Page 461 - 《软件学报》2025年第8期

P. 461

3884 软件学报 2025 年第 36 卷第 8 期

the risk of key exposure. To avoid this risk, threshold signatures are commonly employed in real-world applications. These signatures rely
on multi-party cooperation to decentralize risks and enhance device availability. The SM2 digital signature algorithm, an elliptic curve
public key cryptographic algorithm developed independently by China, was adopted as the national cryptography standard in 2016. It finds
extensive use in various sectors including government agencies, financial institutions, and electronic authentication service providers. While
there has been interest in constructing SM2 threshold signatures with high availability, there are still limited schemes available, and
participant weights have not been adequately considered. This study proposes a flexible SM2 weighted threshold signature scheme. In this
scheme, signers are assigned different weights, and multiple signers collaborate to generate a valid signature. The key of the SM2 digital
signature is divided based on the weighted threshold secret sharing of the Chinese remainder theorem. Participants do not acquire a signing
key only by meeting the threshold value. They have to meet the corresponding secret threshold t and the reconstruction threshold T by
calculating the sum of the weights of participants to obtain part of the key information or recover the signing key. During secret
segmentation, the private signing key of the SM2 digital signature algorithm is transformed to complete the inversion of the SM2 key
during the signing stage. Finally, the proposed scheme is compared with other schemes such as SM2 threshold signatures and joint SM2
signatures. The proposed scheme not only reduces computational overhead but also enhances the functionality of the SM2 signature.
Key words: SM2; weighted threshold; Chinese remainder theorem (CRT); secret sharing

随着物联网和移动互联网技术的发展, 各类移动终端设备被接入互联网中, 给人们学习、工作带来了极大的
便利. 当对移动终端设备进行识别和认证时, 通常需要验证其提交的数字签名. 基于椭圆曲线密码体制 (elliptic
[1]
curve cryptography, ECC) 构造的数字签名算法, 如: ECDSA、EdDSA、Schnorr、SM2 等签名由于其计算量小、
[2]
节省存储空间、低带宽等优势被广泛应用. 其中, SM2 椭圆曲线公钥密码算法是国家密码管理局于 2010 年发布
[3]
《SM2 椭圆曲线公钥密码算法》(GM/T 0003-2012) 中提出的, 并于 2016 年成为国家密码标准. SM2 算法在安全
性上采用了符合当前密码学标准的 128 位安全强度, 并提供了数字签名、密钥交换协议和公钥加密等功能, 有效
满足了政府机构和金融行业等领域对国产密码算法的需求. 在现实应用中, 移动终端设备本身的计算能力受限, 往
往采用软件模块来保存密钥至本地或者智能芯片中, 这增加了密钥泄露的风险. 为防范密钥泄露的风险, 多个基
于 SM2 的功能型数字签名被提出来, 其借助多方合作分散风险, 提升了算法可用性.
在 SM2 分布式签名方面, 林璟锵等人 [4] 设计了两方协同的 SM2 签名方法, 提高密钥的安全性, 同时减少了云
计算中通信双方的交互. 随后, 文献 [5–7] 针对不同应用场景, 设计出两方参与以及多方参与的 SM2 分布式签名方
法, 但这些方法需要所有参与者同时在线参与, 且任何一方密钥丢失都会导致签名无法成功进行. Zhang 等人 [8] 借
助 Paillier 同态加密设计出 SM2 签名算法的两方协同方案, 但该方案需要复杂的范围证明. 侯红霞等人 [9] 提出了
两方协作 SM2 数字签名算法, 该算法同样使用同态加密的方法, 但公私钥生成阶段耗时过长. 冯琦等人 [10] 设计轻
量级的 SM2 两方协同签名协议, 有效降低计算开销, 提高了签名效率, 但这一方式只适用于两个参与方. 苏吟雪等人 [11]
提出了基于 SM2 的双方共同签名协议, 在共同签名的过程中只需要一次标量乘法计算, 此过程减少计算开销却增
加了通信开销. 唐张颖等人 [12] 提出了基于同态加密的 SM2 门限签名, 然而签名时需要对线性的乘法份额进行传
输, 增加通信开销. Han 等人 [13] 利用 Beaver 乘法提出的两方 SM2 协议具有更低的计算成本, 提高了算法效率, 但
两方需要同时在线参与. 针对需要参与方同时在线的问题, 尚铭等人 [14] 提出了门限的 SM2 算法, 其利用门限的性
质使得签名具有更好的健壮性. 此外, 涂彬彬等人 [15] 对同态加密乘法运算进行拓展, 设计出 SM2 的分布式签名进
一步降低了密钥泄露的风险. 在设计分布式 SM2 签名过程中通常采用基于秘密共享的方法. 秘密共享 (secret
sharing) 是一种密钥管理的有效方法, 是门限密码系统的关键技术. 其基本思想是将一个秘密信息分割成多个部
分, 分发给不同的参与者, 只有当足够数量的部分被合并时, 才能够还原出原始的秘密 [16,17] . 1979 年, Shamir [18] 提出
一种基于拉格朗日插值多项式的 (t,n) 门限秘密共享方案, Blakley [19] 利用映射几何理论提出了另一种 (t,n) 门限秘
密共享方案. 1983 年, Asmuth 等人 [20] 利用一次同余方程组将秘密恢复出来, 提出基于中国剩余定理 (Chinese
remainder theorem, CRT) [21] 的门限秘密共享方案. 同年, Mignotte 等人 [22] 提出了基于矩阵变换的秘密共享方案. 在
金融机构的交易中通常需要多个管理者的签名才能生效. 或者在公司组织中需要多个高层管理人员对重要文件进
行签名确认, 以确保签名的合法性和可信度, 能够提供更高的安全性和防护, 避免了单一签名者的风险. Morillo 等
人 [23] 为了解决现实应用中参与者权利可能不同的问题, 对加权的门限秘密共享开展研究, 要求只有在参与者权重

456 457 458 459 460 461 462 463 464 465 466