3.3.1签名2.环签名
3.证明者回覆标量值s←-k+xe
上述身份验证方案的要害要素是时间顺序。我们调查到,假如证明者可以预测将来并在选择kG之前确定e,则他可以在不知道x的环境下乐成举办身份验证。
由于验证进程不依赖需要知道哪些密钥被利用,这制止了.两阶段”的签名布局,因此越发简朴。 1.σ只能由知道验证密钥一个容许集V全部私钥的一方发生。
1.为了形成一个轮回,需要通过一个理睬实现“年华倒流”,因此,只需要一个密钥就够了。
我们调查到Abe-Ohkubo-Suzuki签名方案可以描写为容许函数f只有一个OR1”]的Borromean环签名。我们更普各处调查到,可以在轮回之外结构OR门,如前面部门所述。
1. 随机预言和Schnorr签名
1.1 Schnorr验证
这两个调查功效-起描写了Abe-Ohkubo-Suzuki环签名的事情道理:这仅仅是一个变色龙哈希理睬的轮回。
以上以图形的方法对Borromean环签名举办了描写,并在技能,上提供了实现它们所需的所有信息。可是,细节抉择成败,而且事实上如何计较这些签名也不是那么显而易见的。因此,我们列出了实际的签名和验证算法。
2.验证者响应回覆一个随机挑战标量e。
思量以下由Claus Schnorr在1989年开拓的交互式身份验证协议,该协议答允一个公钥组元素P=xG的奥秘 离散对数x的拥有者,可以或许证明他相识x但不揭破任何信息:
Rivest,Shamir和Tauman在2001年提出 了环签名。他们发起的运用案例是举报:一个各方毗连精采的组织内,举报人可以利用其他各方的验证密钥来构建环,然后签名动静以举报一些阴谋。验证者会看到是组织内的人已经签署了此举报,以确保其真实性,但他们不知道详细是谁做的,从而制止了对小我私家的一些不良效果。可以很容易地看到如何结构签名,以便其图具有带有多条出边的极点:标志为(e,x)的极点的每条边i由s,暗示,该s,值可以是随机的或是s,=k, -xe。我们需要使每个路径都成为轮回的一部门。这迫使我们也具有带有多条入边的极点(拜见图2的边e。)。这意味我们需要改变理睬的布局。1.证明者选择一个随机标量k,并计较e=H(kG)。
3.2 AND和OR
环签名是数字签名的- -种变体,个中,验证密钥被一组验证密钥所取代。每个验证密钥都有-个对应的私钥,只需要一个私钥即可生成一个环签名。然而,所有的验证密钥在验证签名的进程中饰演者同样的脚色,因此被用于签名的谁人验证密钥仍然是奥秘的。
3.3 详细算法
从直觉上说,这是零常识,因为假如验证者不小心泄露给证明者e值是什么,则证明者大概在他基础不知道x的环境下生成一-个正当的s。(详细来说, 她会随机选择s,然后选择“kG”为“sG -exG”)在这种环境下,证明者/验证者交互的记录与厚道游戏中的记录在统计上是无法区分的;因此,假如不厚道的游戏没有透露任何有关x的信息(甚至没有利用x),那么厚道的游戏也不会。
2.给出σ,V和m,在统计意义.上是无法判别哪一个容许荟萃V被利用了。
在整个进程中,我们假设正在一个轮回加性群g中事情,对付该群而言,离散对数问题很难办理,而且G是该群中某个牢靠的已知生成器。
凭直觉,它证明白证明者知道x,因为e是随机匀称选择的。假如无论e是什么她都能赢,那么简朴地“分叉”她,并为每个分叉赋予差异的e值,譬喻e,和e2。 那么,两个叉将发生s-=k+xe,和s2=k+Xe2,这将x袒露为x=(s-s2)/(e,-e2)。换句话说,无论e值是什么均可得胜的验证者可用于提取x的值,因此她必需具有x的常识。
4.未办理的问题
在前文中,我们先容了与析取范式表达式中的a,的巨细成比例的签名方案。可以证明,单调函数刚好是那些可以用不取反的析取范式电路暗示的函数;即以下形式的电路:随机函数具有无限的Kolmogorov巨大度,无法在一台呆板中举办实例化,可是我们将其替换成称为哈希函数的简朴函数,并没有已知的要领能将它们与随机函数区分隔。这给了我们所谓的随机预言模子,个中我们有效地拥有了一个存在于柏拉图形式世界中的挑战者,我们将其称为随机预言。
雷同地,通过利用阈值门而不是仅仅利用ANDI门和OR门,可以节减很多单调函数的空间。不外如何将其转换到我们的框架中也是未办理的。
通过制止析取范式,可以通过用更小的空间来暗示这些电路;可是,还不清楚应如何结构与这些电路相对应的签名。
由于H对付差异的输入返回差异的e,因此可以在其输入中添加内容。譬喻,为动静m计较H(mllkG)。功效是包括m的记录,假如不知道x则无法变动m。因此,这是m. 上的“常识签名”。
这里“Size”是用字段元素可能哈希来权衡的,拥有128比特安详的32字节。
我们还用“因果环’’描写了-种关于这些环签名和普通Schnorr签名的新思维方法,这可觉得进一步归纳提供框架。
这可以通过利用多个独立的环签名来轻松完成。通过在各个独立的环之间共享理睬,我们的布局可以节减存储空间。
换句话说:和以前一样,我们有一个时间见识,它只要求哈希e仅在其输入被确定后才气知道。我们可以利用变色龙哈希为拥有陷门信息的人改写这个时间顺序。我们可以将此时间顺序绘制为有向图,并举办两个探讨:
验证者不知道k,因为办理离散对数问题是坚苦的,可是他可以验证s是如实计较的,因为s=k+xe等 同于sG=kG+ex-G,而且验证者知道s, e, kG和xG。
上述方案不是果真可验证的,原因与零常识完全沟通。就是说,证明者和验证者之间的交互记录与他们勾搭在一起以制止有人知道x是无法区分的。因此,在厚道游戏中,证明者只向验证者证明x的常识,而不向其他任何人证明。
1.2 随机预言和Fiat-Shamir
3.3.2验证
换句话说,我们可以认为Schnorr签 名的事情方法如下:为了在不知道密钥x的环境下生成Schnorr签名,必需预测随机预言H的输出,从而有效地“年华倒流”。签名的布局本质上包括其自身的哈希,从而形成因果轮回并迫使签名者知道陷阱门信息。
Borromean环签名σ是动静m上的签名,它带有验证密钥的一个荟萃V和一个容许函数f,而且满意下列条件:
2.从验证者的角度来看,用于“年华倒流”的理睬和普通理睬是没有区此外。另外,他只能看到图布局:我们在插图中利用的颜色和箭头是不行见的。
3.4 机能较量
2.1 时间观光和变色龙哈希
以下为原文译文:
与传统的挑战者模式对比,随机预言有两个长处: (a) 预言的行为是果真可验证的,假如行为不厚道是可以被发明的。因此通过“向预言证明”对离散对数的常识,实际上可以向所有人证明这一-常识; (b) 预言是通过哈希函数建模的,任何人都可以计较该哈希函数以从头建设交互记录,因此无需举办任何实际交互。
如下所示,我们从一个普通的哈希函数H来界说变色龙哈希。这里的G和P是群内的生成器。陷门信息是x,使得P=xG。我们的哈希函数是: H’ (m,e,s)=H(ml|sG-eP)
在下一节中,我们将归纳这种因果轮回并认识到它们是一种有用的抽象东西。
我们留意到假如s=k+xe,s来自Schnorr签名的值,则可以在不预先知道e的环境下计较e=H’(m,e,s)=H(m||kG)。 因此,我们可以将Schnor签名描写为一对(s,e), 个中e既是变色龙哈希的输入和输出,s是其随机输入。由于哈希的输出是随机而且独立于其输入的,因此强制输入便是输出需要陷门信息,因此证明白签名者具有此信息。这个功效称为常识签名。
2002年,Abe, Ohkbo和Suzuki基 于离散对数问题开拓了一种新型的环签名,其利用新颖的理睬布局显著节减了环签名的巨细和验证时间。
2.证明者计较标量值s←-k+xe而且果真(s,e)。
环签名是一种利用n个密钥连系的签名,签名者需要知道个中一个密钥所对应的私钥。可以将它们视为一种析取表达式的签名:“ 我知道x1 OR我知道x2 OR ..’..我们对它们的结构举办了归纳综合以处理惩罚连系表达式“我知道{x1,x2,x…}中的一个AND我知道{x4,…中的一个..”,从而有本领表达对签名密钥的任何单调布尔函数的相识。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
