群簽名

群簽名方案是一種類似於數字簽名的密碼原語，其目的在於允許用戶代表群簽名消息，並在該群內保持匿名。也就是說，看到簽名的人可以用公鑰驗證該消息是由該群成員發送的，但不知道是哪一個。同時，用戶不能濫用這種匿名行為，因為群管理員可以通過使用秘密信息(密鑰)來消除（惡意）用戶的匿名性。例如，大公司里的僱員可以使用群簽名方案對消息進行簽名，其中驗證者知道消息是由他們公司里的僱員簽名的就足夠了，不需要知道是由哪個特定僱員簽名的；該方案的另一個應用：通過識別卡(keycard)認證進入受限區域，在受限區域中不適合跟蹤單個成員的移動，但必須確保只有該群的成員才能進入。

群簽名方案的關鍵是「群管理員」，它負責添加群成員，並能夠在發生爭議時揭示簽名者身份。在一些系統中，添加成員和撤銷簽名匿名性的責任被分開，並分別賦予給群管理員和撤銷管理員。雖然學術界已經提出了許多群簽名方案，但所有方案都應該滿足基本的安全性要求^[1]

歷史[編輯]

1991年，Chaum 和 Heyst首次提出群簽名的概念^[2]。從那時起，越來越多的協議被引入，並在這個模型上加入了類似於數字簽名的非偽造性的概念，當然也包括更具體的概念，如廢除^[3]。直到Bellare，Micciancio和Warinschi才提出了一個更精確的正式模型，這個模型如今被用於群簽名方案的工程實現^[4]

定義[編輯]

群簽名方案實現一般由下列四個可行的算法組成：初始化，簽名，驗證和打開。

1. 初始化過程：系統參數選取，輸入安全參數λ和N，返回公鑰gpk和私鑰gsk以及私鑰對${\displaystyle {\mathsf {gsk}}[d]}$,對應於用戶d的私鑰和打開密鑰ok。
2. 簽名過程： 輸入密鑰${\displaystyle {\mathsf {gsk}}[d]}$和消息m，返回簽名σ。
3. 驗證過程： 以公鑰gpk和消息m，簽名σ作為輸入，以布爾值返回驗證結果
4. 打開過程： 以打開密鑰 ok，消息m，簽名 σ作為輸入，返回用戶身份d或者錯誤結果錯誤。

真實的消息簽名的驗證將返回true，如下所示：

${\displaystyle \forall m,(gpk,gsk)\gets Init(\lambda ,N):{\mathsf {Verify}}\left(gpk,m,{\mathsf {Sign}}({\mathsf {gsk}}[d],m)\right)={\mathsf {true}}}$

安全性要求^[5][編輯]

• 完整性： 群成員的有效簽名始終驗證正確，無效簽名則始終驗證失敗。
• 不可偽造性： 只有群成員才能創建有效的群簽名。
• 匿名性： 給定一個群簽名後，如果沒有群管理員的密鑰，則無法確定簽名者的身份，至少在計算上是不可行的。
• 可跟蹤性： 給定任何有效的簽名，群管理員應該能夠確定簽名者的身份。 (這也暗示了只有群管理員才能破壞其匿名性) 
• 不關聯性： 給定兩個消息及其簽名，我們無法判斷簽名是否來自同一簽名者。
• 無框架： 即使所有其他群成員相互串通(包括和管理員串通)，他們也不能為非群成員偽造簽名。
• 不可偽造的跟蹤驗證： 撤銷管理員不能錯誤地指責簽名者創建了他本沒有創建的簽名。
• 抗合謀攻擊： 即使所有群成員相互串通，他們也不能產生一個合法的不能被跟蹤的群簽名。

最新研究[編輯]

目前最新的群簽名方案技術包括：ACJT 2000^[6]、BBS04^[7]和BS04（在CCS中）。（非完整列表）

Boneh，Boyen和Shacham於2004年發表的 短群簽名 描述了一種基於雙線性映射的新型群簽名方案。^[7] 該方案中的簽名大約是標準RSA簽名的大小(約200位元組)。其安全性在隨機預言機中得到證明，並依賴於強Diffie-Hellman假設(SDH) 和一個在雙線性群(bilinear groups)中的新假設：Decision Linear assumption（英語：Decision Linear assumption） (DLin)。

Bellare, Micciancio 和Warinschi給出了針對可證明安全性（英語：Provable_security）的更加正式的定義^[8]。

參考文獻[編輯]

1. ^ Ateniese, Giuseppe; Camenisch, Jan; Joye, Marc; Gene Tsudik. A practical and provably secure coalition-resistant group signature scheme. LNCS. 2000, 1880: 255–270. 
2. ^ Kim, Seung Joo; Park, Sung Jun; Won, Dong Ho. Convertible group signatures. Advances in Cryptology — ASIACRYPT '96. Lecture Notes in Computer Science (Springer, Berlin, Heidelberg). 1996-11-03: 311–321 [2018-05-20]. ISBN 9783540618720. doi:10.1007/BFb0034857. （原始內容存檔於2018-05-20） （英語）. 
3. ^ Ateniese, Giuseppe; Tsudik, Gene. Some Open Issues and New Directions in Group Signatures. Financial Cryptography. Lecture Notes in Computer Science (Springer, Berlin, Heidelberg). 1999-02-22: 196–211 [2018-05-20]. ISBN 354048390X. doi:10.1007/3-540-48390-X_15. （原始內容存檔於2018-05-21） （英語）. 
4. ^ https://cseweb.ucsd.edu/~mihir/papers/gs.html. cseweb.ucsd.edu. [2018-05-20]. （原始內容存檔於2017-12-19）. 
5. ^ 潘, 森杉; 仲, 紅. 现代密码学概论. 北京: 清華大學出版社. 2017: 160. ISBN 9787302461470. 
6. ^ Ateniese, Giuseppe; Camenisch, Jan; Joye, Marc; Tsudik, Gene. A Practical and Provably Secure Coalition-Resistant Group Signature Scheme (PDF). Advances in Cryptology - CRYPTO 2000. Lecture Notes in Computer Science. 2000, 1880: 225–270 [24 June 2012]. （原始內容存檔 (PDF)於2013-05-13）. 
7. ^ ^{7.0 7.1} Boneh, Dan; Boyen, Xavier; Shacham, Hovav. Short Group Signatures (PDF). Advances in Cryptology - CRYPTO 2004 (Springer). 2004: 227–242 [24 June 2012]. ISSN 0302-9743. （原始內容存檔 (PDF)於2012-07-17）. 
8. ^ Bellare, Mihir; Micciancio, Daniele; Warinschi, Bogdan. Foundations of Group Signatures: Formal Definition, Simplified Requirements and a Construction Based on General Assumptions. Advances in Cryptology - Eurocrypt 2003. Lecture Notes in Computer Science (Warsaw, Poland: Springer). May 2003, 2656: 614–629 [2018-05-20]. （原始內容存檔於2013-09-14）. 

擴展閱讀[編輯]

• Chaum, David; van Heyst, Eugene. Group signatures (PDF). Lecture Notes in Computer Science 547: 257–265. 1991. ^{[永久失效連結]}
• Camenisch, Jan; Michels, Markus. A Group Signature Scheme Based on an RSA-Variant (PDF). 1998 [2018-05-20]. ISSN 0909-0878. （原始內容存檔 (PDF)於2019-06-22）. 
• M. Bellare; H. Shi; C. Zhang. Foundations of Group Signatures: The Case of Dynamic Groups. Lecture Notes in Computer Science 3376. Springer-Verlag. 2005 [2018-05-20]. （原始內容存檔於2009-02-15）. 
• Bellare, Mihir; Micciancio, Daniele; Warinschi, Bogdan. Foundations of Group Signatures: Formal Definition, Simplified Requirements and a Construction Based on General Assumptions. Advances in Cryptology - Eurocrypt 2003. Lecture Notes in Computer Science (Warsaw, Poland: Springer). May 2003, 2656: 614–629 [2018-05-20]. （原始內容存檔於2009-02-15）. 
• Kilian, Joe; Petrank, Erez. Identity Escrow. Lecture Notes in Computer Science 1462: 169–185. 1998 [2018-05-20]. （原始內容存檔於2013-07-03）.