一种可识别签名者的阈值签名方案
爱赖床的妞志
发表于 2023-1-15 16:50:59
319
0
0
) {" O$ o B1 W0 U
本文需要对文献[1]中的2.7数字签名标准、3.1私钥生成协议和3.2签名协议作出改进。下文针对(t,n)阈值签名方案。 k/ Q( W5 p4 J3 y! Y
一、数字签名标准
私钥生成 在Zq上随机选择私钥x及xi,计算循环群G上的公钥及,i=1,2,…,n-t-1。
签名 对任意消息M,
-计算 i8 b3 a& {+ \9 A/ T
-选择,i=1,2,…,n-t-1
-在G上计算3 @8 U) F( O# d0 f% B, F
-计算: z8 `. E, ]6 i% \9 ~- C
-输出
验证 对输入M,σ,y和yi,i=1,2,…,n-t-1,
-检查,i=1,2,…,n-t-1
-在G上计算
-接受(输出1)当且仅当+ k* \' s2 Q7 k8 Q, P4 c$ R2 M
二、私钥生成协议: ~/ w6 o( T/ L H! k' X! v. ]; ~
阶段 1 每一个参与者Pi选择;计算并广播KGCi。每一个参与者Pi广播Paillier加密系统的公钥Ei。
每一个参与者Pi选择;计算并广播KGCi,j。这里j=1,2,…,n-t-1。, G% ?" H* `' y/ h0 e) t3 H0 k" p9 [
阶段 2 每一个参与者Pi广播KGDi。令vi,0为Pi解析承诺(decommit)得到的值。每一个参与者Pi广播KGDi,j。令yi,j为Pi解析承诺(decommit)得到的值。这里j=1,2,…,n-t-1。
计算公钥及,j=1,2,…,n-t-1。: U: l( `" q2 u% F
将作为种子,使用公开的随机数生成算法生成一组伪随机数,j=1,2,…,n-t-1。% c5 [$ q; I, @- B( u
每一个参与者Pi选择。令。每一个参与者Pi计算并公布,j=1,2,…,t。
每一个参与者Pi计算,将它发送给参与者Pj。每一个参与者Pi将收到的份额相加得到xi,计算并公开。
根据这些信息, 拿到份额的参与者Pi可以通过以下等式检查自己的份额xi是否有效:
: I; j3 w6 u" s8 a; A! ]. h
阶段 3 与文献[1]相同。0 b9 u6 w0 b7 i" ?4 C6 _0 @0 w
三、签名协议, P: q! ^1 y* K$ o6 Q A. W: i9 `
阶段 4 ,这里。8 F/ d! }7 W! `+ M; A# N" Z
阶段 5 中止条件为。
其它部分与文献[1]相同。
成为第一个吐槽的人