26、无随机预言机的非交互式不可否认签密技术

无随机预言机的非交互式不可否认签密技术

1. 引言

在公钥密码学里，非对称加密和签名是两个基础的原语，它们分别为我们提供了机密性和真实性。当同时需要这两种功能时，传统做法是依次对数据进行签名和加密。1997年，Zheng提出了签密这一全新的原语，它将签名和加密的功能结合起来，成本远低于先签名后加密或者先加密后签名的方法。

在签密过程中，不可否认性是一项极为重要的要求，它能确保发送者无法否认自己对消息进行签密这一事实。非交互式不可否认性让接收者在法官的协助下解决否认纠纷时，无需与法官进行代价高昂的多轮交互式通信。

早期，Zheng提出了两种解决签密不可否认性的技术。一种是依赖完全可信的法官，接收者将自己的私钥交给法官，法官利用该私钥解密签密文并验证消息的有效性；另一种是针对不完全可信的法官，接收者与法官进行交互式零知识证明协议，协议执行结束后，法官判断签密文是否来自发送者，但这种方法在实际应用中效率不高。

随后，Bao和Deng提出了一种改进的签密方案，旨在以非交互式的方式提供不可否认性。当接收者R和发送者S就消息M和签密文σ产生纠纷时，接收者R计算一些不可否认证据d，并将(M, σ, d)以及公钥(PKS, PKR)发送给法官，法官以此验证发送者S是否为接收者R将消息M签密成σ。然而，后来有人指出，这种不可否认证据d会破坏消息的机密性。

为解决Bao和Deng方案的问题，Malone - Lee提出了专门用于非交互式不可否认签密（NINR）的安全模型，该模型确保证据d的暴露不会破坏机密性和不可伪造性的安全性。但此模型仅考虑了机密性和不可伪造性这两个基本安全要求，不足以妥善定义NINR签密模型。

一方面，Malone -