Page 294 - 《软件学报》2025年第5期
P. 294
2194 软件学报 2025 年第 36 卷第 5 期
2
(1+d)(d i +k i ) (1+d)(d +d i k i ) (1+d)(1+d i k i ) 等.
,
,
i
限于篇幅, 本文列出如下几种实例化方案. 表 1 展示了不包含签名私钥 d 的签名随机数构造形式.
表 2 展示了包含签名私钥 d 的签名随机数构造形式. 序号 1.*.d 旨在表明该方案与表 1 中的方案 1.*为相同方
d . 而最终计算
案, 不同之处在于椭圆曲线点 Q 的协作计算过程是否使用公钥 P , 相当于签名随机数是否使用私钥
的签名第 2 部分 s 相同, 在表 2 中省略.
表 1 基于乘法密钥拆分的两随机数框架的实例化
−1
−1
w 1 w 2 k = w 2 +d k 1 s = (1+d) (k +r)−r 序号
2
−1 d 1 d 2 k 2 +d 1 k 1 +(d 1 d 2 −1)r 1.1
k 2
k 2 +d k 1
2
−1 2 1.2
d 2 k 2 d 2 k 2 +d k 1 d 1 d k 2 +d 1 k 1 +(d 1 d 2 −1)r
2
2
−1 −1 d 1 (k 2 +k 1 )+(d 1 d 2 −1)r 1.3
d k 2 d (k 2 +k 1 )
2
2
−1 2 1.4
k 1 1+d 2 k 2 1+d 2 k 2 +d k 1 d 1 d 2 +d 1 d k 2 +d 1 k 1 +(d 1 d 2 −1)r
2 2
−1
−1 1+d (k 2 +k 1 ) d 1 d 2 +d 1 (k 2 +k 1 )+(d 1 d 2 −1)r 1.5
1+d k 2 2
2
−1 2 1.6
d 2 +k 2 d 2 +k 2 +d k 1 d 1 d +d 1 d 2 k 2 +d 1 k 1 +(d 1 d 2 −1)r
2
2
−1
d −1 +k 2 d −1 +k 2 +d k 1 d 1 +d 1 d 2 k 2 +d 1 k 1 +(d 1 d 2 −1)r 1.7
2 2 2
−1 −1 d 1 d 2 k 2 +k 1 +(d 1 d 2 −1)r 1.8
k 2 k 2 +d d k 1
−1 1 2
d k 1
1
−1
−1
−1
d k 2 d (k 2 +d k 1 ) d 1 k 2 +k 1 +(d 1 d 2 −1)r 1.9
2 2 1
表 2 基于签名私钥的两随机数框架签名随机数构造
′
w ′ w ′ k = d 1 w +w ′ 序号
1 2 2 1
(1+d)d 2 k 2 (1+d)(d 1 d 2 k 2 +d 1 k 1 ) 1.1.d
2 2 1.2.d
(1+d)d k 2 (1+d)(d 1 d k 2 +d 1 k 1 )
2
2
(1+d)k 2 (1+d)(d 1 k 2 +d 1 k 1 ) 1.3.d
2
2
(1+d)d 1 k 1 (1+d)(d 2 +d k 2 ) (1+d)(d 1 d 2 +d 1 d k 2 +d 1 k 1 ) 1.4.d
2
2
(1+d)(d 2 +k 2 ) (1+d)(d 1 d 2 +d 1 k 2 +d 1 k 1 ) 1.5.d
2
2
(1+d)(d +d 2 k 2 ) (1+d)(d 1 d +d 1 d 2 k 2 +d 1 k 1 ) 1.6.d
2 2
(1+d)(1+d 2 k 2 ) (1+d)(d 1 +d 1 d k 2 +d 1 k 1 ) 1.7.d
2
(1+d)d 2 k 2 (1+d)(d 1 d 2 k 2 +k 1 ) 1.8.d
(1+d)k 1
(1+d)k 2 (1+d)(d 1 k 2 +k 1 ) 1.9.d
所列方案旨在展示如何通过随机数的构造对该框架进行实例化, 得到相应两方门限计算方案, 其中也包含了该
框架下的已有公开方案. 方案 1.1, 1.3, 1.8, 1.9 为已公开方案 [19−31] , 其余均为新方案. 对随机数 w 1 和 w 2 进行相应的
不同替换即可得到本文提出的所有实例化方案, 完整的实例化方案表格可见附录 A 中的表 A1. 值得说明的是, 以
上列出的实例化方案并非所有可能方案, 凡是满足随机数安全要求的构造, 均可用于实例化得到两方门限计算方案.
3.1.3 安全性分析
第 3.1.2 节所描述的两方门限签名计算过程应满足如下安全要求: 任一参与方无法获取完整的签名私钥或另
一部分私钥的任何信息.
安全性说明如下.
在一次协作签名中, Alice 能够获取如下信息.
