签名介绍

群签名、环签名、盲签名、门限签名、代理签名和双重签名等

介绍

传统签名

• RSA签名：基于大整数难分解问题
• ElGamal签名：基于离散对数问题
• Schnorr签名：基于有限域上的离散对数问题
• DSA：基于离散对数问题
• ECDSA签名：基于椭圆曲线上的离散对数问题

特殊签名的大致理解：

• 群签名：有一个类似管理员的角色，给所有人签名（是有中心的）
• 环签名：不是所有人都签名，只有部分人签名，但具体不知道是谁，具有匿名性【是去中心化的】
• 盲签名：签名者不知道签名内容
• 门限签名：需要多个人的子密钥一起完成签名
• 代理签名：将密钥授权给第三方，由第三方完成签名
• 双重签名：在签名者和验证者之间有一个中间人，进行验证授权

群签名

介绍

1991 年，Chaum 和 Heyst 给出了群签名的概念，基本思想是一群人中的任意一个人可生成一群签名，外界可验证其合法性，即此签名的确为群中的某人生成，但不能确定到底是谁签的【隐私保护】，当在发生争议时，可由具有特权的群管理员“打开”争议的签名，找出真正的签名者【可追踪】。

由于群签名具有隐私保护和可追踪的特性，可广泛应用电子商务、电子货币、可信计算、网络取证、电子选举等领域。

群签名方案构建分为ROM模型和标准模型。

• ROM模型：将hash函数看作是一个理想化的随机Oracl（现实中不存在）构造签名，安全性不充分；
• 标准模型：是相对比于ROM模型，不将hash函数看作是一个理想化的随机Oracl，更加接近现实，因此构建出的安全方案具有更高的安全性；

群签名应具有以下性质：

• 正确性：合法签名者生成的签名可以被验证通过；
• 不可伪造性：只有群成员才能进行签名；
• 匿名性：给定一个合法群签名，只有管理员才能识别出真正的签名者；
• 不可链接性：判断两个群签名是否由一个成员签发的，在计算上是不可行的；
• 防陷害性：管理员或任意成员都不代表该成员生成签名；
• 可追踪性：管理员总能够打开一个合法的群签名，并找出真正的签名者
• 抵抗合谋攻击：任意一些群成员合谋（包括管理员）也不能生成一个合法的群签名，使得管理员可以打开，但其他群成员打不开的情况

方案

群签名方案的成员主要包括群管理员和若干群成员，一个完备的群签名方案由以下算法组成：

• 系统建立：
  • 输入安全参数，群管理员生成一个群公钥GPK（用于群签名验证）、一群私钥GSK（用于生成成员证书和打开签名）；
• 成员加入：
  • 对于动态的群签名，新用户与管理员之间交互，完成后新用户加入群并获得成员证书和一个私钥（用于群签名的生成），管理员获得相关的追踪信息，用于打开签名，从而完成追踪；
  • 对于静态的群签名：管理员直接生成成员证书，并秘密传送给新用户，过程没有交互，缺点是管理员可能会冒充成员进行签名；
• 签名：群中任意成员利用自己的成员证书和私钥生成消息的群签名；
• 验证：任何人获得GPK和一个（消息，签名）对，可验证此签名是否合法，且对于合法的签名，不知道具体的签名者是谁；
• 打开：对于合法的群签名，管理员能打开并找出实际的签名者，管理员会给出证据，说明该签名的确是某成员签的，同时不会破坏此成员未来的签名能力；
• 撤销【部分支持】：管理员可以撤销某成员的签名权利，之后此用户就不能生成合法的群签名了；

原理

待补充

环签名

最初由Rivest和Tauman提出，根据群签名而提出，与群签名的区别是：环签名方案允许签名者在一组成员中保持匿名、环签名中不需要群管理员，没有群成员预设机制，没有更改和删除群机制。签名者直接指定任意环，然后在不经过其他成员许可或协助的情况下进行签名，如果要生成有效的环签名，签名者需要知道其私钥和其他成员的公钥。

盲签名

1982年Chaum首次提出了盲签名的概念，在盲签名中，用户可以获得签名者的签名，而签名人却不知道所签消息的内容。保证了签名方案的匿名性和不可追踪性，当（消息，签名）被公开后，签名者也无法获知消息和签名过程间的关系。1992年，Okamoyo提出了一种基于大数分解和离散对数的盲签名方案，基于Schnorr和Guillon的协议，Pintcheval和Stern提出了一种可证明安全的盲签名方案，2009年，Overbeck提出了首个基于编码的盲签名方案。

盲签名可广泛应用于各种匿名性场合，比如电子支付、电子投票等。

电子投票应用

下面介绍一个基于RSA盲签名的电子选举系统

• 电子选举

选举委员会发布选举人名单，投票人在选票上标记自己的意向候选人；为使得选票有效，该选票需要经过选举委员会的签名确认，既要得到选举委员会对选票的签名，又不能泄漏选票内容，此时使用盲签名可以完成该功能。

• 密钥生成：\(N=pq\)，\(PK=(e,N),SK=(d)\)

• 投票人盲化数据

部分盲签名

在盲签名中签名人完全不知道最终签名的任何消息，将在电子现金系统中造成数据库无限增长的问题，为了解决该问题，1996年，Abe等提出了部分盲签名的概念。

部分盲签名允许签名人在签名中嵌入与用户事先协商好的公共信息，且这些公共信息不能被移除或非法修改。在电子现金系统中，银行可将有效期、面值等信息嵌到其发行的电子钱币中，这样银行就能避免维持开销无限增长的数据库的困境。如果将公共信息设为同样值，则部分盲签名就可以转换为完全盲签名，因此部分盲签名可以看作是盲签名的一种形式。

方案

• 建立

选择阶为\(q\)的循环群\(G_1\)和\(G_2\)，定义双线性对\(e:G_1 * G_1\to G_2\)；任意选择群\(G_1\)的生成元\(P\)；定义两个哈希函数\(H_1:\left \{0,1 \right\}^*\to G_1\)，\(H_2:\left \{0,1 \right\}\to Z_q\)，系统参数为\(params=(G_1,G_2,e,q,P,H_1,H_2)\)。

• 密钥生成

签名人任意选择\(x\in Z_q\)，计算\(P_{pub}=xP\)，其中签名人的公钥为\(P_{pub}\)，私钥为\(x\)。

• 签名发布

假设\(c\)为实现协商好的公共信息，\(m\)是要签名的消息，则签名者和用户的交互如下：

1. 盲化：用户随机选择\(r\in Z_q\)，计算\(U=rH_1(m,c)\)，并将\(U\)发送给签名人；
2. 签名：签名人计算\(V=(H_2(c)+x)^{-1}U\)，并将\(V\)发送给用户；
3. 解盲：用户计算\(S=r^{-1}V\)，并输出部分盲签名\((S,m,c)\)；

• 验签

检查等式\(e(H_2(c)P+P_{\operatorname{pub}},S)=e(P,H_1(m,c))\)是否成立，若成立，则接收该签名，否则拒绝该签名。

门限签名

若一个群体有\(n\)个人，那么至少需要\(p\)个人签名才视为有效签名。通常采用共享密钥的方式来实现门限签名，即将密钥分割，例如分成\(m\)份，则其中必须有大于\(p\)份的子密钥都被选则并且组合到一起，才有可能重现密钥。这种数字签名在密钥托管中广泛应用。

代理签名

密钥所有者可以将签名权利授予第三方，获得签名权利的第三方可以进行数字签名，

双重签名

1983年，Itakura等提出多重签名方案，该方案原理是多个签名者对同一份文件进行签名操作。

同态签名

2001年，Rivest提出同态签名，是指在没有签名私钥的情况下，允许任何实体对已认证的数据进行同态运算操作生成新数据，并得到新数据的有效签名。同态签名根据同态运算函数分类，可以分为线性同态签名、多项式函数同态签名和全同态签名。

参考

1. 数字签名技术综述-杨雪菲
2. 群签名综述-程小刚
3. 部分盲签名综述-李明祥
4. 同态签名研究综述-吴华麟