28、无随机预言机的非交互式不可否认签密技术解析

无随机预言机的非交互式不可否认签密技术解析

1. 签密方案效率对比

1.1 BSW 签名方案回顾

为了更好地对比效率，先回顾 BSW 签名方案：
- SetupPub ：$Pub_{bsw} = {G, G_T, e, g, g_2, g_3, u_0, U, H_2}$，大部分元素生成方式与某标准方式相同，只是$H_1 : {0, 1}^ \to Z_p$。
- KeyGen ：与某标准方式相同。
- Sign ：对$M \in SPM$签名时，与签密过程类似，但签名中无$\sigma_0$，且$\theta \leftarrow H_1(\sigma_1, M)$，签名为$\sigma_{bsw} \leftarrow (\sigma_1, \sigma_2, \sigma_3)$。
- Verify *：验证签名时，与解签密过程类似，计算$\theta \leftarrow H_1(\sigma_1, M)$，最后一步无需计算$M$，若所有检查通过则返回$\top$。

1.2 计算成本对比

与 BSW 签名方案相比，签密的额外成本在于计算$\sigma_0$（$\sigma_0 \leftarrow M \cdot e(g_1, g_R)^t$），解签密的额外成本是计算$M$（$M \leftarrow \sigma_0 / e(\sigma_1, g^{\alpha_R}_1)$）。应用预计算时，签密需在$G_T$中额外进行一次指数运算，