1、一種數字簽名方法與簽名系統，該簽名方法具有門限機制、子秘密更新機制以及成員加入機制。其特征是，以Shamir-SS協議、Mult-SS協議、Joint-Shamir-RSS協議為基礎模塊，設計出的前向安全的門限簽名方案(FST-SIG簽名方案)。整個數字簽名方案包括五個部分：密鑰生成協議、密鑰進化協議、簽名協議、簽名驗證算法、新成員加入協議。方案中涉及到的協議及算法的核心內容如下：

Protocol?FST-SIG.keygen(k，T)??//?密鑰生成協議

(1).分發者挑選兩個隨機的大素數p和q，并且滿足p≡q≡3(mod4)，p，q需要保密；

(2).分發者計算N，使N＝pq；

(3).分發者在Z_N^*中隨機選取S₀并計算U，U=(S02l(T+1))-1;]]>

(4).分發者利用Shamir-SS，在Z_n上計算S₀的子秘密：

(5).令SK0(ρ)=(N,T,0,S0(ρ))]]>(ρ＝1，2，…，n)，PK＝(N，T，U)；

(6).分發者通過保密的信道將發送給第ρ個參與者并發布簽名驗證密鑰PK。

Protocol?FST-SIG.sign(m，j)??//?簽名協議

(1).參與者利用Joint-Shamir-RSS共同生成隨機數R(R∈Z_N)，每個參與者擁有R的子秘密R^(ρ)；

(2).參與者根據R^(ρ)利用Mult-SS計算Y，使Y＝R^2l(T+1-j)；

(3).每一個參與者ρ計算σ＝H(j，Y，m)；

(4).利用Mult-SS參與者聯合計算Z=RSjσ;]]>

(5).公布消息m的簽名<j，(Z，σ)>。

Algorithm?FST-SIG.verify(m，PK，sign)??//?簽名驗證算法

假設：PK是(N，U，T)；sign是<j，(Z，σ)>；

ifZ≡0(modN)

return(0)；

else?Y′＝Z^2l(T+1-j)U^σmod?N；

if?σ＝＝H(j，Y′，m)

then?return(1)；

else?return(0)；

Protocal?FST-SIG.update(j)??//?密鑰進化協議

(1).如果j＝T，則返回空串；否則，執行：

(2).參與者根據各自的子秘密利用Mult-SS，計算S_j-1的2^l次方S_j的子秘密

(3).每個參與者ρ刪除

Protocal?FST-SIG.jion(j，n+1)//成員加入協議

(1).每一個參與者P_i，i∈{1…n}在Z_q上選取一個隨機t次多項式δ_i(x)，滿足δ_i(n+1)＝0。(可以這樣選取：在Z_q上選取隨機數{δ_ij}_j∈{1…t}然后計算δ_i0＝-∑_j∈{1…t}δ_ij(n+1)^j(modq)。)

(2).每個參與者P_i使用其他參與者P_j的公鑰加密δ_i(j)(j∈{1…n}，j≠i)得到{ENC_j(δ_i(j))}并廣播。

(3).每個參與者P_i計算Sj(i)′=Sj(i)+ΣPj∈Dδj(i)]]>并將保密傳送給P_n+1。

(4).新加入者P_n+1獲得所有的用拉格朗日插值法恢復出屬于他的子秘密，進而獲得簽名子密鑰SKj(n+1)=(N,T,j,Sj(n+1)).]]>

Shamir-SS算法

算法參數：Z，s，n，t

(1).執行者在集合Z中選擇t個隨機數a₁，a₂，…，a_t作為系數，以秘密s作為常數項構造t次多項式f(x)＝s+a₁x+a₂x²+…a_tx^t；

(2).執行者為多項式賦值，得到關于秘密s的子秘密s₁＝f(1)，s₂＝f(2)，…，s_n＝f(n)。

Mult-SS協議

參與者P_i的輸入：f_α(i)和f_β(i)的值

(1).參與者選取一個隨機t次多項式h_i(x)，滿足h_i(0)＝f_α(i)f_β(i)，用各個參與者對應的公鑰加密屬于他們的值h_i(j)得到1≤j≤2t+1并以廣播的形式將這些加密后的子秘密公布出去。

(2).每一個參與者P_j接收解密出h_i(j)，然后計算屬于他的αβ的子秘密：

H(j)=Σi=12t+1λihi(j).]]>

Joint-Shamir-RSS協議

(1).參與者P_i選取一個隨機數s_i作為秘密，并選取t個隨機數a_i1，a_i2，…，a_it作為系數構造t次多項式f_i(x)＝s_i+a_i1x+a_i2x²+…a_itx^t；

(2).參與者P_i計算屬于每一個參與者的子秘密：，用各個參與者對應的公鑰加密屬于他們的子秘密得到EPK1(Si(1)),EPK2(Si2),···,EPKn(Si(n))]]>，并以廣播的形式將這些加密后的子秘密公布出去；

(3).每一個參與者P_j解密所有接收到的得，而參與者P_j掌握的對應的聯合生成的隨機數的子秘密為S1(j)+S2(j)+···Sn(j).]]>