学习笔记：Efficient Redactable Signature and Application to Anonymous Credentials

最新推荐文章于 2024-07-15 23:46:30 发布

yixvxi

最新推荐文章于 2024-07-15 23:46:30 发布

阅读量468

点赞数

分类专栏： Signatures 文章标签：学习零知识证明

本文链接：https://blog.csdn.net/jiongxv/article/details/125254302

版权

Signatures 专栏收录该内容

8 篇文章 0 订阅

订阅专栏

Sanders, O. (2020). Efficient Redactable Signature and Application to Anonymous Credentials. In: Kiayias, A., Kohlweiss, M., Wallden, P., Zikas, V. (eds) Public-Key Cryptography – PKC 2020. PKC 2020. Lecture Notes in Computer Science(), vol 12111. Springer, Cham. https://doi.org/10.1007/978-3-030-45388-6_22

Introduction

Syntax

在这里插入图片描述

Short Redactable Signatures

前置文献：Short Randomizable Signatures的PS签名
$pk:=(X,Y_1,...,Y_r)=(g^x,g^{y_1},...,g^{y_r}),sk:=(x,y_1,...,y_r),g\in\mathbb{G}_2$
$PS-Sign(sk,m_1,...,m_r)\rightarrow\sigma:=(\widetilde{\sigma}_1,\widetilde{\sigma}_2)=(\widetilde{g},\widetilde{g}^{x+\sum_{j=1}^r y_j\cdot m_j}),\widetilde{g}\in\mathbb{G}_1^*$
$PS-Verify(pk,(m_1,...,m_r),\sigma)\rightarrow 0/1$ . 验证 $\widetilde{\sigma}_1\neq1_{\mathbb{G}_1},$ $e(X\cdot \prod_{i=1}^n Y_i^{m_i},\widetilde{\sigma}_1)=e(g,\widetilde{\sigma}_2)$

这个签名验证时必须使用所有的信息整体验证，无法实现部分验证。

修改： $\sigma_1:=\prod_{i\in\bar{\mathcal{I}}}Y_i^{m_i}$

验证转换为： $e(X\cdot \sigma_1\prod_{i\in\mathcal{I}} Y_i^{m_i},\widetilde{\sigma}_1)=e(g,\widetilde{\sigma}_2)$
安全性缺陷
不幸的是，由此产生的方案显然是不安全的。不诚实的用户在可以在 $\sigma_1$ 中隐藏已披露消息的某些部分来欺骗验证者：
令 $\sigma_1:=Y_1^r\prod_{i=2}^nY_i^{m_i}$ ，并构造一个对 $m_1-r$ 的签名，对于任意 $r\in\mathbb{Z}_p$ ，有
$\begin{aligned} e(X\cdot \sigma_1\cdot Y_1^{m_1-r},\widetilde{\sigma}_1)&=e(X\cdot \prod_{i=1}^nY_i^{m_i},\widetilde{\sigma}_1)\\ &= e(g,\widetilde{\sigma}_2) \end{aligned}$
$\sigma_1\notin\mathbb{G}_1$ ，为了安全性，需要证明它只包含不在 $\mathcal{I}$ 中的元素的累积。解决这个问题最简单的方法（在大多数匿名凭证构造中使用）是证明未公开信息的知识。正如我们已经解释过的，这导致成本至少与 $\bar{\mathcal{I}}$ 的规模成线性关系。

解决
如果 $\sigma$ 是一个已经诚实地为 $\mathcal{I}$ 派生的签名，则 $e(\sigma_1,\prod_{i\in\mathcal{I}}\widetilde{Y}_i)\rightarrow e(g,\widetilde{g})^{f(y_1,...,y_n)}$ ，其中的单项是这种形式： $y_i\cdot y_j,i\neq j$ 。相反，如果有人试图在 $\sigma_1$ 中隐藏一些已经公开的信息， $f$ 中就会包含某个形式如 $y_i^2$ 的单项。

这两种形式是很容易被区分开的，通过将元素 $Z_{i,j}=g^{y_i\cdot y_j},i\neq j$ 和公钥相加，合法的形式可很容易地重构 $f$ ，另一种则不能：诚实的用户可计算 $\sigma_2\leftarrow \prod_{i\in\mathcal{I},j\in\bar{\mathcal{I}}}Z_{i,j}^{m_j}$ ，并证明 $\sigma_1$ 满足验证等式2： $e(\sigma_1,\prod_{i\in\mathcal{I}}\widetilde{Y}_i)=e(\sigma_2,\widetilde{g})$

scheme

在这里插入图片描述

Sign生成对 $m_1,...,m_n)$ 的总体聚合签名
Derive从总体签名中派生出部分元素 $\mathcal{I}$ 的签名

$\sigma_1'=\prod_{j\in\bar{\mathcal{I}}}Y_j^{m_j}=g^{\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j}$
$\sigma_2'=\prod_{j\in\bar{\mathcal{I}}}(\prod_{i\in\mathcal{I}}g^{y_i})^{y_j\cdot m_j}=(g^{\sum_{i\in\mathcal{I}} y_i})^{\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j}=(g^{\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j})^{\sum_{i\in\mathcal{I}} y_i}=g^f$

在这里插入图片描述
验证部分签名时，只需要关于 $i\in\mathcal{I}$ 的信息：

第一个条件是验证部分签名 $i\in\mathcal{I}$ 的
$e(g^x\cdot g^{\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j}g^{\sum_{i\in\mathcal{I}}y_i\cdot m_i},\widetilde{\sigma}_1)=e(g^{x+\sum_{i=1}^n y_i\cdot m_i},\widetilde{\sigma}_1)=e(g,\widetilde{\sigma}_2)$
第二个条件针对上文提出的安全性风险，验证当 $\sigma_1$ 中不包含 $\mathcal{I}$ 中成分时，才能够很容易地恢复出 $f$
$e(g^{\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j},\widetilde{g}^{\sum_{i\in\mathcal{I}}y_i})=e((g^{\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j})^{\sum_{i\in\mathcal{I}}y_i},\widetilde{g})=e(\sigma_2,\widetilde{g})$
注意其中 $f(y_1,...,y_n)=(\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j)\cdot (\sum_{i\in\mathcal{I}}y_i)$

注意：验证的计算效率不依赖于 $\bar{\mathcal{I}}$ 的规模（仅与要验证的集合规模 $|\mathcal{I}|$ 有关）

Unlinkability

这个属性表示:将派生的签名 $\sigma_{\mathcal{I}}$ 链接回原本的签名 $\sigma$ 是困难的。表示即使敌手已经生成了公钥 $p k$ ，派生签名 $\sigma_{\mathcal{I}}$ 也不会泄露关于 $\{m_i\}_{i\in\bar{\mathcal{I}}}$ 的任何信息。
实现Unlinkability的两个技巧：

在 $\sigma_1$ 中加入任何非 $Y_i^r,i\in\mathcal{I}$ 形式的元素（因为验证条件2， $\sigma_1$ 中不能包含任何 $\mathcal{I}$ 中的元素成分）
利用PS签名的顺序聚合能力

具体地说，我们将随机消息t的签名聚合到原始签名的虚拟公钥下，然后我们将t包含在编校消息的集合中。
在这里插入图片描述

$\widetilde{\sigma}_1'=\widetilde{\sigma}_1^r$
$\widetilde{\sigma}_2'=(\widetilde{\sigma}_1^{x+\sum_{i=1}^n y_i\cdot m_i})^r\cdot \widetilde{\sigma}_1^{r\cdot t}=(\widetilde{\sigma}_1^{x+t+\sum_{i=1}^n y_i\cdot m_i})^r$
（分析：这组替换本质上是顺序聚合了一个新的签名， $r$ 是随机数， $t$ 相当于使用的dummy secret key）
$\sigma_1'=g^{t+\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j}$
（分析：因为 $t$ 不是这里想要获得的 $\mathcal{I}$ 的一部分，所以对于聚合后的总签名， $i\notin\mathcal{I}$ 也包括 $t$ 在内）
$\sigma_2'=\prod_{i\in\mathcal{I}}g^{y_i\cdot t}\prod_{j\in\bar{\mathcal{I}}}(\prod_{i\in\mathcal{I}}g^{y_i})^{y_j\cdot m_j}=(g^{t+\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j})^{\sum_{i\in\mathcal{I}} y_i}=g^f$
（分析：同理）
总之，利用 $r, t$ 给未公开的 $i\in\bar{\mathcal{I}}$ 增加了随机性

原本的验证过程仍然成立：

$e(g^x\cdot g^{t+\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j}g^{\sum_{i\in\mathcal{I}}y_i\cdot m_i},\widetilde{\sigma}_1^r)=e(g^{x+t+\sum_{i=1}^n y_i\cdot m_i},\widetilde{\sigma}_1^r)=e(g,\widetilde{\sigma}_2)$
$e(g^{t+\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j},\widetilde{g}^{\sum_{i\in\mathcal{I}}y_i})=e((g^{t+\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j})^{\sum_{i\in\mathcal{I}}y_i},\widetilde{g})=e(\sigma_2,\widetilde{g})$
注意其中 $f(y_1,...,y_n)=(t+\sum_{j\in\bar{\mathcal{I}}}y_j\cdot m_j)\cdot (\sum_{i\in\mathcal{I}}y_i)$

效率：具有不可链接性的签名，比原签名多了2次 $\mathbb{G}_1$ ，3次 $\mathbb{G}_2$ 的指数计算

Anonymous Credentials

匿名证书(也称为基于属性的证书)通常包含任何允许某些组织对用户属性颁发证书的系统，这样的系统可以:(1)用户随后可以证明其属性是经过认证的，(2)用户在显示其证书时显示的元素不能与特定的签发相链接(除非显示的属性允许这样做)。
在这里插入图片描述
注意：用户运行Obtain，组织方运行Issue，二者交互，最终输出凭证 $\sigma$

用户运行Show，验证者运行Verify，二者交互。Show允许用户证明他属性的一个子集 $\{m_i\}_{i\in\mathcal{I}}$ 已通过认证

Construction

用户可以在不透露 $u s k$ 的情况下得到 $u s k$ 和属性集 ${m_i\}_{i=1}^n$ 上的可编校签名 $\sigma$ 。这样的签名 $\sigma$ 就充当该用户的凭证。
为了表示对部分属性 $\{m_i\}_{i\in \mathcal{I}}$ 的凭证，用户本质上是在 $\sigma$ 和 $\{usk\}\cup\{m_i\}_{i\in \mathcal{I}}$ 上运行Derive算法并证明 $u s k$ 的知识

具体构建如下
在这里插入图片描述

为了获得一组属性 ${m_i\}_{i=1}^n$ 上的匿名凭证，用户首先发送自己的公钥 $u p k$ 以及对 $u s k$ 的知识证明，例如使用Schnorr协议.
如果证明是正确的，组织方随机选择 $r\leftarrow\mathbb{Z}_p$ ，并返回 $\sigma=(\widetilde{\sigma}_1,\widetilde{\sigma}_2)=(\widetilde{g}^r,{\rm upk}^{r\cdot y_0}\cdot \widetilde{g}^{r(x+\sum_{i=1}^n y_i\cdot m_i)})$ 给用户
（直观地说，用户先向组织方证明自己确实是私钥 $u s k$ 的主人但不能泄露 $u s k$ ，验证通过后组织方用用户的公钥和自己的私钥生成对所有属性的凭证）
（注意 $\widetilde{\sigma}_2$ 中第一组分量可整理成与第二组一致的形式 ${\rm upk}^{r\cdot y_0}=\widetilde{g}^{r(y_0\cdot{\rm usk}) }$ ，可以看出这里其实是用 ${\rm usk}$ 作为" $m_0$ "，并引入一个随机性 $r$ 。如上所述，这是一个 $u s k$ 和属性集 ${m_i\}_{i=1}^n$ 上的签名）

前面user的操作似曾相识呀！就是基本等同于对不可链接性的操作，用一组随机的 $t, r$ 聚合了一个新的凭证（这个 $r$ 和issue阶段的 $r$ 不是同一个）。唯一不同之处在于，关于 $i$ 的范围加入了 $0$ ，所以在 $\sigma_2'$ 中对应的部分有变化
$\ I Y j m j ∏ i ∈ I Y i m i , ( σ ~ 1 ′ ) − 1 ) = e ( g x + t + ∑ j = 1 n y j ⋅ m j , ( σ ~ 1 ′ ) − 1 ) B=e(g^x\cdot g^t\cdot\prod_{j\in[1,n]\backslash\mathcal{I}}Y_j^{m_j}\prod_{i\in\mathcal{I}}Y_i^{m_i},(\widetilde{\sigma}_1')^{-1})=e(g^{x+t+\sum_{j=1}^n y_j\cdot m_j},(\widetilde{\sigma}_1')^{-1})$
验证条件1的作用类似于verify的条件1，即验证 $\mathcal{I}$ 的签名
$\begin{aligned} RHS&=[B\cdot e(g,\widetilde{\sigma}_2^r\cdot (\widetilde{\sigma}_1')^t)]^c\\ &=[e(g,(\widetilde{\sigma}_1')^{-(x+t+\sum_{j=1}^n y_j\cdot m_j)})\cdot e(g, (\widetilde{\sigma}_1')^{{\rm usk}\cdot y_0}\cdot (\widetilde{\sigma}_1')^{x+\sum_{i=1}^n y_i\cdot m_i}\cdot (\widetilde{\sigma}_1')^t)]^c\\ (抵消)&=e(g, \widetilde{\sigma}_1')^{c\cdot{\rm usk}\cdot y_0}=e(g^{y_0}, \widetilde{\sigma}_1')^{s-k}\\ (去盲)&=e(Y_0^s, \widetilde{\sigma}_1')\cdot C^{-1}=LHS\\ \end{aligned}$
分析：（1） $B$ 其实是verify中验证条件1的左边部分的-1次幂，而 $e(g,\widetilde{\sigma}_2')$ 是它对应的右边部分的形式，所以二者是可以相互抵消的。而又由于 $B$ 中涉及到的 $\widetilde{\sigma}_1',\sigma_1'$ 所认证的范围仅限于 $\{m_i\}_{i\in\mathcal{I}}$ （和外面聚合的随机 $r, t$ ），而右边的 $\widetilde{\sigma}_2'$ 中则还包括了对 $u s k$ 的认证，所以 $B$ 能抵消部分而剩下 $u s k$ 的项。
到这里其实条件1已经验证了 $\{m_i\}_{i\in\mathcal{I}}$ 的认证，但还要认证用户的 $u s k$ 。
（2） $c$ 是组织方的挑战，为了不泄露 $u s k$ ，不能直接发送 $c\cdot usk$ ， $k$ 的作用就是盲化。而验证的时候要去盲，所以用 $C$ 相当于 $k$ 的一个承诺发送给验证方。
验证条件2类似于verify的条件2，即为了安全性，确保 $\sigma_1'$ 中不含有 $\mathcal{I}$ 中成分
$\ I Z i , j m j , g ~ ) = e ( ( ∏ i ∈ I 0 Y i ) t ⋅ ∏ j ∈ [ 1 , n ] \ I ( ∏ i ∈ I 0 Y i ) y j ⋅ m j , g ~ ) = e ( ( g ∑ i ∈ I 0 y i ) t + ∑ j ∈ [ 1 , n ] \ I y j ⋅ m j , g ~ ) = e ( ( g ) t + ∑ j ∈ [ 1 , n ] \ I y j ⋅ m j , g ~ ∑ i ∈ I 0 y i ) = e ( σ 1 ′ , ∏ i ∈ I 0 Y ~ i ) = L H S \begin{aligned} RHS&=e((\prod_{i\in\mathcal{I}_0}Y_i)^t\cdot \prod_{i\in\mathcal{I}_0,j\in[1,n]\backslash\mathcal{I}}Z_{i,j}^{m_j},\widetilde{g})\\ &=e((\prod_{i\in\mathcal{I}_0}Y_i)^t\cdot \prod_{j\in[1,n]\backslash\mathcal{I}}(\prod_{i\in\mathcal{I}_0}Y_i)^{y_j\cdot m_j},\widetilde{g})\\ &=e((g^{\sum_{i\in\mathcal{I}_0}y_i})^{t+\sum_{j\in[1,n]\backslash\mathcal{I}}y_j\cdot m_j},\widetilde{g})\\ &=e((g)^{t+\sum_{j\in[1,n]\backslash\mathcal{I}}y_j\cdot m_j},\widetilde{g}^{\sum_{i\in\mathcal{I}_0}y_i})\\ &=e(\sigma_1',\prod_{i\in\mathcal{I}_0}\widetilde{Y}_i)=LHS \end{aligned}$
与verify中唯一不同在于 $i\in\mathcal{I}_0$ ，确保 $\sigma_1'$ 中不含有 $\mathcal{I}$ 中成分及与 $u s k$ 有关的成分.

yixvxi

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
1
评论
学习笔记：Efficient Redactable Signature and Application to Anonymous Credentials

Efficient Redactable Signature and Application to Anonymous Credentials
复制链接

扫一扫