学习笔记：Report and trace ring signatures

Ashley Fraser and Elizabeth A Quaglia. Report and trace ring signatures. In International Conference on Cryptology and Network Security, pages 179-199. Springer, 2021（CACR C）.https://link.springer.com/chapter/10.1007/978-3-030-92548-2_10
引入了报告和跟踪环签名方案，平衡了签名者匿名的愿望和报告恶意行为并随后撤销匿名的能力。与现有的问责环签名文献进行了比较。
这篇文章的意义更多地是给出了一种定义和范式。

Syntax and Security

Syntax

Security

Oracles

$\mathcal{O}{X}_{(y_1,...,y_n)}(z_1,...,z_n):$oracle X可以访问的参数集合$y_1,...,y_n$，并以$z_1,...,z_n$为输入
$\mathcal{O}reg$,$\mathcal{O}corrupt$,$\mathcal{O}sign$按预期操作:分别为用户注册、用户损坏和签名生成建模
调用$\mathcal{O}report$来获取消息的报告令牌，调用$\mathcal{O}trace$来跟踪消息的签名者

Anonymity

对抗生成密钥的匿名性。因此，我们假设对手可以破坏和控制users和reporters，但tracer是诚实的。
要求对手在获得challenge 签名时，不能确定两个潜在的诚实签名者中哪一个生成了签名，前提是对手没有获得质疑签名的trace。

Unforgeability

假设对手控制trace程序，并可以破坏和控制users和reporters。我们要求对手不能为诚实用户环输出有效签名，其中签名不是签名oracle的输出。

Traceability

• Trace correctness：要求诚实生成的签名必须可跟踪到正确的签名者。
• Non-frameability：表示报告和跟踪机制不能将非签名者识别为签名者。
• trace soundness：报告和跟踪机制识别的签名者是唯一的。
  
  
  

Reporter Anonymity

要求报告不暴露产生报告的环成员。我们正式地将记者匿名性定义为这样一种属性:当对手提供一份报告供其签名时，他无法确定两名潜在的记者中是哪一位撰写了这份报告。

A Report and Trace Ring Signature Construction

setup & keygen

方案中共出现了4种密钥：

• RS：用于环签名的密钥对
• PKE：用于(签名)加密的密钥对
• Sign：用于report的密钥对
• T：用于追溯的密钥对

Sign

• 加密 reporter token $s{k}_{sign}$ to each ring member: P K E p k P K E i ( s k s i g n ) → { c 1 , i } i = 1 ∣ R ∣ → c 1 PKE_{pk_{PKE_i}}(sk_{sign})\rightarrow\{c_{1,i}\}_{i=1}^{|R|}\rightarrow {\bf c_1} PKEpkPKEi​​​(sksign​)→{c1,i​}i=1∣R∣​→c1​
• 签名者证明每个PKE密文都加密了与$p{k}_{Sign}$相关的 reporter token $s{k}_{sign}$，该令牌包含在签名中。即为如下关系 提供NIZK证明：
  
• 然后，对签名者的验证密钥$p{k}_{RS}$在跟踪者的公钥下进行加密，得到密文${\mathbf{c}}_2\leftarrow PK{E}_{p{k}_T}(p{k}_{RS})$，再对密文${\mathbf{c}}_2$在新生成的公钥$p{k}_{Sign}$下进行加密，得到密文${\mathbf{c}}_3\leftarrow PK{E}_{p{k}_{sign}}({\mathbf{c}}_2)$。
• 最后，签名者产生一个知识签名SoK，证明${\mathbf{c}}_3$加密一个验证密钥，签名者知道与其相关联的签名密钥
  

report & trace

环成员运行report来解密reporter token:$De{c}_{s{k}_{PKE}}(c_{1,i})=s{k}_{sign}$
报告器还提供正确解密的证明，但不透露是哪个环成员解密了token。

• 在收到报告时，跟踪程序运行Trace来解密密文$c_2\leftarrow De{c}_{s{k}_{sign}}(c_3)$和$p{k}_{RS}\leftarrow De{c}_{s{k}_T}(c_2)$并揭示签名者的验证密钥。
• 由于$s{k}_{Sign}$包含在report中，任何人都可以解密$c_3$，因此可以直接检查正确的解密。因此，跟踪程序只需要证明$c_2$的正确解密，它由以下关系给出:
  

综上我们可以总结一下签名的组成及作用$\sigma =(p{k}_{sign},{\mathbf{c}}_1,c_2,\rho ,{\sigma }_{SOK})$：

• ${\mathbf{c}}_1$构造环关系并绑定report token（任意环成员能够解开并获得$s{k}_{sign}$）, $\rho$证明其合法性
• $c_2$用$p{k}_T$加密$p{k}_{RS}$，再将密文用$p{k}_{sign}$加密到$c_3$。Trace中必须拥有$s{k}_{sign}$和$s{k}_T$才能顺利解密出身份$p{k}_{RS}$.（所以只有环成员主动申请了report才能trace）
• $c_2$的作用是trace，$c_3$的作用是封装$c_2$并实现report前置
• ${\sigma }_{SOK}$才是真正的环签名，证明了$c_2$,$c_3$的生成过程，结合签名消息$m$

Verify

$\sigma =(p{k}_{sign},{\mathbf{c}}_1,c_2,\rho ,{\sigma }_{SOK})$, check:

• $NIZK.Verif{y}_{}(\rho )=1$,$SoK,Verify(m,{\sigma }_{SOK})=1$
  两步验证分别证明了${\mathbf{c}}_1,c_2,c_3$的加密合法性，以及签名密钥生成合法性

它确保签名者提供他们自己的公钥的加密，如果消息是恶意的，则支持跟踪。
公共跟踪验证算法VerTrace确保跟踪正确的签名者

• 这个验证需在report和trace完成后进行，否则无法进行前两步NIZK验证（${\mathbf{c}}_1,c_2$解密的正确性）
• 验证签名的有效性：签名者提供他们自己公钥的环结构和有效消息签名
• 由于任何参与方都可以申请report得到$s{k}_{sign}$，故而可以自行验证$c_3$的正确解密

Instantiating

PKE: ElGamal encryption
SoK: Short Accountable Ring Signatures Based on DDH
NIZK: 我们用各种Σ-protocols实例化了我们的NIZK协议，用于签名、报告和跟踪。

Setup & keygen

$Setup(1^{\lambda })\to (p{p}_{PKE},p{p}_{SOK})$

• $p{p}_{PKE}=p{p}_{NIZK}=(\mathbb{G},g,q)$
• $p{p}_{SOK}=(ek,ck)$:$ek$ is an ElGamal encryption key, $ck$ is a key for a commitment scheme.
• $f(x):=g^x,x\in {\mathbb{Z}}_q$ one way function

$keygen(pp)\to ((p{k}_T,s{k}_T),(p{k}_U,s{k}_U))$

• $p{k}_T=(g^{s{k}_T},s{k}_T)$
• $(p{k}_U,s{k}_U)=((g^{s{k}_{RS}},g^{s{k}_{PKE}}),(s{k}_{RS},s{k}_{PKE})),s{k}_T,s{k}_{RS},s{k}_{PKE}\in {\mathbb{Z}}_q$

Sign

$Sign()\to$

• 用ElGamal encryption实例化PKE：密文${\mathbf{c}}_1,c_2=(A_2,B_2)=(g^{r_2},p{k}_T^{r_2}\cdot p{k}_{RS}),c_3=(A_2,A_3,B_3)=(g^{r_2},g^{r_3},p{k}_{Sign}^{r_3}\cdot p{k}_T^{r_2}\cdot p{k}_{RS})$
• 使用一种已有的$\Sigma$协议生成$\rho$，然后用Fiat-Shamir变换生成NIZK
• 改进已有的一种SoK生成${\sigma }_{SOK}$，证明签名者知道$s{k}_{RS}$使得$p{k}_{RS}=g^{s{k}_{RS}}$是环中的元素

Report & trace

• $PKE.Dec$，由于离散对数的性质，不需要证明解密的正确性
• $p{k}_{sign}=g^{s{k}_{sign}}$,tracer可以使用reporter的返回平凡地检查解密正确性
• tracer解密signer的ID：$B_3/(A_2^{s{k}_T}{A}_3^{s{k}_{sign}})=p{k}_{Sign}^{r_3}\cdot p{k}_T^{r_2}\cdot p{k}_{RS}/(g^{r_2\cdot s{k}_T}{g}^{r_3\cdot s{k}_{sign}})=p{k}_{RS}$