24、基于配对的前向安全群组签名方案解析

基于配对的前向安全群组签名方案解析

1. 引言

在当今的密码学领域，群组签名允许签名者以群组成员的身份匿名签署消息。与具有类似特性的环签名不同，群组签名涉及到具有特殊权限的实体。其中，群组管理员（GM）负责允许用户加入群组，而开启管理员（OM）则可以在发生纠纷时从签名中识别出签名者。群组签名的应用广泛，包括匿名凭证、直接匿名认证和身份管理等。

然而，密码系统面临的一个重大威胁是密钥暴露。为了减少密钥暴露带来的损失，前向安全的概念应运而生。在群组签名中，前向安全方案最早由Song提出。在这些方案中，群组成员的秘密密钥每隔一段时间通过单向函数进行更新，并且删除之前的秘密密钥。这样，即使当前的秘密密钥被暴露，之前时间段内使用的秘密密钥所生成的签名仍然是安全的。

以往的前向安全群组签名方案基于强RSA假设，这导致签名长度较长，并且密钥更新或签名/验证的复杂度为O(T)，其中T是总时间段数。为了解决这些问题，本文提出了一种基于配对的前向安全群组签名方案，该方案的密钥更新和签名/验证复杂度均为O(log T)。

2. 预备知识

2.1 双线性群

本方案使用了以下双线性群：
- G和T是素数阶p的乘法循环群。
- g是G的随机生成元。
- e是一个高效可计算的双线性映射：G × G → T，满足以下性质：
- 对于所有的u, u′, v, v′ ∈ G，有e(uu′, v) = e(u, v)e(u′, v)和e(u, vv′) = e(u, v)e(u, v′)，因此对于所有的u, v ∈ G和a, b ∈ Z，有e(ua, vb) = e(u, v)ab。
- e(g, g