基于秩度量的实用群签名

基于秩度量的实用群签名方案

摘要

本文中，我们提出了首个基于秩的群签名方案。与现有的后量子方案相比，我们的构造具有两大主要优势：其公钥和签名大小在群成员数量上是对数级的，且在参考的BSZ模型的宽松版本中是动态的。为实现这一结果，我们引入了一种新的基于秩的工具，称为 Rank Concatenated Stern’s protocol，可用于将不同用户关联到一个共同的伴随式。该协议本身可能具有独立的研究价值，可视为一种类斯特恩协议，并额外具备使验证者能够检查分割的秘密各部分权重的特性。此外，我们还定义了两个基于汉明问题的基于秩的变体，分别称为 One More Rank Syndrome Decoding和 Decision Rank Syndrome Decoding问题，并讨论了它们的安全性。将我们的认证协议嵌入菲亚特‐沙米尔范式后，得到的群签名方案在随机预言模型下是安全的，其安全性依赖于基于秩的密码系统（即RankSign和 LRPC码）以及新引入的问题。在100比特安全等级下，我们给出了一个参数示例，其签名大小为550 kB，公钥大小为5kB。

关键词 ：群签名 · Post-quantum密码学 · Rank度量 · Zero-knowledge

1 引言

群签名方案允许群组成员代表群组匿名地生成签名，同时打开者可以撤销匿名性。这在现实生活中的应用（例如电子投票或公司访问策略）中非常有用。尽管当前实用的群签名方案仍然基于数论，但寻找能够抵御量子计算机攻击的构造方案是值得的。

相关工作

自[1],群签名被提出以来，已得到广泛研究，并提出了两种主要的形式化模型（BMW和BSZ模型）。在后一种情况下，Bellare等人考虑了新成员加入群组生命周期内可以添加用户。许多高效的基于配对的群签名倾向于适配或扩展上述模型，其中包括以下非详尽的工作[4–9]。为应对量子威胁，戈登等人设计了首个基于格的群签名方案[10]尽管该领域近年来取得了一些进展[11–16]甚至在基于编码的密码学中也有所发展，但与前述基于数论的构造相比，后量子方案仍然存在参数效率低下和/或缺少某些特性的问题。在群签名及其后续改进受到广泛关注的同时，基于秩的密码学领域也因近期高效且具有强安全规约的后量子密码系统的提出而获得了大量关注[19,20]具有强安全规约[21]。

我们的贡献

我们的基于秩的构造是首个支持新用户注册且具备实用参数的后量子群签名方案。事实上，我们的方案具有与群成员数量呈对数级关系的公钥大小，从而实现了在100比特安全等级下，签名和公钥的大小分别为550 kB和 5kB的实例化。为此，我们在设计一种（基于秩的）类斯特恩认证协议时提出了一种新颖的方法，称为Rank Concatenated Stern’s Protocol。其核心思想是使验证者能够验证一个分割的秘密两部分各自的权重。然后通过菲亚特‐沙米尔范式[22]将该协议转化为群签名，从而为基于秩的密码学的发展提供一种新工具。我们描述了一个通用方案，并使用LRPC密码系统和RankSign方案对其进行实例化，使得本方案的实际安全性依赖于上述两个方案以及本文中引入的两个基于秩的难题，即One More Rank Syn-drome Decoding（OMSD）和 Decision Rank Syndrome Decoding（D‐RSD）问题。

路线图

以下部分中，第2和3节分别介绍预备知识，特别是基于秩的密码学以及我们的群签名模型。第4节介绍我们新的零知识认证协议，而第5节描述由此产生的群签名方案。最后，第6节进行安全性分析，第7节给出方案实例化的参数。

2 预备知识

我们首先定义符号表示，然后介绍一些基本背景。

2.1 符号表示

本文通篇使用以下符号表示。

h表示一个随机预言机。 λ表示安全参数； Hλ表示输出依赖于 λ的随机预言机。对于给定的证明者‐验证者协议， lλ表示为实现与 λ相关的安全性所需运行的轮数。除非另有说明，log表示二进制对数。我们用 n表示集合 {0,…, n}。 A(z; O)表示实体 A知道 z并且可以访问预言机 O。

秩度量

设 q为素数 p的幂， m为整数，并设 Vn为在有限域 GF(qm)上的 n维向量空间。令 β表示从 GF(qm)到 GF(q)的一个映射，其中 Fi(x)是元素 x 在基 β下的第 i−个坐标。对于任意 v=(v1, . . . , vn) ∈ Vn，我们定义其秩为 v ∈ Mm,n(GF(q))，由vi,j= Fi(vj)给出。对于一个基 β，我们记 ψβ为映射 Vn → Mm,n(GF(q))的逆，该逆通过基 β计算得到。

2.2 秩度量与密码学背景

秩度量码

我们首先回顾一些定义。

定义1 (矩阵码) 。在GF(q)上长度为 m × n的线性矩阵码C是大小为 m × n、定义在GF(q)上的矩阵空间的一个子空间。如果C的维数为 K，则称 C为一个 [m× n, K]q矩阵码，或无歧义时简称为[m× n, K]q。

这种[m× n, K]q矩阵码与长度为mn 、维数为 K的码之间的区别在于，我们可以通过矩阵秩函数定义一个自然度量。

定义2 。 对于任意 v ∈ Vn， v的秩权重记为 ωt(v)，定义为其对应矩阵 v的秩。

现在我们可以定义两个向量 x和 y之间的秩度量，即 dr(x, y):= ωt(x − y)= rank(x − y)。此后，B(S, ω):={v ∈ S: ωt(v)= ω}。

定义3 (线性秩码) . 一个长度为 n、维数为 k的[n, k]q m秩码 C，是定义在 GF(qm)上的一个维数为 k的线性子空间 GF(qm)n，将其视为一个秩度量空间。每个字 c=(c1, . . . , cn)可以通过将每个坐标 ci相对于基 β表示为列向量，从而与 GF(q)上的一个m× n矩阵相关联。

其权重定义为对应矩阵 x的秩，字 x的权重不依赖于基 β的选择。

定义4 . 设 x=(x1, . . . , xn) ∈ GF(q m)n是一个秩为 ω的向量。我们记 E为由 x1, x2, . . . , xn生成的GF(q m)上的 GF(q)-子向量空间。该向量空间 E称为 x的支撑。

注释1 . 汉明度量和秩度量下码字的支撑概念不同，但共享一个共同原则：在两种情况下，若给定一个伴随式 s，存在一个低权重向量 x使得 H.xt= s成立，则一旦已知 x的支撑，就可以通过求解一个线性系统来恢复 x的所有坐标值。

定义5 . 设 e是一个秩为 r 、错误支撑空间为 E的错误向量。我们将一个错误 e 的维度为 t的广义擦除记作其错误支撑 E的一个维度为 t的子空间 T。

与汉明情况中擦除对应于知道错误位置类似，这一秩擦除概念是指知道错误支撑 E的一个子空间 T。

基于秩的密码学

基于秩的密码学的主要优势在于，对于具有相同参数大小的困难问题，其计算复杂度高于基于汉明度量的问题。因此，可以在保持高计算复杂度的同时生成密钥尺寸较小（仅数千比特）的问题实例，而使用汉明度量（基于编码的密码学）或欧几里得度量（基于格的密码学）时，要达到类似的密钥尺寸通常需要引入额外的结构（如循环性）。接下来，我们回顾秩度量下的伴随式解码问题以及吉尔伯特‐瓦尔沙莫夫界的类比形式。更多细节请参见 [23,24]及其参考文献。

伴随式译码问题 (RSD)

与汉明情况类似，该问题在于通过一个对偶矩阵寻找一个随机伴随式的带权重约束的原像。

定义6 (秩伴随式译码) 。设 H为在 GF(qm)(k< n)上的一个(n − k) × n矩阵， s ∈ GF(qm)n−k且 ω为一整数。RSD问题即寻找一个向量 x ∈ GF(qm)n，满足 H.xT= s且 ωt(x) ≤ ω。

该问题的困难性在[21]中得到证明，而目前已知的最佳攻击方法的复杂度可在[25]中找到。RSD问题可视为著名的基于汉明度量的伴随式解码（SD）问题在秩度量下的对应版本，而SD问题已在[26]中被证明是NP完全的。

吉尔伯特-瓦尔沙莫夫界 (GVR)

在 GF(qm)n中，半径为 ω的球面上元素 S(m, q, ω) 的数量等于秩权重为 t的 m× n q‐元矩阵的数量。对于 t= 0、 S0= 1以及 ω ≥ 1，我们 有（见[23]）：

$$
S(n, m, q, \omega) = \prod_{j=0}^{\omega-1} \frac{(q^n - q^j)(q^m - q^j)}{q^\omega - q^j}
$$

由此，我们可推导出半径为 t的球 B(n, m, q, ω)在GF(q m)中的体积为：

$$
B(n, m, q, \omega) = \sum_{i=0}^{\omega} S(n, m, q, i)
$$

在线性情况（常见情况）下，线性码 [k, n]q m 的秩吉尔伯特‐瓦尔沙莫夫界 GVR(n, k, m, q) 被定义为满足 B(n, m, q, ω) ≥ q m(n−k) 的最小整数 ω，其中 B (n, m, q, ω) 表示在 GF(q m) 中半径为 ω 的球。

对于具有对偶矩阵 H的秩码 C，GVR界是满足以下条件的最小秩权重 ω ： 对于任意伴随式 s，平均存在一个低权重向量 x可解RSD实例(H, s, ω)。

类斯特恩协议

由戈德瓦塞尔、米卡利和拉科夫[27],零知识协议(ZK)迅速引起了关注。随后，斯特恩首次提出了一种基于编码理论的方案[28]。修正了陈的尝试[29], 加博里特等人设计了一个三轮证明者‐验证者协议，构成了斯特恩协议在秩度量下的替代方案[30]。为了实现这一目标，他们必须在秩度量下定义一个与汉明度量中所使用的置换概念相对应的等价概念。更准确地说，他们提出了一种操作，该操作在不泄露其支撑集任何信息的前提下，能够将任意一个秩为 ω的字与另一个具有相同秩 ω的特定字相关联。下面我们回顾这一操作。

定义 7 .设 Q ∈GLm(q)， v ∈ Vn以及一个基 β。我们定义乘积Q ∗ v使得 Q ∗ v：= ψβ( Qv)。对于任意满足 rk (x)=rk(y) 的 x, y ∈ Vn，可以找到 P ∈GLn(q) 和 Q ∈ GLm(q)， 使得 x= Q ∗ yP。

新的基于秩的问题

我们现在介绍两个基于秩的问题，分别称为One‐More Rank Syndrome（OMRSD）解码问题和判定秩综合征解码（D‐RSD）问题。我们证明了D‐RSD问题是困难问题，并论证了OMRSD问题极有可能也是困难的。

更多秩综合征解码问题

我们首先讨论这样一种情况：给定一个RSD实例的一些解，要求找到一个新的解。

定义8 (OMRSD问题) 。 给定一个RSD实例sd =(H, s, ω)以及sd的l个解，记为 x1, . . . , xl，OMRSD(sd x1, . . . , xl)问题要求找到sd的一个 xl+1解，使得： ∀ i= 1… l, xi ≠ xl+1。

假设1 ：OMRSD问题是困难的。

关于假设1的讨论 ：对于OMRSD问题，目前没有已知的归约到RSD问题的方法。该问题是在编码背景下对经典密码学中类似问题的一种改编。与经典的 RSD问题不同，在经典RSD问题中攻击者仅知道一个伴随式并试图寻找一个小权重向量，而在此情况下，攻击者已知 l个权重为 ω的小权重向量，并试图寻找一个新的小权重向量。当然，可以考虑通过小权重向量的线性组合来寻找另一个小权重向量，但由于度量的性质，将两个随机的小权重向量（权重为 ω ） 相加通常会得到一个权重接近 2ω的向量，这对我们的问题是无用的。特别是对于秩度量而言，如果ω大于秩吉尔伯特‐瓦尔沙莫夫界（一般情况下必须如此，否则伴随式存在多个原像），那么寻找权重超过两倍GVR界原像的问题总是容易的。因此这意味着使用已知解的线性组合不太可能有所帮助。这类结果在汉明度量或欧几里得范数下并不成立，因为在这些情况下，有时寻找权重为两倍吉尔伯特‐瓦尔沙莫夫界原像的问题可能是困难的。此外，线性无关的此类解的数量最多不超过码的维数。总体而言，尽管该问题目前没有已知的归约方法，但该问题仍然被认为是困难的，并且目前没有已知的攻击能够利用 l已知向量，因此针对该问题的最佳攻击方式是直接攻击RSD问题。

判定秩综合征解码问题

我们现在定义D‐RSD问题，该问题旨在区分一个随机伴随式与一个小权重向量生成的伴随式。

定义9（D‐RSD问题） 。给定一个随机的H ∈Mn−k,n(GF(qm))，一个词 x ∈ B(GF (qm)n, ω> 0)以及一个随机伴随式 s ∈ GF(qm)n−k，是否可能将 H.xT与 s区分开来？

这个问题可以看作是基于汉明的密码学中定义的判定伴随式解码问题在秩度量上的推广。

命题1 。 D-RSD问题很难。

证明 。 判定问题在密码学中非常重要；在基于汉明的密码学中，根据戈德赖希‐莱文定理，判定伴随式译码问题已被证明在定理 2[31],中与搜索问题等价。该结果以基于SD问题的伪随机生成器的不可区分性形式给出。最近，在[21]中提出了一种从二元码到q元码的转换方法，从而实现了从SD问题到RSD问题的随机化归约。这一转换方法在[32]中被用于将Fisher‐Stern[31]的结果推广至秩度量情形，但其归约目标是计算型SD问题。因此，这些结果表明存在从二元计算型SD问题到D‐RSD问题的随机化归约，从而说明D‐RSD问题具有困难性。实际上，针对该问题的最佳攻击方法是针对RSD问题的攻击。

2.3 LRPC码及相关密码系统

我们现在介绍LRPC码[19]以及相关的密码系统。

定义10 . 一个在 GF(q m )上，具有秩 d、长度 n和维数 k的低秩奇偶校验（LRPC）码，是由 一个(n−k) × n奇偶校验矩阵H=(hi,j)定义的码，其所有坐标 hi,j均属于 GF(q m )的一个相同的(q)-子空间，该子空间的维数为 d。我们用{F1, F2,…, Fd}表示 F的一个基。

一种高效的解码算法以接近BCH经典解码过程的方式被提出。实际上，对一个码字 y进行解码的总体思路如下：当校验矩阵 H的秩权重足够小时，由伴随式 s= H.y T的坐标生成的空间能够用于恢复乘积空间 P= 〈E.F〉。随后，结合 P和 F的信息，可通过求解线性系统来推导出错误 e的支持域以及最终包含在 y中的错误 e。

LRPC密码系统

与加比杜林码不同，[33],低秩奇偶校验码具有较差的结构，因此成为基于秩度量密码学的一个非常合适的候选方案。当将其嵌入麦克艾利斯或尼德雷特尔体制时，可以实现一种基于LRPC的加密方案。在第7节中，我们将重点采用尼德雷特尔体制来实例化我们的方案。

RankSign 或超越 GVR 的随机伴随式译码

LRPC 码无法译码至 GVR 界，因此为了绕过应用 CFS 方法的不可能性，加博里特等人[20]随后提出在 GVR 之上译码随机伴随式。给定一个伴随式，其思想是随机固定错误支撑的某个子空间（定义4），从而增大译码球的尺寸。随后，从这一结果推导出 RankSign 签名方案，采用一种类似于 CFS 的方法：给定一个私钥，能够输出一个低权重向量，该向量相对于公共矩阵求解一个 RSD 实例。因此，RankSign 的公钥可被视为一个陷门矩阵。

3 定义和安全模型

3.1 定义

在存在用于用户与机构之间交互的公钥基础设施（PKI）的前提下，我们提出以下定义，其中涉及两个机构：群管理员（也称为签发者）和打开者。

定义11 . 一个群签名 GS方案是由一系列协议(密钥生成, 加入, 签名, 验证 , 打开)构成的，例如：

– KeyGen(1λ)：它生成群组公钥 gpk和私钥：群管理员私钥 gmsk以及包含可公开披露的追踪表 tr的打开者私钥 skO ；
– Join(Ui, gmsk, gpk)：用户 Ui 与群管理员之间的交互式协议。最终，用户获得一个私钥 usk[i]，签发者联系打开者以更新 tr；
– Sign(usk[i], gpk, m; μ)：为了对消息 m进行签名，用户使用其私钥 usk[i]和一些随机性 μ，输出在群公钥下有效的签名 σ；
– Verif( gpk, m, σ)：任何人都可以验证签名 σ在消息 m关于 gpk下的有效性。如果签名有效则输出1，否则输出0；
– Open(skO, gpk, m, σ)：对于关于 gpk的有效签名 σ，打开者可以提供签名者身份：若成功则输出用户 Ui，否则输出0。

3.2 安全模型

与经典的BMW相关静态模型相比，我们的方案在群组生命周期内具有增加群组成员（Join协议）的可能性，但未满足动态BSZ模型所要求的不可诬陷性安全性属性。

备注 2 。非正式地说，不可诬陷性保证了即使群管理员和打开者都被攻破，任何诚实用户只要没有生成签名，就不会被错误指控。尽管不可诬陷性看似是一个良好的性质，但在许多实际应用中（例如认证系统）都假设签发者是可信的，因此本模型的意义在众多场景中依然成立。

然后，我们要求我们的方案满足正确性、匿名性和可追踪性。

正确性

这保证了诚实的用户能够生成有效的签名，且打开者应能撤销签名者的匿名性。

在以下实验中，我们将被攻击者控制的用户集合记为CU，即攻击者 A知道其私钥的用户，与之相对的是诚实用户集合，记为HU。 A被授予一些预言机：
– Ojoin(Ui)，将新用户 Ui 添加到 HU；
– Osign(Ui, m)，如果 Ui ∈HU， 返回 Sign(gmsk, sk[i], m) 并将 i 添加到 S[m]（即已存在对消息 m 签名的用户列表）；
– Ocorrupt(Ui)，如果 Ui ∈HU，提供用户的私钥 usk[i] 并将 Ui 移入 CU；
– Oopen(m, σ)，返回 Open(skO, gpk m, σ)。

匿名性与可追踪性

非正式地，匿名性要求两个用户生成的签名对于敌手 A 在计算上是不可区分的。可追踪性确保没有群组成员或群组成员与打开者组成的联盟能够生成一个有效的签名，该签名无法被打开，或其打开过程可能错误指控一个诚实用户。

匿名性

匿名性安全性游戏（图1（a））包括挑战者随机选择一个比特 b ∈{0, 1}，而攻击者 A被要求猜测该值。更具体地说， A攻击者指定两个用户 i0和 i1，挑战者以其中一人的身份生成一个签名。在给定上述预言机的情况下，若攻击者输出 b′= b，则其赢得该游戏。

可追踪性

关于可追踪性（图1(b)），攻击者试图生成一个有效的签名，使得打开过程要么失败，要么错误地指控一个诚实用户。具体而言，算法 Verif必须在输入由攻击者生成的对（m, σ）和 gpk时输出1，而过程 Open不应

因为这仅仅意味着 A使用他已知的私钥对 m进行了签名。相反，如果 A能够生成一个无法被打开或追溯到诚实用户的有效签名，则我们认为他成功攻击了该方案的安全性。

4 基于秩的级联斯特恩协议

对于公钥矩阵 H、权重为 wx的小权重向量 x以及伴随式s= H.xT，斯特恩认证协议 [28]允许证明者向验证者证明他知道一个权重为 wx的低权重向量x，使得 H.xT= s。

斯特恩认证协议及其变体已广泛用于通过FS范式设计群签名。基于秩的替代方案最初由[29]提出，但后来被加博里等人在[30]中攻破并修复。我们依赖于后者，即秩斯特恩协议，提出一种新的基于秩的零知识认证协议。

4.1 问题和我们协议的概述

问题在于设计一种认证协议，使验证者能够检查分割的秘密中每一部分的权重。

更准确地说，让我们考虑k× n和 k× n′随机矩阵 Q和 R在GF(q m)上，一个伴随式 s，一些权重 ωx和 ω y ，构成图2所示的SD实例。

虽然（秩）斯特恩协议仅允许证明关于权重为 ωx+ωy的秘密 z的知识，但我们的目标是证明关于分割的秘密 z=(x, y)的知识，使得 ωt(x) = ωx且 ωt(y)= ωy。

4.2 秩串联Stern协议

类似于 [17],图3介绍了我们的认证协议，此后称之为 秩级联斯特恩协议 (RCSP)，其目标是证明对具有权重约束的密钥(x, y)的知识，其中对 x和 y均施加了权重约束。其思想是在并行执行两个关于 x和 y的秩斯特恩协议实例的同时，通过承诺机制将这两个值关联起来。此处我们记 Vn= GF(qm)n和 Vn′= GF(qm)n ′。

)

备注 3 。 正如在 [17],斯特恩认证协议的原始版本中所指出的 [28]（在汉明和秩情况下）存在证据可区分性问题。通过简单的随机化（种子的角色 r1, r2, r3）可以解决此问题，以确保零知识性质。

定理 1 . RCSP（图3）是一个诚实证明者验证者零知识协议，其作弊概率为 2/3，从而满足完备性、可靠性以及零知识性。

证明 。 基于斯特恩协议的秩版本 [30],，该证明是直接的。完备性性质是显然的，我们仅强调在ch= 1的情况下，验证者可以通过计算h(Q1|P1|(Q(v1+ x) T+ R(v2+ y)T − s|Q2|P2|r1)来检查c1的有效性。可靠性与零知识性质直接来源于（随机化的）秩斯特恩协议的相关性质。

基于秩度量的实用群签名方案

5 我们的基于秩的群签名方案

在深入细节之前，我们介绍矩阵 Hs和 Hc，它们与随机矩阵不可区分，并满足：
– Hs是一个公开的陷门矩阵，即给定（陷门）私钥s、一个随机的伴随式 s和 一个整数 ωs，可以输出 y以求解RSD实例(Hs, s, ωs)；
– Hc是基于秩的公钥密码系统(R‐PKC)的公钥，其对应的私钥为skc。

5.1 我们方案的高级概述

主要思想是通过特定的矩阵 Q 和 R 来实例化 RCSP，使得用户将获得一个具有小权重的分割的秘密(x, yi)，例如：
– yi是用户相对于 Hs提交给群组公共伴随式 s的签名密钥；
– x是通过 R‐PKC密文 c提交的随机向量，可用于进一步撤销匿名性。

这些秘密随后通过一个伴随式 r关联起来，形成图4中所示的情况，其中 A和 B 是随机矩阵， Hs是陷门矩阵，而 Hc是R‐PKC公钥矩阵。

要签名一条消息， Ui然后通过秩级联斯特恩协议（图3）对(x, yi)进行知识证明。当打开者利用R‐PKC私钥想要撤销匿名性时，他首先从 x中恢复 c，然后计算 r −Ax T。该值必须出现在其追踪表tr中，该表包含所有 B.y T i，从而他最终可以推导出签名者身份。

5.2 算法 KeyGen、加入和签名

首先，算法 KeyGen 根据 λ生成以下数据：
– 一个RSD实例(Hs, s, ωs)，其中 Hs是一个带有相关私钥sks的陷门矩阵，该私钥提供给群管理员；
– 一个R‐PKC密钥对(Hc, skc)，其中skc提供给打开者；
– 一个整数 ω和两个随机矩阵 A, B。

当用户Ui联系群管理员时，群管理员使用其陷门密钥sks计算该用户的私钥usk [i]= yi，作为上述RSD实例的解。随后，将伴随式 B.yiT提供给打开者以更新tr。

现在，为了认证自己， Ui首先选择一个权重为 x的权重 ω的随机向量，并计算伴随式 r= A.xT+ B.yiT和 c= Hc.x T。通过实例化Q=[HA0c] 和 R=[B Hs 0]，他通过 RCSP对秘密 (x,yi) 进行零知识证明，其中 ωt(x)= ω和 ωt(yi)= ωs，解决图4中所示的RSD实例。

最后，通过FS范式将此过程转换为非交互式，我们得到签名算法。算法 KeyGen、Join和Sign在图5中描述。

5.3 算法 Verif和 Open

验证算法依赖于 RCSP的验证步骤（图3）。

为了撤销匿名性，打开者使用skc从R‐PKC密文 x中恢复 c= Hc.xT。然后他可以计算 A.xT并从r在签名中与 c一起传输的值中减去该结果。最终结果 r − A.xT必须等于某个tr[i]，从而获得签名者身份。这两个算法出现在图6中。

6 安全分析

由于正确性直接来源于 RCSP，我们重点关注图1中定义的匿名性属性和追踪性要求。我们首先讨论匿名性属性。

定理2 . 如果存在一个攻击者 A能够破坏该方案的匿名性属性，则必然存在一个攻击者 B能够破坏 RCSP的零知识属性或判定秩综合征解码（D-RSD）问题。

证明 . 通过一系列游戏，我们将展示：任何针对本方案匿名性属性的攻击者，都将能够破坏本方案的零知识性质或D‐RSD问题。

G0 B运行 密钥生成(1 λ)，并如实按照图1(a)中的描述进行操作。G1现在，为了回答打开查询，模拟器利用ROM可观察性提取某些 y，然后将该值与 B.y T i包含在 tr中的值进行比较。根据零知识可靠性，这与前一个游戏类似。G2现在，模拟器通过设置 [HAc] = C来取代密钥生成的部分过程。此游戏与前一个游戏相同。

模拟器在回答挑战查询时，通过不使用值 x, yi 来模拟证明过程。由于零知识性质，本游戏与前一个游戏完全相同。现在，他发送随机数 c= s1, r= s2+ B.yiT。由于D‐RSD问题，本游戏与前一个游戏不可区分。（这一点可以通过将挑战 s 拆分为 s1, s2 来看出，如同对公共矩阵 C 所做的那样。）最后一个游戏仅显示随机值，因此攻击者没有任何优势，从而完成了证明。

关于可追踪性，我们有以下定理。

定理3 . 如果存在一个攻击者 A能够破坏该方案的可追踪性，则必然存在另一个攻击者 B能够破坏零知识证明的可靠性或OMRSD问题。

证明 。 该证明是直接的，模拟器首先在每个诚实签名查询上模拟零知识证明。然后，他随机选择一个身份，期望该身份为目标诚实用户（这以不可忽略的概率发生），并将该身份的追踪密钥 B.y∗设为 s；对于其他身份，模拟器向 RSD预言机发送请求，并转发其响应。

接收到攻击者的回答后，模拟器利用随机预言模型提取挑战的值 y∗解。

7 实例化

我们的方案是通用的，可以与任何陷门矩阵和公钥加密方案结合使用。在基于秩的上下文中，RankSign 和 LRPC 嵌入到尼德雷特尔体制中（见第2节）分别构成了实例化第 Hs节和 Hc节中引入的矩阵的合适候选方案。5。

根据第5和 6节，我们方案的正确性与安全性在一般情况下依赖于矩阵 Hs 和 Hc，这些矩阵应与随机矩阵不可区分。通过此类实例化，安全性通过 LRPC和RankSign公钥矩阵与随机矩阵[19]的不可区分性得以保持。

参数 。 正如下文将展示的，实际上只需考虑仅包含单行的矩阵 A和 B，根据前一节内容，该协议的安全性依赖于与矩阵 Hs和 Hc相关的D‐RSD问题或 OMRSD问题。我们现在给出实现 2100整体安全性的参数。

在[20],之后，我们可以考虑参数 n′= 23、 k′= 10、 t= 3、 m= 24和 q= 28，以设计一个维度为(n′ − k′) ×(n′+t)的RankSign公钥矩阵 Hs，其坐标位于GF(q m)中。特别地， t表示该实例化所能处理的广义擦除数量。群组的大小由公共伴随式s的可能前像数量决定；即对应于形成 t个独立向量的可能方式数目

位于GF(qm)上的向量，大致对应 qtm个用户（此处为28×24）。关于这一点的更多细节，请参见[20]。另一方面，矩阵 Hc可以在尼德雷特尔体制中使用循环LRPC密码系统实例化；根据[19],，我们考虑参数 n= 74、 k= 37、 q= 28以及工作域GF(qm)。现在，矩阵 A和 B仅用于区分 B.yiT（Open过程），并且由于 q= 28和 m= 24，通过简单地取 A和 B的单行， B.yiT有2192种可能性。最后，当A和 B由单行构成且Hc为循环结构时，公钥的大小主要取决于 Hs。若采用前述参数的系统形式，则得到大小为(n′ − k′) ×(n′+ t − n′+ k′) =(23 −10) ×(10+ 3) 的 Hs，定义在 GF(28×24)上。再加上 A、 B以及 Hc一行的贡献，最终公钥大小约为5 kB。

签名大小取决于安全级别和 RCSP（图3）中知识证明的长度。首先注意到，协议中涉及的随机矩阵可以通过种子发送，这些种子可用于重新生成矩阵。因此，协议期间传输的主要数据是属于 Vn和 Vn′的向量：因此我们平均得到 4/3个环境空间 GF（qm）n+n′中的元素，表示 4/3 ×（74+ 23） × 8 × 24 比特。当目标为100比特安全等级时，需要 100/log2（3/2）次协议重复，从而产生550 kB的签名。应注意的是，这些参数具有灵活性，很容易找到适合其他安全级别的参数。

渐近复杂度 。为了研究渐近复杂度，我们首先回顾：
– 用户数量 N 约为 qmt= 2mtlog(q)；
– 在实际应用中，如上所示，参数 t、 k′ 和 m 被设置为 O（n′），使得公钥近似为 O（n′3 ×log(q)）。

对于给定的安全级别，可以通过增加 q的大小来增加用户数量。在这种情况下，我们认为除 q外的所有参数均为固定。根据之前的分析，当参数大小为 O(log(q)) = O(log(N))时，用户数量为 N= 2O(log(q))。

最后，在计算时间方面，该协议效率非常高，因为LRPC和RankSign密码系统本身非常快速（加密/解密或签名仅需几毫秒）。

同期工作 。 我们的动态方案与基于编码的同期工作（如 [17,18]）相比表现非常出色。实际上，其公钥和签名大小在 N上为对数级，而 [18]中提出的静态方案的对应参数则在 N上为线性级。此外，当最多考虑 224个用户时，后者的公钥大小达到 1.16 GB，但其优势在于仅依赖于SD问题。尽管 [17]的群签名是动态方案且公钥和签名大小均为 N 1/√lo g(N)，但其签名大小仍达到 20 MB 和一个2.5 MB的公钥。与此同时，尽管近期取得了进展且渐近性能令人满意 [11,13–16]（公钥和签名的大小在群成员数量上是对数级的），基于格的构造仍然存在参数尺寸过大的问题。事实上，由[16],改进工作的[13,14],所提出的最高效的方案，针对仅包含1024名用户的群组和 280.的整体安全性，其签名和公钥的大小分别为61.5 MB和4.9 MB。

8 结论

本工作提出了首个基于秩的群签名方案，该方案在BSZ模型的松弛形式下具有动态性，并且与同时期的后量子方案相比表现出色。通过引入一种基于秩的零知识认证协议（可能具有独立的研究价值），我们利用Fiat‐Shamir范式获得了签名方案。该方案在随机预言模型中的安全性依赖于与LRPC相关的密码系统（RankSign和尼德雷特）、RSD问题，以及本文中首次提出的基于秩的计算问题（OMRSD和D‐RSD问题）。相较于基于编码的构造，本方案具有更优的渐近复杂度，与最佳的基于格的结果相当，其公钥和签名大小相对于群成员数量呈对数级增长。最后但同样重要的是，在参数选择恰当的情况下，我们实现了公钥大小为550 kB、签名大小为5kB的实例化，使得本方案显得相当实用，并成为迄今为止最高效的后量子群签名协议。