20、基于格的定长群组签名方案解析

基于格的定长群组签名方案解析

1. 方案概述

群组签名方案是一种特殊的数字签名方案，允许群组成员以群组的名义对消息进行签名，同时在必要时可以追踪到签名者的身份。本方案利用改进的 Boyen 签名来招募群组成员，并结合多种加密和证明机制，实现了消息依赖开放的定长群组签名。

1.1 相关密钥说明

• 准入者密钥 ：用于为消息 $M$ 生成令牌 $t_M$。
• 发行密钥 ：作为签名密钥，用于招募群组成员。
• 开放密钥 ：用于通过两个公钥对应的私钥之一追踪签名。

2. 方案构建步骤

2.1 密钥生成（Keygen(λ)）

密钥生成算法的步骤如下：
1. 选择整数 $d$ 和严格递增的整数序列 $c_0, \cdots, c_d$。然后生成验证密钥 $A \in R^{1\times \overline{m}}_q$；$A[0], A[1], \cdots, A[d] \in R^{1\times k}_q$；$F_0 \in R^{1\times \overline{m}}_q$；$F, F_1 \in R^{1\times \ell}_q$；$u \in R_q$ 和用于 Ducas 签名方案的签名密钥 $R \in R^{m\times k}_q$。
2. 选择抗碰撞哈希函数 $H : {0, 1}^ \to {1, 2, 3}^\kappa$（其中 $\kappa = \omega(\log \lamb