Page 304 - 《软件学报》2025年第5期

P. 304

2204 软件学报 2025 年第 36 卷第 5 期

[d 2 w 2 ](P+G) . 对于 w 1 由 [d 1 w 1 ](P+G) 可被
次点乘 Alice 而言, P 和 G 均为已知点, 且 Alice 独立生成. 因此点乘
视为已知点点乘, 且可以离线预计算, 将点乘结果存储在 Alice 端, 节省签名生成的计算消耗. 对于 Bob 而言, P 和
G 均为已知点. 若 Bob 只与一个 Alice 协作计算签名, 即 Bob 与 Alice 为 1-to-1 的关系时, 点乘 [d 2 w 2 ](P+G) 可被
视为已知点点乘, 可以离线预计算, 将点乘结果存储在 Bob 端, 节省签名生成的计算消耗; 若 Bob 作为签名服务器,
掌握多个 Alice 的签名验证公钥, 即 Bob 与 Alice 为 1-to-n 的关系时, 由于存储资源的限制, 无法对每个 Alice 的公

钥点进行离线预计算, 此时点乘 [d 2 w 2 ](P+G) 被视为未知点点乘, 只能在线计算.
该框架所给出的签名生成过程包含两次通信, 分别是 Alice 给 Bob 发送椭圆曲线点 Q 1 和消息摘要 , 以及
e
Bob 给 Alice 发送签名中间值 s 1 和签名第 1 部分 r . 椭圆曲线点 Q 1 包含两个 256 bit 的坐标, 消息摘要 e 、签名中
s 1 和签名第 2 r 的长度均为 256 bit, 因此该签名生成过程的通信量为 1 280 bit.
间值部分
综上所述, 基于加法密钥拆分的两方门限计算方案框架的性能最优. 在已有方案以及本文实例化得到的新方
案中, 袁峰等人 [39] 提出的方案性能最优. 当 Bob 和 Alice 为 1-to-1 关系时, 该方案的签名生成需要 2 次已知点点
乘, 且 2 次点乘均可离线预计算; 该方案需要两轮通信, 通信量为 1 280 bit. 当 Bob 和 Alice 为 1-to-n 关系时, 该方
案的签名生成需要 1 次已知点点乘和 1 次未知点点乘, 其中已知点点乘可以离线预计算, 未知点点乘需要在线计
算; 该方案需要两轮通信, 通信量为 1 280 bit. 值得说明的是, 该方案的密钥生成过程使用了基于 Paillier 算法或
OT 算法的 MtA 协议, 计算消耗较高. 尤其考虑到同时支持 SM2 两方协同解密算法 [11] , 在解密时需要两方协作计
[ ]
−1
算 [d]C 1 = (d 1 +d 2 ) −1 C 1 , 计算过程较为复杂.
5 总结

本文针对 SM2 签名算法的私钥安全问题, 提出了一个两方门限计算方案框架. 该框架描述了基于不同密钥拆
分方法的 SM2 签名协作计算过程, 在签名计算的过程中, 参与方可以通过构造不同的签名随机数对该框架进行实
例化, 从而得到不同的 SM2 签名两方门限计算方案. 本文的实例化, 包括了现有的 23 种两方门限计算方案, 也能
够得到多种新的方案, 其中袁峰等人 [39] 的方案性能最优.

References:
[1] Shamir A. How to share a secret. Communications of the ACM, 1979, 22(11): 612–613. [doi: 10.1145/359168.359176]
[2] Blakley GR. Safeguarding cryptographic keys. In: Proc. of the 1979 Int’l Workshop on Managing Requirements Knowledge. New York:
IEEE, 1979. 313–313. [doi: 10.1109/MARK.1979.8817296]
[3] Desmedt Y. Society and group oriented cryptography: A new concept. In: Pomerance C, ed. Advances in Cryptology—CRYPTO 1987.
Berlin, Heidelberg: Springer, 1988. 120–127. [doi: 10.1007/3-540-48184-2_8]
[4] Desmedt Y, Frankel Y. Threshold cryptosystems. In: Brassard G, ed. Advances in Cryptology—CRYPTO 1989. New York: Springer,
1980. 307–315. [doi: 10.1007/0-387-34805-0_28]
[5] State Cryptography Administration. SM2 elliptic curve cryptographic algorithm. 2010 (in Chinese). https://www.oscca.gov.cn/sca/xxgk/
2010-12/17/content_1002386.shtml
[6] Desmedt Y, Frankel Y. Shared generation of authenticators and signatures. In: Feigenbaum J, ed. Advances in Cryptology—CRYPTO
1991. Berlin, Heidelberg: Springer, 1992. 457–469. [doi: 10.1007/3-540-46766-1_37]
[7] Gennaro R, Jarecki S, Krawczyk H, Tabin T. Robust threshold DSS signatures. In: Proc. of the 1996 Int’l Conf. on the Theory and
Applications of Cryptographic Techniques. Springer, 1996. 354–371. [doi: 10.1007/3-540-68339-9_31]
[8] Gennaro R, Goldfeder S, Narayanan A. Threshold-optimal DSA/ECDSA signatures and an application to bitcoin wallet security. In: Proc.
of the 14th Int’l Conf. on Applied Cryptography and Network Security. Guildford: Springer, 2016. 156–174. [doi: 10.1007/978-3-319-
39555-5_9]
[9] Gennaro R, Goldfeder S. Fast multiparty threshold ECDSA with fast trustless setup. In: Proc. of the 2018 ACM SIGSAC Conf. on
Computer and Communications Security. Toronto: ACM, 2018. 1179–1194. [doi: 10.1145/3243734.3243859]
[10] Lindell Y, Nof A. Fast secure multiparty ECDSA with practical distributed key generation and applications to cryptocurrency custody. In:
Proc. of the 2018 ACM SIGSAC Conf. on Computer and Communications Security. Toronto: ACM, 2018. 1837–1854. [doi: 10.1145/

299 300 301 302 303 304 305 306 307 308 309