超级会员免费看
安全协议与高效密码密钥交换方案解析
公平离线现金方案概述
公平离线现金方案有着特定的系统设置。铸币厂会选择素数 $p$ 和 $q$,满足 $p - 1 = \delta + k$($\delta$ 为指定常数)以及 $p = \gamma q + 1$($\gamma$ 为小整数)。接着定义乘法群 $\mathbb{Z}_p$ 中素数阶 $q$ 的唯一子群 $G_q$ 及其生成元 $g$、$g_1$、$g_2$。铸币厂会创建其秘密密钥 $X_B \in_R \mathbb{Z}_q$,同时定义一系列无关联的单向哈希函数 $H$、$H_0$、$H_1$ 等。铸币厂公布 $p$、$q$、$g$、$g_1$、$g_2$、$(H, H_0, H_1, \cdots)$ 以及其公钥 $h = g^{X_B}$、$h_1 = g_1^{X_B}$、$h_2 = g_2^{X_B}$。此外,还会公布受托人 $T$ 的公钥 $f_2 = g_2^{X_T}$($X_T \in_R \mathbb{Z}_q$),且 $T$ 应为分布式实体以降低对其的信任程度。
用户会生成 $u_1 \in_R G_q$,使得 $g_1^{u_1} g_2 \neq 1$,并与身份 $I = g_1^{u_1}$ 关联。用户需证明对 $I$ 关于 $g_1$ 的离散对数的知晓,同时计算 $z’ = h_1^{u_1} h_2 = (Ig_2)^{X_B}$。
该方案包含以下几个重要功能:
1. 取款功能(Withdraw) :此协议会在 $I$ 上创建一个受限盲签名。协议完成时,用户会获得铸币厂对 $(Ig_2)^s$($s$ 为用户独有的随机秘密值)的有效签名。签名
订阅专栏 解锁全文
扫一扫
667
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
