73、具有严格撤销功能的可证明安全公平盲签名方案

具有严格撤销功能的可证明安全公平盲签名方案

1. 基础思路与构建模块

1.1 高效撤销机制

采用类似的方法，设 $x_t$，$y_t(= g^{x_t})$ 为撤销密钥对，$z$ 是签名者公钥的一部分。用户请求签名时，发送 $(z^{1/γ}, g^γ)$ 给签名者，其中 $γ$ 是用于后续盲化的盲化因子。签名者盲目签发签名，将 $(z^{1/γ}, y_t)$ 引入签发协议，只有当该对被盲化为 $(z, y_t^γ)$ 时才能获得有效签名。用户可通过取 $γ$ 次幂完成转换得到有效签名，而签名者保持盲目性，因为 $z$ 对所有签名是公共的，且假设 $(y_t, g^γ, y_t^γ)$ 与使用另一个随机 $γ’$ 的 $(y_t, g^γ, y_t^{γ’})$ 不可区分。

给定包含 $y_t^γ$ 的签名，受托人可通过计算 $(y_t^γ)^{1/x_t}(= g^γ)$ 追踪包含 $g^γ$ 的会话；给定包含 $g^γ$ 的会话日志，受托人可通过计算 $(g^γ)^{x_t}(= y_t^γ)$ 追踪包含 $y_t^γ$ 的签名。

为使上述撤销机制有效，必须确保通过指数盲化 $(z^{1/γ}, y_t) →(z, y_t^γ)$ 是获得有效签名的唯一方式。一种盲签名方案适用于此目的，它不仅对自适应和并行攻击具有安全性，还具有限制性盲化属性，即签名者基于 $(z, z_1)$ 签发签名时，用户必须将其盲化为 $(z^γ, z_1^γ)$ 才能正确盲化签名。因此，若设 $(z, z_1) = (z^{1/γ}, y_t)$，则必须转换为 $(z, y_t^γ)$。

然而，只有当所有用户在每个会话中诚实地选择唯一的 $γ$ 时，这种方