唐长虹 等: 加权门限     SM2  签名方案                                                       3891


                         (  )
                          ′
                            ′
                         r ,r = [s ]G +[t]vk = [s ]G +[tv]G = [s ]G +[(r + s )v]G = [(1+v) s +vr ]G
                                                                                ′
                                ′
                                                                            ′
                                                                ′
                                                             ′
                                           ′
                                                       ′
                          x  y
                        
                        
                              {(       )             (     ) }   [             (     ) ]
                                   −1          ′  ′    −1    ′        ′   −1  ′  −1    ′
                            = 1+ sk −1 [sk ·(k +r )−r ]+ sk −1 r G = (k +r )− sk ·r + sk −1 r G = k ×G .
                        
                        
                        
                        (  )
                         r x ,r y = k ×G
                        
                                       ′
                    因此可以通过检验       R = r  是否成立, 来判断签名验证是否通过.

                 4   方案安全性
                    根据文献    [31,32] 有以下定理.
                    定理  1. 如果  SM2  数字签名方案是存在性不可伪造的, 且加权门限              SM2  签名方案是可模拟的, 那么加权门限
                 的  SM2  签名方案满足不可伪造性.
                    证明: 首先对本文签名方案         1 (方案  2) 进行模拟, 模拟过程如协议       1  所示. 本文基于半诚实模型假设, 输入公
                                   −1
                 钥   vk = sk −1(或  vk = sk −1), 消息  M, 消息签名  (r, s). 在预签名阶段, 参与者诚实地执行协议规定的操作, 不会向
                 其他参与者或未经授权的实体透露其私密信息, 不篡改其私密信息或其他参与者的信息. 假设共有                               n  个参与者, 敌
                   A 可以控制                             (  ′  ′    ′ )                    sk  的过程是安全的.
                                                                                         ′
                 手          t 个参与者, 因此敌手控制份额为          sk , sk ,..., sk , 容易证明通过私钥   sk i  得到
                                                        1  2     t                       i
                 协议  1. 模拟协议.
                                           −1
                 输入: 公钥  vk, 其中  vk=sk−1 (vk=sk −1), 消息  M, 消息签名  σ=(r, s), 控制份额  ( sk , sk ,..., sk );
                                                                                 ′
                                                                              ′
                                                                                      ′
                                                                              1  2    t
                        *
                 (1) 计算  r =sG+(r+s)vk.
                 (2) 半诚实参与者执行     F Rando 协议得到共享份额     k i ×G, 敌手的份额模拟器是可以监听到的, 因此, 模拟器可以得到
                                       m
                 所有的份额, 且敌手的共享份额为          k 1 ×G,…, k t ×G.
                      r = k G (1 ⩽ i ⩽ t), 且满足任意  t+1  ∗          ∗              r  可以恢复出  . 模拟器掌握      t
                          ′
                                                                                 ∗
                                                                                             ∗
                      ∗
                 (3) 记   i  i                   个  r  可以了解到秘密    r  的一些信息, T   个   i        r
                                                   i
                 个  k i ×G, 其可以计算得到剩余的    r = k G (t +1 ⩽ i ⩽ n), 将得到的  r (t +1 ⩽ i ⩽ n) 广播给诚实参与者, 就可以恢复出
                                           ∗
                                              ′
                                                                   ∗
                                           i  i                    i
                 r = (r x ,r y ), 而  r = (e+r x ) mod p.
                  ∗
                             0            1                                  ′    ′         s = s  可以唯一
                                                                             s
                                                                                             ′
                 (4) 可以计算  [s ] i (1 ⩽ i ⩽ t) 和  [s ] i (1 ⩽ i ⩽ t), 在  t +1 ⩽ i ⩽ T  范围内随机选取  , 由   s (1 ⩽ i ⩽ t) 和
                                                                             i    i          0
                 确定一个共享多项式, 故而可以确定其余             i 满足  (T +1 ⩽ i ⩽ n) 的  .
                                                                   ′
                                                                  s
                                                                   i
                                        ′
                 (5) 向诚实参与者广播得到的        s (T +1 ⩽ i ⩽ n).
                                        i
                    从上面的模拟协议可以看出, 模拟器与加权门限                SM2  签名方案中的变量是一致的, 以下具体分析其具有相同
                 的概率分布.
                                                           ∗   ′                                 r (t +1 ⩽
                                                                                                  ∗
                    (1) 因为   k 1 ×G,...,k t ×G  是由  F Random  协议生成, 故  r = k G (1 ⩽ i ⩽ t) 都是均匀随机分布. 又因为其余
                                                           i   i                                  i
                          ∗          ∗            ∗             ∗
                 i ⩽ n) 是由  r (1 ⩽ i ⩽ t) 和  r  确定的, 因此,  r (t +1 ⩽ i ⩽ n) 和  r (1 ⩽ i ⩽ t) 具有相同的概率分布.
                                                  i
                          i
                                                                i
                                                                                          ′
                                  ′               ′           ′            ′             s (1 ⩽ i ⩽ T) 的概率
                    (2) 同样的, 因为   s (T +1 ⩽ i ⩽ n) 是由   s (1 ⩽ i ⩽ T) 和   s = s 确定, 所以   s (T +1 ⩽ i ⩽ n) 与
                                  i               i           0            i              i
                 分布相同.
                    因此, 可以证明加权门限        SM2  签名方案具有不可伪造性. 证毕.
                    定理  2. 共有  n  个参与者参与加权门限       SM2  签名, 对于权重总和为      t 的参与者被腐化, 如果     n ⩾ T > t, 那么加
                 权门限   SM2  签名方案是健壮的.
                                 A 控制权重总和为      t 的参与者, 在密钥分发阶段, 根据       WRSS  的访问结构, 参与者的总体权重
                    证明: 假设敌手
                 ⩾ T , 获得授权; 如果一组参与者的总体权重          ⩽ t, 则他们是未经授权的. 所以敌手不能了解到关于秘密的有效信息,
                 并且不能重构秘密. 因此只需要保证           n ⩾ T > t, 即可完成秘钥重构并完成签名过程. 证毕.

                 5   性能分析

                 5.1   计算开销分析
                    本节将本文方案与现有的分布式            SM2  签名方案   [6] 、门限  SM2  签名方案  [14] 的计算开销进行对比, 主要从密钥