兩種分布式SM2/9 算法應(yīng)用*

涂彬彬, 王現(xiàn)方, 張立廷

成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司 摩石實(shí)驗(yàn)室, 北京100070

1 介紹

2010 年, 國家密碼管理局發(fā)布了SM2 橢圓曲線公鑰密碼算法標(biāo)準(zhǔn)[1], 包括數(shù)字簽名算法、密鑰交換協(xié)議和公鑰加解密算法. 2016 年, 國家密碼管理局發(fā)布了SM9 標(biāo)識(shí)密碼算法標(biāo)準(zhǔn)[2], 包括數(shù)字簽名算法、密鑰交換協(xié)議、密鑰封裝算法和加解密算法. 目前, SM2 和SM9 的數(shù)字簽名算法均已成為ISO/IEC 國際標(biāo)準(zhǔn). 作為我國發(fā)布的首個(gè)公鑰密碼算法和標(biāo)識(shí)密碼算法標(biāo)準(zhǔn), SM2 和SM9 算法對(duì)我國商密領(lǐng)域各類信息系統(tǒng)的安全防護(hù)發(fā)揮了重要作用.

密鑰是密碼算法的核心信息, 其生成、分發(fā)、存儲(chǔ)、銷毀等機(jī)制需要專門設(shè)計(jì)和管理. SM2 算法[1,3]的私鑰完全由單個(gè)用戶掌握, 保障了簽名操作的不可否認(rèn)性, 但同時(shí)面臨私鑰丟失、權(quán)限濫用或被攻擊者控制等安全風(fēng)險(xiǎn). SM9 算法[2,4]的密鑰生成中心(Key Generation Center, KGC) 秘密保存系統(tǒng)主私鑰,用于生成所有用戶的標(biāo)識(shí)私鑰, 在應(yīng)用過程中同樣面臨單點(diǎn)故障的風(fēng)險(xiǎn)和問題, 難以滿足物聯(lián)網(wǎng)、云計(jì)算等應(yīng)用場景對(duì)密碼系統(tǒng)的健壯性需求.

在SM2 算法應(yīng)用方面, 林璟鏘等[5]針對(duì)兩方分布式應(yīng)用場景, 設(shè)計(jì)了適用于云計(jì)算的SM2 協(xié)同簽名機(jī)制. 其基本思想是將SM2 私鑰分割成兩部分, 分別存儲(chǔ)于云端和終端, 簽名操作需要云端和終端協(xié)同完成, 從而避免了全部私鑰存儲(chǔ)于終端而導(dǎo)致的安全風(fēng)險(xiǎn). 隨后, 針對(duì)不同的應(yīng)用場景和需求, 涌現(xiàn)出多個(gè)此類SM2 簽名機(jī)制[6-16]. 2020 年, Yudi Zhang 等[17]提出了基于同態(tài)加密的SM2 協(xié)同簽名算法, 并給出了可證明安全保障. 然而, 此類機(jī)制要求全部參與方必須在線協(xié)同操作, 任何一方故障都會(huì)導(dǎo)致簽名失敗, 整個(gè)系統(tǒng)健壯性較弱; 在一些無可信中心的分布式場景中, 比如比特幣、以太坊等, 任何一方丟失私鑰都將導(dǎo)致簽名無法執(zhí)行.

(n,t) 門限化分布式設(shè)計(jì)可有效避免該問題[18,19]. 簽名操作只需要任意t,t ＜n個(gè)參與方在線完成,部分參與方故障掉線不會(huì)影響系統(tǒng)的可用性; 對(duì)于部分參與方私鑰丟失, 任意t個(gè)參與方可為其恢復(fù)密鑰. 在該技術(shù)方向上, 尚銘等[19]首先提出了SM2 算法的分布式門限化設(shè)計(jì), 基于聯(lián)合隨機(jī)秘密分享技術(shù)(Joint Random Secret Sharing, JRSS)[20,21]和秘密乘積、求逆、點(diǎn)乘分享技術(shù), 設(shè)計(jì)了SM2 門限密碼算法, 可抵抗n/2 的竊聽攻擊和n/3 的中止攻擊(其中n為參與方總數(shù)). 但是該方案通信量較大, 且無法達(dá)到最優(yōu)門限值. 在簽名階段, 該方案需要各個(gè)參與方兩兩通過安全信道進(jìn)行交互, 每個(gè)參與方需要給其它參與方秘密傳輸信息; 對(duì)于門限值為t的門限簽名算法, 至少需要2t ?1 個(gè)參與方進(jìn)行協(xié)同簽名. 而SM9 密鑰生成中心的分布式門限化設(shè)計(jì)更是鮮有成果.

SM2 簽名算法和SM9 密鑰生成的分布式設(shè)計(jì)的主要技術(shù)難點(diǎn)在于, 私鑰分割后如何安全有效地實(shí)現(xiàn)標(biāo)準(zhǔn)算法的既定功能. 在SM2 簽名算法分布式設(shè)計(jì)中, 難點(diǎn)集中在多個(gè)用戶協(xié)同計(jì)算私鑰的逆, 以及私鑰與隨機(jī)數(shù)的乘積; 在SM9 密鑰生成的分布式設(shè)計(jì)中, 難點(diǎn)集中在多個(gè)KGC 協(xié)同計(jì)算主私鑰的逆. 在該技術(shù)方向上, 尚銘等[19]根據(jù)秘密分享[21]思想所實(shí)現(xiàn)的安全多方計(jì)算方法[20,22], 在保證多個(gè)用戶安全協(xié)同計(jì)算乘積和求逆的前提下, 完成了多用戶協(xié)同簽名操作. 通過安全多方計(jì)算思想增強(qiáng)SM2 和SM9 密碼系統(tǒng)的健壯性已經(jīng)成為業(yè)內(nèi)共識(shí), 但如何優(yōu)化相關(guān)技術(shù), 設(shè)計(jì)通信效率較高、門限值最優(yōu)的分布式密碼方案, 提升SM2 和SM9 密碼系統(tǒng)的可用性, 仍然是密碼實(shí)踐中亟待探索解決的問題之一.

2 本文工作

本文針對(duì)國密SM2 和SM9 算法的單點(diǎn)密碼運(yùn)算容易導(dǎo)致系統(tǒng)健壯性不強(qiáng)的問題, 嘗試設(shè)計(jì)分布式門限化的SM2 簽名算法和SM9 密鑰生成算法.

首先, 我們研究多方安全計(jì)算技術(shù), 調(diào)研了“乘積” 等基本運(yùn)算的實(shí)現(xiàn)方法, 歸納其優(yōu)缺點(diǎn). 基于Shamir 秘密分享[21]的多方計(jì)算乘積[20,22], 各個(gè)參與方首先需要秘密協(xié)商隨機(jī)多項(xiàng)式, 再通過多項(xiàng)式相乘計(jì)算秘密乘積, 最后使用拉格朗日插值公式恢復(fù)秘密乘積. 該方法難以避免多項(xiàng)式次數(shù)的擴(kuò)張, 在恢復(fù)秘密乘積時(shí), 門限值無法達(dá)到最優(yōu). 而基于加法同態(tài)加密多方計(jì)算乘積[23,24], 各個(gè)參與方首先對(duì)秘密進(jìn)行加密, 再利用加法同態(tài)運(yùn)算和數(shù)乘運(yùn)算計(jì)算乘積的密文, 最后使用解密運(yùn)算獲得秘密分享的乘積結(jié)果. 該方法避免了多項(xiàng)式擴(kuò)張, 對(duì)于門限值為t的秘密分享, 只需獲得t個(gè)份額即可恢復(fù)乘積結(jié)果, 可達(dá)到最優(yōu)門限值. 在密文狀態(tài)下進(jìn)行秘密乘積運(yùn)算, 各個(gè)參與方可通過廣播信道向其他用戶傳輸信息, 產(chǎn)生的通信開銷較少. 但是該方法采用了同態(tài)加密技術(shù), 計(jì)算復(fù)雜度略高.

其次, 我們歸納了三種安全多方計(jì)算方法, 分別是基于門限加法同態(tài)加密算法[23,24]、基于多個(gè)加法同態(tài)加密算法和基于單一加法同態(tài)加密算法的安全多方計(jì)算. 三種方法都可實(shí)現(xiàn)多個(gè)參與方的乘積和求逆運(yùn)算, 適用于多數(shù)密碼算法的分布式設(shè)計(jì). 在此類設(shè)計(jì)中, 首先將密碼算法拆解為乘積和求逆運(yùn)算的組合, 再結(jié)合三種方法進(jìn)行模塊化的分布式設(shè)計(jì), 從而提升密碼系統(tǒng)的健壯性. 借助加法同態(tài)加密的優(yōu)勢, 得到的門限化密碼方案可在廣播信道傳輸信息, 通信量較小; 同時(shí)在門限化密碼設(shè)計(jì)中有能力達(dá)到最優(yōu)門限值. 在安全分析方面, 門限化密碼方案的安全性可歸約到密碼方案自身的安全性和三種安全多方計(jì)算方法的安全性. 此外, 針對(duì)基于多個(gè)同態(tài)加密算法的安全多方計(jì)算(第二種方法), 我們可以進(jìn)一步提升方案健壯性. 具體地, 利用非交互零知識(shí)證明[25-27]對(duì)傳輸信息進(jìn)行可驗(yàn)證性擴(kuò)展, 保證不按照正確協(xié)議運(yùn)行的參與方能夠被及時(shí)發(fā)現(xiàn).

然后, 我們基于上述三種安全多方計(jì)算方法, 設(shè)計(jì)了分布式門限化的SM2 簽名算法和SM9 密鑰生成算法, 并根據(jù)門限化SM2 和SM9 算法特點(diǎn)進(jìn)行了優(yōu)化, 在保證安全實(shí)現(xiàn)密碼算法功能性的同時(shí), 算法更加高效實(shí)用.

SM2 簽名形式可拆分為私鑰sk 的求逆運(yùn)算(1 + sk)?1, 以及求逆分享與隨機(jī)數(shù)的乘積運(yùn)算(1 +sk)?1·(k ?r·sk). 根據(jù)上述三種方法, 參與方先進(jìn)行求逆運(yùn)算, 獲得(1+sk)?1的求逆分享, 再根據(jù)乘積運(yùn)算, 計(jì)算簽名s= (1+sk)?1·(k ?r·sk) 的乘積分享. 各方通過公開s的乘積分享即可組合出簽名結(jié)果. 根據(jù)文獻(xiàn)[19] 對(duì)SM2 的簽名變形s=d·(k+r)?r, 其中d= (1+sk)?1, 可優(yōu)化SM2 簽名算法,簽名過程只需要多方的乘積運(yùn)算, 減少了協(xié)議運(yùn)行的廣播輪數(shù).

SM9 用戶標(biāo)識(shí)私鑰可拆分為私鑰sk 的求逆運(yùn)算(h+sk)?1, 以及求逆分享與私鑰的乘積運(yùn)算[sk·(h+sk)?1]P1, 根據(jù)上述三種方法, 參與方先進(jìn)行求逆運(yùn)算, 獲得(h+sk)?1的求逆分享, 再根據(jù)乘積運(yùn)算,多方計(jì)算sk·(h+sk)?1的乘積分享. 各方將乘積分享點(diǎn)乘P1,并秘密傳輸給用戶,用戶求和即可獲得標(biāo)識(shí)私鑰. 根據(jù)橢圓曲線上倍點(diǎn)可疊加的性質(zhì),各方在計(jì)算獲得(h+sk)?1的求逆分享后,計(jì)算[(h+sk)?1]P1,并通過分別向用戶秘密傳輸私鑰與[(h+sk)?1]P1的乘積, 用戶求和即可獲得標(biāo)識(shí)私鑰. 該優(yōu)化方案所需的乘積運(yùn)算量較小, 協(xié)議運(yùn)行的廣播輪數(shù)較少.

3 安全多方計(jì)算的定義與模型

從1982 年姚期智先生在FOCS ’82 會(huì)議上提出并研究的“百萬富翁” 問題開始, 安全多方計(jì)算(Multi-party Computation, MPC) 技術(shù)[22,23,28-30]以其強(qiáng)大的功能性和豐富的應(yīng)用性, 特別是在分布式密碼算法設(shè)計(jì)方面具有得天獨(dú)厚的優(yōu)勢, 深得密碼學(xué)家的廣泛關(guān)注與研究. 安全多方計(jì)算可保證n個(gè)參與方集合A={A1,··· ,An}, 計(jì)算某個(gè)給定的n個(gè)輸入和n個(gè)輸出的功能函數(shù)f(x1,··· ,xn) =(y1,··· ,yn), 其中,n個(gè)輸入x1,··· ,xn分別由n個(gè)參與者A1,··· ,An秘密掌握, 在計(jì)算結(jié)束后,A1,··· ,An分別得到輸出y1,··· ,yn. 計(jì)算結(jié)束后每個(gè)誠實(shí)的參與方都能得到正確的輸出, 同時(shí)還可保證各個(gè)參與方輸入的保密性, 即每個(gè)參與方除了知道(xi,yi) 以及從中推導(dǎo)的信息外, 得不到其他的信息.

安全兩方計(jì)算(Two-party Computation, TPC) 是安全多方計(jì)算的特殊情況. 具體參與方只有兩個(gè),雙方根據(jù)自己秘密掌握的信息x1和x2進(jìn)行某個(gè)功能函數(shù)的運(yùn)算f(x1,x2) = (y1,y2), 并且在計(jì)算結(jié)束后各方除了知道自己的輸入和輸出以及從中推導(dǎo)的信息外, 得不到其他的信息.

一般而言, 確定性功能函數(shù)可分解為基本的三種運(yùn)算組件: 加法運(yùn)算、乘法運(yùn)算和求逆運(yùn)算. 三種運(yùn)算模型的安全兩方計(jì)算可簡單表示如下: 參與方A和B分別擁有s和r的分享(s1,r1) 和(s2,r2), 其中s=s1+s2,r=r1+r2.

· 加法運(yùn)算:A和B通過加法運(yùn)算協(xié)議分別獲得s+r的分享a1和a2, 使得a1+a2=s+r;

· 乘法運(yùn)算:A和B通過乘法運(yùn)算協(xié)議分別獲得s·r的分享m1和m2, 使得m1+m2=s·r;

· 求逆運(yùn)算:A和B通過求逆運(yùn)算協(xié)議分別獲得s?1的分享i1和i2, 使得i1+i2=s?1.

上述計(jì)算模型中, 最后組合計(jì)算結(jié)果的方法采用加法形式只是為了方便表示, 其它的安全組合方式計(jì)算最后結(jié)果也可行. 在加法運(yùn)算中,A和B可通過本地計(jì)算a1=s1+r1和a2=s2+r2獲得各自的秘密分享, 該模型比較簡單, 以下省略. 求逆運(yùn)算可看作乘法運(yùn)算的推廣. 因此, 實(shí)現(xiàn)安全乘法運(yùn)算是安全多方計(jì)算的關(guān)鍵.

本文歸納的安全多方計(jì)算協(xié)議采用的通信模型是同步的廣播信道[23]. 另外, 為了方便, 以下省略modp運(yùn)算.

4 三種實(shí)現(xiàn)安全乘法運(yùn)算的基本方法

本節(jié)歸納了三種安全乘法運(yùn)算方法, 分別是基于門限加法同態(tài)加密的乘法運(yùn)算、基于多個(gè)加法同態(tài)加密的乘法運(yùn)算、基于單個(gè)加法同態(tài)加密的乘法運(yùn)算. 根據(jù)具體協(xié)議設(shè)計(jì), 我們對(duì)協(xié)議進(jìn)行優(yōu)化, 減少了協(xié)議運(yùn)行的廣播輪數(shù). 基于多個(gè)加法同態(tài)加密的乘法運(yùn)算方法, 我們采用非交互零知識(shí)證明技術(shù), 保證協(xié)議參與雙方傳輸?shù)男畔⒖杀粚?duì)方驗(yàn)證. 我們在附錄A 中詳細(xì)地給出了三種安全乘法運(yùn)算的安全性證明.

4.1 基于門限同態(tài)加密的乘法運(yùn)算

基于(2,2)-門限加法同態(tài)加密[32,33]構(gòu)造安全兩方計(jì)算的乘法運(yùn)算(TPC-1-Multi)[23,24], 其中參與方數(shù)量n= 2, 門限值t= 2. 假設(shè)E() 和D() 分別表示門限同態(tài)加密算法的加密算法和解密算法. 門限加法同態(tài)加密算法滿足加法同態(tài)運(yùn)算E(m1)⊕E(m2) =E(m1+m2), 數(shù)乘運(yùn)算u ?E(m) =E(u·m),以及門限解密運(yùn)算, 即參與方的解密分享數(shù)量達(dá)到門限值才可組合出明文. 具體協(xié)議如下:

·A計(jì)算E(s1) 并公布;B計(jì)算E(s2) 并公布;

·A選擇隨機(jī)數(shù)u1, 計(jì)算E(r1(s1+s2)+u1) 并公布;B隨機(jī)選擇u2, 計(jì)算E(r2(s1+s2)+u2)并公布;

·A和B分別解密密文c=E(r1(s1+s2)+u1)⊕E(r2(s1+s2)+u2) =E(s·r+u1+u2), 并公布各自的解密分享DA(c) 和DB(c);

·A組合解密分享獲得明文s·r+u1+u2, 并計(jì)算乘積分享m1=s·r+u1+u2?u1=s·r+u2;B計(jì)算乘積分享m2=?u2.

第一輪廣播中, 雙方公布E(s1) 和E(s2) 在計(jì)算意義下不泄露秘密信息. 因此, 雙方可通過本地預(yù)存對(duì)方的密文E(s1) 和E(s2), 減少一輪廣播. 此外, 根據(jù)門限加密的性質(zhì),A和B可采用門限加密的組合算法計(jì)算s·r, 則A和B可不用選擇u1和u2, 在第二輪分別公布E(r1(s1+s2)) 和E(r2(s1+s2)), 然后各自計(jì)算密文c=E(s·r) 并計(jì)算解密分享DA(c) 和DB(c) 作為s·r的分享, 可減少一輪廣播. 采用非交互的門限加法同態(tài)加密算法[34]可保證最后組合乘積結(jié)果不需要參與方之間的交互. 根據(jù)協(xié)議優(yōu)化過程, 各參與方對(duì)所有輸入信息進(jìn)行密態(tài)操作, 門限加密方案的安全性可保證各個(gè)參與方輸入信息的安全性.

基于門限同態(tài)加密的乘法運(yùn)算, 可通過增加一輪廣播, 擴(kuò)展至求逆運(yùn)算(TPC-1-Inv), 此處使用優(yōu)化后的乘法運(yùn)算協(xié)議, 使用組合算法作為計(jì)算乘積結(jié)果的方式, 具體協(xié)議如下:

4.2 基于多個(gè)同態(tài)加密的乘法運(yùn)算

基于多個(gè)加法同態(tài)加密[34]構(gòu)造安全兩方計(jì)算的乘法運(yùn)算(TPC-2-Multi). 假設(shè)E1() 和E2() 表示分別使用A和B的公鑰進(jìn)行加密,E1() 和E2() 滿足加法同態(tài)運(yùn)算和數(shù)乘運(yùn)算.

4.3 基于單個(gè)同態(tài)加密的乘法運(yùn)算

基于單個(gè)加法同態(tài)加密[34]構(gòu)造安全兩方計(jì)算的乘法運(yùn)算(TPC-3-Multi). 假設(shè)E() 表示使用A的公鑰進(jìn)行加密(E() 可以使用任何參與方的公鑰加密, 此處為方便選擇A).E() 滿足加法同態(tài)運(yùn)算和數(shù)乘運(yùn)算. 具體協(xié)議設(shè)計(jì)如下:

·A選擇隨機(jī)數(shù)u1, 計(jì)算E(s1),E(r1),E(u1) 并公布;

·B選擇隨機(jī)數(shù)u2,v2,w2,計(jì)算E((s1+s2)·v2),E(r·w2),E(u·v2·w2),其中r=r1+r2,u=u1+u2并公布;

·A解密并計(jì)算(s1+s2)·v2·r·w2·(u·v2·w2)?1=(s1+s2)·r·u?1并公布;

1923年7月，蔡元培偕夫人周養(yǎng)浩(1892—1975)和子女再度赴歐洲學(xué)習(xí)考察，先居住于比利時(shí)布魯塞爾，次年1月移居法國。1924年8月，蔡元培自法國赴荷蘭、瑞典參加一個(gè)關(guān)于哥倫布未發(fā)現(xiàn)新大陸之前美國民族問題的國際民族學(xué)會(huì)議，巧遇但采爾。此時(shí)，但采爾已從萊比錫大學(xué)博士畢業(yè)，在漢堡大學(xué)做教授。

·A計(jì)算分享m1=(s1+s2)·r·u?1·u1;B計(jì)算分享m2=(s1+s2)·r·u?1·u2.

根據(jù)上述協(xié)議, 參與雙方分別公布最后分享進(jìn)行加法運(yùn)算s·r= (s1+s2)·r·u?1·u1+(s1+s2)·r·u?1·u2, 則u1和u2信息公開, 但是并不影響雙方輸入信息(s1,r1) 和(s2,r2) 的安全性. 因此, 可優(yōu)化協(xié)議如下: 在第一輪廣播中A只公布E(s1),E(r1), 在第二輪廣播中B選擇隨機(jī)數(shù)v2,w2, 計(jì)算E((s1+s2)·v2),E(r·w2), 則A和B可分別計(jì)算秘密分享m1=(s1+s2)·v2·r·w2和m2=(v2·w2)?1;如此, 雙方以乘法形式代替加法形式計(jì)算最終結(jié)果, 可減少一輪廣播.

基于單個(gè)同態(tài)加密的乘法運(yùn)算, 可通過增加一步廣播, 擴(kuò)展至求逆運(yùn)算(TPC-3-Inv), 具體協(xié)議設(shè)計(jì)如下:

上述三種安全兩方計(jì)算TPC-1/2/3 適用于兩方模型. 我們根據(jù)TPC-1/2/3 的具體性質(zhì), 在附錄B中將TPC-1/2/3 擴(kuò)展至多方模型MPC-1/2/3, 并基于(n,t)-門限秘密分享方案[21], 對(duì)MPC-1/2 進(jìn)行門限化擴(kuò)展.

三種多方安全計(jì)算MPC-1/2/3 可保證多個(gè)參與方在不泄漏各自隱私數(shù)據(jù)的情況下, 完成多個(gè)參與方隱私數(shù)據(jù)的加法運(yùn)算、乘積運(yùn)算和求逆運(yùn)算. 基于多方安全計(jì)算技術(shù), 我們分別設(shè)計(jì)了分布式SM2 簽名算法[1,3,19]和分布式SM9 密鑰生成算法[2,4], 并根據(jù)具體協(xié)議給出方案優(yōu)化.

5 SM2 簽名的分布式設(shè)計(jì)

本節(jié)給出SM2 簽名算法的分布式設(shè)計(jì). 分布式SM2 簽名算法的驗(yàn)證算法與原SM2 的驗(yàn)證算法一致.具體參數(shù)參考SM2 標(biāo)準(zhǔn)算法[1,3], 為了方便, 省略算法中的編碼部分. SM2 簽名算法如下: 設(shè)用戶的簽名私鑰為sk,待簽名消息為m,用戶簽名過程如下: 用戶選擇隨機(jī)數(shù)k,計(jì)算(x1,y1)=[k]G,r=H(m)+x1,計(jì)算簽名結(jié)果(r,s=(1+sk)?1·(k ?r·sk)), 其中G是SM2 算法橢圓曲線上的參數(shù)點(diǎn), [k]G表示橢圓曲線上的倍點(diǎn)運(yùn)算,H表示雜湊算法SM3[35].

5.1 方案設(shè)計(jì)

5.2 方案優(yōu)化

上述優(yōu)化方案滿足兩方到多方, 再到門限化的擴(kuò)展.d·k的運(yùn)算不涉及簽名消息, 參與方可以離線操作, 進(jìn)一步提高了在線協(xié)同簽名的效率. 參與方通過離線預(yù)存簽名所需準(zhǔn)備信息, 在線簽名時(shí)各參與方甚至不需要交互, 直接可生成各自簽名分享, 用戶本地對(duì)簽名分享進(jìn)行疊加, 即可獲得最終簽名. 優(yōu)化方案的安全性建立于MPC-1/2/3-Multi 和MPC-1/2/3-Inv 協(xié)議的計(jì)算安全, 安全性證明類似引理A.1, A.2,A.3, 敵手攻擊參與方獲得的信息可被模擬器模擬.

5.3 方案效率分析與對(duì)比

基于三種安全多方計(jì)算的擴(kuò)展, 我們可對(duì)SM2 簽名算法進(jìn)行了分布式門限化設(shè)計(jì), 并根據(jù)具體的算法進(jìn)行優(yōu)化改進(jìn). 通過對(duì)固定信息預(yù)存, 改進(jìn)組合秘密的運(yùn)算形式, 減少各個(gè)參與方的廣播輪數(shù), 減少協(xié)議運(yùn)行的通信量. 此外, 我們對(duì)尚銘等人[19]的SM2 門限簽名算法進(jìn)行分析, 按照用戶數(shù)量為n, 門限值為t, 安全參數(shù)為k, 進(jìn)行分析和對(duì)比. 具體的分析表1所示.

表1 方案效率與對(duì)比Table 1 Efficiency and comparison

6 SM9 密管中心分布式設(shè)計(jì)

6.1 方案設(shè)計(jì)

上述分布式SM9 密鑰生成中心滿足多方模型和門限化的擴(kuò)展, 滿足MPC-2 的可驗(yàn)證性擴(kuò)展. 安全性建立于MPC-1/2/3-Multi 和MPC-1/2/3-Inv 協(xié)議的計(jì)算安全. 此外, 參與方A和B分別只拿到部分的標(biāo)識(shí)私鑰, 完整的標(biāo)識(shí)私鑰只有用戶自己掌握.

6.2 方案優(yōu)化

6.3 方案效率分析

基于三種安全多方計(jì)算的擴(kuò)展, 我們以模塊化的形式設(shè)計(jì)了三種分布式門限化的SM9 密鑰生成算法,并根據(jù)具體的算法設(shè)計(jì)進(jìn)行了方案的優(yōu)化改進(jìn). 通過對(duì)固定信息預(yù)存, 改進(jìn)組合秘密的運(yùn)算形式, 減少各個(gè)參與方的廣播輪數(shù), 減少協(xié)議運(yùn)行的通信量. 其中KGC 數(shù)量為n, 門限值為t, 安全參數(shù)為k, 具體的分析表2所示.

表2 方案效率Table 2 Efficiency of proposed schemes

7 總結(jié)

為提升國密算法在實(shí)際業(yè)務(wù)系統(tǒng)的健壯性和可用性, 本文通過歸納三種多方乘法運(yùn)算及其擴(kuò)展, 給出了SM2 簽名算法和SM9 密鑰生成算法的分布式門限化設(shè)計(jì), 在較低通信量的條件下達(dá)到最優(yōu)門限值. 但由于引入了同態(tài)加密運(yùn)算, 方案的計(jì)算復(fù)雜度略高, 仍有待優(yōu)化. 此外, 探索新型安全多方計(jì)算技術(shù), 以合適的通信、計(jì)算復(fù)雜度實(shí)現(xiàn)國密算法的分布式設(shè)計(jì), 將是未來密碼應(yīng)用研究的熱點(diǎn)問題之一.