59、用于析取的 Σ 协议组合框架

用于析取的 Σ 协议组合框架

1. Πψ 协议的可回收第三轮消息

在某些协议中，Πψ 具有可回收的第三轮消息。对于任意的 (x_1) 和 (x_2)，有 (D(z) {x_1,c} = D(z) {x_2,c} = U(G^ _1))。同时，Πψ 存在多种变体，以下是一些常见的例子：
| 协议名称 | (G^ 1) | (G^ _2) | (C) | (\psi) 函数 |
| — | — | — | — | — |
| Guillou - Quisquater | (Z^ _n)（(n = pq) 为半素数） | (Z^*_n) | ([0, e)) | (\psi(w) := w^e)（(e) 为素数） |
| Schnorr | (Z^+ {|G|}) | (G)（(G) 为素数阶循环群） | ([0, |G|)) | (\psi(w) := g^w)（(g \in G)） |
| Chaum - Pedersen | (Z^+ {|G|}) | (G \times G)（(G) 为素数阶循环群） | ([0, |G|)) | (\psi(w) := (g_1^w, g_2^w))（(g_1, g_2 \in G)） |
| Attema - Cramer | (Z^{\ell} {|G|} \times Z_{|G|}) | ((Z_{|G|}, G)) | ([0, |G|)) | (\psi((x, \gamma)) := (L(x), g^x h^{\gamma}))（(L(x) = \langle x, s \rangle)，(s \i