17、不可追踪性与用户画像并非相互排斥

不可追踪性与用户画像并非相互排斥

1. 零知识证明与扩展签名方案基础

• 零知识证明知识（ZKPK） ：简单来说，ZKPK 是一种交互式协议。在该协议中，证明者 P 向验证者 V 证明自己知晓一组能验证给定关系的秘密值，同时不泄露其他任何信息。常见的如离散对数的知识证明（$Pok(\alpha : y = g^{\alpha})$）、表示的知识证明（$Pok(\alpha_1, \ldots, \alpha_q : y = g_1^{\alpha_1} \ldots g_q^{\alpha_q})$）以及离散对数相等的知识证明（$Pok(\alpha : y = g^{\alpha} \land z = h^{\alpha})$）。通过 Fiat - Shamir 启发式方法，这些交互式证明可转化为非交互式证明（即知识签名）。
• 扩展签名方案 ：该概念由 Camenisch 和 Lysyanskaya 提出，是在标准签名方案基础上增加了一些特性。具体特性如下：
  • 可以对分解为多个块的消息（$m = m_0 \parallel \cdots \parallel m_{\ell}$）进行签名（Sign 算法）。
  • 存在一个 CSign 算法，允许签名者使用 Pedersen 承诺方案对某些未知值（$m_0, \cdots, m_{\ell}$）的承诺 C 进行签名。
  • 能够在不泄露消息和签名的情况下，证明对分块消息的有效签名的知识：$Pok(m = m_0 \parallel \cdots \parallel m_{\ell}, \si