第1、第2裝置通過同態加法加密將它們的整數秘密b₁和b₂的相乘項，即b₁b₂，轉化為第1、第2裝置在[1,n?1]內的整數秘密d₁、d₂的相加項，即d₁+d₂，且(d₁+d₂)mod n＝(b₁b₂)mod n，n是一個素數；第1、第2裝置通過同態加法加密將它們的整數秘密d₁和d₂的相加項，即d₁+d₂，且(d₁+d₂)mod n非0，轉化為第1、第2裝置在[1,n?1]內的整數秘密b₁和b₂的相乘項，即b₁b₂，且(d₁+d₂)mod n＝(b₁b₂)mod n；兩個裝置利用這兩種運算轉換對包含兩個裝置秘密的模n運算式進行轉換，可得到僅包含各自秘密的運算式，由此消除運算式中兩個裝置秘密的耦合。

技術領域

本發明屬于密碼技術領域，特別是秘密數相乘運算轉換為相加運算的方法、秘密相加運算轉換為相乘運算的方法以及基于這兩個方法的運算式轉換和計算方法及系統。

背景技術

在密碼技術應用中由于應用需要，比如對私鑰安全保護的需求，常常需要采用基于秘密共享的密碼運算，比如，基于秘密共享的ECDSA(Elliptic Curve DigitalSignature)數字簽名生成、基于秘密共享的SM2橢圓曲線數字簽名生成、基于秘密共享的SM9橢圓曲線數字簽名生成、基于秘密共享的SM9標識私鑰協同生成等。下面是一些具體例子(當然不是全部的)。

1、ECDSA數字簽名協同生成

設G是橢圓曲線點群的基點，素數n是G的階(也即橢圓曲線點群的階)，d是用戶的私鑰，使用用戶私鑰d對消息M進行數字簽名的過程如下：

計算kG＝(x₁,y₁)，取r＝x₁ mod n，e＝hash(M)，之后兩個裝置通過對d的共享秘密，協同計算s＝k^-1(e+rd)mod n，從而得到針對消息M的數字簽名(r,s)。

若采用基于秘密共享的ECDSA數字簽名協同生成，則通?；蚱谕挠嬎惴绞绞牵?/p>

使得k＝(k₁k₂)mod n，其中k₁、k₂分別是第1裝置、第2裝置在[1,n-1]內隨機選擇的作為秘密的整數，使得d＝(d₁d₂)mod n或d＝(d₁+d₂)mod n，其中d₁、d₂分別是第1裝置、第2裝置分享(共享)私鑰d的秘密份額，然后第1裝置、第2裝置在不暴露各自秘密的情況下，協同計算得到s＝k^-1(e+rd)mod n。

2、SM2數字簽名協同生成

設G是橢圓曲線點群的基點，素數n是G的階(也即橢圓曲線點群的階)，d_A是用戶的私鑰，使用用戶私鑰d_A對消息M進行數字簽名過程如下：

計算[k]G＝(x₁,y₁)，取r＝(e+x₁)mod n，e是消息M的散列值，計算得到s＝((k+r)(1+d_A)^-1-r)mod n，則(r,s)是針對消息M的數字簽名。