18、高效安全的两方ECDSA协议解析

高效安全的两方ECDSA协议解析

1. 协议贡献

提出了一种针对恶意对手的协议，该协议的在线阶段接近最优，同时降低了离线阶段的计算和通信成本。具体改进如下：
- 密钥生成 ：与其他方案相同，生成x的加法秘密共享。Pi生成Qi ←[xi] · P（P是曲线的生成元），公钥Q ←Q1 + Q2。
- 在线阶段 ：和其他方案一样需要两次标量乘法M。
- 离线阶段 ：减少了一次椭圆曲线乘法，数据通信大小减少了两个域元素。

成本降低的实现方式是消除了重新共享秘密x的额外步骤，并将协议的安全性基于1 - 弱Diffie - Hellman问题，该问题等价于计算Diffie - Hellman问题。

原方案在签名阶段会重新共享秘密x，而新方案采用了k的乘法共享，避免了重新共享步骤。具体来说，Pi生成Ri ←[ki] · P，R ←[k1 · k2] · P，取R的x坐标r。只对MtA进行一次查询，输入分别为P1的x1和P2的k⁻¹₂。

签名s可以表示为：
[
s = k^{-1}_1 \cdot (k^{-1}_2 \cdot (H(m) + x_2 \cdot r) + x_1 \cdot k^{-1}_2 \cdot r) \mod q
]

P2计算局部签名份额：
[
s_2 \leftarrow k^{-1}_2 \cdot (H(m) + x_2 \cdot r) + b \cdot r \mod q
]

并发送给P1，P1构