学习笔记：Short Accountable Ring Signatures Based on DDH

Bootle J , Cerulli A , Chaidos P , et al. Short Accountable Ring Signatures Based on DDH[C]// European Symposium on Research in Computer Security. Springer International Publishing, 2015.

Definition

• $\mathrm{Setup}\left(1^{\lambda }\right)\to pp$
• $\mathrm{O}\mathrm{K}\mathrm{G}\mathrm{e}\mathrm{n}(pp)\to \left(pk,dk\right)$.Opener公私钥对，其中 $pk=\mathrm{O}\mathrm{K}\mathrm{G}\mathrm{e}\mathrm{n}(pp,dk)$
• $\mathrm{U}\mathrm{K}\mathrm{G}\mathrm{e}\mathrm{n}(pp)\to \left(vk,sk\right)$.用户公私钥对，其中 $vk=\mathrm{U}\mathrm{K}\mathrm{G}\mathrm{e}\mathrm{n}(pp,sk)$
• $\mathrm{Sign}(pk,m,R,sk)\to \sigma$
• $\mathrm{Vfy}(pk,m,R,\sigma )\to 0/1$
• $\mathrm{Open}(m,R,\sigma ,dk)\to \left(vk,\psi \right)$.$\psi$是$vk$的拥有者生成的签名的证明
• $\mathrm{Judge}(pk,m,R,\sigma ,vk,\psi )\to 0/1$. 证明被接受，返回1；否则（$\sigma$无效或$vk$）

四个性质：正确性、完全不可伪造性、匿名性和可追溯性。

Construction

通用构造：

注释：
$f$：one way function
$\mathrm{Enc}$：IND-CPA公钥加密
$\mathrm{SoK}$：signature of knowledge：

• $\mathrm{SoKSetup}(gk)\to \mathbf{p}\mathbf{p}$
• $\mathrm{SoKSign}(\mathbf{p}\mathbf{p},s,w,m)\to {\sigma }_{\mathrm{S}\mathrm{o}\mathrm{K}}$. a statement $s$, a witness $w$
• $\mathrm{SoKVerify}(\mathbf{p}\mathbf{p},s,{\sigma }_{\mathrm{S}\mathrm{o}\mathrm{K}})\to 0/1$

$\mathrm{NIZK}$：

• $\mathrm{CRSGen}(gk)\to crs$
• $\mathrm{Prove}(crs,s,w)\to \pi$. a statement $s$, a witness $w$
• $\mathrm{PVfy}(crs,s,\pi )\to 0/1$

思考：

1. 为什么$\mathrm{Sign}$算法中用来加密公钥的$\mathrm{Enc}$和$\mathrm{SoKSign}$使用同样的随机数$r$?
   A：因为$\mathrm{SoKSign}$证明的就是$c={\mathrm{Enc}}_{pk}(vk;r)$的知识.
2. $\mathrm{Judge}$算法中验证$\pi$是statement $s(pk,c,vk)$的有效证明的的目的是？
   A：Opener在签名系统中类似于组签名的中心化管理员，打开签名后给出（Opener的公钥（身份），被打开的签名密文，该签名的公钥（身份））的证明，将签名和签名者身份绑定。

Instantiation

基于DDH假设、$f$指数群、$\mathrm{Enc}$：ElGamal、$\mathrm{SoK}$和$\mathrm{NIZK}$：在证明如下关系的$\Sigma$-协议上应用Fiat-Shamir变换

ElGamal算法：

Pedersen Commitment:

$\Sigma$-协议

关系${\mathcal{R}}_1$：$B$是一组bit序列的承诺，且每个$j$对应的一组$b_{j,?}$只有一个是1。

其实可分解成证明三个条件：①$b_{j,i}(1-b_{j,i})=0$ for all $i,j$；②${\sum }_{i=0}^{n-1}{b}_{j,i}=1$ for all $j$；③$B={\mathrm{Com}}_{ck}(b_{0,0},...,b_{m-1,n-1};r)$.

证明${\mathcal{R}}_1$的$\Sigma$-协议：

$\mathrm{Setup}:gk,crs:=(ck,ek)$. 其中Pedersen承诺的$\mathrm{CGen}(gk)\to ck$；
ElGamal加密的$\mathrm{PKEGen}(gk)\to (ek=g^{\tau },\tau )$，$\tau \leftarrow {\mathbb{Z}}_q^{\ast }$

分析：

1. 设置$f_{j,0}$以满足条件②
   $$\begin{array}{rl}{f}_{j,0}^{\prime }:& =x-\sum _{i=1}^{n-1}{f}_{j,i}\\ & =x-\sum _{i=0}^{n-1}{f}_{j,i}+f_{j,0}\\ & =x-\sum _{i=0}^{n-1}(b_{j,i}x+a_{j,i})+b_{j,0}x+a_{j,0}\\ & =x-\sum _{i=0}^{n-1}{b}_{j,i}x-\sum _{i=1}^{n-1}{a}_{j,i}+b_{j,0}x\\ & =x-\sum _{i=0}^{n-1}{b}_{j,i}x+a_{j,0}+b_{j,0}x\\ (if\sum _{i=0}^{n-1}{b}_{j,i}=1)& =a_{j,0}+b_{j,0}x\end{array}$$
2. 第一个等式验证条件③
   $$\begin{array}{rl}RHS& ={\mathrm{Com}}_{ck}(f_{0,0},...,f_{m-1,n-1};z_A)\\ & ={\mathrm{Com}}_{ck}(b_{0,0}x+a_{0,0},...,b_{m-1,n-1}x+a_{m-1,n-1};rx+r_A)\\ & ={\mathrm{Com}}_{ck}(b_{0,0}x,...,b_{m-1,n-1}x;rx)\cdot {\mathrm{Com}}_{ck}(a_{0,0},...,a_{m-1,n-1};r_A)\\ & ={\mathrm{Com}}_{ck}(b_{0,0},...,b_{m-1,n-1};r{)}^{x}A\\ & (ifB={\mathrm{Com}}_{ck}(b_{0,0},...,b_{m-1,n-1};r))\\ & =B^{x}A=LHS\end{array}$$
3. 第二个等式验证条件①
   R H S = Com ⁡ c k ( { f j , i ( x − f j , i ) } j , i = 0 m − 1 , n − 1 ; z C ) = Com ⁡ c k ( { ( b j , i x + a j , i ) ( x − b j , i x − a j , i ) } j , i = 0 m − 1 , n − 1 ; r C x + r D ) = Com ⁡ c k ( { b j , i ( 1 − b j , i ) x 2 + a j , i ( 1 − 2 b j , i ) x − a j , i 2 } j , i = 0 m − 1 , n − 1 ; r C x + r D ) = Com ⁡ c k ( { b j , i ( 1 − b j , i ) } j , i = 0 m − 1 , n − 1 ; 0 ) x 2 ⋅ Com ⁡ c k ( { a j , i ( 1 − 2 b j , i ) } j , i = 0 m − 1 , n − 1 ; r C ) x ⋅ Com ⁡ c k ( { − a j , i 2 } j , i = 0 m − 1 , n − 1 ; r D ) = Com ⁡ c k ( { b j , i ( 1 − b j , i ) } j , i = 0 m − 1 , n − 1 ; 0 ) x 2 C x D ( i f   { b j , i ( 1 − b j , i ) } j , i = 0 m − 1 , n − 1 = 0 ) = C x D = L H S \begin{aligned} RHS&=\operatorname{Com}_{ck}(\{f_{j,i}(x-f_{j,i})\}_{j,i=0}^{m-1,n-1};z_C)\\ &=\operatorname{Com}_{ck}(\{(b_{j,i}x+a_{j,i})(x-b_{j,i}x-a_{j,i})\}_{j,i=0}^{m-1,n-1};r_Cx+r_D)\\ &=\operatorname{Com}_{ck}(\{b_{j,i}(1-b_{j,i})x^2+a_{j,i}(1-2b_{j,i})x-a_{j,i}^2\}_{j,i=0}^{m-1,n-1};r_Cx+r_D)\\ &=\operatorname{Com}_{ck}(\{b_{j,i}(1-b_{j,i})\}_{j,i=0}^{m-1,n-1};0)^{x^2}\cdot\operatorname{Com}_{ck}(\{a_{j,i}(1-2b_{j,i})\}_{j,i=0}^{m-1,n-1};r_C)^x\cdot\operatorname{Com}_{ck}(\{-a_{j,i}^2\}_{j,i=0}^{m-1,n-1};r_D)\\ &=\operatorname{Com}_{ck}(\{b_{j,i}(1-b_{j,i})\}_{j,i=0}^{m-1,n-1};0)^{x^2}C^xD\\ &(if ~\{b_{j,i}(1-b_{j,i})\}_{j,i=0}^{m-1,n-1}=0)\\ &=C^xD=LHS \end{aligned} RHS​=Comck​({fj,i​(x−fj,i​)}j,i=0m−1,n−1​;zC​)=Comck​({(bj,i​x+aj,i​)(x−bj,i​x−aj,i​)}j,i=0m−1,n−1​;rC​x+rD​)=Comck​({bj,i​(1−bj,i​)x2+aj,i​(1−2bj,i​)x−aj,i2​}j,i=0m−1,n−1​;rC​x+rD​)=Comck​({bj,i​(1−bj,i​)}j,i=0m−1,n−1​;0)x2⋅Comck​({aj,i​(1−2bj,i​)}j,i=0m−1,n−1​;rC​)x⋅Comck​({−aj,i2​}j,i=0m−1,n−1​;rD​)=Comck​({bj,i​(1−bj,i​)}j,i=0m−1,n−1​;0)x2CxD(if {bj,i​(1−bj,i​)}j,i=0m−1,n−1​=0)=CxD=LHS​

关系${\mathcal{R}}_2$：N个ElGamal密文中包含一个对1的加密.

思路：
设$N=n^m$（可用最后一个密文的副本填充）；协议要证明的关系等价转换为证明${\prod }_{i=0}^{N-1}{c}_i^{{\delta }_{\ell ,i}}$是一个对1的加密（${\delta }_{j,i}$是Kronecker’s delta，即，${\delta }_{\ell ,\ell }=1$ and ${\delta }_{\ell ,i}=0$ for $i\ne \ell$）

• Prover首先提交m个n bits序列$({\delta }_{{\ell }_j,0},...,{\delta }_{{\ell }_j,n-1})$的承诺.执行证明关系${\mathcal{R}}_1$的协议证明这个承诺（这步证明的作用是证明Kronecker’s delta序列的良好形式）。
• 收到挑战$x$，Prover公开${\mathcal{R}}_1$中的元素$f_{j,i}={\delta }_{{\ell }_j,i}x+a_{j,i}$；观察每个 i ∈ { 0 , . . . , N − 1 } i\in\{0,...,N-1\} i∈{0,...,N−1}，连乘积${\prod }_{j=0}^{m-1}{f}_{j,i_j}$是多项式$p_i(x)={\prod }_{j=0}^{m-1}{\delta }_{{\ell }_j,i}x+a_{j,i}$在$x$处的值。对于$0⩽i⩽N-1$:
  $$\begin{array}{r}{p}_i(x)=\prod _{j=0}^{m-1}{\delta }_{{\ell }_j,i_j}x+\sum _{k=0}^{m-1}{p}_{i,k}{x}^k={\delta }_{\ell ,i}{x}^m+\sum _{k=0}^{m-1}{p}_{i,k}{x}^k\end{array}$$
  （$p_{i,k}$是多项式的k次系数，它的值取决于$\ell$和$a_{j,i}$，它可以被Prover独立于x的取值计算出来；而$p_{\ell }(x)$是在$p_0(x),...,p_{N-1}(x)$中唯一的m维多项式）
• 用这些系数和一些随机值，计算密文$G_k$，它被用来抵消$p_i(x)$中的低次项。
  证明${\mathcal{R}}_2$的$\Sigma$-协议：
  
  分析：
  （黄色标记）对关系${\mathcal{R}}_1$的证明
  （绿色标记）对关系${\mathcal{R}}_2$的证明（注意ElGamal具有同态性质）
  $$\begin{array}{rl}LHS& =\prod _{i=0}^{N-1}{c}_i^{{\prod }_{j=1}^m{f}_{j,i_j}}\cdot \prod _{k=0}^{m-1}{G}_k^{-x^k}\\ & =\prod _{i=0}^{N-1}{c}_i^{{\delta }_{\ell ,i}{x}^m+{\sum }_{k=0}^{m-1}{p}_{i,k}{x}^k}\cdot \prod _{k=0}^{m-1}(\prod _{i=0}^{N-1}{c}_i^{p_{i,k}}\cdot {\mathrm{Enc}}_{ek}(1;{\rho }_k){)}^{-x^k}\\ & =\prod _{i=0}^{N-1}{c}_i^{{\delta }_{\ell ,i}{x}^m}\cdot \prod _{i=0}^{N-1}(\prod _{k=0}^{m-1}{c}_i^{p_{i,k}{x}^k})\cdot \prod _{k=0}^{m-1}(\prod _{i=0}^{N-1}{c}_i^{-p_{i,k}{x}^k})\cdot \prod _{k=0}^{m-1}{\mathrm{Enc}}_{ek}(1;{\rho }_k{)}^{-x^k}\\ & =c_{\ell }^{x^m}\cdot \prod _{k=0}^{m-1}{\mathrm{Enc}}_{ek}(1;{\rho }_k{)}^{-x^k}\\ & =c_{\ell }^{x^m}\cdot {\mathrm{Enc}}_{ek}(1^m;-\sum _{k=0}^{m-1}{\rho }_k{x}^k)\\ (if{c}_{\ell }={\mathrm{Enc}}_{ek}(1;r))& ={\mathrm{Enc}}_{ek}(1;r{x}^m)\cdot {\mathrm{Enc}}_{ek}(1;-\sum _{k=0}^{m-1}{\rho }_k{x}^k)\\ & ={\mathrm{Enc}}_{ek}(1;z)=RHS\end{array}$$

关系${\mathcal{R}}_{\mathrm{s}\mathrm{i}\mathrm{g}}$的$\Sigma$-协议：

分析：
${\mathcal{P}}_{\mathrm{s}\mathrm{i}\mathrm{g}}$中设置$d$的作用是，消减掉$vk$的加密变为1的加密，便于使用${\mathcal{R}}_2$的证明one-out-of-n是1的加密（环签名）。

1. 第一个等式验证：$vk=g^{sk}$，$c={\mathrm{Enc}}_{pk}(vk;r)$
   $$\begin{array}{rl}RHS& ={\mathrm{Enc}}_{pk}(g^{z_s};z_a)\\ & ={\mathrm{Enc}}_{pk}(g^{sk\cdot x+s};rx+r_a)\\ & ={\mathrm{Enc}}_{pk}(g^{sk};r{)}^x\cdot {\mathrm{Enc}}_{pk}(g^s;r_a)\\ (if{g}^{sk}=vk)& ={\mathrm{Enc}}_{pk}(vk;r{)}^{x}A\\ (if{\mathrm{Enc}}_{pk}(vk;r)=c)& =c^{x}A=LHS\end{array}$$
2. 第二个等式验证：
   $$\begin{array}{rl}RHS& ={\mathrm{Enc}}_{ek}(g^{z_s};z_b)\\ & ={\mathrm{Enc}}_{ek}(g^{sk\cdot x+s};tx+r_b)\\ & ={\mathrm{Enc}}_{ek}(g^{sk};t{)}^x\cdot {\mathrm{Enc}}_{ek}(g^s;r_b)\\ & =d^{x}B\end{array}$$
   思考：作用是什么？
   A：注意只有$d$是正确的才能使${\mathcal{R}}_2$的证明验证有效，则$d$的两个参数正确性需要得到保证：$t$可由挑战$x$生成的$z_b$验证，$g^{sk}$可由公开的$vk$验证（$g^{s}k$和$vk$的等价关系第一个等式已保证）
3. 第三个等式验证：one-out-of-n签名关系，即密文$c_0,...,c_{N-1}$中有一个是1的加密。

关系${\mathcal{R}}_{\mathrm{o}\mathrm{p}\mathrm{e}\mathrm{n}}$的$\Sigma$-协议：


分析：
$$\begin{array}{rl}RHS& =g^z=g^{dk\cdot x+a}\\ (if{g}^{dk}=pk)& ={pk}^x\cdot g^a={pk}^{x}A=LRS\end{array}$$
$$\begin{array}{rl}RHS& =(v/vk{)}^z=(v/vk{)}^{dk\cdot x+a}\\ (if(v/vk{)}^{dk}=u)& =u^x\cdot (v/vk{)}^a=u^{x}B=LRS\end{array}$$

方案的效率

为什么叫short签名呢？
传输效率
首先，方案的效率由${\mathcal{P}}_{\mathrm{s}\mathrm{i}\mathrm{g}}$的知识签名决定。对于一个规模为$N=n^m$个用户组成的环，证明者在签名中嵌套调用了${\mathcal{R}}_2$和${\mathcal{R}}_1$的证明，传输参数包括：$m+4$个ElGamal密文，4个Pedersen 承诺，$m(n-1)+6$个${\mathbb{Z}}_q$参数：

• P 1 : { A , C , D } ∈ Comitment ⁡ × 3 , { f 0 , 1 , . . . , f m − 1 , n − 1 } ∈ Ciphertext ⁡ × m ( n − 1 ) , { z A , z C } ∈ Z q × 2 \mathcal{P}_1:\{A,C,D\}\in \operatorname{Comitment}\times3,\{f_{0,1},...,f_{m-1,n-1}\}\in \operatorname{Ciphertext}\times m(n-1),\{z_A,z_C\}\in\mathbb{Z}_q\times2 P1​:{A,C,D}∈Comitment×3,{f0,1​,...,fm−1,n−1​}∈Ciphertext×m(n−1),{zA​,zC​}∈Zq​×2.
• P 2 / P 1 : B ∈ Comitment ⁡ × 1 , { G k } k = 0 m − 1 ∈ Ciphertext ⁡ × m , z ∈ Z q × 1 \mathcal{P}_2/\mathcal{P}_1:B\in \operatorname{Comitment}\times 1,\{G_k\}_{k=0}^{m-1}\in\operatorname{Ciphertext}\times m,z\in\mathbb{Z}_q\times1 P2​/P1​:B∈Comitment×1,{Gk​}k=0m−1​∈Ciphertext×m,z∈Zq​×1.
• P 3 / P 2 : { d , A , B , c } ∈ Ciphertext ⁡ × 3 , { z a , z b , z s } ∈ Z q × 3 \mathcal{P}_3/\mathcal{P}_2:\{d,A,B,c\}\in\operatorname{Ciphertext}\times 3,\{z_a,z_b,z_s\}\in\mathbb{Z}_q\times3 P3​/P2​:{d,A,B,c}∈Ciphertext×3,{za​,zb​,zs​}∈Zq​×3.（注意$c$虽然不在协议的send部分，但它不属于公共参数，也是需要传输的）

每个ElGamal密文包含2个群元素，Pedersen 承诺包含1个群元素。所以整个Accountable ring signature方案共传输了$2m+12$个群元素和$m(n-1)+6$个域元素。
计算效率
生成签名共$mN+3mn+2m+12$个组幂运算：

• 计算$A,C,D:2mn+3$（根据Pedersen 承诺的定义，$A,C,D$中各有$m+1$次幂计算，但$C$中由于其系数$(1-2b_{i,j})=\pm 1$的关系，其$m$次幂运算只相当于在$A$上多做了一次乘法）
• ${\mathcal{P}}_{\mathrm{s}\mathrm{i}\mathrm{g}}$协议构造$c_i$，并作为输入在调用${\mathcal{P}}_2$中计算乘幂，所有$c_i$的第一个分量都相同的（因为随机数都是$t$），所以${\mathcal{P}}_2$中计算 { G k } k = 0 m − 1 \{G_k\}_{k=0}^{m-1} {Gk​}k=0m−1​共消耗$2m$次幂计算（前半部分关于$p_{i,k}m$次，后半部分关于${\rho }_{k}m$次）；所有$G_k$的第二个分量需要$mN+m$次幂计算.
• 计算${\mathcal{P}}_2$中的$B\times 1$次，${\mathcal{P}}_{\mathrm{s}\mathrm{i}\mathrm{g}}$中的 { d , A , B } \{d,A,B\} {d,A,B}共$(3\times 2)$次，以及${d,A,B}$中被ElGamal加密的明文中有2次乘幂计算；总计：9次。

验证签名共$N+2mn+2m+15$个组幂计算：

• ${\mathcal{V}}_2$中最后一个验证式：$(N+1)+2m+2=N+2m+3$.
• ${\mathcal{V}}_1$中的2个等式各：$1+(mn+1)$次，共$2mn+4$次.
• ${\mathcal{V}}_{\mathrm{s}\mathrm{i}\mathrm{g}}$的前两个等式各：$(2+2)$次，共$8$次.

n的取值
这个方案可以在DDH问题计算困难的任何$\mathbb{G}$群上实例化。设安全参数$\lambda$决定域元素的bit规模为$|q|\approx \lambda$ 位，设$N=poly(\lambda )$。当群元素比域元素大得多，即大于因子$\lambda$时，选择一个较大的n是方便的。例如，设$n=\lambda +1$(在这种情况下$m=O(1)$)，通信复杂度等于常数个数的群元素和$m\lambda +6$个域元素。当群和域元素的大小大致相同时，就像椭圆曲线组的情况一样，我们的签名总大小为$m(n+1)+18$个元素。设置$n=4$，通信开销大约为$5lo{g}_{4}N+18=\frac{5}{2}lo{g}_{2}n+18$.
$$\begin{array}{rl}m(n+1)+18& =5m+18\\ (n^m=N)& =5lo{g}_{n}N+18=5lo{g}_{4}N+18\end{array}$$