论文阅读---Constant-Size Dynamic k-TAA

Constant-Size Dynamic k-TAA

https://eprint.iacr.org/2008/136.pdf

Global Common parameters

$\lambda$ 是安全参数，$({\mathbb{G}}_1,{\mathbb{G}}_2)$ 的阶是 $p$， H : { 0 , 1 } ∗ → Z p , H e v t { 0 , 1 } ∗ → G p H:\{0,1\}^*\rightarrow Z_p,H_{evt}\{0,1\}^*\rightarrow \mathbb{G}_p H:{0,1}∗→Zp​,Hevt​{0,1}∗→Gp​。$g_0,g_1,g_2,g_3$ 是 ${\mathbb{G}}_1$ 的生成元，$h_0,h_1,h_2,h_3$ 是 ${\mathbb{G}}_2$ 的生成元，$u_0,u_1,u_2,u_3$ 是 ${\mathbb{G}}_p$ 的生成元。

BBS+ Signature

KeyGen. 随机选取 $\gamma \in Z_p^{\ast }$ 并计算 $w=h_0^{\gamma }$。私钥是 $\gamma$，公钥是 $w$。

Signing block of messages. 输入 $(m_1,...,m_L)\in Z_p^L$，选择 $e$ 和随机数 $s$。计算 $A=[g_0{g}_1^s{g}_2^{m_1}{g}_3^{m_2}...g_{L+1}^{m_L}{]}^{\frac{1}{e+\gamma }}$。签名是 (A,e,s)。

Signature Verification. 验证签名 $(A,e,s)$，检查 $e(A,w{h}_0^e)=e(g_0{g}_1^s{g}_2^{m_1}{g}_3^{m_2}\cdot \cdot \cdot g_{L+1}^{m_L},h_0)$

Protocol for Signng Committed Block of Messages.

用户计算消息块的佩德森承诺 $C_m=g_1^{s^{\prime }}{g}_2^{m_1}{g}_3^{m_2}\cdot \cdot \cdot g_{L+1}^{m_L}$，用户也需要向签名者证明 $C_m$ 是正确生成的。
$PK\{(s^{\prime },m_1,...,m_L):C_m=g_1^{s^{\prime }}{g}_2^{m_1}{g}_3^{m_2}\cdot \cdot \cdot g_{L+1}^{m_L}\}$。签名者选择 $s^{\prime \prime }$，计算 $A=[g_0{g}_1^{s^{\prime \prime }}{C}_m{]}^{\frac{1}{e+\gamma }}$ 并回送 $(A,e,s^{\prime \prime })$ 给用户。用户计算 $s=s^{\prime }+s^{\prime \prime }$，消息块上的签名是 $(A,e,s)$。对于任何消息块 $(m_1,...,m_L)$，存在一个 $s^{\prime }$ 使得 $C_m=g_1^{s^{\prime }}{g}_2^{m_1}{g}_3^{m_2}\cdot \cdot \cdot g_{L+1}^{m_L}$，并且 $s^{\prime }$ 完全隐藏了消息块消息 $m_1,...,m_L$。因此，签名者对要签名的消息一无所知。

Proof of Knowledge of A Signature.

我们给出一个零知识证明协议来显示签名的所有权（拥有签名）。一个用户拥有在消息块 $(m_1,...,m_L)$ 的签名 $(A,e,s)$ 可以通过计算 $SPK\{(A,e,s,m_1,...,m_L):A^{e+\gamma }=g_0{g}_1^s{g}_2^{m_1},...,g_{L+1}^{m_L}\}(M)$ 首先通过计算如下等式：
$A_1=g_1^{r_1}{g}_2^{r_2},A_2=A{g}_2^{r_1}$，其中 $r_1,r_2\in Z_p^{\ast }$。之后计算 $SPK{\prod }_5$，其中 ${\delta }_1=r_{1}e$ 和 ${\delta }_2=r_{2}e$。

$$\prod _5:SPK\left\{\begin{array}{c}\{(r_1,r_2,e,{\delta }_1,{\delta }_2,s,m_1,...,m_L):A_1=g_1^{r_1}{g}_2^{r_2}\wedge A_1^e=g_1^{{\delta }_1}{g}_2^{{\delta }_2}\\ \wedge \frac{e(A_2,w)}{e(g_0,h_0)}=e(A_2,h_0{)}^{-e}e(g_2,w{)}^{r_1}e(g_2,h_0{)}^{{\delta }_1}e(g_1,h_0{)}^{s}e(g_2,h_0{)}^{m_1}\cdot \cdot \cdot e(g_{L+1},h_0{)}^{m_L}\end{array}\right\}(M)$$
正确性：

1. $\frac{e(A{g}_2^{r_1},h_0^{\gamma })}{e(g_0,h_0)}=e(g_0^{\frac{1}{e+\gamma }}{g}_1^{\frac{s}{e+\gamma }}{g}_2^{\frac{m_1}{e+\gamma }+r_1}\cdot \cdot \cdot g_{L+1}^{\frac{m_L}{e+\gamma }},h_0^{\gamma })/e(g_0,h_0)=e(g_0^{\frac{\gamma }{e+\gamma }}{g}_1^{\frac{s\gamma }{e+\gamma }}{g}_2^{\frac{m_1\gamma }{e+\gamma }+r_1\gamma }\cdot \cdot \cdot g_{L+1}^{\frac{m_L\gamma }{e+\gamma }},h_0)/e(g_0,h_0)=e(g_0^{\frac{-e}{e+\gamma }}{g}_1^{\frac{s\gamma }{e+\gamma }}{g}_2^{\frac{m_1\gamma }{e+\gamma }+r_1\gamma }\cdot \cdot \cdot g_{L+1}^{\frac{m_L\gamma }{e+\gamma }},h_0)$
2. $e(A_2,h_0{)}^{-e}=e(g_0^{\frac{1}{e+\gamma }}{g}_1^{\frac{s}{e+\gamma }}{g}_2^{\frac{m_1}{e+\gamma }+r_1}\cdot \cdot \cdot g_{L+1}^{\frac{m_L}{e+\gamma }},h_0{)}^{-e}=e(g_0^{\frac{-e}{e+\gamma }}{g}_1^{\frac{-es}{e+\gamma }}{g}_2^{\frac{-e{m}_1}{e+\gamma }+-e{r}_1}\cdot \cdot \cdot g_{L+1}^{\frac{-e{m}_L}{e+\gamma }},h_0)$
3. $e(g_2,w{)}^{r_1}e(g_2,h_0{)}^{{\delta }_1}e(g_1,h_0{)}^{s}e(g_2,h_0{)}^{m_1}\cdot \cdot \cdot e(g_{L+1},h_0{)}^{m_L}=e(g_2,h_0^{\gamma }{)}^{r_1}e(g_2,h_0{)}^{r_{1}e}e(g_1,h_0{)}^{s}e(g_2,h_0{)}^{m_1}\cdot \cdot \cdot e(g_{L+1},h_0{)}^{m_L}$
   $=e(g_2,h_0{)}^{r_{1}e+\gamma r_1+m_1}e(g_1,h_0{)}^s\cdot \cdot \cdot e(g_{L+1},h_0{)}^{m_L}$

合并：

$e(g_0^{\frac{-e}{e+\gamma }}{g}_1^{\frac{s\gamma }{e+\gamma }}{g}_2^{\frac{m_1\gamma }{e+\gamma }+r_1\gamma }\cdot \cdot \cdot g_{L+1}^{\frac{m_L\gamma }{e+\gamma }},h_0)=e(g_0^{\frac{-e}{e+\gamma }}{g}_1^{\frac{-es}{e+\gamma }}{g}_2^{\frac{-e{m}_1}{e+\gamma }+-e{r}_1}\cdot \cdot \cdot g_{L+1}^{\frac{-e{m}_L}{e+\gamma }},h_0)\cdot e(g_2,h_0{)}^{r_{1}e+\gamma r_1+m_1}e(g_1,h_0{)}^s\cdot \cdot \cdot e(g_{L+1},h_0{)}^{m_L}$

Overview of Our Construction

Join. GM 拥有 BBS+ 签名的公私钥对。随机选择 $x\in Z_p^{\ast }$，将 $u_0^x$ 作为用户的身份。用户的成员证书（membership certificate）是一个在 $(s,t,x)$ 上的 BBS+ 签名，形式为 $(A,e)$，其中 $s,t\in Z_p^{\ast }$。最后，GM 将 $(u_0^x,e)$ 放置在身份列表中。

GrantingAccess/RevokeAccess. 每个 AP 生成自己的累加器。他们将 $e$ 放置进累加器中并且返回 witness $w_{AP}$ 给用户。要撤销用户访问，AP 将 $e$ 移出累加器。

Authenticaion. 认证的想法是向 AP（验证者）说明其拥有来自 GM 的一个在值 $(t,x)$ 上的 BBS+ 签名，并且 $e$ 的确在 AP 的累加器里面。为了限制用户认证自己的次数超过 $k$ 次，我们使用伪随机函数 pseudo-random function(PRF)。我们令 $u_{AP}$ 是循环群中的一个随机元素等于 AP 的 hash 值。用户计算 $S=u_{AP}^{\frac{1}{s+J_{AP}+1}}$ 并证明 $S$ 相对于 BBS+ 签名成分 $s$ 是正确形成的，同样也需要证明 $1\le J_{AP}\le k$。这样，对于一个特定的 AP，用户只能生成 $k$ 个有效的 $S$，我们称之为序列号。如果他试图认证自己超过 $k$ 次，就必须使用重复的序列号，因此可以检测到。

最后，为了撤销认证自己超过 $k$ 次的用户，另一组件 $T=u_0^x{u}_{AP}^{\frac{R}{t+J_{AP}+1}}$ 被添加进来，其中 $R$ 是 $AP$ 每次在身份认证中都会选择的随机数。用户需要证明 $T$ 是正确形成的，如果用户尝试用同一序列号认证两次，由于 $R$ 不相同，那么 $T$ 也不相同。用不同的 $T$，可以计算出用户的身份 $u_0^x$。

Detail of Our Construction

GMSetup. GM 随机选取 $\gamma \in Z_p^{\ast }$ 并计算 $w=h_0^{\gamma }$。GM 也管理一个身份列表由 $(i,U_i,e_i)$ 构成，其中 $i$ 指的是用户 $i$，$U_i$ 是用于标识用户的条目，$e_i$ 是成员的公钥。

APSetup. 每个 AP 发布自己的身份 $ID$ 和一个远小于 $2\lambda$ 的数字 $k$。此外，每个 AP 选择 $h_{AP}\in G_2,q_{AP}\in Z_p^{\ast }$。AP 的公私钥分别为 $h_{AP},p_{AP}=h_{AP}^{q_{AP}}$ 和 $q_{AP}$ 。AP 维护了一个身份认证日志、一个累加值（在授予或撤销成员访问权后发布和更新）一个公共存档 $ARC$，描述如下：

$ARC$ 是一个3元组 ($ar{c}_1,ar{c}_2,ar{c}_3$)，其中 $arc1$ 是用户成员公开密钥的一个组成部分，$arc2$ 是单个比特 $0/1$，表示成员是被授权 (1) 还是被撤销 (0)，$ar{c}_3$ 是授予或撤销成员后的累加值。初始化后，认证日志和 $ARC$ 为空，累加值为 $h_{AP}$。

Join. 用户 $i$ 通过与 GM 进行以下交互获取他的成员私钥。

1. 用户 $i$ 随机选择 $s^{\prime },t,x\in Z_p^{\ast }$，发送 $C^{\prime }=g_1^{s^{\prime }}{g}_2^t{g}_3^x$ 和证明 ${\prod }_0=PK\{(s^{\prime },t,x):C^{\prime }=g_1^{s^{\prime }}{g}_2^t{g}_3^x\}$ 给 $GM$。
2. GM 验证 ${\prod }_0$ 是有效的并且随机选取 $s^{\prime \prime }\in Z_p^{\ast }$。他发送 $s^{\prime \prime }$ 给用户。
3. 用户计算 $s=s^{\prime }+s^{\prime \prime }$ 并添加条目 $(i,U_i)=(i,u_0^x)$ 到身份列表中并发送证明 ${\prod }_1=PK\{(s,t,x):U_i=u_0^x\wedge C=g_1^s{g}_2^t{g}_3^x\wedge C=C^{\prime }{g}_1^{s^{\prime \prime }}\}$
4. GM 计算 $C=C^{\prime }{g}_1^{s^{\prime \prime }}$，并检查 ${\prod }_1$ 是有效的，并选择 $e\in Z_p^{\ast }$。之后计算 $A=(g_{0}C{)}^{\frac{1}{e+\gamma }}$ 并发送 $(A,e,s^{\prime \prime })$ 给用户。GM 也追加 $e$ 到条目 $(i,U_i)$ 中，条目更新为 $(i,U_i,e)$
5. 用户检查 $e(A,w{h}_0^e)=e(g_0{g}_1^s{g}_2^t{g}_3^x,h_0)$。用户本地存储 $(A,e,s,t,x)$。用户的成员公钥是 $e$ 并且成员私钥是 $(A,s,t,x)$

GrantingAccess. AP 用成员公钥 $e$ 和私钥 $(A,s,t,x)$ 授权用户 $i$ 访问权限，如下。假定 AP 的 $ARC$ 中有 $j$ 个元组，当前的累加值是 $v_j$。AP 计算一个新的累加值 $v_{j+1}=v_j^{e+q_{AP}}$。之后 AP 添加 $(e,1,v_{j+1})$ 到 $ARC$ 中。用户保存 $w=v_j$ 为他的 witness，证明他的公钥已经在累加器中了。访问组中现有的成员根据 $ARC$ 的信息更新自己的 witness。拥有成员密钥 $e_k$ 和 witness $w_e$ 的用户使得 $w_e^{e_k+q_{AP}}=v_j$ 计算 $w_{new}=v_j{w}_e^{e-e_k}$。在这种情况下 $w_{new}^{e_k+q_{AP}}=v_{j+1}$ 和 $w_{new}$ 作为用户 $e_k$ 的新 witness。

RevokingAccess. 一个 AP 用成员公钥 $e$ 撤销用户 $i$ 的访问权限，使得 $(e,1,v)$ 是 $ARC$ 的一个元组。假设 AP 的 $ARC$ 有 $j$ 个元组并且当前的累加值是 $v_j$。AP 计算 $v_{j+1}=v_j^{\frac{1}{e+q_{AP}}}$。它之后添加 $(e,0,v_{j+1})$ 进入到 $ARC$ 中。类似 GrantingAccess 的情况，访问组的现有成员根据 $ARC$ 的信息更新它们自己的 witness，步骤如下所示。假设用户 $e_k$ 拥有 witness 使得 $w_e^{e_k+q_{AP}}=v_j$，它计算 $w_{new}=(w_e/v_{j+1}{)}^{\frac{1}{e-e_k}}$ 使得
$$w_{new}^{e_k+q_{AP}}=[{\frac{v_j}{v^{q_{AP+e_k}}}}_{j+1}{]}^{\frac{1}{e-e_k}}={[\frac{v_{j+1}^{q_{AP}+e}}{v_{j+1}^{q_{AP}+e_k}}]}^{\frac{1}{e-e_k}}=v_{j+1}$$

Authentication. 用户管理一个计数器集合，每个 AP，$J_{AP}$，使得它不会为每个 AP 签名超过 $k$ 次。具有成员公钥 $e$ 和私钥 $(A,s,t,x)$，并已从 AP 获得访问权限，因此拥有 witness $w_{AP}$ 使得 $w_{AP}^{e+q_{AP}}=v_{AP}$ 其中 $v_{AP}$ 是 AP 的当前累加值，AP 通过以下交互协议对自己进行身份认证。为了简单起见，我们去掉 $q_{AP}$ 和 $v_{AP}$ 的下标。

• AP 发送一个随机种子 s e e d ∈ { 0 , 1 } ∗ seed\in\{0,1\}^* seed∈{0,1}∗ 给用户。实际上，$seed$ 可以是一些随机数或当前会话的信息。双方本地计算 $R=H(seed)$
• 用户计算 $u_{AP}=H_{evt}(I{D}_{AP})$ 其中 $I{D}_{AP}$ 是 AP 的身份。用户接着计算 $S=u_{AP}^{\frac{1}{J_{AP}+s+1}},T=u_0^x{u}_{AP}^{\frac{R}{J_{AP}+t+1}}$ 并证明以下内容：
  1. $A^{e+\gamma }=g_0{g}_1^s{g}_2^t{g}_3^x$
  2. $w_{AP}^{e+q}=v$
  3. $S=u_{AP}^{\frac{1}{J_{AP}+s+1}}$
  4. $T=u_0^x{u}_{AP}^{\frac{R}{J_{AP}+t+1}}$
  5. $1\le J_{AP}\le k$
• 以上证明可以抽象为：
  $$\prod _2:SPK\{(A,e,s,t,x,w,J_{AP}):A^{e+\gamma }=g_0{g}_1^s{g}_2^t{g}_3^x\wedge w^{e+q}=v\wedge S=u_{AP}^{\frac{1}{J_{AP}+s+1}}\wedge T=u_0^x{u}_{AP}^{\frac{R}{J_{AP}+t+1}}\wedge 1\le J_{AP}\le k\}$$
• AP 之后验证该 SPK 正确性。如果验证通过，则保存 $(S,T,R)$ 进入到本地数据库
• 然后用户将其计数器 $J_{AP}$ 加一

实例化 ${\prod }_2$。在收到 $seed$ 后，用户计算如下等式：$A_1=g_1^{r_1}{g}_2^{r_2}{g}_3^{r_3},A_2=A{g}_2^{r_1},A_3=w_{AP}{g}_3^{r_2},A_4=g_1^{J_{AP}}{g}_2^t{g}_3^{r_4},S=u_{AP}^{\frac{1}{u_{AP}+s+1}},T=u_0^x{u}_{AP}^{\frac{R}{J_{AP}+t+1}},R=H(seed)$ 并计算如下 SPK ${\prod }_3$

$$\prod _3:SPK\left\{\begin{array}{c}(r_1,r_2,r_3,r_4,{\delta }_1,{\delta }_2,{\delta }_3,{\delta }_4,{\delta }_J,{\delta }_t,e,s,t,x,J_{AP}):\\ A_1=g_1^{r_1}{g}_2^{r_2}{g}_3^{r_3}\wedge A_1^e=g_1^{{\delta }_1}{g}_2^{{\delta }_2}{g}_3^{{\delta }_3}\wedge \\ \frac{e(A_3,P_{AP})}{e(v,h_{AP})}=e(g_3,h_{AP}{)}^{{\delta }_2}e(g_3,p_{AP}{)}^{r_2}e(A_3,h_{AP}{)}^{-e}\wedge \\ \frac{e(A_2,w)}{e(g_0,h_0)}=e(g_1,h_0{)}^{s}e(g_2,h_0{)}^{t}e(g_3,h_0{)}^{x}e(g_3,h_0{)}^{{\delta }_1}e(g_3,w{)}^{r_1}e(A_2,h_0{)}^{-e}\wedge \\ \frac{w_{AP}}{S}=S^{J_{AP}}{S}^s\wedge A_4=g_1^{J_{AP}}{g}_2^t{g}_3^{r_4}\wedge A_4^x=g_1^{{\delta }_J}{g}_2^{{\delta }_t}{g}_3^{{\delta }_4}\wedge \\ \frac{u_{AP}^R}{T}=T^{J_{AP}}{T}^t{u}_0^{-{\delta }_J}{u}_0^{-{\delta }_t}{u}_0^x\wedge 1\le J_{AP}\le k\end{array}\right\}(M)$$
其中 ${\delta }_1=r_{1}e,{\delta }_2=r_{2}e,{\delta }_3=r_{3}e,{\delta }_J=J_{AP}x,{\delta }_t=tx,{\delta }_4=r_{4}x$，其中 $J_{AP}$ 的范围检查有更多的细节。

PublicTracing. 对于两个实体 $(SPK,S,T,R)$ 和 $(SP{K}^{\prime },S^{\prime },T^{\prime },R^{\prime })$，如果 $S\ne S^{\prime }$，那么两个规定认证的底层用户没有超过其规定的使用 $k$ 或者他们是不同的用户。

如果 $S=S^{\prime }$，那么每个人都可以计算 $u_0^x=(\frac{T^{R^{\prime }}}{T^{\prime R}}{)}^{((R^{\prime }-R{)}^{-1})}$。从 $u_0^x$ 和身份列表，输出 $i$ 是作弊用户。现在如果 $u_0^x$ 存在，那么可以得出 GM 从身份列表中删除了部分数据，输出 GM。