论文笔记:Extendability for Threshold Ring Signatures
《Count Me In! Extendability for Threshold Ring Signatures》PKC2022
作者演講 & slices(語速很快,順便練練聽力......)
https://www.bilibili.com/video/BV1nY411G7yK/?spm_id_from=333.337.search-card.all.click&vd_source=740f82f155391112395641cab3227dc8
目錄
Introduction
Preliminaries
Threshold Ring Signatures
Signatures of Knowledge
Extendable Ring Signatures(ERS)
Syntax
Security Model
Unforgeability
Anonymous Extendability
ERS from Signatures of Knowledge and Discrete Log?編輯
Same-Message Linkable Extendable Ring Signatures?
Syntax
Security Model
Same-Message One-More Linkability
Cross-Message Unlinkability
Secure SMLERS
SMLERS from Signatures of Knowledge and Discrete Log
將ERS轉(zhuǎn)換為SMLERS的方法
Extendable Threshold Ring Signatures
Syntex
Security Model
Secure ETRS
Unforgeability for ETRS?編輯
Anonymity for ETRS?編輯
?Strong Anonymous Extendability for ETRS
?通用編譯方案
ETRS from Signatures of Knowledge and Discrete Log?編輯
Introduction
Extendability的概念:擴大t-out-of-n門限環(huán)簽名的環(huán)規(guī)模
動機
目標:為了實現(xiàn)匿名性,希望門限簽名生成過程中簽名者之間是非交互的。
現(xiàn)狀:存在非交互式簽名的閾值環(huán)簽名,簽名者在本地產(chǎn)生部分簽名,然后聚合這些簽名。
缺陷:所有簽名者必須同意他們所代表的組,這隱含地假設了他們之間的某種協(xié)調(diào)。
解決:非交互可擴展環(huán)的規(guī)模,擴展過程不需要簽名者參與。
貢獻
Preliminaries
Threshold Ring Signatures
- 非交互TRS:
輸出對簽名者的部分簽名;的輸入中加入門限;將個部分簽名合并成一個TRS?,這個算法可以被第三方運行,因為它不需要簽名者的秘密信息。
- 另一種稍弱的解決:
簽名在簽名者之間傳遞,每個簽名者接收簽名,連接自己的簽名,傳遞簽名(只進行一次);
?
Signatures of Knowledge
通過用實例或聲明(statement)替換公鑰來泛化數(shù)字簽名,在NP語言中。只有當簽名者擁有聲明的有效證人時,她才能為消息生成有效簽名。
一個二元關系的SOK定義為PPT算法的元組:
- : (message?, statement?, witness )
- : trapdoor?
提前看一下下面用到的關系初始化參數(shù)和簽名:
SoK方案應該滿足correctness, simulatability, extractability
Extendable Ring Signatures(ERS)
Syntax
一個附加的算法Extend,允許任何第三方擴大給定簽名的潛在簽名者的環(huán)
:輸入原簽名的環(huán)公鑰集合,和另一組環(huán)公鑰,輸出環(huán)為的新簽名
按某種順序擴展簽名:(簽名者的身份+rings of簽名者標識符集合)
算法:用在環(huán)上產(chǎn)生消息的簽名,并按順序擴展這個簽名(使用存儲在中的密鑰)
Security Model
Unforgeability
?排除兩種普通攻擊:
Oracles:
如果查詢者沒有指定公鑰,正常生成身份-公私鑰對并存儲在列表中;否則將指定的身份-公鑰存儲在列表中,因為無法獲得私鑰,所以缺省;由于認為查詢者知道對應的,所以視為腐化密鑰對加入中
??
代表視為已被腐化的密鑰對,包括通過查詢獲得的,和敵手通過將已知公鑰登記給。
查詢方需要是未被腐化的,所以Oracle可以通過查找到生成簽名,加入.
?Unforgeability for ERS
?一個可擴展的環(huán)簽名方案ERS被認為是不可偽造的,如果任意的PPT敵手都參加(以上的cmEUF)不可偽造實驗,而成功的概率可以忽略不計。
Anonymous Extendability
我們定義了一個通用的實驗,以支持2種不同的匿名可擴展性:
- 標準匿名概念,其中不發(fā)生擴展;
- 強匿名可擴展性,不可能知道一個簽名經(jīng)歷了什么擴展序列。
?可擴展環(huán)簽名的匿名性和匿名可擴展性
Oracles:OSign, OKeyGen,OCorrupt同上
(line 6)生成兩個不同的擴展序列,如果敵手能夠區(qū)分簽名是從哪個序列擴展來的,敵手勝利
生成挑戰(zhàn)簽名的過程:排除身份被腐化的可能(line?3);分別對同一消息以不同的序列擴展簽名。
注意以不同的序列生成的兩個擴張簽名,所使用的簽名集合最終相同(即,是同一個消息在同一個環(huán)中的簽名)。
Anonymity for ERS(標準匿名性)
可擴展環(huán)簽名方案被稱為匿名的,如果所有的PPT敵手都參與了匿名可擴展性實驗(如上),并向挑戰(zhàn)者提交種類為的梯子,認為的成功概率近似于隨機猜測,可以忽略不計。
- 對于標準匿名性來說,不發(fā)生擴展,所以輸出的和都只包含一個相同的環(huán),只有簽名者身份不同。敵手猜對的概率等同于擲硬幣。
Strong Anonymous Extendability for ERS
可擴展環(huán)簽名方案被認為是強匿名可擴展的,如果所有的PPT對手A都參與匿名可擴展實驗(如上),并且成功的概率可以忽略不計。
- 注意,強可擴展性意味著擴展環(huán)簽名的行為是無縫的,也就是說,攻擊者無法區(qū)分新環(huán)簽名(由Sign返回)和它的擴展(由Extend返回)。這表示的強可擴展性情況。
ERS from Signatures of Knowledge and Discrete Log
這個關系要求witness是或者對應的離散對數(shù)(即)。
?
?
line 2表示:
line 4-5:?statement?, witness ?
?
擴展過程與簽名大致相同,但使用了另一種witness.
(這個簽名好長,而且規(guī)模與擴展的次數(shù)有關)
???
驗證過程
定理1假設SoK是安全的方案,群上的離散對數(shù)問題困難,則以上ERS方案滿足正確性、不可偽造性、強匿名可擴展性
Same-Message Linkable Extendable Ring Signatures?
Syntax
同消息可鏈接環(huán)簽名方案(SMLRS)是一種環(huán)簽名方案,它還允許任何第三方公開識別(鏈接)同一簽署人是否為同一消息生成了兩個簽名。這意味著,如果同一方在同一消息上簽名兩次,即使是不同的環(huán),兩個簽名也可以被任何第三方鏈接。
前五種算法同上,Link算法允許任何驗證者確定特定消息上的兩個簽名是否由同一個簽名者產(chǎn)生
注意,如果簽名被鏈接,鏈接不一定會揭示共同簽名者的身份。
SMLERS方案的正確性,它包含兩個語句:
Security Model
增加的性質(zhì):
Same-Message One-More Linkability
沒有一組(t?1)腐化的簽名者可以為相同的消息產(chǎn)生t個簽名,而這些消息是成對不鏈接的
?signing, key generation and corruption oracles同上,除了算法ERS換成SMLERS
line 4:敵手輸出一組t對消息的簽名-環(huán)對;
line 5: 如果是已經(jīng)被查詢過的簽名的擴展環(huán),lose
line 6:如果輸出的t個簽名的所有環(huán)中被腐壞的成員大于等于t個,lose(因為那樣肯定能生成)
line 7: 生成的簽名不合法,lose
line 8: 如果這些生成的簽名兩兩不可鏈接,win;否則lose
Cross-Message Unlinkability
任何敵手都無法確定不同消息的兩個簽名是否由同一簽名者產(chǎn)生。
?line 5:對于敵手指定的兩個身份-消息生成的簽名,敵手無法分辨。
line 9:如果簽名者任意查詢過的簽名,lose
(誤,line 8 應是)
?對于敵手指定的兩組消息,產(chǎn)生簽名的過程
Secure SMLERS
定理:同消息可鏈接可擴展環(huán)簽名方案(SMLERS)在滿足正確性、Same-Message One-More Linkability和Cross-Message Unlinkability的前提下是安全的
SMLERS from Signatures of Knowledge and Discrete Log
將ERS轉(zhuǎn)換為SMLERS的方法
- 首先采用一種稍微不同的關系
值得注意的是,最后一個AND不僅要求簽名者證明秘密密鑰的知識,而且它還強制使用相同的秘密密鑰來生成鏈接性標記。SMLERS的SoK是關于新關系的
- ?其次,修改了原ERS構造中的Sign算法,它額外計算,并將加入作為簽名的一部分。(可注意到,標記僅與消息和簽名方私鑰有關,且不泄露它們的信息)
- 最后,算法Link簡單地比較兩個簽名中的可鏈接性標記。如果它們相等,則返回鏈接,否則返回不鏈接。
該方案只需對ERS的不可偽造性(分別地,匿名可擴展性)的證明進行少量修改,就可以證明該方案是Same-Message One-More Linkability(分別地,Cross-Message Unlinkability)的。
Extendable Threshold Ring Signatures
可擴展門限環(huán)簽名方案還具有以下特性:
給定任意兩個門限簽名,對相同的信息和相同的環(huán)進行驗證,任何人都可以將簽名非交互組合得到。新簽名也是一個門限環(huán)簽名,它的門限等于對兩個簽名中至少一個作出貢獻的唯一簽名者的總數(shù)。這個功能由提供
對于門限為t的環(huán),給定消息上的簽名,任何人都可以將非交互地轉(zhuǎn)換為具有相同閾值的同一消息上的簽名,但使用更大的環(huán)。此功能由提供。
Syntex
ETRS由6個算法組成
- . 其中,分別是兩個簽名中隱含的簽名者的集合
對于更具互動性的語法,我們可以用操作替換執(zhí)行。
對于下面的定義,使用梯子lad的方式與在ERS上下文中使用的方式略有不同。lad將包含表單的元組序列。第一個組件可以取的值.
- ,其中是同一個環(huán)中兩個簽名的索引
- ,其中是我們將擴展到的一個現(xiàn)有簽名的索引
定義了算法。
Security Model
Secure ETRS
在滿足正確性,不可偽造性、匿名性和一些匿名可擴展性概念的前提下,可擴展門限環(huán)簽名方案是安全的
Unforgeability for ETRS
敵手生成一組偽造,有q組同一消息在其子環(huán)上的簽名被查詢過(line 5)
如果環(huán)中被腐化的個數(shù)+q大于等于t個,lose
如果偽造的簽名能通過驗證,敵手勝利。
?(可擴展)閾值環(huán)簽名選擇消息攻擊下的存在不可偽造性。Keygen、corrupt和sign oracle同上,不同之處在于ERS算法被ETRS變體替換,簽名oracle現(xiàn)在返回部分簽名。
Anonymity for ETRS
?簽名者不能被腐化,某簽名者的消息不能被查詢過
sr表示里面所有的成員集合成的總環(huán)super-ring
?簽名者不能被腐化,所有成員都被有效地生成
line11-12:根據(jù)lad擴展簽名,但最后生成的簽名的環(huán)和門限值都要相同(line 13)
對于匿名性,由敵手提交給挑戰(zhàn)者的ladders有以下結構(這里t表示方案的門限值):前t條指令的類型為,其中對兩個ladders中的所有指令都是相同的,并且在同一ladder中簽名者索引i都是不同的;最后(t?1)指令的類型為,其中對兩個ladders(和)中的所有指令都是相同的
?Strong Anonymous Extendability for ETRS
對于強匿名可擴展性,對手提交的ladders具有以下結構:前t指令的類型為,其中簽名者身份在ladders中是兩兩不同的,環(huán)在ladder中是相同的(但可能每個ladder都不同);隨后的t?1指令的形式是或,其中表示索引。值得注意的是,在強匿名可擴展性中,每個ladder可能包含任意數(shù)量(多項式,并且每個ladder可能不同)的后續(xù)Extend指令,只要每個ladder的最后一個指令在同一環(huán)中結束
?通用編譯方案
Combine的前提是被結合的兩個簽名不能來自同一個簽名者
Verify包括驗證簽名-門限合法、其中的任意簽名合法,任意簽名兩兩不可鏈接
定理。假設一個安全的same-message linkable extendable ring signature(SMLERS)方案,那么上圖中的ETRS方案滿足正確性、不可偽造性、匿名性。
ETRS from Signatures of Knowledge and Discrete Log
一個更具有交互性的可擴展門限環(huán)簽名方案,它支持Join操作并具有更緊湊的簽名:ETRS的大小與閾值t無關,相反,它與n(環(huán)大小的上限)線性增長。如果使用前文Discrete Log和SMLERS的SoK實例化,則返回大小為的線性簽名。
?
?
利用多項式的特征,以類似于Shamir秘密共享的方式實現(xiàn)閾值功能。簽名者采樣對(line 1,4,5),這些對值定義一個階為的唯一多項式,滿足對于每個,。因為是未知的,簽署人不知道這個多項式的系數(shù),然而,由于多項式插值(補充知識https://zhuanlan.zhihu.com/p/337586165)只涉及線性操作(當x坐標是固定的和已知的),簽字者可以在指數(shù)中插值這個多項式,以學習任何給定的的附加點。
為了簽名,以及之后背書一個陳述(Join一個簽名),簽名者被要求在多項式上生成一個的SoK為一個多項式上的隨機點滿足(line 7,8)。
?
至關重要的是,簽名者不知道的離散對數(shù)(即不在“陷門”值中),因此必須滿足關系的第二句(證明他們的密鑰的知識)。
另一方面,要擴展簽名,任何人都可以選擇(剩余的)一個“陷門”點,并通過滿足第一個子句(證明的知識)為生成一個證明,以在環(huán)中包含任何。
然后從陷門列表中刪除pair 。(如果的擁有者以后想加入簽名,Extend算法加密到;之后,的所有者可以恢復并在使用她的秘密密鑰生成一個新的SoK之前將其返回到陷門列表中。)
對于任意的域(隱含),和,定義階為的拉格朗日多項式
?
?
?
請注意,惡意擴展程序可以通過不加密新成員公鑰下的正確陷門來阻止新添加的環(huán)成員后來加入簽名。安全定義沒有捕捉到這一點,但排除此類攻擊將是一個有趣而有價值的擴展。可以修改原文的構造,通過添加一個零知識證明,證明加密的值實際上是h的離散對數(shù),來禁止這種情況。
總結
以上是生活随笔為你收集整理的论文笔记:Extendability for Threshold Ring Signatures的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 图像像素灰度处理代码
- 下一篇: 最近捣腾的-xwiki, java cp