一种可识别签名者的阈值签名方案
爱赖床的妞志
发表于 2023-1-15 16:50:59
213
0
0
本文需要对文献[1]中的2.7数字签名标准、3.1私钥生成协议和3.2签名协议作出改进。下文针对(t,n)阈值签名方案。
一、数字签名标准# w0 t, q. N; h2 _# k2 A ]( Z
私钥生成 在Zq上随机选择私钥x及xi,计算循环群G上的公钥及,i=1,2,…,n-t-1。" D7 W8 v9 @3 W& v
签名 对任意消息M,( {2 k3 w/ [: Q4 s! g0 v" b; V) z
-计算
-选择,i=1,2,…,n-t-1# h6 Y: R, U; r5 N8 o
-在G上计算& ?) [, h4 D; W! K
-计算
-输出1 G9 |" V: b' K' q
验证 对输入M,σ,y和yi,i=1,2,…,n-t-1,! h6 x+ x7 ], [2 i% A
-检查,i=1,2,…,n-t-1
-在G上计算
-接受(输出1)当且仅当$ s( k) G( w" P( K
二、私钥生成协议1 X5 t/ k; M$ [3 l. |. `& p" A4 h
阶段 1 每一个参与者Pi选择;计算并广播KGCi。每一个参与者Pi广播Paillier加密系统的公钥Ei。, {& d! z6 P% b4 k$ \% o% \: c% y' |
每一个参与者Pi选择;计算并广播KGCi,j。这里j=1,2,…,n-t-1。% e4 w$ t8 u. ~- ]) n" F: ?
阶段 2 每一个参与者Pi广播KGDi。令vi,0为Pi解析承诺(decommit)得到的值。每一个参与者Pi广播KGDi,j。令yi,j为Pi解析承诺(decommit)得到的值。这里j=1,2,…,n-t-1。+ n7 W3 g% e( `: L1 `
计算公钥及,j=1,2,…,n-t-1。
将作为种子,使用公开的随机数生成算法生成一组伪随机数,j=1,2,…,n-t-1。: x8 H8 N- W) g, r1 H& m
每一个参与者Pi选择。令。每一个参与者Pi计算并公布,j=1,2,…,t。$ g( }! a A; P+ a
每一个参与者Pi计算,将它发送给参与者Pj。每一个参与者Pi将收到的份额相加得到xi,计算并公开。
根据这些信息, 拿到份额的参与者Pi可以通过以下等式检查自己的份额xi是否有效:5 s. X) l' O4 N7 h: r9 C
% J5 s- ?! ]! }: N+ A
阶段 3 与文献[1]相同。
三、签名协议; N# o% H; l9 c+ x" F; A. |
阶段 4 ,这里。3 p6 N' z: s% e& ?
阶段 5 中止条件为。1 J! _. A7 U9 D! H1 h$ o
其它部分与文献[1]相同。
成为第一个吐槽的人