一种可识别签名者的阈值签名方案
爱赖床的妞志
发表于 2023-1-15 16:50:59
271
0
0
本文需要对文献[1]中的2.7数字签名标准、3.1私钥生成协议和3.2签名协议作出改进。下文针对(t,n)阈值签名方案。
一、数字签名标准3 G1 G1 J. E$ i
私钥生成 在Zq上随机选择私钥x及xi,计算循环群G上的公钥及,i=1,2,…,n-t-1。
签名 对任意消息M, c5 F$ o1 Y# p; v" E( h( R4 H
-计算
-选择,i=1,2,…,n-t-12 K7 I/ ~0 Q6 g) _4 t" L7 t
-在G上计算
-计算; [2 O# Q9 Q$ [
-输出
验证 对输入M,σ,y和yi,i=1,2,…,n-t-1,
-检查,i=1,2,…,n-t-1
-在G上计算
-接受(输出1)当且仅当/ T7 Z9 e: H/ v/ U5 m
二、私钥生成协议
阶段 1 每一个参与者Pi选择;计算并广播KGCi。每一个参与者Pi广播Paillier加密系统的公钥Ei。4 K) _ Z& Z0 }3 O# j
每一个参与者Pi选择;计算并广播KGCi,j。这里j=1,2,…,n-t-1。8 C @+ s( F, g3 l! h4 I
阶段 2 每一个参与者Pi广播KGDi。令vi,0为Pi解析承诺(decommit)得到的值。每一个参与者Pi广播KGDi,j。令yi,j为Pi解析承诺(decommit)得到的值。这里j=1,2,…,n-t-1。* E" y9 H" b3 Z! k* h4 ^
计算公钥及,j=1,2,…,n-t-1。2 c0 w9 w- S0 ~5 P3 q, N! N" a
将作为种子,使用公开的随机数生成算法生成一组伪随机数,j=1,2,…,n-t-1。 z& A& J8 d% X+ I- [/ z7 w
每一个参与者Pi选择。令。每一个参与者Pi计算并公布,j=1,2,…,t。 q% J6 @* C4 D }
每一个参与者Pi计算,将它发送给参与者Pj。每一个参与者Pi将收到的份额相加得到xi,计算并公开。9 \- S' {5 `/ e% e. E0 I) C' m9 E
根据这些信息, 拿到份额的参与者Pi可以通过以下等式检查自己的份额xi是否有效:! e! p5 u( L9 L6 W( W
. d( F$ N, j6 }. I& _- z( }
阶段 3 与文献[1]相同。
三、签名协议
阶段 4 ,这里。
阶段 5 中止条件为。
其它部分与文献[1]相同。
成为第一个吐槽的人