Digquant的博客

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】9.6CZK03算法基于ID的数字签名方案中，双线性的引入为验证签名和打开签名都提供方便，CZK03群签名方案的安全性在随机预言机模型下是可证明安全的，但是即使是获得群成员证书的群成员在产生每一个签名时都需要从群管理员处获得新的授权，效率非常低，也使得群管理员的速度成为限制整个系....

【本课堂内容全部选编自武汉大学国家网络安全学院教授、博士生导师的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】10-12非交互式零知识证明| Fiat-Shamir转换回顾下Sigma协议，可以发现以下问题：01Sigma协议的零知识性需要验证者是诚实的那么，验证者不诚实的话，Sigma协议是否是零知识的？目前，无法说明这个问题。02Sigma协议的安全基石除了困难问题外，还有什么？答案是随....

【本课堂内容全部选编自武汉大学国家网络安全学院教授、博士生导师的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】10-11形式化定义| OR证明构造方式：以sigma协议为基础构造利用模拟器的特性协议交互过程如下：| OR证明的安全性完备性+特殊可靠性+特殊诚实验证者零知识性均满足；OR证明协议也是一个sigma协议。另外，该协议还具备一个性质：证据不可区分性（Witnes....

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】10-10形式化定义| 二元关系| 可扩展性两种方式可以将挑战长度扩展或压缩：今天的课程就到这里啦，下节课我们将开始学习Sigma协议簇，敬请期待！同学们可以关注点宽学园，每周持续更新区块链系列课程，小宽带你进入区块链世界。....

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】10-9Sigma协议簇| Schnorr协议为例的三个分析以Schnorr协议为例，进行如下分析：以Schnorr协议为例，进行如下分析：02不诚实的证明者P*如何成功欺骗验证者V呢？方法一：通过来h获取ω，相当于破解离散对数问题。方法二：猜测.....

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】10-8身份鉴别协议| Schnorr身份鉴别协议Schnorr提出了一种基于离散对数困难问题的身份鉴别协议，可以做预计算来降低实时通信量，所传输的数据量也减少许多，特别适合于计算能力有限的情况。安全假设：离散对数问题是计算困难的。参数选取：.....

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】10-7身份鉴别协议| Guillo-Quisquater身份鉴别协议Guillo和Quisquater给出了一个身份鉴别方案，这个协议需要可信第三方参与、三轮交互、利用RSA公钥密码体制。鉴别协议流程协议性质分析今天的课程就.....

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】10-6身份鉴别协议在一个安全的身份认证协议中，要保证用户身份识别的安全性，身份鉴别协议至少要满足以下条件：证明者P能够向验证者V证明他的确是P（P向V证明自己有P的私钥）。在证明者P向验证者V证明他的身份后，验证者V没有获得任何有用的信息（V不能模仿P向第三方证明他...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】10-5NP问题的零知识证明（二）哈密顿回路问题| 密顿回路的定义哈密顿难题HC零知识证明性质分析完备性：如果证明者知道图G的哈密顿回路，他对于不同的α都可以做出正确的响应。显然，诚实验证者接收的概率为1。可靠性：如...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】10-4NP问题的零知识证明（一）图同构问题| 图同构（Graph Isomorphism）的定义验证者执行上述证明过程t轮后，且均未拒绝，则验证者接受证明者的证明，即相信两个图是同构的。| GI零知识证明性质分析...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】10-3零知识证明零知识证明系统是交互证明系统的一个实例。零知识证明系统所要完成的任务是「证明某一个事实并且不泄露知识」。简而言之，零知识证明是一个两方参与的交互协议，其中证明者向验证者证明某一个断言的正确性，并且满足以下三个条件：正确性-即若断言为真，则验证...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】10-2交互证明系统在计算机复杂性理论中，交互证明系统（Interactive proof system）是一种抽象机器，其将计算建模为两个参与方（证明者和验证者）之间的消息交换。通过交换信息，参与方证明某个声明成立（例如：，L为NP语言）。其中：证明者（Prover）：...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】9.8群签名在区块链中的应用近年来，密码资产的兴起带动了区块链技术的腾飞，区块链技术已不再局限于密码货币、密码资产等应用，开始朝向商业化路径进发，在区块链技术商业化的同时问题也随之出现。区块链的弱中心化、多中心化特征，使得区块链系统能够以成员共识机制实现信任自治。这种分布...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】9.7群签名在区块链中的应用近年来，数字资产成为了人们的新选择。然而，由于它们的匿名性，可能会导致一些新的威胁，如敲诈勒索、走私、逃税和洗钱。更糟糕的是，在匿名的掩护下很难追踪罪犯。例如Not-Petya勒索软件，该软件被用来发起全球网络攻击，攻击了以乌克兰为首的多个国家...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】9.4LC98算法LC98是第一个基于离散对数的群签名方案，该方案相对于CS97效率更高，通信量小。LC98群签名流程1. Setup()2. Enroll()验证以下等式是否成立：若成立，则将(,)作为自己的群证书...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】9.3群签名方案的安全性要求群签名方案的安全性要求：正确性不可伪造性匿名性可追踪性不可连接性不可替代性防陷害攻击防联合攻击1.安全性要求1.正确性-方案的正确性是保证整个系统的一致性，保证合法群用户签署出的群签名能被正确验...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】9.2群签名的形式化定义群签名方案流程：系统建立Setup加入Enroll(GIM,)签名Sign(gpk,,m)验证Verify(gpk,RL,m,s)追踪Open(gtk,Y,m,s)撤销Revoke(grk,)1.系统建立Setup这是由群加入...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】9.1群签名是什么？群签名是在1991年欧密会上提出的一种特殊签名方案。所谓群签名（group signature）就是满足这样要求的签名：在一个群签名方案中，一个群体中的任意一个成员可以以匿名的方式代表整个群体对消息进行签名。与其他数字签名一样，群签名是可以公开验证的，而且可以...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】8.7环签名在区块链中的应用2013年，Saberhagen等人基于环签名技术提出CryptoNote协议，该协议提出了匿名电子现金系统在隐私方面需要满足的两大特性，并针对这两大特性设计协议。不可追踪性：对每个交易输入，所有可能的交易发起者都是等可能的不可链接性：对任...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】8.6基于SM9签名算法的环签名统参数生成密钥生成中心(Key Generation Center，KGC)执行以下步骤生成系统参数和主私钥：1. KGC生成随机数sk做为主私钥，这里0<sk<q-1；2. KGC计算系统公钥Ppub=sk∙p2；...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】8.5基于SM2签名算法的环签名首先，我们来回顾一下SM2签名算法曲线参数SM2标准推荐使用256位素域Fp上的椭圆曲线y2=x3+ax+b，其中：密钥生成算法签名算法验证算法接收到的消息为M′，签...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】8.4ZK环签名算法系统建立密钥提取基于身份的签名算法基于身份的签名算法环签名算法环验证算法今天的课程就到这里啦，下节课我们将开始学习基于国密算法的环签名算法，敬请期待！同学们可以关注点宽学园..

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】8.3AOS环签名算法2002年，Abe等基于离散对数问题开发了一种新型的环签名，他们使用因果环来达到效果。与早期的环签名相比，这种因果环的使用使签名的大小显著减少了（50%左右）。Abe等给出了一种通用环签名构造方法，利用该方法可以把任意数字签名转换为环签名，这里只介绍他们提出...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】8.2RST环签名算法2001-2002年，以Rivest等人提出的环签名定义为标志，这一阶段的工作主要参考Rivest等人的方案提出的签名方案。2003-2004年，经过两年对环签名的概念和意义的认识和理解后，许多密码界人士开始对环签名进行深入研究，涌现了很多新思想、新模型..

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】8.1环签名的概念问题的提出2001年，Rivest、Shamir和Tauman在How to Leak a Secret一文中提出了如下问题：Bob是一个内阁成员，他想向记者揭露首相贪污的情况，他要使记者确信此消息来自一个内阁成员，同时又不想泄露自己的身份（保证匿名..

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】7.5盲签名算法在区块链中的应用区块链可以看作是一个分布式账本。对于账本而言，隐私极其重要，因此用密码学技术来保护其安全性是可实现的途径，签名技术便是之一，而不同的签名方式带来的安全性也不同，如数字签名、群签名、盲签名等。今天我们学习盲签名算法在区块链中的应用。在比特币中，交..

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】7.4.1基于身份的盲签名算法系统参数生成KGC执行以下步骤生成系统参数和主私钥：用户私钥生成KGC执行以下步骤生成用户私钥：| 基于身份的签名算法给定系统参数，消息m，私钥，签名者执行以下步骤产生签名：| 基于身份的验证...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】7.3.1基于MDSA签名的盲签名算法DSA的主要参数| 全局公开密钥分量，可以为用户公用p：素数，要求2L-1<p<2L,512<=L<1024，且L为64的倍数q：(p-1)的素因子，2159<q<2160，即比特长度为16...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】7.2.1基于RSA签名的盲签名算法David Chaum于1982年提出盲签名的概念，并利用RSA算法设计了第一个盲签名方案。该方案的安全性基于大整数分解问题，这里只进行简单介绍，要了解更多详细内容请查阅：David Chaum. "Blind Signatures for U..

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】7.1盲签名的概念2020年4月28日，中国互联网络信息中心发布第45次《中国互联网络发展状况统计报告》，中国网民规模达9.04亿，较2018年底增长7508万，互联网普及率为64.5%，较2018年底提升了4.9个百分点；中国手机网民规模达8.97亿，较2018 年底增加799...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】6.9数字签名算法的可证明安全性可证明安全性的定义可证明安全性是指这样一种「归约」方法：首先确定密码体制的安全目标，例如，加密体制的安全目标是信息的机密性，签名体制的安全目标是签名的不可伪造性。然后根据敌手的能力构建一个形式化的安全模型；最后指出如果敌手能成功攻破密码体制..

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】6.7SM9数字签名算法为了降低公开密钥系统中密钥和证书管理的复杂性，以色列科学家、RSA算法发明人之一Adi Shamir在1984年提出了标识密码（Identity-Based Cryptography）的理念。标识密码将用户的标识（如邮件地址、手机号码、QQ号码等）作为公...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】6.6基于身份的数字签名算法PKI是指由数字证书、证书颁发机构 (CA) 和证书注册机构(RA)组成的一套系统：数字证书公钥和私钥加密算法和摘要算法证书链受信任的根证书颁发机构——中级根证书颁发机构——用户证书证书管理：申请、颁发、吊销、重新颁发、续期等数字证书...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】6.5SM2数字签名算法在政府高度重视和市场迫切需求的双向驱动下，国密算法SM1—SM9应时而生。其中，SM2是国家密码管理局于2010年12月17日发布的椭圆曲线公钥密码算法，包含5个部分：总则数字签名算法密钥交换协议公钥加密算法参数定义曲线参...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】6.4椭圆曲线简介椭圆曲线的定义1985年，Koblitz和Miller独立地提出了椭圆曲线公钥密码体制(ECC)，安全性基于椭圆曲线群上的离散对数问题的难解性，该问题目前最好的解法是指数级时间的算法。一般认为，RSA和DH密钥交换协议需用1024比特以上的模数才安全，但对...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】6.3其他数字签名算法EIGamal算法数字签名一般利用公钥密码技术来实现，其中私钥用来签名，公钥用来验证签名。ElGamal公钥密码算法是在密码协议中有着重要应用的一类公钥密码算法，其安全性是基于有限域上离散对数学问题的难解性。它至今仍是一个安全性良好的公钥密码算法。它既可用...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】6.2RSA数字签名法数字签名一般利用公钥密码技术来实现，其中私钥用来签名，公钥用来验证签名。比较典型的数字签名方案有：RSA签名算法(R. L. Rivest, A. Shamir, and L. M. Adleman, 1978)ElGamal 签名算法(T. ElG...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】6.1 数字签名的定义点宽学园【区块链与密码学】进入了第六单元的学习，在这一单元内，我们将深挖数字签名这一领域，讲述数字签名的技术与应用场景。传统的确认方式是手写签名，如书信、签约、支付、批复等。在网络时代，人们通过网络支付费用、买卖股票，为了保证网上商务活动的安全，需要...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】5.6哈希函数在区块链中的应用前几节课我们对哈希函数已经有了一个很完整的认知，今天这节课我们来细说哈希函数在区块链中的应用~以太坊用户地址的生成第一步：生成私钥 (private key)产生的256比特随机数作为私钥(256比特 16进制32字节)：18e...

【本课堂内容全部选编自PlatON首席密码学家、武汉大学国家网络安全学院教授、博士生导师何德彪教授的《区块链与密码学》授课讲义、教材及互联网，版权归属其原作者所有，如有侵权请立即与我们联系，我们将及时处理。】5.5.1SM3算法简介SM3是我国商用密码管理局颁布的商用密码哈希函数，广泛应用于：商用密码应用中的辅助数字签名和验证、消息认证码的生成与验证、随机数的生成等领域。SM3在结构上属于基本压缩函数迭代型的哈希函数。5.5.2SM3算法描述输入数据长度为l比特，1≤l...