(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210976125.2 (22)申请日 2022.08.15 (71)申请人 延安大学 地址 716000 陕西省延安市圣 地路580号 申请人 西安邮电大 学 (72)发明人 严都力　禹勇　赵艳琦　任瑛　 王思源　 (74)专利代理 机构 武汉世跃专利代理事务所 (普通合伙) 42273 专利代理师 邬丽明 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/08(2006.01) H04L 9/00(2022.01) (54)发明名称 一种抗差分故障攻击的两方协同EdDSA签名 算法 (57)摘要 本发明提供了一种抗差分故障攻击的两方 协同EdDSA签名算法， 包括： 步骤一， P1和P2共同 生成所需的秘钥； 其中， P1为第一参与方， P2为第 二参与方； 步骤二， P1和P2进行交互生成签名(R, s)； 步骤三， 对所述签名(R,s)进行验证。 本发明 设计了一种抗差分故障攻击的两方协同EdDSA数 字签名算法， 不仅具有安全性高、 易验证、 秘钥和 签名空间更小等优点， 而且签名整个过程必须在 通信双方共同参与情况下才能生成两方协同签 名， 降低了签名私钥泄漏风险， 抵抗签名者权利 过于集中、 防止单点失效， 增强了签名算法的安 全性； 另外通过对签名算法引入随机数， 防止了 恶意攻击利用电磁辐射、 激光等物理手段在 EdDSA签名过程中注入故障， 分析推算出密码系 统的密钥信息， 从而保护L ibra资产安全。 权利要求书2页 说明书6页 附图2页 CN 115412254 A 2022.11.29 CN 115412254 A 1.一种抗差分故障攻击的两方协同EdD SA签名算法， 其特 征在于， 包括： 步骤一， P1和P2共同生成所需的秘钥； 其中， P1为第一参与方， P2为第二参与方； 步骤二， P1和P2进行交互生成签名(R,s)； 步骤三， 对生成的所述签名(R,s)进行验证。 2.根据权利要求1所述的抗差分故障攻击的两方协同EdDSA签名算法， 其特征在于， 所 述步骤一具体包括以下步骤： 第一 步 ， P1任 意 选 取α1∈ {0 ,1}*作为 私 钥 ， 计 算 令 P1计算 作为P1的签名辅助 私钥， P1计算A1＝x1B作为P1的辅助签名公钥； 第二步， P1生成关于(x1,A1)的离散对数关系的零知识证明π1， 将(A1, π1)的承诺commit1 发送给P2； 第三步 ， P2任意选取α2∈ {0 ,1}*作为 私 钥 ， 计算 令 P2计算 作为P2的签名辅助 私钥， P2计算A2＝x2B作为P2的辅助签名公钥； 第四步， P2生成关于(x2,A2)的离散对数关系的零知识证明π2， 将(A2, π2)发送给P1； 第五步， P1验证(A2, π2)的正确性， 如果不正确， 终止协议执行过程； 如果正确， P1揭示承 诺commit1， 将揭示承诺输出值decom mit1和(A1, π1)发送给P2； 第六步， P2验证(A1, π1)的正确性， 如果不正确， 终止协议执行过程； 如果正确， 继续执行 协议； 第七步， P1生成Paillier同态加密密钥对(pk,sk)， P1计算ckey＝Encpk(x1)， P1计算签名 公钥A＝x1·A2， 并计算加密公钥pk零知识证明π3和密文ckey零知识证明π4， 将pk、 π3、 π4和ckey 发送给P2， P1保存(x1,A,pk,sk)； 第八步， P2验证π3、 π4的正确性， 如果不正确， 终止协议执行过程； 如果正确， 计算签名公 钥A＝x2·A1并保存(x2,A,ckey,pk)； 其中， H1， H2为密码杂凑函数； α1, α2为P1和P2各自持有的签名私钥； x1,x2为P1和P2各自持 有的辅助签名私钥， 满足x＝x1·x2； A1,A2为P1和P2各自持有的辅助签名公钥； commit1为发 送方暂时 以隐藏的方式向接收方对π1承诺， 输入消息π1， 输出承诺值commit1； decommit1为 揭示承诺commit1的输出值； ckey,为同态密文； mod  n为模n运算； Encpk为同态加密操作， 对应 的加密密钥为pk； b ′为爱德华兹曲线Edwards25 519上固定取值 为256。 3.根据权利要求2所述的抗差分故障攻击的两方协同EdDSA签名算法， 其特征在于， 所 述步骤二具体包括以下步骤： 第一步， P1计算e＝H2(m)， P1任意选取随机数 计算 计算R1 ＝r1·B， P1生成关于(r1,R1)的离散对数 关系的零知识证明π5， 计算(R1, π5)的承诺c ommit2发 送给所述P2； 第二步， P2计算e＝H2(m)， P2任意选取随机数 计算 计算R2 ＝r2·B， P2生成关于(r2,R2)的离散对数关系的零知识证明π6， 将(R2, π6)发送给P1；权　利　要　求　书 1/2 页 2 CN 115412254 A 2第三步， P1验证(R2, π6)的正确性， 如果不正确， 终止协议执行过程； 如果正确， P1揭示承 诺commit2， 将揭示承诺输出值decom mit2和(R1, π5)发送给P2； 第四步， P2验证(R1, π5)的正确性； 如果不正确， 则终止协议执行过程； 如果正确， 则P2计 算R＝R1+R2， 计算h＝H2(R,A,e)mod  n， 计算c1＝Encpk(r2)和v＝x2·h， 然后计算c2＝v⊙ckey， 令 计算 将c3发送给所述P1； 第五步， P1计算R＝R1+R2， P1利用sk解密c3， 最终得到消息m的数字签名(R,s)； 其中， 为表示1,2,3, ...,n‑1的集合； k1,k2为P1和P2选择的随机数， 满足 B为爱 德华兹曲线Edwards25519上的基点B∈Ec,d(Fq)； r1·B为爱德华兹曲线Edwards25519上点B 的r1倍点， 即 r1是正整数； ,c1,c2,c3为同态密文； c ommit2为发送方暂 时 以隐藏的方式向接收方对π5承诺， 输入消息π5， 输出承诺值commit2； decommit2为揭示承诺 commit2输出值。 4.根据权利要求3所述的抗差分故障攻击的两方协同EdDSA签名算法， 其特征在于， 在 所述第五步中， P1利用sk解密c3为： 计算s＝(r1+s′)mod n＝(r+xh)mod  n； 其中， Decsk为同态解密 操作， 对应的解密 密钥为sk。 5.根据权利要求3所述的抗差分故障攻击的两方协同EdDSA签名算法， 其特征在于， 所 述爱德华兹曲线Edwards25 519具体为： cx2+y2＝1+dx2y2。 6.根据权利要求3所述的抗差分故障攻击的两方协同EdDSA签名算法， 其特征在于， 所 述H1： {0,1}*→{0,1}2b′， 所述H2： {0,1}*→Zn。权　利　要　求　书 2/2 页 3 CN 115412254 A 3