学习笔记：Short Randomizable Signatures

David Pointcheval, Olivier Sanders. Short Randomizable Signatures.https://link.springer.com/chapter/10.1007/978-3-319-29485-8_7

Bilinear Groups

文献Galbraith, S.D., Paterson, K.G., Smart, N.P.: Pairings for cryptographers. Discrete Appl. Math. 156(16), 3113–3121 (2008) 定义了3种类型的双线性配对：

• type 1：${\mathbb{G}}_1={\mathbb{G}}_2$
• type 2：${\mathbb{G}}_1\ne {\mathbb{G}}_2$，但存在一个有效同态$\varphi :{\mathbb{G}}_2\to {\mathbb{G}}_1$，反方向则不存在
• type 3：${\mathbb{G}}_1\ne {\mathbb{G}}_2$，在任何方向都不存在${\mathbb{G}}_1$和${\mathbb{G}}_2$间的有效可计算的同态

这个文章中涉及的方案全部是基于type 3的配对，使用type 1或者type 2会导致签名方案完全不安全

A Single-Message Signature Scheme

A Multi-message Signature Scheme

A Sequential Aggregate Signature

用一种滚雪球的方式生成多消息签名，注意1）每个消息的签名公钥须不同 2）验证时整体查验所有签名

假设某用户发布了一个对r-零向量的签名$(0,...,0):(g,X)=(g,g^x)\in {\mathbb{G}}_1^2$，这个签名虽然不能帮助敌手伪造非0向量的签名，但可以使标量$x$不能再用作签名私钥：可签名一个向量$(m_1,...,m_r)$，随机数$t\leftarrow {\mathbb{Z}}_p$，计算签名$(g^t,(X{)}^t\cdot (g^t{)}^{\sum y_j\cdot m_j})$

• 每个签署人$j$(从$1$到$r$)生成自己的签名密钥和验证密钥$(y_j,{\tilde{Y}}_j)$，但使用公共参数中的相同元素$X$。
• 为了签署消息$m_1\in {\mathbb{Z}}_p^{\ast }$，随机选择$t_1\in {\mathbb{Z}}_p$，输出签名$({\sigma }_1,{\sigma }_2)\leftarrow (g^{t_1},(X{)}^{t_1}\cdot (g^{t_1}{)}^{y_1\cdot m_1})$
• 后续的签名者2可以在$m_2$上生成聚合签名：随机选择$t_2$，签名$({\sigma }_1^{\prime },{\sigma }_2^{\prime })\leftarrow ({\sigma }_1^{t_2},({\sigma }_2\cdot {\sigma }_1^{y_2\cdot m_2}{)}^{t_2})$
  $({\sigma }_1^{t_2},({\sigma }_2\cdot {\sigma }_1^{y_2\cdot m_2}{)}^{t_2})=(g^{t_1\cdot t_2},((g^x{)}^{t_1}\cdot (g^{t_1}{)}^{y_1\cdot m_1}\cdot (g^{t_1}{)}^{y_2\cdot m_2}{)}^{t_2})=(g^{t_1\cdot t_2},(g^{t_1\cdot t_2}{)}^{x+y_1\cdot m_1+y_2\cdot m_2})$

$r=0$，是第一个签名
$r>0$，如果前置签名无法通过验证，停止
$m=0$，如果被签名的消息是0，停止
如果当前签名公钥是前置签名公钥之一，停止
如果能通过所有停止条件且不是第一个签名，按照上文原理生成新的聚合签名（如果这个签名还有后置签名，那它的公钥$pk$和$m$都被加入到$m_i,p{k}_i$集的末位中）

验证原理等同于Multi-message Signature

Useful Features

Signing Committed Messages

许多密码学原语需要获得committed (or transformed) values上的签名。
例如：在一些group签名中，用户不能直接把$m$发给组管理器，而是发送一个公共值$g^m$。并用这个值开启一个协议生成$m$的签名。

协议场景：将$g^m$提交给签名者并证明$m$的知识，如果证明有效，返回签名$\sigma =({\sigma }_1,{\sigma }_2)\leftarrow (g^u,(g^x\cdot (g^m{)}^y{)}^u),u\leftarrow {\mathbb{Z}}_p$。但$g^m$在某些场景中（比如anonymous credentials）安全性不够，有时需要对消息的Pedersen Commitment进行签名$C=g_0^t\cdot g_1^{m_1}...g_r^{m_r}$，协议如下：
A Single-Message Protocol

$(g^u,(XC{)}^u)=(g^u,(g^x{g}^t{g}^{y\cdot m}{)}^u)=(g^u,(g^u{)}^{x+y\cdot m}(g^u{)}^t)$，用$({\sigma }_1^{\prime }{)}^t=g^{u\cdot t}$可消去与$t$分量，使签名去盲化，变成$m$的签名

A Multi-message Protocol


$(g^u,(XC{)}^u)=(g^u,(g^x{g}^t{\prod }_{i=1}^r{g}^{y_i\cdot m_i}{)}^u)=(g^u,(g^u{)}^{x+{\sum }_{i=1}^r{y}_i\cdot m_i}(g^u{)}^t)$，同理可去盲化得到$(m_1,...,m_r)$的签名

Proving Knowledge of a Signature

如果仍然考虑匿名凭证的例子，那么前面的协议已经解决了它们的发布问题。然而，一旦用户获得了证书，他还必须能够使用它来证明其属性是经过认证的，同时保持匿名。通常采用文献（Camenisch, J.L., Lysyanskaya, A.: Signature schemes and anonymous credentials from bilinear maps. In: Franklin, M. (ed.) CRYPTO 2004. ）的框架，故需要一种有效的方法证明签名的知识。

为了证明对消息$m$的签名$\sigma =({\sigma }_1,{\sigma }_2)$的知识，用户将在虚拟公钥$\tilde{g}$下聚合对某个随机消息$t$的签名，生成的签名${\sigma }^{\prime }$在消息块$(m,t)$上有效且不会泄露$m$的信息。