29、可选择性追踪的匿名性与强制可追溯性分析

可选择性追踪的匿名性与强制可追溯性分析

1. GJ 协议基础流程

GJ 协议基于双线性映射，其中 (G_1) 通常是椭圆曲线群，设 (P \in G_1) 为公共参数，所有参与方都知道映射 (H : {0, 1}^ \to G_1)，将其建模为随机预言机。为简化，仅描述单通道情况，省略辅助信息。具体流程如下：
1. 设置阶段 ：每个参与者 (P_i) 选择私钥 (x_i \in Z_q)，并公布公钥 (y_i = x_iP)。
2. 填充构造 ：
- 设 (s) 为共享通道特定执行的唯一标识符。
- 所有参与者计算元素 (Q_s \in G_1)，(Q_s = H(s))。
- 每对参与者非交互地计算共享 Diffie - Hellman 密钥 (k_{i,j}(s) = \hat{e}(y_j, x_iQ_s) = \hat{e}(P, Q_s)^{x_ix_j} = \hat{e}(y_i, x_jQ_s) = k_{j,i}(s))。
- 每个参与者 (i) 计算其“填充” (p_i(s) = \prod_{j} k_{i,j}(s)^{\delta_{i,j}})，其中若 (i < j)，(\delta_{i,j} = -1)，否则为 (1)。
3. 传输阶段 ：在会话 (s) 中，若 (P_i) 有消息要发送，其预期消息为 (m_i(s) \in G_2)；若没有消息，(m_i(s)) 为 (G_2) 中的单位元 (1)。参与者 (P_i) 公布值 (W_i(s) = m_i(s)p_i(s))