学习笔记：Improving Revocation for Group Signature with Redactable Signature

Sanders, O. (2021). Improving Revocation for Group Signature with Redactable Signature. In: Garay, J.A. (eds) Public-Key Cryptography – PKC 2021. PKC 2021. Lecture Notes in Computer Science(), vol 12710. Springer, Cham. https://doi.org/10.1007/978-3-030-75245-3_12

前置文献https://blog.csdn.net/jiongxv/article/details/125254302?spm=1001.2014.3001.5502

Introduction

文章的主要内容：

1. 具有时间限制键的群签名的概念。首先，我们扩展了这个概念，以允许高粒度撤销:成员的签名密钥可以在某些时刻停用，然后自动恢复。
2. 证明了使用可编校签名实际上很容易实现这个复杂的属性。
3. 在此背景下考虑了PKC 20中最近的一种可编校签名方案，我们通过大幅减少公钥的大小来改进该方案

Redactable Signatures with Linear Size Public Key

前置文献效率上的问题：将redacted messages 聚合在一个元素中（即Derive中的${\sigma }_1^{\prime }$），通过附加元素（Derive中的${\sigma }_2^{\prime }$）这个过程是诚实的。
不幸的是，在前置文献中，这是通过在公钥中添加一个二次数(以n为单位)的元素（即$Z_{i,j}$）来实现的，这很快就会变得低效

构造：使用PS-签名的一个特例：

• $sk:=(x,y)$，对消息 { m i } i = 1 n \{m_i\}_{i=1}^n {mi​}i=1n​的签名$({\sigma }_1,{\sigma }_2)=(h,h^{x+{\sum }_{i=1}^n{y}^i\cdot m_i})\in {\mathbb{G}}_1^2$。对应原始PS签名的验证变成：
  
  相应地，改进的Redactable签名的Derive ${\sigma }_1^{\prime }$定义变为$\tilde{\sigma }\leftarrow {\prod }_{i\in \bar{\mathcal{I}}}{\tilde{g}}^{y^i\cdot m_i}$，verify的条件1变为：
  

新的安全性保证：

类似地需要考虑安全性，确保$\tilde{\sigma }$没有被用来聚合非法的元素。改进的Redactable签名中的解决方法在这里的特例中是不管用的，因为使用了特殊的$psk$，并且它包含了一个$O(n^2)$元素的公钥造成了效率问题。
原本的解决方法：
${\sigma }_2={\prod }_{i\in \mathcal{I},j\in \bar{\mathcal{I}}}{Z}_{i,j}^{m_j}=(g^{{\sum }_{j\in \bar{\mathcal{I}}}{y}_j\cdot m_j}{)}^{{\sum }_{i\in \mathcal{I}}{y}_i}$
$e(g^{{\sum }_{j\in \bar{\mathcal{I}}}{y}_j\cdot m_j},{\tilde{g}}^{{\sum }_{i\in \mathcal{I}}{y}_i})=e((g^{{\sum }_{j\in \bar{\mathcal{I}}}{y}_j\cdot m_j}{)}^{{\sum }_{i\in \mathcal{I}}{y}_i},\tilde{g})=e({\sigma }_2,\tilde{g})$

新的解决办法：

• 注意：对于一个诚实的$\tilde{\sigma }$，有：
  $$\begin{array}{rl}G& =e(\prod _{i\in \mathcal{I}}{g}^{y^{n+1-i}},\tilde{\sigma })\\ & =e(\prod _{i\in \mathcal{I}}{g}^{y^{n+1-i}},\prod _{j\in \bar{\mathcal{I}}}{\tilde{g}}^{y^j\cdot m_j})\\ & =e(g^{{\sum }_{i\in \mathcal{I},j\in \bar{\mathcal{I}}}{y}^{n+1-i+j}\cdot m_j},\tilde{g})\end{array}$$
  中间可以看做$2n-1$个元素$g^{y^i},i\in [1,n]\cup [n+2,2n]$(中间没有$n+1$是因为$i\ne j$，没有$2n+1$是因为此时$\mathcal{I}=\varphi$，那就不需要derive了)，添加到公钥中。
• 根据改进的Redactable签名可以试图总结出一个理论：即一个不规范的$\tilde{\sigma }$必然导致一个（公共密钥中没有提供的）包含$g^{y^{n+1}}$或$g^{x\cdot y^u},u>0$形式的元素的配对$G$。（$g^{y^{n+1}}$出现表示$\bar{\mathcal{I}}$和$\mathcal{I}$有重合，$x$表示其他不合法的项）
  不幸的是，这是不正确的。当$G$是由不规范的$\tilde{\sigma }\leftarrow {\prod }_{i\in [1,n]}{\tilde{g}}^{y^i\cdot m_i^{\prime }}$计算而来（比如存在$i\in \mathcal{I},m_i^{\prime }\ne 0$：
  $$\begin{array}{rl}G& =e(g^{{\sum }_{u=1}^{2n}{y}^u\cdot a_u},\tilde{g}),a_{n+1}=\sum _{i\in \mathcal{I}}{m}_i^{\prime }\end{array}$$
  敌手选择$m_i^{\prime }$值是容易的，使抵消$y^{n+1}$的系数$a_{n+1}$。在这种情况下，可以只使用公钥中给出的元素$g^{y^i},i\in [1,n]\cup [n+2,2n]$创建伪造
• 在系数$a_{n+1}$中添加一些不可预测性，以阻止这个攻击：生成hash输出$c_i\leftarrow \mathrm{H}({\sigma }_1||{\sigma }_2||\tilde{\sigma }||\mathcal{I}||i),i\in \mathcal{I}$，计算另一种配对：
  $$\begin{array}{rl}G& =e(\prod _{i\in \mathcal{I}}{g}^{y^{n+1-i}\cdot c_i},\tilde{\sigma })\\ & =e(g^{{\sum }_{i\in \mathcal{I},j\in \bar{\mathcal{I}}}{y}^{n+1-i+j}\cdot c_i\cdot m_j},\tilde{g})\end{array}$$
  ①不存在$y^{n+1}$，保证了$\mathcal{I}\cap \bar{\mathcal{I}}=\varphi$；
  ②如果存在不规范的$\tilde{\sigma }$，那么$y^{n+1}$的系数是${\sum }_{i\in \mathcal{I}}{c}_i\cdot m_i^{\prime }$；由于$c_i$依赖于$\tilde{\sigma }$（包含$m_i^{\prime }$），任何选择标量的$m_i^{\prime }$使$a_{n+1}=0$的策略都不太可能成功，因为$m_i^{\prime }$的任何变化都会造成 { m i } i ∈ I \{m_i\}_{i\in\mathcal{I}} {mi​}i∈I​的变化

注意：不能直接从消息$m_i$中派生出$c_i$，因为这样会妨碍对$m_i$知识的有效证明，而只能从签名的第一个元素$({\sigma }_1,{\sigma }_2,\tilde{\sigma })$中得出$c_i$。

scheme

一种不可链接的，Redactable 签名，其中公钥是线性的。

注意$Y_i$中$i$的范围，这么定义是为了
公钥中不再有二次项

除了对应公私钥的变化，签名方式和改进的Redactable签名方案中一致

${\sigma }_1^{\prime },{\sigma }_2^{\prime },{\tilde{\sigma }}^{\prime }$与原方案的前三条一致。
然后对所有的$i\in \mathcal{I}$，计算$c_i\leftarrow \mathrm{H}({\sigma }_1||{\sigma }_2||\tilde{\sigma }||\mathcal{I}||i)$，并生成：${\sigma }_3^{\prime }\leftarrow {\prod }_{i\in \mathcal{I}}{\left[Y_{n+1-i}^t\cdot {\prod }_{j\in \overline{\mathcal{I}}}{Y}_{n+1-i+j}^{m_j}\right]}^{c_i}$
返回 { m i } i ∈ I \{m_i\}_{i\in\mathcal{I}} {mi​}i∈I​的签名$\sigma =({\sigma }_1^{\prime },{\sigma }_2^{\prime },{\sigma }_3^{\prime },{\tilde{\sigma }}^{\prime })$

分析：条件1与原方案相同，是具有不可链接性的，验证了签名 { m i } i ∈ I \{m_i\}_{i\in\mathcal{I}} {mi​}i∈I​
$$\begin{array}{rl}e({\sigma }_1,\tilde{X}\cdot \tilde{\sigma }\cdot \prod _{i\in \mathcal{I}}{\tilde{Y}}_i^{m_i})& =e({\sigma }_1^r,{\tilde{g}}^x\cdot {\tilde{g}}^t\cdot \prod _{j\in \bar{\mathcal{I}}}{\tilde{Y}}_j^{m_j}\cdot \prod _{i\in \mathcal{I}}{\tilde{Y}}_i^{m_i})\\ & =e({\sigma }_1^r,{\tilde{g}}^x\cdot {\tilde{g}}^t\cdot \prod _{i\in [1,n]}{\tilde{g}}^{y^i\cdot m_i})\\ & =e({\sigma }_1^r,{\tilde{g}}^{t+x+{\sum }_{i=1}^n{y}^i\cdot m_i})=e({\sigma }_2,\tilde{g})\end{array}$$
条件2：
$$\begin{array}{rl}e({\sigma }_3,\tilde{g})& =e(\prod _{i\in \mathcal{I}}{\left[Y_{n+1-i}^t\cdot \prod _{j\in \overline{\mathcal{I}}}{Y}_{n+1-i+j}^{m_j}\right]}^{c_i},\tilde{g})\\ & =e(\prod _{i\in \mathcal{I}}{\left[Y_{n+1-i}^t\cdot \prod _{j\in \overline{\mathcal{I}}}{Y}_{n+1-i}^{y^j\cdot m_j}\right]}^{c_i},\tilde{g})\\ & =e(\prod _{i\in \mathcal{I}}{\left[Y_{n+1-i}^{t+{\sum }_{j\in \bar{\mathcal{I}}}{y}^j\cdot m_j}\right]}^{c_i},\tilde{g})\\ & =e(\prod _{i\in \mathcal{I}}{Y}_{n+1-i}^{c_i},{\tilde{g}}^{t+{\sum }_{j\in \bar{\mathcal{I}}}{y}^j\cdot m_j})=e(\prod _{i\in \mathcal{I}}{Y}_{n+1-i}^{c_i},\tilde{\sigma })\end{array}$$
如果$\mathcal{I}\cap \bar{\mathcal{I}}\ne \varphi$，即存在不规范的${\sigma }_3$使得$i=j$，等式不成立（因为$c_i$保证了发送方无法谨慎地选择$m_j\ne 0,j\in \bar{\mathcal{I}}$使$y^j$的系数抵消）；$t$是不可链接性所使用的一个dummy sk。

注意：1）公钥中提供的元素足以计算派生签名，尤其是元素${\sigma }_3$，因为对于所有$i\in \mathcal{I},j\in \bar{\mathcal{I}}$，有$n+1-i\in [1,n]$，$n+1-i+j\in [1,n]\cup [n+2,2n]$
2)为了便于说明，把${\sigma }_3$的定义为${\prod }_{i\in \mathcal{I}}{\left[Y_{n+1-i}^t\cdot {\prod }_{j\in \overline{\mathcal{I}}}{Y}_{n+1-i+j}^{m_j}\right]}^{c_i}$，但发现在大多数情况下直接套用这个公式计算是相当低效的，因为它需要$|\mathcal{I}|(n-|\mathcal{I}|+1)$次幂计算。
对于所有的$u\in [1,n]\cup [n+2,2n]$，定义$t_u=t\cdot c_i$，当$u=n+1-i,i\in \mathcal{I}$，其他情况下$t_u=0$。这种情况下${\sigma }_3^{\prime }$可写成：
$${\sigma }_3^{\prime }=\prod _{u\in [1,n]\cup [n+2,2n]}{Y}_u^{t_u+s_u},s_u=\sum _{i\in \mathcal{I},j\in \bar{\mathcal{I}},j-i=u-n-1}{c}_i\cdot m_j$$
这样只需要$2n-1$次幂计算。

Group Signature with Time-Bound Keys

具有时间限制密钥的群签名

• $\mathrm{G}\mathrm{K}\mathrm{e}\mathrm{y}\mathrm{G}\mathrm{e}\mathrm{n}(1^{\lambda },n)\to (gsk,gpk)$. $n$是时间周期数的一个上界，并初始化一个寄存器$\mathrm{R}\mathrm{e}\mathrm{g}$
• $\mathrm{J}\mathrm{o}\mathrm{i}\mathrm{n}$.群管理员和一个新的群成员$k$的两方交互协议。
  Manager输入：$(gpk,{\mathcal{T}}_k,gsk,\mathrm{R}\mathrm{e}\mathrm{g})\to ({\mathrm{r}\mathrm{t}}_k,{\mathcal{T}}_k)$，manager在寄存器$\mathrm{R}\mathrm{e}\mathrm{g}[k]$中存储一个revocation token和用户的活动时间段。
  user输入：$(gpk,{\mathcal{T}}_k)\to us{k}_k$，user获得群签名密钥$us{k}_k=(s{k}_k,{\mathcal{T}}_k)$。
• $\mathrm{S}\mathrm{i}\mathrm{g}\mathrm{n}(us{k}_k,gpk,t,m)\to \sigma$，现在的时间周期$t$。
• $\mathrm{R}\mathrm{e}\mathrm{v}\mathrm{o}\mathrm{k}\mathrm{e}((gsk,gpk),\mathrm{R}\mathrm{e}\mathrm{g},t,\mathcal{R})\to {\mathrm{R}\mathrm{L}}_t$。一组要撤销的用户$\mathcal{R}$，撤销列表${\mathrm{R}\mathrm{L}}_t$.
• $\mathrm{V}\mathrm{e}\mathrm{r}\mathrm{i}\mathrm{f}\mathrm{y}(gpk,t,{\mathrm{R}\mathrm{L}}_t,\sigma ,m)\to 1/0$
• $\mathrm{O}\mathrm{p}\mathrm{e}\mathrm{n}(gsk,\mathrm{R}\mathrm{e}\mathrm{g},\sigma ,m,t)\to k/\perp$该算法要么返回用户标识符$k$，要么返回失败消息

Intuition

用前面的Redactable Signature构建具有时间限制密钥的群签名：想在一段时间${\mathcal{T}}_k$内加入加入群的任何用户$k$收到一个消息 { m i } i = 1 n \{m_i\}_{i=1}^n {mi​}i=1n​上的redactable 签名（如果$i\ne {\mathcal{T}}_k,m_i=0$），这就产生了一个非常紧凑的组签名密钥，它基本上由这个签名组成。要在时间段$i$发布组签名，成员只需在子集$\mathcal{I}=i$上运行Derive算法，就可以得到修订后的签名${\sigma }^{\prime }$.验证者可以直接使用后者来检查这个成员在这个时间段是否活跃，因为否则这个签名在0的时候是有效的。

scheme

将上文构建的redactable签名方案记为$\Sigma$

sk,pk是$\Sigma$签名中的公私钥
$-\mathrm{J}\mathrm{o}\mathrm{i}\mathrm{n}$向群管理员登记在${\mathcal{T}}_k$时间内有效的新用户$k$，并返回可验证的签名作为其用户私钥。
\qquad\qquad 新用户$k(gpk,{\mathcal{T}}_k,)$ \qquad\qquad\qquad\qquad\qquad 群管理员$(gpk,{\mathcal{T}}_k,gsk,\mathrm{R}\mathrm{e}\mathrm{g})$

• 新用户$k$随机选择私钥$s{k}_k\leftarrow {\mathbb{Z}}_p$ ————————————$\to (g^{s{k}_k},{\tilde{g}}^{s{k}_k})$给群管理员

• 用诸如Schnorr算法证明$s{k}_k$的知识————————————$\to$如果证明有效，且$e(g^{s{k}_k},\tilde{g})=e(g,{\tilde{g}}^{s{k}_k})$，随机选择r

• \qquad\qquad $({\sigma }_1,{\sigma }_2)\leftarrow$——————————————$(g^r,[g^x\cdot (g^{s{k}_k}{)}^{{\sum }_{j\in {\mathcal{T}}_k}{y}^j}{]}^r)$
  （注意这是一组 { m i } i = 1 n \{m_i\}_{i=1}^n {mi​}i=1n​上的有效redacable签名，其中当$i\in {\mathcal{T}}_k,m_i=s{k}_k$，否则等于0）

• 用户运行$\Sigma .Verify$验证签名,
  设 u s k k : = { s k k , ( σ 1 , σ 2 ) , T k } usk_k:=\{sk_k,(\sigma_1,\sigma_2),\mathcal{T}_k\} uskk​:={skk​,(σ1​,σ2​),Tk​}-------------------------------------同时，管理员存储$({\tilde{g}}^{s{k}_k},{\mathcal{T}}_k)\to \mathrm{R}\mathrm{e}\mathrm{g}[k]$

  $us{k}_k$中含有，$s{k}_k$（相当于message $m_i$），范围${\mathcal{T}}_k$（相当于$\mathcal{I}$）和相应的签名。

$-\mathrm{S}\mathrm{i}\mathrm{g}\mathrm{n}$：生成当前时间段内消息$m$对应的签名

• 用户运行 Σ . D e r i v e ( p k , ( σ 1 , σ 2 ) , { m i } i = 1 n , { t } ) → σ I = ( σ 1 ′ , σ 2 ′ , σ 3 ′ , σ ~ ′ ) , I = { t } \Sigma.Derive(pk,(\sigma_1,\sigma_2),\{m_i\}_{i=1}^n,\{t\})\rightarrow \sigma_{\mathcal{I}}=(\sigma_1',\sigma_2',\sigma_3',\widetilde{\sigma}'),\mathcal{I}=\{t\} Σ.Derive(pk,(σ1​,σ2​),{mi​}i=1n​,{t})→σI​=(σ1′​,σ2′​,σ3′​,σ ′),I={t}, { m i } i = 1 n \{m_i\}_{i=1}^n {mi​}i=1n​定义同上
• 必须证明在message $m_t=s{k}_k\ne 0$上签名${\sigma }_{\mathcal{I}}$有效，由于$\Sigma .Verify$的第二个等式只用${\sigma }_{\mathcal{I}}$的知识即可验证所以不用管；而第一个等式的验证需要$m_t=s{k}_k$，（在redacable签名中验证知道需要的message，但在这里不能直接把私钥$s{k}_k$发给验证方），这意味着需要证明$s{k}_k$的知识：
  $$e({\sigma }_1,\tilde{X}\cdot \tilde{\sigma }\cdot {\tilde{Y}}_t^{s{k}_k})=e({\sigma }_2,\tilde{g})$$
  具体地，生成$a\leftarrow {\mathbb{Z}}_p$，计算$K=e({\sigma }_1,{\tilde{Y}}_t{)}^a,c\leftarrow H(K,{\sigma }_{\mathcal{I}},m),s=a+c\cdot s{k}_k$
• 输出群签名$\sigma \leftarrow ({\sigma }_{\mathcal{I}},c,s)$

$-\mathrm{R}\mathrm{e}\mathrm{v}\mathrm{o}\mathrm{k}\mathrm{e}$.对每个用户$k$在时间段$t$上撤销，群管理员从$\mathrm{R}\mathrm{e}\mathrm{g}[k]$中恢复${\tilde{g}}^{s{k}_k}$，并将$({\tilde{g}}^{s{k}_k}{)}^{y^t}$加入${\mathrm{R}\mathrm{L}}_t$
$-\mathrm{V}\mathrm{e}\mathrm{r}\mathrm{i}\mathrm{f}\mathrm{y}(gpk,t,{\mathrm{R}\mathrm{L}}_t,\sigma ,m)$.验证消息$m$在时间段$t$上的签名$\sigma$

• 是否$\Sigma .Verify$的第二个等式成立，即：
  $$\begin{array}{rl}e({\sigma }_3,\tilde{g})& =e(Y_{n+1-t}^{c_t},\tilde{\sigma })\end{array}$$
  其中 c t ← H ( σ 1 ∣ ∣ σ 2 ∣ ∣ σ ~ ∣ ∣ { t } ∣ ∣ t ) c_t\leftarrow {\rm H}(\sigma_1||\sigma_2||\widetilde{\sigma}||\{t\}||t) ct​←H(σ1​∣∣σ2​∣∣σ ∣∣{t}∣∣t)
• 检查是否$m_t=0$，通过等式
  $$\begin{array}{rl}e({\sigma }_1,\tilde{X}\cdot \tilde{\sigma })& =e({\sigma }_2,\tilde{g})\end{array}$$
  等式成立，说明$m_t=0$，则返回0（推导如下）
  $$\begin{array}{rl}e({\sigma }_2,\tilde{g})& =e({\sigma }_1,{\tilde{g}}^{t+x+{\sum }_{i=1}^n{y}^i\cdot m_i})\\ & =e({\sigma }_1,{\tilde{g}}^x\cdot {\tilde{g}}^t\cdot \prod _{j\in \bar{\mathcal{I}}}{\tilde{Y}}_j^{m_j}\cdot {\tilde{Y}}_t^{m_t})\\ & =e({\sigma }_1,\tilde{X}\cdot \tilde{\sigma }\cdot {\tilde{Y}}_t^{m_t})\end{array}$$
• 否则验证证明的知识：计算$K^{\prime }$并验证$c=H(K^{\prime },{\sigma }_{\mathcal{I}},m)$
  $$\begin{array}{rl}{K}^{\prime }& =e({\sigma }_1,{\tilde{Y}}_t{)}^s\cdot [e({\sigma }_2,\tilde{g})\cdot e({\sigma }_1^{-1},\tilde{X}\cdot \tilde{\sigma }){]}^{-c}\\ & =e({\sigma }_1,{\tilde{Y}}_t{)}^{a+c\cdot s{k}_k}\cdot [e({\sigma }_1,\tilde{X}\cdot \tilde{\sigma }\cdot {\tilde{Y}}_t^{s{k}_k})\cdot e({\sigma }_1^{-1},\tilde{X}\cdot \tilde{\sigma }){]}^{-c}\\ & =e({\sigma }_1,{\tilde{Y}}_t{)}^{a+c\cdot s{k}_k}\cdot [e({\sigma }_1,\tilde{X}\cdot \tilde{\sigma })\cdot e({\sigma }_1,{\tilde{Y}}_t^{s{k}_k})\cdot e({\sigma }_1^{-1},\tilde{X}\cdot \tilde{\sigma }){]}^{-c}\\ & =e({\sigma }_1,{\tilde{Y}}_t{)}^a=K\end{array}$$
  以上推导成立的前提是$\Sigma .Verify$算法的第一项等式成立.
• 以上验证通过说明$\sigma$是一个有效的签名，但它有可能是由已经撤销的密钥签署的。对于每个${\tilde{h}}_k\in {\mathrm{R}\mathrm{L}}_t$，算法检查是否$e({\sigma }_1,{\tilde{h}}_k)=e({\sigma }_2,\tilde{g})\cdot e({\sigma }_1^{-1},\tilde{X}\cdot \tilde{\sigma })$
  已知
  $$e({\sigma }_1,{\tilde{h}}_k)=e({\sigma }_1,({\tilde{g}}^{s{k}_k}{)}^{y^t})$$
  检查：
  $$\begin{array}{rl}e({\sigma }_2,\tilde{g})\cdot e({\sigma }_1^{-1},\tilde{X}\cdot \tilde{\sigma })& =e({\sigma }_1,\tilde{X}\cdot \tilde{\sigma }\cdot {\tilde{Y}}_t^{s{k}_k})\cdot e({\sigma }_1^{-1},\tilde{X}\cdot \tilde{\sigma })\\ & =e({\sigma }_1,{\tilde{Y}}_t^{s{k}_k})\cdot e({\sigma }_1,\tilde{X}\cdot \tilde{\sigma })\cdot e({\sigma }_1^{-1},\tilde{X}\cdot \tilde{\sigma })\\ & =e({\sigma }_1,{\tilde{Y}}_t^{s{k}_k})=e({\sigma }_1,{\tilde{h}}_k)\end{array}$$
  成立的前提还是$\Sigma .Verify$算法的第一项等式成立，且对应的$s{k}_k$在时间段$t$已被撤销。成立则返回0，否则返回1.
  $-\mathrm{O}\mathrm{p}\mathrm{e}\mathrm{n}(gsk,\mathrm{R}\mathrm{e}\mathrm{g},\sigma ,m,t)\to k/\perp$对于每个在时间$t$内活跃的用户$k$，这个算法从$\mathrm{R}\mathrm{e}\mathrm{g}[k]$中恢复${\tilde{g}}^{s{k}_k}$，并测试：$e\left({\sigma }_1,{\tilde{g}}^{{\mathbf{s}\mathbf{k}}_k}\right)={\left[e\left({\sigma }_2,\tilde{g}\right)\cdot e\left({\sigma }_1^{-1},\tilde{X}\cdot \tilde{\sigma }\right)\right]}^{y^{-t}}$
  可看出这个条件与Verify中验证撤销密钥的条件几乎相同（仅将$y^t$消去），通过遍历$\mathrm{R}\mathrm{e}\mathrm{g}$中的元素，测试直到找到符合这个签名的${\tilde{g}}^{s{k}_k}$对应的index $k$（注意只有拥有$gsk:y$的人才能打开签名）

Efficiency

Redactable Signature

（${\mathbb{G}}_1:382\mathrm{b}\mathrm{i}\mathrm{t}\mathrm{s}{\mathbb{G}}_2:763\mathrm{b}\mathrm{i}\mathrm{t}\mathrm{s}\approx 2{\mathbb{G}}_1$，$r_i$表示${\mathbb{G}}_i$中随机元素的生成，$e_i$表示${\mathbb{G}}_i$上的指数计算）

p k : ( H , g ∈ G 1 ∗ , g ~ ∈ G 2 ∗ , { Y i } i = 1 n , { Y i } i = n + 2 2 n , X ~ , { Y ~ i } i = 1 n ) : ( 1 + 2 n − 1 ) G 1 + ( n + 2 ) G 2 = 382 ( 4 n + 4 ) b i t s pk:(H,g\in\mathbb{G}_1^*,\widetilde{g}\in\mathbb{G}_2^*,\{Y_i\}_{i=1}^n,\{Y_i\}_{i=n+2}^{2n},\widetilde{X},\{\widetilde{Y}_i\}_{i=1}^n):(1+2n-1)\mathbb{G}_1+(n+2)\mathbb{G}_2=382(4n+4){\rm bits} pk:(H,g∈G1∗​,g ​∈G2∗​,{Yi​}i=1n​,{Yi​}i=n+22n​,X ,{Y i​}i=1n​):(1+2n−1)G1​+(n+2)G2​=382(4n+4)bits
$\sigma :({\sigma }_1\in {\mathbb{G}}_1,{\sigma }_2\in {\mathbb{G}}_1,{\sigma }_3\in {\mathbb{G}}_1,\tilde{\sigma }\in {\mathbb{G}}_2):3{\mathbb{G}}_1+1{\mathbb{G}}_2=382\times 3+763=1909\mathrm{b}\mathrm{i}\mathrm{t}\mathrm{s}$

$Sign$：1个随机元素${\sigma }_1\in {\mathbb{G}}_1$，1次$\in {\mathbb{G}}_1$上的指数计算
$Derive$：$3+(2n-1)$次${\mathbb{G}}_1$指数计算（${\sigma }_3$用改进的方法生成），$1+(n-k)$次${\mathbb{G}}_2$指数计算，$k$次hash
$Verify$：$k$次${\mathbb{G}}_2$指数计算，$k$次${\mathbb{G}}_1$指数计算，$k$次hash，$2$个包含$2$个双线性对计算的等式。

Group Signature with Time-Bound Keys

$pk$与Redactable Signature相同
u s k k = { s k k ∈ Z p , ( σ 1 , σ 2 ) ∈ G 1 2 , T k } ： 2 G 1 + 1 Z p = 382 × 2 + 256 usk_k=\{sk_k\in\mathbb{Z}_p,(\sigma_1,\sigma_2)\in\mathbb{G}_1^2,\mathcal{T}_k\}：2\mathbb{G}_1+1\mathbb{Z}_p=382\times 2+256 uskk​={skk​∈Zp​,(σ1​,σ2​)∈G12​,Tk​}：2G1​+1Zp​=382×2+256
$\mathrm{R}\mathrm{L}$中的元素形式：$({\tilde{g}}^{s{k}_k}{)}^{y^t}$：$R{\mathbb{G}}_2=763R\mathrm{b}\mathrm{i}\mathrm{t}\mathrm{s}$
$\sigma \leftarrow ({\sigma }_{\mathcal{I}},c,s)=(3{\mathbb{G}}_1+1{\mathbb{G}}_2,{\mathbb{Z}}_p,{\mathbb{Z}}_p):382\times 3+763+256\times 2=2421\mathrm{b}\mathrm{i}\mathrm{t}\mathrm{s}$

计算复杂度

$Sign:n=2,k=1$，原本$\Sigma .Derive$的复杂度为：$6e_1+H+2e_2$,签名引入：$p_1+H$
$Verify:$算不对…

总结

redactable 签名：

1. 使用原签名的一个特例$y_i\to y^i$，私钥简化
2. 提出新的安全性验证条件，所需公钥由二次简化为一次。
3. 保持了原签名中的不可链接性原理

用redactable 签名实现的满足时间限制密钥的群签名：

1. 用redactable 签名生成一个总签名，这里总集是${\mathcal{T}}_k$，$s{k}_k$在签名中作为message，私钥和总签名共同作为用户签名私钥
2. 签名生成时，运行$Derive$派生出${\mathcal{T}}_k$的子集 { t } \{t\} {t}上的签名，$c$是非交互挑战，$s$是返回值，构造这个的目的是证明向验证方证明$s{k}_k$的知识（因为作为message的$s{k}_k$不能被直接发给验证方）。
3. 撤销设置：将与$s{k}_k$和$t$有关的一个计算结果提交到撤销集合，表示撤销$k$在$t$上的权限
4. 验证redactable 签名的验证条件2通过；$m_t\ne 0$即对应的$s{k}_k$不是0；验证redactable 签名的验证条件1通过；$t$未被撤销
5. 从签名和$t$中返回$k$