7、改进的基于格的门限环签名方案

改进的基于格的门限环签名方案

1. 方案概述

在这个签名方案中，用于定义签名者并计算第一个承诺的 $y_j$ 被掩盖在 $\beta’$ 中。具体来说，$y_j = M\delta_j^T$，其中 $\delta_j$ 由 $\Sigma$ 和 $u’$ 掩盖。只要对于每个签名者 $i$，$A(x_i + u)^T - M(\delta_i + u’)^T$ 相等，就可以以相同的方式为每个签名者计算第一个承诺。之所以使用相同的结构来掩盖 $x_i$ 和 $\delta_i$，是因为这两个值都可以通过它们的权重以及特定矩阵（$A$ 或 $M$）的映射来确定。

该方案在不考虑 $\beta’$、$u’$ 和 $\Sigma$ 时，与 CLRS 身份识别方案相同。与之前的环签名方案不同，不需要发送 $N$ 个身份信息来实现匿名性，因此对于合理的 $N$ 和 $t$ 值，签名大小显著减小。此外，该方案使用唯一的随机矩阵 $A$ 代替了 $N$ 个公共矩阵 $A_i$，从而减小了公钥的大小。

2. 门限环签名

门限环签名是环签名的一种推广，由多个签名者共同完成，而不是像环签名那样只有一个签名者。有研究指出，门限环签名不是多个环签名的简单重复，因为需要证明至少有 $t$ 个签名者参与了签名过程。例如，单个签名者不能在同一个签名中签名两次并产生有效的签名。在本方案中，门限环签名更像是 $t$ 个不同的环签名，因此签名大小接近 $t$ 个签名，而不是其他方案中的 $N$ 个签名。

2.1 从环签名到门限环签名

通过对门限环身份识别方案应用 Fiat - Shamir 变换，可以得到门限环签名方案。每个 $\delta_i$ 代表