18、双线性群中加密值的证明及在签名匿名性中的应用

双线性群中加密值的证明及在签名匿名性中的应用

1. 引言

现代密码学的一个主要关注点是匿名性。像群签名允许成员代表一个群体进行签名，同时保持匿名。还有分层群签名、身份托管和匿名凭证等概念也都以匿名性为核心。这些概念的主要问题是在不泄露用户身份的情况下，证明用户有权执行特定任务。零知识证明提供了这样的手段，尤其是非交互式零知识（nizk）证明，在实现匿名性方面有众多应用。

近年来，nizk证明在效率和实用性上取得了显著进展。Groth等人展示了如何高效地非交互式证明BGN密文加密的是0或1，其技术被Boyen和Waters用于构建紧凑的群签名。另外，Groth等人还基于线性加密的承诺方案构建了nizk证明，该方案在决策线性假设下是语义安全的。

2. 预备知识

• 对称双线性群 ：是一个元组$(n, G, GT, e(·, ·), g)$，其中$G$和$GT$是两个阶为$n$的循环群，$g$是$G$的生成元，$e(·, ·)$是一个非退化的双线性映射$G × G → GT$。
• 子群决策假设与BGN加密 ：
  • 子群决策假设（sd）：若群阶$|G| = n = pq$是两个素数$p$和$q$的乘积，不知道$n$的因子分解的概率多项式时间（p.p.t.）敌手，无法以不可忽略的概率区分$G$中的随机元素和$Gq$（阶为$q$的子群）中的随机元素。
  • BGN加密方案：公钥是双线性群和一个元素$h ∈ Gq$，私钥是$q$。加密消息$m ∈ {0, …, T}$（$T < p$）时，选择$r ← Zn$