31、在线不可转让签名方案解析

在线不可转让签名方案解析

1. 引言

在数字签名领域，不可转让签名是保障签名安全性和隐私性的重要技术。传统的离线不可转让签名协议往往依赖于强假设或提供较弱的安全性。而我们提出的方案旨在提供一种安全高效的在线不可转让签名方案，无需随机预言机假设或通用零知识证明。

2. 相关背景

多数先前实现离线不可转让性的协议，要么依赖异常强的假设（如随机预言机假设）来达到一定效率，要么依赖非完全零知识的协议提供较弱的安全性。例如，Goldwasser和Waisbard在2004年的解决方案使用强见证隐藏证明而非完全零知识证明，实现了较弱但合理的安全级别；Gentry、Molnar和Ramzan基于Paillier密码系统给出了实用高效的方案，其确认和否认证明是完全零知识的，可防止所有离线转让。

我们的方案也有一个缺点，为防止签名转让，签名者必须愿意向任何人发布无效签名，但这符合签名者的利益，因为不可转让性属性正是保护签名者的。

3. 方案角色与协议

该方案涉及三个参与者：签名者S、确认者C和接收者R。在签名之前，有一个设置阶段，三方分别生成公钥PKS、PKC和PKR，以及对应的私钥SKS、SKC和SKR。

在线不可转让签名方案包含以下协议：
| 协议名称 | 描述 |
| ---- | ---- |
| KeyGenS、KeyGenC、KeyGenR | 生成各方的公钥和私钥 |
| Setup | 确认者为每个签名者运行的算法，生成额外的公钥PKC,S和私钥SKC,S |
| Sign | 签名者和接收者之间关于消息m的交互式协议，生成在线不可转让签名 |
| D