门限签名算法_签名验证_104$ 均为整数，且满足 $基于RSA的实用门限签名算法_签名验证_105$ ，可以从 $基于RSA的实用门限签名算法_区块链技术_106$ 和 $基于RSA的实用门限签名算法_数字签名_107$ 上的扩展欧几里德算法得到，这样就很容易计算出满足 $基于RSA的实用门限签名算法_密码_103$ 和 $基于RSA的实用门限签名算法_签名验证_104$ 。