2、二元域上的线性同态签名

二元域上的线性同态签名

1. 线性同态签名概述

由于同态签名并非存在不可伪造的，因此需要找到一种方法来消除同态属性。具体做法是要求有效签名 $\sigma \in Z^m$ 的长度非常接近签名算法生成向量的预期长度。这样一来，任何有效签名的线性组合都会过长，无法满足这个严格的界限，从而使同态属性对攻击者失去作用。

线性同态签名方案可在任何主理想整环 $R$ 上定义，用于对 $R$ 中元素的元组（即向量）进行认证。该定义涵盖了 Boneh 等人定义的有限域上的同态签名，以及 Gennaro 等人定义的 $Z$ 和 $Z_N$ 上的签名。为防止 “混合匹配” 攻击，每个签名的向量集都被赋予一个唯一标识符 $id$，该标识符由签名者随机选择，且在安全模型中要求其不可预测。

一个线性同态签名方案是一个由概率多项式时间算法组成的元组 $(Setup, Sign, Combine, Verify)$，各算法功能如下：
- Setup(n, params) ：输入安全参数 $n$（以一元形式表示）和额外的公共参数 $params$（包括环境空间的维度 $N$ 和要签名的子空间的维度 $k$），输出公钥 $pk$ 和私钥 $sk$。
- Sign(sk, id, v) ：输入私钥 $sk$、标识符 $id \in {0, 1}^n$ 和向量 $v \in R^N$，输出签名 $\sigma$。
- Combine(pk, id, {(\alpha_i, \sigma_i)}_{i = 1}^{\ell})$ ：输入公钥 $pk$、标识符 $id$ 和一组