(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210024567.7 (22)申请日 2022.01.11 (71)申请人 浪潮云信息技 术股份公司 地址 250100 山东省济南市高新区浪潮路 1036号浪潮科技园S01号楼 (72)发明人 王伟兵　魏金雷　孙思清　 (74)专利代理 机构 济南信达专利事务所有限公 司 37100 代理人 姜鹏 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/30(2006.01) H04L 9/08(2006.01) H04L 9/00(2022.01) (54)发明名称 一种基于椭圆曲线的El Gamal多重解密方法 及系统 (57)摘要 本发明公开了一种基于椭圆曲线的ElGamal 多重解密方法及系统， 属于门限密码学技术领 域。 本发明的基于椭圆曲线的ElGamal多重解密 方法基于椭圆曲线， 多个持有解密私钥份额的安 全多方计算参与方， 一轮并发通信将密文解密。 该发明的基于椭圆曲线的ElGamal多重解密方法 可以为区块链带来多节点协作解密能力， 为区块 链带来隐私计算能力， 弥补区块链在隐私保护方 面的缺陷， 具有很好的推广应用价 值。 权利要求书1页 说明书4页 附图1页 CN 114422142 A 2022.04.29 CN 114422142 A 1.一种基于椭圆曲线 的ElGamal多重解密方法， 其特征在于： 该方法基于椭圆曲线， 多 个持有解密私钥份额的安全多方计算参与方， 一轮并发通信将密文解密， 具体包括以下步 骤： S1、 密码系统安全设置， 确定椭圆曲线参数； S2、 分布式密钥生成， 确定各 方的私钥份额、 公钥份额和聚合公钥； S3、 用标准基于椭圆曲线的ElGamal 算法加密得到密文； S4、 分布式解密； S5、 完成解密。 2.根据权利要求1所述的基于椭圆曲线的ElGamal多重解密方法， 其特征在于： 步骤S2 中， 每个参与方选择一个随机数作为私钥份额， 计算对应的公钥份额， 所有参与方接收到所 有公钥份额后计算聚合公钥。 3.根据权利要求2所述的基于椭圆曲线的ElGamal多重解密方法， 其特征在于： 步骤S4 中， 分布式解密的发布者将密文发送给所有参与方， 每个参与者利用私钥份额解密 并广播 明文份额和零知识证明。 4.根据权利要求3所述的基于椭圆曲线的ElGamal多重解密方法， 其特征在于： 步骤S5 中， 各参与方收集明文份额并验证有效后聚合得到明文。 5.一种基于椭圆曲线 的ElGamal多重解密系统， 其特征在于： 包括安全设置模块、 分布 式密钥生成模块、 密文得到模块、 分布式解密模块和解密完成模块； 安全设置模块用于密码系统安全设置， 确定椭圆曲线参数； 分布式密钥生成模块用于确定各 方的私钥份额、 公钥份额和聚合公钥； 密文得到模块用于用标准基于椭圆曲线的ElGamal 算法加密得到密文； 分布式解密模块用于分布式解密； 解密完成模块用于 完成解密。 6.根据权利要求5所述的基于椭圆曲线 的ElGamal多重解密系 统， 其特征在于： 分布式 密钥生成模块中， 每个参与方选择一个随机数作为私钥份额， 计算对应的公钥份额， 所有参 与方接收到所有公钥份额后计算聚合公钥。 7.根据权利要求6所述的基于椭圆曲线 的ElGamal多重解密系 统， 其特征在于： 分布式 解密模块中， 发布者将密文发送给所有参与方， 每个参与者利用私钥份额解密并广播明文 份额和零知识证明。 8.根据权利要求7所述的基于椭圆曲线 的ElGamal多重解密系 统， 其特征在于： 解密完 成模块中， 各参与方收集明文份额并验证有效后聚合得到明文。权　利　要　求　书 1/1 页 2 CN 114422142 A 2一种基于椭圆曲线的 ElGamal多重解密方 法及系统 技术领域 [0001]本发明涉及门限密码学技术领域， 具体提供一种基于椭圆曲线的ElGamal多重解 密方法及系统。 背景技术 [0002]ElGamal加密算法是T.ElGamal基于离散对数困难问题设计的一种具备线性同态 特性的加密算法。 ElGamal密码系统的定义如下， 给定一个安全参数k。 [0003]密钥生成。 在所有由安全参数k确定的群中随机挑选一个群<g>。 设n表示生成元g 的阶。 接下来， 选择x∈RZ* n。 私钥是x， 公钥是h＝gx。 [0004]加密。 给定一个明文M∈<g>， 取u ∈RZ* n， 对于公钥h的密文是对(gu,huM)。 [0005]解密。 给定密文(A,B)， 即A＝gu， B＝huM， 使用私钥x 恢复为明文M＝BA‑x。 [0006]构造椭圆曲线E(a,b)(GF(q))， 选取一个基点G， 阶是n。 椭圆曲线E(a,b)定义为满 足方程y2＝x3+ax+b的点(x,y)∈GF(q) ×GF(q)和无穷远点O的集 合。 [0007]ECC‑ElGamal加密算法： [0008]a)消息明文嵌入到椭圆曲线 [0009]为了利用ELGamal密码体制加密信息， 需要将明文m编码到椭圆曲线， 成为曲线上 的一个坐标点M 。 [0010]b)密钥生成 [0011]公私钥生成方法是： 随机选择一个整数d<n,计算P＝dG,P 为公钥,d为私钥。 加密过 程中提到的公钥、 私钥都是消息 接收方的公钥、 私钥。 [0012]c)加密 [0013]加密方选择随机数k作为临时密钥， K＝kG为临时公钥。 计算密文C＝M+kP。 有序对 (K,C)为密文， 密文发送给接收方。 [0014]d)解密 [0015]接收方的私钥为d， 公钥为P， 收到的密文为有序对(K,C)。 通过计算C ‑dK得到明文。 也就是通过计算M+kP ‑dK得到明文。 [0016]Ecc‑ElGamal加密算法的同态 特性可以推广到n个密文相加， 在实际场景中加法同 态比乘法同态用途更多， 可以有效解决隐私计算中的一些常见问题。 发明内容 [0017]本发明的技术任务是针对上述存在的问题， 提供一种可以为区块链带来多节点协 作解密能力， 为区块链带来隐私计算能力， 弥补区块链在隐私保护方面的缺陷的基于椭圆 曲线的ElGamal多重解密方法。 [0018]本发明进一 步的技术任务是提供一种基于椭圆曲线的ElGamal多重解密系统。 [0019]为实现上述目的， 本发明提供了如下技 术方案： [0020]一种基于椭圆曲线的ElG amal多重解密方法， 基于椭圆曲线， 多个持有解密私钥份说　明　书 1/4 页 3 CN 114422142 A 3