38、带加密属性的匿名凭证方案

带加密属性的匿名凭证方案

1. 预备知识

在密码学领域，一些常用的加密原语和相关符号是构建加密凭证方案的基础。以下是一些关键概念的介绍：
- 符号表示 ：
- (x \in_R V) 表示 (x) 是从集合 (V) 中均匀随机选取的。
- (H) 表示一个密码学哈希函数，其值域为 (Z_q)，其中 (q) 是一个比特长度为 (k) 的素数，(k) 为安全参数。
- (\langle g \rangle) 表示一个素数阶 (q) 的循环群，代表一个合适的离散对数设置。
- ElGamal 密码系统 ：本方案采用了具有加法同态性的 ElGamal 密码系统。对于循环群 (\langle g \rangle)，私钥是一个随机选取的 (\lambda \in_R Z_q)，对应的公钥是群元素 (f = g^{\lambda})。消息 (x \in Z_q) 通过选取一个随机的 (r \in_R Z_q) 并计算 (c = (g^r, g^x f^r) =: \langle g^x \rangle) 进行加密。为了实现高效解密，(x) 必须限制在一个足够小的集合内，但这在本方案中不是限制条件。解密函数用 (D) 表示。同态性质确保加密可以通过乘以一个随机的零加密 (\langle g^0 \rangle) 进行重新盲化。
- Σ - 协议 ：零知识证明是一种两方协议，用于让证明者在不泄露除被证明断言值之外的任何信息的情况下，使验证者相信他知道某些信息。对于关系 (R = {(x; w)}) 和证明者与验证者的公共输入 (x)，证明者以零知识的方式证明他知道一