70、密码学中的环签名与密钥隐私加密方案

密码学中的环签名与密钥隐私加密方案

1. 环签名相关内容

1.1 环签名基础原理

环签名是一种特殊的数字签名方案，具有匿名性。在环签名中，对于数字 (u = qini + ri)（其中 (ri \in Z∗ni) 且 ((qi + 1)ni ≤ 2b)），每个“弹珠”（可理解为签名相关元素）会被放置到由扩展的 Rabin 映射 (gi) 映射到的“桶”中。每个桶要么包含零个弹珠，要么包含四个弹珠。并且，无论弹珠是随机选择的，还是从随机选择的桶中的计算逆元中随机挑选的，其采样分布都是完全相同的。这就使得即使是强大的对手，也无法通过分析由可能的签名者之一生成的实际环签名来区分签名者和非签名者。

1.2 环签名的推广与特殊情况

环签名有许多有趣的扩展和特殊情况，具体如下：
| (r) 值 | 环签名特点 | 验证条件 |
| ---- | ---- | ---- |
| (r = 1) | 可视为 Rabin 签名方案的随机化版本 | ((x^2 \mod n) = v \oplus E^{-1} {h(m)}(v))，右边本质上是消息 (m) 的哈希值，由 (v) 的选择进行随机化 |
| (r = 2) | 有环方程 (E {h(m)}(x^2_2 \oplus E_{h(m)}(x^2_1 \oplus v)) = v) | 推荐的简化环方程（不等价但具有相同安全属性）为 ((x^2_1 \mod n_1) = E_{h(m)}(x^2_2 \mod n_2))，常用于电子邮件系统中实现指定验证者签名，其中 (n_1) 是发送者的公钥，(n_2) 是接收者的公钥 |

1