BBS群签名方案

karry_ming

已于 2024-01-22 14:08:06 修改

阅读量1.1k

点赞数 21

文章标签：论文阅读密码学零知识证明

于 2024-01-13 16:32:34 首次发布

本文链接：https://blog.csdn.net/qq_44722300/article/details/135572132

版权

BBS Group Signature

群签名方案是一种允许群成员代表群匿名签名消息的方法，我们接下来介绍由 Boneh, Boyen and Shacham 在2004年提出的一个 BBS signatures 简短群签名方案 Short Group Signatures。

Complexity Assumpations

The Strong Diffle-Hellman Assumpation

$G_1,G_2$ 是阶数为 $p$ 的循环群。 $g_1$ 是 $G_1$ 的生成元， $g_2$ 是 $G_2$ 的生成元。

q-Strong Diffle-Hellman Problem. 在 $G_1,G_2)$ q-SDH 问题是：给定一个 $(q + 2)$ 个元素的元组 $(g_1,g_2,g_2^\gamma,g_2^{(\gamma^2)},...,g_2^{(\gamma^q)})$ 作为输入，输出 $(g_1^{1/(\gamma+x)},x)$ 其中 $x\in Z_p^*$ 。算法 $\mathcal{A}$ 在 $G_1,G_2)$ 下解决 q-SDH 问题下有优势 $\epsilon$ ：
$Pr[\mathcal{A}(g_1,g_2,g_2^\gamma,...,g_2^{(\gamma^q)})=(g_1^{\frac{1}{\gamma+x}},x)]\ge \epsilon$

这是一个困难问题，算法 A 并不知道 $x,\gamma$ 的值，且要构造出 $g_1^{\frac{1}{\gamma+x}}$ ，成功的概率几乎为 $0$ 。这比基本的离散对数问题更为复杂，1. $x$ 并不知道，找到正确的 $x$ ，需要穷举所有的群元素。2. 如果知道了 $x$ ，找到符合条件的 $B$ ，可以利用双线性配对的一些性质来求解，但同样需要穷举所有的群元素。

The Decision Linear Diffle-Hellman Assumption

Decision Linear Problem in $G_1$ . 给定 $u,v,h,u^a,v^b,h^c \in G_1$ 作为输入，当 $a + b = c$ 时输出 yes，反之输出 no。

更准确地说，我们定义了算法 $\mathcal{A}$ 在 $G_1$ 的决策线性问题的优势：
$\mathrm{AdvLinear}_{A}\overset{\mathrm{def}}{=}\begin{vmatrix} Pr[\mathcal{A}(u,v,h,u^a,v^b,h^{a+b})=\mathrm{yes}:u,v,h\leftarrow G_1,a,b\leftarrow Z_p]\\ -Pr[\mathcal{A}(u,v,h,u^a,v^b,\eta)=\mathrm{yes}:u,v,h,\eta\leftarrow G_1,a,b\leftarrow Z_p] \end{vmatrix}$

Linear Encryptio

决策线性问题产生了线性加密（LE）方案，LE 是 Elgamal 加密的自然扩展。在 LE 方案中，一个用户的公钥是 $3$ 个生成元 $\in G_1$ 。她的私钥是 $\in Z_p$ ，使得 $u^x=v^y=h$ 。为了加密一个消息 $M\in G_1$ ，选择两个随机数 $a,b\in Z_p$ ，输出元组 $(u^a,v^b,m\cdot h^{a+b})$ 。为了从密文 $T_1,T_2,T_3)$ 中恢复出消息 $M$ ，用户计算 $M=\frac{T_3}{T_1^x\cdot T_2^y}$
$M=\frac{m\cdot h^{a+b}}{u^{ax}\cdot v^{by}}=\frac{m\cdot h^{a+b}}{h^a\cdot h^b}$

A Zero-Knowledge Protocol for SDH

公开参数为 $g_1,u,v,h \in G_1$ 和 $g_2,w \in G_2$ 。其中 $u, v, h$ 是 $G_1$ 中的随机数， $g_2$ 是 $G_2$ 的生成元， $w=g_2^\gamma, r\in Z_p$ 。该协议证明其拥有一对 $(A, x)$ ，其中 $A\in G_1$ 和 $x\in Z_p$ ，使得 $A^{x+\gamma}=g_1$ 。例如一个 pair 满足 $e(A,wg_2^x)=e(g_1,g_2)$ 。我们使用一个 Schnorr 的推广协议来证明素数阶群中的离散对数知识。

Protocol 1. Alice 作为证明者，选择指数 $\alpha,\beta\leftarrow Z_p$ ，并计算一个 $A$ 的线性加密：
$T_1\leftarrow u^\alpha,T_2\leftarrow v^{\beta},T_3\leftarrow Ah^{\alpha+\beta}$
她同时计算两个辅助值 $\delta_1 \leftarrow x\alpha$ 和 $\delta_2\leftarrow x\beta \in Z_p$ 。

Alice 和 Bob 进行值 $(\alpha,\beta,x,\delta_1,\delta_2)$ 的知识，证明满足以下 $5$ 个等式：
$u^{\alpha}=T_1,v^{\beta}=T_2,e(T_3,g_2)^x\cdot e(h,w)^{-\alpha-\beta} \cdot e(h,g_2)^{-\delta_1-\delta_2}=e(g_1,g_2)/e(T_3,w),T_1^xu^{-\delta_1}=1,T_2^xv^{-\delta_2}=1$
对 $(\alpha,\beta,x,\delta_1,\delta_2)$ 的知识证明如下，Alice 选择盲因子 $r_{\alpha},r_{\beta},r_x,r_{\delta_1},r_{\delta_2} \in Z_q$ ，结合这些盲因子计算 $5$ 个值：
$R_1\leftarrow u^{r_{\alpha}},R_2\leftarrow v^{r_\beta},R_3\leftarrow e(T_3,g_2)^{r_x}\cdot e(h,w)^{-r_\alpha-r_\beta} \cdot e(h,g_2)^{-r_{\delta_1}-r_{\delta_2}},R_4\leftarrow T_1^{r_x}u^{-r_{\delta_1}},R_5\leftarrow T_2^{r_x}v^{-r_{\delta_2}}$
Alice 发送 $T_1,T_2,T_3,R_1,R_2,R_3,R_4,R_5)$ 给 Bob。Bob 选择发送一个挑战值 $c\in Z_p$ 。Alice 计算并回送响应给 Bob：
$s_\alpha\leftarrow r_\alpha+c\alpha,s_\beta\leftarrow r_{\beta}+c\beta,s_x\leftarrow r_x+cx,s_{\delta_1}\leftarrow r_{\delta_1}+ c\delta_1,s_{\delta_2}\leftarrow r_{\delta_2}+c\delta_2$
最后，Bob 验证这五个等式：
$u^{s_\alpha}=T_1^c\cdot R_1,v^{s\beta}=T_2^c\cdot R_2$
$e(T_3,g_2)^{s_x}\cdot e(h,w)^{-s_\alpha-s_\beta}\cdot e(h,g_2)^{-s_{\delta_1}-s_{\delta_2}}=(e(g_1,g_2)/e(T_3,w)^c)\cdot R_3$
$T_1^{s_x}\cdot u^{-s_{\delta_1}}=R_4,T_2^{s_x}\cdot v^{-s_{\delta_2}}=R_5$
正确性：

$e(T_3,g_2)^{s_x}\cdot e(h,w)^{-s_\alpha-s_\beta}\cdot e(h,g_2)^{-s_{\delta_1}-s_{\delta_2}}\\ =e(T_3,g_2)^{r_x+cx}\cdot e(h,w)^{-r_\alpha-r_{\beta}-c\alpha-c\beta}\cdot e(h,g_2)^{-r_{\delta_1}-r_{\delta_2}-cx\alpha-cx\beta} \\ =e(T_3,g_2^x)^c\cdot e(h^{-\alpha-\beta},wg_2^x)^c\cdot(e(T_3,g_2)^{r_x}\cdot e(h,w)^{-r_{\alpha}-r_\beta}\cdot e(h,g_2)^{-r\delta_1-r\delta_2})\\ =e(T_3h^{-\alpha-\beta},wg_2^x)^c\cdot e(T_3,w)^{-c}\cdot(R_3)=(\frac{e(A,wg_2^x)}{e(T_3,w)})^c\cdot R_3=(\frac{e(g_1,g_2)}{e(T_3,w)})^c\cdot R_3$

Short Group Signature from SDH

KeyGen $(n)$

$n$ 是群成员的大小， $g_2$ 是 $G_2$ 的生成元， $g_1\leftarrow \psi(g_2)$ 是群 $G_1$ 的生成元。选择 $h\leftarrow G_1\{1_{G_1}\}$ （表示 $h$ 是 $G_1$ 中除了单位元的任意元素）和 $\xi_1,\xi_2 \leftarrow Z_p^*$ ，设置 $\in G_1$ 使得 $u^{\xi_1}=v^{\xi_2}=h$ 。选择 $\gamma \leftarrow Z_p^*$ ,计算 $w=g_2^\gamma$ 。
使用 $\gamma$ ，为每个用户 $i,1\le i \le n$ 生成一个 SDH 元组 $A_i,x_i)$ ：选择 $x_i\leftarrow Z_p^*$ ，并设置 $A_i\leftarrow g_1^{1/(\gamma+x_i)}\in G_1$ 。
群公钥为 $gpk=(g_1,g_2,h,u,v,w)$ ，群管理员的私钥为 $(\xi_1,\xi_2)$ ，每个用户的私钥为一个元组 $gsk[i]=(A_i,x_i)$ 。

Sign $(g p k, g s k [i], M)$

给定群公钥 $gpk=(g_1,g_2,h,u,v,w)$ ，一个用户的私钥 $gsk[i]=(A_i,x_i)$ ，和一个消息 $M\in \{0,1\}^*$ ，计算签名如下：

通过 protocol 1，计算值 $T_1,T_2,T_3,R_1,R_2,R_3,R_4,R_5$
计算挑战值 $c$ ： $c\leftarrow H(M,T_1,T_2,T_3,R_1,R_2,R_3,R_4,R_5)\in Z_p$
使用 c 构造出响应值 $s_\alpha,s_\beta,s_x,s_{\delta_1},s_{\delta_2}$
输出签名 $\sigma$ ， $\sigma\leftarrow (T_1,T_2,T_3,c,s_\alpha,s_\beta,s_x,s_{\delta_1},s_{\delta_2})$

Verify $(gpk,M,\sigma)$

给定群公钥 $gpk=(g_1,g_2,h,u,v,w)$ ，一个消息 $M$ ，和一个群签名 $\sigma$ ，验证 $\sigma$ 是一个合法签名：

使用 protocol 1，重新推导出 $R_1,R_2,R_3,R_4,R_5$ 如下：
$\tilde{R_1}\leftarrow u^{s_{\alpha}}\cdot T_1^{-c},\tilde{R_2}\leftarrow v^{s_\beta}\cdot T_2^{-c},\tilde{R_3}\leftarrow e(T_3,g_2)^{s_x}\cdot e(h,w)^{-s_\alpha-s_\beta} \cdot e(h,g_2)^{-s_{\delta_1}-s_{\delta_2}},R_4\leftarrow T_1^{r_x}u^{-r_{\delta_1}}\cdot (e(T_3,w)/e(g_1,g_2))^c,\tilde{R_5}\leftarrow T_2^{s_x}v^{-s_{\delta_2}}$
检查挑战值 $c$ ，验证成功，则签名验证完成：
$c\overset{?}{=}H(M,T_1,T_2,T_3,\tilde{R_1},\tilde{R_2},\tilde{R_3},\tilde{R_4},\tilde{R_5})$

Open $(gpk,gmsk,M,\sigma)$

该算法用于追踪签名具体是哪个用户，输入一个群公钥 $gpk=(g_1,g_2,h,u,v,w)$ 以及相应群管理员的私钥 $gmsk=(\xi_1,\xi_2)$ ，消息 $M$ 和签名 $\sigma=(T_1,T_2,T_3,c,s_\alpha,s_\beta,s_x,s_{\delta_1},s_{\delta_2})$ 。追踪过程为：