格上基于身份的可鏈接環(huán)簽名方案
2022-12-31 00:00:00劉夢(mèng)情汪學(xué)明
計(jì)算機(jī)應(yīng)用研究 2022年10期
摘要:為了抵抗量子算法的攻擊和應(yīng)對(duì)惡意簽名者利用環(huán)簽名技術(shù)的完全匿名性輸出多個(gè)簽名從而進(jìn)行雙重開銷攻擊這一缺陷,同時(shí)為了解決不必要的系統(tǒng)開銷浪費(fèi)問題,提出了一種新的格上基于身份的可鏈接環(huán)簽名方案。該方案以格上近似最短向量問題為安全基礎(chǔ),將該問題的求解歸約于碰撞問題的求解,利用矩陣向量間的線性運(yùn)算生成簽名,同時(shí)結(jié)合了基于身份的密碼技術(shù)。解決了系統(tǒng)開銷浪費(fèi)問題,不涉及陷門生成和高斯采樣等復(fù)雜算法,提高了簽名效率,降低了存儲(chǔ)開銷,并在隨機(jī)預(yù)言模型下驗(yàn)證了方案滿足完全匿名性和強(qiáng)存在不可偽造性。經(jīng)分析,該方案是一個(gè)安全高效的環(huán)簽名方案。
關(guān)鍵詞:可鏈接環(huán)簽名; 格; 基于身份的密碼體制; 隨機(jī)預(yù)言模型
中圖分類號(hào):TP309文獻(xiàn)標(biāo)志碼:A文章編號(hào):1001-3695(2022)10-039-3130-06
doi: 10.19734/j.issn.1001-3695.2022.03.0103
Identity-based linkable ring signature scheme from lattice
Liu Mengqinga,b, Wang Xuemingb
(a. State Key Laboratory of Public Big Data, b. College of Computer Science amp; Technology, Guizhou University, Guiyang 550025, China)
Abstract:
In order to resist the attack of quantum algorithm and deal with the defect that malicious signers can output multiple signatures using the complete anonymity of ring signature technology to carry out double overhead attack, and to solve the unnecessary waste of system overhead, this paper proposed a new identity-based linkable ring signature scheme form lattice. The scheme took the approximate shortest vector problem on the lattice as the security basis, reduced the solution of the problem to the solution of the collision problem, generated the signature by using the linear operation between matrix vectors, and combined the identity-based cryptography technology. It solved the problem of system overhead waste, did not involve complex algorithms such as trapdoor generation and Gaussian sampling, improves the signature efficiency and reduces the storage overhead. It verifies that the scheme meets the requirements of complete anonymity and strong unforgeability under the random oracle model. After analysis, the scheme is a secure and efficient ring signature scheme.
Key words:linkable ring signature; lattice; identity-based cryptography; random oracle model
電子交易方式已經(jīng)成為不可阻擋的趨勢(shì),其中少不了數(shù)字簽名[1]的身影,不過簽名者的身份隱私在普通的數(shù)字簽名中不能得到保證。針對(duì)這一問題,環(huán)簽名[2]被提出并得到發(fā)展。然而,在區(qū)塊鏈機(jī)制中,由于環(huán)簽名的強(qiáng)匿名性,惡意簽名者在相同事件上可輸出兩個(gè)及以上的不同簽名,從而可發(fā)起雙重開銷攻擊[3]。于是,Liu等人[4]在2004年提出了具有可鏈接性的可鏈接環(huán)簽名(LRS),可鏈接性可以檢測(cè)兩個(gè)簽名是否由同一用戶簽名。目前,LRS已經(jīng)有了很多應(yīng)用,如文獻(xiàn)[5~9]中的電子商務(wù)活動(dòng)。基于身份的密碼體制可以減小對(duì)系統(tǒng)開銷的浪費(fèi)。首個(gè)基于身份的可鏈接環(huán)簽名(IBLRS)[10]在2006年被提出,而早期提出的方案[11]隨后被證明有安全缺陷。目前多數(shù)傳統(tǒng)環(huán)簽名方案在量子算法出現(xiàn)后都有被攻破的風(fēng)險(xiǎn),因此研究后量子密碼學(xué)已經(jīng)成為密碼學(xué)的學(xué)術(shù)前沿方向。在各類后量子密碼技術(shù)中,基于格的密碼學(xué)以其自身的優(yōu)勢(shì)脫穎而出,已成為最受關(guān)注的后量子密碼學(xué)技術(shù)。
基于格的密碼學(xué)是由Ajtai[12]提出的,格上的困難假設(shè)的求解對(duì)于量子計(jì)算機(jī)也是困難的[13]。2008年,Gentry等人[14]基于格上的難題提出了一種hash-and-sign簽名方案,這一簽名機(jī)制被廣泛應(yīng)用[15~18]。但是,hash-and-sign簽名機(jī)制的存儲(chǔ)開銷和計(jì)算效率都不是很理想。除了使用hash-and-sign機(jī)制構(gòu)造格上的環(huán)簽名外,Lyubashevsky[19]給出了一個(gè)利用Fiat-Shamir變換基于近似最短向量問題的簽名方案,此外,還提出了拒絕采樣[20]技術(shù)。2018年,Torres等人[6]第一個(gè)后量子一次性可鏈接環(huán)簽名。該方案基于格上困難假設(shè)Ring-SIS,采用拒絕采樣技術(shù),提高了簽名私鑰的獨(dú)立性,并應(yīng)用在區(qū)塊鏈交易中。同年,Baum等人[21]提出了一種更簡(jiǎn)單、更高效的格上LRS方案。2019年,Torres等人[5]擴(kuò)展了文獻(xiàn)[6]的方案,2.0版本的LRS方案誕生,并使用基于格的零知識(shí)證明實(shí)現(xiàn)了對(duì)超范圍攻擊的安全性。2021年,湯永利等人[22]提出了一種采用陷門生成算法和原像采樣算法的IBLRS方案,該方案使用的算法計(jì)算復(fù)雜,會(huì)導(dǎo)致時(shí)間開銷增加,同時(shí)陷門尺寸較大,也會(huì)增大存儲(chǔ)開銷。
本文將構(gòu)造新的格上基于身份的可鏈接環(huán)簽名方案。方案將格上近似最短向量問題的求解歸約為碰撞問題的求解,不使用高斯采樣或陷門技術(shù),所有計(jì)算都是建立在矩陣向量間的簡(jiǎn)單乘法運(yùn)算,使其具有更高的計(jì)算效率。在隨機(jī)預(yù)言機(jī)模型下驗(yàn)證該方案的安全性并對(duì)方案的效率進(jìn)行仿真分析。
1預(yù)備知識(shí)
1.1符號(hào)說明
表1為本文中即將用到的符號(hào)的簡(jiǎn)單說明。
1.2格理論
定義1格。設(shè)V∈Euclid ExtraaBpn×m是由{v1,…,vm}構(gòu)成的矩陣,其中{v1,…,vm}是m個(gè)線性無關(guān)的向量。格Euclid Math OneLAp由V生成,是指系數(shù)為xm∈Euclid ExtrabBpm的向量v1,…,vm的線性集合,即:
Euclid Math OneLAp(V)={x1v1+x2v2+…+xmvm:x1,x2,…,xm∈Euclid ExtrabBpm}(1)
設(shè)Λ是一個(gè)(xn+1)-循環(huán)格[21],如果有(a1,a2,…,an)∈Λ,則(an,a1,a2,…,an-1) 也在Λ中。
定義2最短向量問題(SVP)。SVP的目標(biāo)是在給定的任意格Λ中求解歐幾里德范數(shù)最小的非零向量。簡(jiǎn)單來說,就是在給定的任意格Λ中,對(duì)于任意的格向量u∈Λ,存在這樣的非零向量v∈Λ,使‖v‖≤‖u‖成立。
定義3近似最短向量問題(SVPγ)。給定一個(gè)n維任意格Λ,近似最短向量問題的目標(biāo)是找到一個(gè)非零向量v∈Λ能使‖v‖≤γ‖u‖成立,其中u∈Λ,γ是有理數(shù)。
1.3抗碰撞哈希函數(shù)族
定義4抗碰撞hash函數(shù)族[23]。對(duì)于DR和整數(shù)m,Euclid Math OneHAp(R,D,m)={ha:ha()=·,∈Rm,∈Dm}是hash函數(shù)族。 等式ha()=·=∑ii成立,其中=(1,…,m),=(1,…,m)且全部的計(jì)算均為環(huán)R=Euclid ExtrabBpp[x]/〈xn+1〉中的運(yùn)算。
此時(shí),給定抗碰撞hash函數(shù)族Euclid Math OneHAp(R,D,m)中的一個(gè)hash函數(shù)h,對(duì)于任意的,∈Rm和∈Euclid ExtraaBp,函數(shù)h滿足以下兩個(gè)性質(zhì):
h(+)=h()+h()(2)
h()=h()(3)
成立。
定義5碰撞問題(Col(h,D))。對(duì)于DR和一個(gè)給定的哈希函數(shù)h∈Euclid Math OneHAp(R,D,m),碰撞問題的目標(biāo)是找到兩個(gè)滿足h(1)=h(2)的不同向量1,2∈Dm。
對(duì)于任意的(xn+1)-循環(huán)格,碰撞問題Col(h,D)與SVPγ的是一樣困難的。
對(duì)于整數(shù)d,定義D={∈Euclid ExtraaBp:‖‖∞≤d}。Euclid Math OneHAp(R,D,m)如上所述,且mgt;(log p)/(log 2d),p≥4dmn1.5log n,有如下定理:
定理1[19] 給定某個(gè)隨機(jī)的哈希函數(shù)h∈Euclid Math OneHAp(R,D,m),若是存在一個(gè)算法能以不可忽略的概率破解碰撞問題Col(h,D),則必定存在一個(gè)算法能夠破解任意(xn+1)-循環(huán)格Λ上的SVPγ(Λ),其中γ=16dmnlog2n。
1.4統(tǒng)計(jì)距離
定義6可忽略函數(shù)。若有這樣的整數(shù)N,給定所有的常數(shù)c以及ngt;N,均有f(n)lt;n-c成立,則函數(shù)f是可忽略的。通常用negl(n)表示可忽略函數(shù)。
定義7統(tǒng)計(jì)距離。設(shè)X和Y是有限域S中的兩個(gè)隨機(jī)變量,則變量X和Y之間的統(tǒng)計(jì)距離可被定義為
Δ(X,Y)=12∑x∈S|Pr[X=x]-Pr[Y=x]|(4)
若X和Y兩者間的統(tǒng)計(jì)距離Δ(X,Y)lt;negl(n),則稱X與Y之間統(tǒng)計(jì)不可區(qū)分。
2基于身份的可鏈接環(huán)簽名
2.1一般性定義
一個(gè)基于身份的可鏈接環(huán)簽名方案在一般情況下都是由五個(gè)多項(xiàng)式時(shí)間算法(setup、extract、ringSign、verify和link)構(gòu)成:
a)系統(tǒng)設(shè)置setup(n)。隨機(jī)化算法,由密鑰生成器KGC執(zhí)行。該算法輸入安全參數(shù)n,得到公共參數(shù)PP和主私鑰MSK。
b)私鑰提取extract(PP,ID,MSK)。隨機(jī)化算法,由KGC執(zhí)行。該算法輸入PP、用戶身份信息ID和MSK,得到用戶ID對(duì)應(yīng)的私鑰SKID。
c)環(huán)簽名ringSign(PP,μ,ID,U,SKID)。隨機(jī)化算法,執(zhí)行者是簽名用戶。該算法輸入PP、待簽名消息μ、環(huán)U、簽名者ID∈U以及對(duì)應(yīng)的SKID,得到μ對(duì)應(yīng)的環(huán)簽名Sig。
d)驗(yàn)證算法verify(PP,U,μ,Sig):確定性算法,由驗(yàn)證用戶執(zhí)行。該算法輸入公共參數(shù)PP、環(huán)U、消息μ及對(duì)應(yīng)的環(huán)簽名Sig,驗(yàn)證通過返回“1”,不通過返回“0”。
e)鏈接算法link ((μ1,Sig1),(μ2,Sig2))。由驗(yàn)證者執(zhí)行,該算法輸入兩組消息—簽名對(duì)(μ1,Sig1)和(μ2,Sig2),如果它們是由同一簽名者在同一事件上生成的,則輸出“l(fā)ink”;否則輸出“unlink”。
可鏈接環(huán)簽名的正確性表現(xiàn)為簽名正確性和鏈接正確性。
簽名正確性是指如果輸出的是合法的簽名Sig,驗(yàn)證算法verify輸出“0”的概率是可忽略的,即
Pr\"0\"←verify(PP,U,μ,Sig)PP,MSK←setup(n)
SKID←extract(PP,ID,MSK)
Sig←ringSign(PP,μ,ID,U,SKID)≤negl(n)
鏈接正確性是指對(duì)于元組(μ1,Sig1)和(μ2,Sig2),如果它們是由同一簽名者在同一事件上生成的,則鏈接算法link輸出“unlink”的概率是可忽略的,即
Pr\"unlink\"←link(μ1,Sig1),(μ2,Sig2)PP,MSK←setup(n)
SKID←extract(PP,ID,MSK)
Sig1←ringSign(PP,μ1,ID,U1,SKID)
Sig2←ringSign(PP,μ2,ID,U2,SKID)≤negl(n)
2.2安全模型
安全的IBLRS方案需滿足以下性質(zhì)[24]。
定義8匿名性。考慮以下敵手Euclid Math OneAAp和挑戰(zhàn)者Euclid Math OneCAp間的游戲模擬。
a)初始化(setup)。輸入n,Euclid Math OneCAp執(zhí)行setup算法以獲取PP、MPK和MSK并將PP和MPK發(fā)送給Euclid Math OneAAp。
b)詢問(query)。Euclid Math OneAAp可以進(jìn)行以下詢問:
(a)私鑰詢問(extract query)。Euclid Math OneAAp向Euclid Math OneCAp遞交一個(gè)用戶身份信息ID,Euclid Math OneCAp運(yùn)行算法extract返回與ID相應(yīng)的私鑰SKID。
(b)簽名詢問(sign query)。Euclid Math OneAAp向Euclid Math OneCAp提交一個(gè)環(huán)U={ID1,ID2,…,IDl},用戶身份信息IDiU,待簽名消息μ,Euclid Math OneCAp調(diào)用ringSign算法對(duì)消息進(jìn)行簽名并返回對(duì)應(yīng)的簽名Sig給敵手Euclid Math OneAAp。
c)挑戰(zhàn)(challenge)。完成以上查詢過程之后,Euclid Math OneAAp遞交消息μ*,環(huán)U*以及兩個(gè)用戶身份信息ID0和ID1,其中ID0,ID1U*,Euclid Math OneCAp隨機(jī)選擇b∈{0,1},執(zhí)行算法ringSign,用IDb對(duì)應(yīng)的私鑰簽名消息μ和環(huán)U,輸出一個(gè)環(huán)簽名Sig*給Euclid Math OneAAp。
d)猜測(cè)(guess)。b*∈{0,1}是Euclid Math OneAAp得到的對(duì)隨機(jī)數(shù)b的推測(cè),若b*=b,則Euclid Math OneAAp取得游戲的勝利。
敵手Euclid Math OneAAp在上述游戲模型中的優(yōu)勢(shì)定義為AdvanonEuclid Math OneAAp(n)=|Pr[b*=b]-1/2|,若是這個(gè)優(yōu)勢(shì)對(duì)于任意多項(xiàng)式時(shí)間的Euclid Math OneAAp來說都是可忽略的,那么這個(gè)基于身份的可鏈接環(huán)簽名方案滿足匿名性。
定義9強(qiáng)存在性不可偽造性。考慮以下敵手Euclid Math OneAAp和挑戰(zhàn)者Euclid Math OneCAp之間的游戲模擬。
a)初始化(setup)。輸入n,Euclid Math OneCAp運(yùn)行setup算法以獲取PP、MPK和MSK并將PP和MPK發(fā)送給敵手Euclid Math OneAAp。
b)詢問(query)。Euclid Math OneAAp可以進(jìn)行以下詢問:
(a)哈希詢問(hash query)。敵手Euclid Math OneAAp向挑戰(zhàn)者Euclid Math OneCAp提交消息μ和環(huán)U,Euclid Math OneCAp返回相應(yīng)的哈希值。
(b)私鑰詢問(extract query)。敵手Euclid Math OneAAp向挑戰(zhàn)者Euclid Math OneCAp提交消息用戶身份信息ID,Euclid Math OneCAp運(yùn)行算法extract返回ID相應(yīng)的私鑰SKID。
(c)簽名詢問(sign query)。敵手Euclid Math OneAAp向挑戰(zhàn)者Euclid Math OneCAp提交一個(gè)環(huán)U={ID1,ID2,…,IDl},用戶身份信息IDiU和待簽名消息μ,Euclid Math OneCAp調(diào)用環(huán)簽名算法ringSign對(duì)消息進(jìn)行簽名并返回對(duì)應(yīng)的簽名Sig給敵手Euclid Math OneAAp。
c)偽造(forge)。敵手Euclid Math OneAAp輸出(μ*,U*,Sig*),如果滿足以下條件:
(a)Euclid Math OneAAp之前未發(fā)起過對(duì)(μ*,U*)的簽名查詢;
(b)U*中任一成員的私鑰未被Euclid Math OneAAp查詢過;
(c)verify(PP,μ*,U*,Sig*)=1。
則Euclid Math OneAAp成功偽造簽名并贏得游戲。
Euclid Math OneAAp在上述模擬游戲中的優(yōu)勢(shì)定義為AdvforgeEuclid Math OneAAp(n)=Pr[verify(PP,μ*,U*,Sig*)=1],若這個(gè)優(yōu)勢(shì)對(duì)于任意Euclid Math OneAAp來說都是可忽略的,則稱這個(gè)基于身份的可鏈接環(huán)簽名方案滿足強(qiáng)存在性不可偽造性。
定義10可鏈接性。考慮以下敵手Euclid Math OneAAp和挑戰(zhàn)者Euclid Math OneCAp之間的游戲模擬。
a)初始化(setup)。輸入n,Euclid Math OneCAp運(yùn)行setup算法以獲取PP、MPK和MSK并將PP和MPK發(fā)送給敵手Euclid Math OneAAp。
b)詢問(query)。Euclid Math OneAAp可以進(jìn)行以下詢問:
(a)哈希詢問(hash query)。敵手Euclid Math OneAAp向挑戰(zhàn)者Euclid Math OneCAp提交消息μ和環(huán)U,Euclid Math OneCAp返回相應(yīng)的哈希值。
(b)私鑰詢問(extract query)。敵手Euclid Math OneAAp向挑戰(zhàn)者Euclid Math OneCAp提交消息用戶身份信息ID,Euclid Math OneCAp運(yùn)行算法extract返回ID相應(yīng)的私鑰SKID。
(c)簽名詢問(sign query)。敵手Euclid Math OneAAp向挑戰(zhàn)者Euclid Math OneCAp提交一個(gè)環(huán)U={ID1,ID2,…,IDl},用戶身份信息IDiU和待簽名消息μ,Euclid Math OneCAp調(diào)用環(huán)簽名算法ringSign對(duì)消息進(jìn)行簽名并返回對(duì)應(yīng)的簽名Sig給敵手Euclid Math OneAAp。
c)偽造(forge)。最后,敵手Euclid Math OneAAp輸出元組(μ*1,U*1,Sig*1)和(μ*2,U*2,Sig*2),如果滿足以下條件:
(a)Euclid Math OneAAp之前未發(fā)起過對(duì)(μ*1,U*1)和(μ*2,U*2)的簽名查詢;
(b)U*中任一成員的私鑰未被Euclid Math OneAAp查詢過;
(c)Euclid Math OneAAp至多擁有一個(gè)用戶的私鑰;
(d)verify(PP,μ*i,U*i,Sig*i)=1, i∈{1, 2};
(e)link(Sig1,Sig2)= “unlink”。
則Euclid Math OneAAp贏得游戲。
Euclid Math OneAAp在上述模擬游戲中的優(yōu)勢(shì)定義為AdvlinkEuclid Math OneAAp(n)=Pr[Euclid Math OneAAp wins the game],若是這個(gè)優(yōu)勢(shì)對(duì)于任意Euclid Math OneAAp來說都是可忽略的,則稱這個(gè)基于身份的可鏈接環(huán)簽名方案滿足可鏈接性。
3格上基于身份的可鏈接環(huán)簽名方案
本章將構(gòu)造格上IBLRS方案,并對(duì)方案進(jìn)行分析。在構(gòu)造方案之前,對(duì)一些變量進(jìn)行說明,如表2所示。
3.1方案構(gòu)造
a)setup(n)。給定安全參數(shù)n,n是2的次冪,m=log n,d=mn1.5log n,pgt;4d2且滿足p=3 mod 8為素?cái)?shù)。 當(dāng)ngt;4時(shí),可以驗(yàn)證不等式mgt;(log p)/(log 2d)和p≥4dmn1.5log n成立。從Euclid Math OneHAp(R,D,m)中隨機(jī)選擇一個(gè)hash函數(shù)h。選擇一個(gè)隨機(jī)預(yù)言函數(shù)H:{0,1}*→Dh。從Dms隨機(jī)選取,C←R,計(jì)算S=h()。輸出PP={n,m,p,C,D,Dh,Ds,Dz,h,H}、MPK=S和MSK=。
b)extract (PP,ID,MSK)。輸入PP、MSK和用戶身份信息ID∈{0,1}*,進(jìn)行如下計(jì)算:
(a)隨機(jī)選取ID←Dm并計(jì)算QID=h(ID);
(b)計(jì)算=H(ID,QID)和ID=+ID;
(c)如果IDDmz,返回步驟(a);
(d)輸出滿足ID∈Dmz和h(ID)=S+QID(其中=H(ID,QID))的ID,用戶身份信息ID對(duì)應(yīng)的私鑰是skID=ID。
c)ringSign (PP,μ,ID,skID,U)。設(shè)環(huán)U={ID1,ID2,…,IDl}。輸入PP,待簽名消息μ∈{0,1}*,簽名者身份信息IDj(j∈[l])以及對(duì)應(yīng)的簽名私鑰skIDj。簽名過程如下:
(a)計(jì)算鏈接標(biāo)簽I=H(C,skIDj);
(b)隨機(jī)選取j←Dms(其中j∈l)并計(jì)算Y=h(j);
(c)計(jì)算=H(μ,U,Y,IDj)和j=j+skIDj;
(d)如果jDmz,則返回步驟(a);
(e)輸出簽名Sig=(1,2,…,l,I,Y)。
d)verify(PP,U,μ,Sig)。給定PP,Sig=(1,2,…,l,I,Y),μ和U={ID1,ID2,…,IDl}。當(dāng)且僅當(dāng)j∈Dmz且h(j)=Y+S+QID(其中=H(μ,U,Y,ID),=H(ID,QID))成立時(shí),返回“1”;否則返回“0”。
e)link(σU1(μ1), σU2(μ2))。輸入兩個(gè)環(huán)簽名σU1(μ1)=(1,2,…,l,I1,Y)和σU2(μ2)=(1,2,…,l,I2,Y)。如果簽名σU1(μ1)和σU2(μ2)都是有效的并且I1=I2,則輸出“l(fā)ink”;否則輸出“unlink”。
3.2正確性
下面將從簽名正確性和鏈接正確性兩個(gè)方面證明以上方案的正確性。
a)簽名正確性。由文獻(xiàn)[25]中的推論6.2可知,任意∈Dmz,有Pr←Dh[+∈Dmz]=1/e-ο(1)成立,在之前的參數(shù)設(shè)定中,有DzD,所以ID∈D。由j←Dms和∈Dh可知,j=j+skIDj的概率為1/e-ο(1)。
由此可知,j∈Dmz成立的概率是不可忽略的。簽名的正確性可由以下等式驗(yàn)證:
h(j)=h(j+skID)=h(j++ID)=
h(j)+h()+h(ID)=h(j)+h()+h(ID)=
Y+S+QID
b)鏈接正確性。本文考慮兩個(gè)簽名σU2(μ2)=(1,2,…,l,I2,Y)和σU2(μ2)=(1,2,…,l′,I2,Y),其中身份信息為IDi∈U1∩U2對(duì)兩條消息μ1和μ2簽名的誠實(shí)用戶是真正的簽名者,那么算法link在驗(yàn)證的過程中一定會(huì)輸出link。也就是說,Pr[I1=I2]=Pr[H(C,skID1)=H(C,skID2)],其中skID1=skID2,意味著Pr[I1=I2]=1。
綜上所述,該方案滿足正確性。
3.3安全性
下面將證明該格上IBLRS方案的安全性。
引理1在隨機(jī)預(yù)言模型下,該基于格的環(huán)簽名方案滿足完全匿名性。
證明根據(jù)匿名性的定義,如果存在多項(xiàng)式時(shí)間敵手Euclid Math OneAAp能以不可忽略的優(yōu)勢(shì)ε贏得定義8中的匿名性游戲,則可構(gòu)造出挑戰(zhàn)者Euclid Math OneCAp調(diào)用Euclid Math OneAAp作為子程序以不可忽略的概率解決SVPγ。Euclid Math OneAAp與Euclid Math OneCAp之間的交互如下。
a)setup。挑戰(zhàn)者Euclid Math OneCAp進(jìn)行如下操作:
(a)確定一個(gè)最大環(huán)用戶集U′={U1,U2,…,Umax},其中max表示最大用戶數(shù)。
(b)挑戰(zhàn)者Euclid Math OneCAp運(yùn)行setup 算法產(chǎn)生公開參數(shù)PP、主公鑰MPK和主私鑰MSK,并將PP和MPK發(fā)送給敵手Euclid Math OneAAp。
b)query。敵手Euclid Math OneAAp可以向挑戰(zhàn)者Euclid Math OneCAp發(fā)起私鑰提取詢問和簽名詢問,假設(shè)敵手Euclid Math OneAAp沒有重復(fù)詢問,Euclid Math OneCAp的回答如下:
(a)extract query。敵手Euclid Math OneAAp向挑戰(zhàn)者Euclid Math OneCAp提交用戶IDiU′,挑戰(zhàn)者Euclid Math OneCAp運(yùn)行私鑰提取算法extract返回IDi對(duì)應(yīng)的私鑰skIDi。
(b)sign query。敵手Euclid Math OneAAp向挑戰(zhàn)者Euclid Math OneCAp提交一個(gè)環(huán)U={ID1,ID2,…,IDl}U′、用戶IDiU、待簽名消息μ以及對(duì)應(yīng)的私鑰skIDi。挑戰(zhàn)者Euclid Math OneCAp調(diào)用環(huán)簽名算法ringSign對(duì)消息進(jìn)行簽名并返回簽名Sig給Euclid Math OneAAp。
c)challenge。完成查詢后,Euclid Math OneAAp向Euclid Math OneCAp提交一個(gè)消息μ*、環(huán)U*={ID1,ID2,…,IDl}以及兩個(gè)用戶IDi0,IDi1U*,挑戰(zhàn)者Euclid Math OneCAp隨機(jī)選擇b∈{0,1},運(yùn)行簽名算法ringSign用IDib對(duì)應(yīng)的私鑰對(duì)(μ*,U*)進(jìn)行環(huán)簽名并返回簽名Sig*給敵手Euclid Math OneAAp。
d)guess。敵手Euclid Math OneAAp輸出對(duì)b的猜測(cè)b*∈{0,1}。
下面說明可以忽略敵手Euclid Math OneAAp贏得此游戲的優(yōu)勢(shì)AdvanonEuclid Math OneAAp(n)=|Pr[b*=b]-1/2|=ε。只需要證明挑戰(zhàn)者Euclid Math OneCAp用IDib的私鑰SKib計(jì)算的環(huán)簽名Sig*=(*1,*2,…,*l,I*,Y*)與用IDi1-b的私鑰SKi1-b計(jì)算的環(huán)簽名Sig′=(1′,2′,…,l′,I′,Y′)是統(tǒng)計(jì)不可區(qū)分的即可。
定理2[25]如果從Dms均勻隨機(jī)選取一個(gè),則存在另一個(gè)′∈Dms,有概率1-2-Ω(nlogn)滿足等式h()=h(′)。對(duì)于任意h∈Euclid Math OneHAp(R,D,m)、消息μ和任意,′∈Dms使得h()=h(′),本文有
Δ((,),(′,′))=n-ω(1)(5)
由定義7和定理2可知Sig*且Sig′是不可區(qū)分的,所以該方案滿足完全匿名性。
引理2如果存在一個(gè)多項(xiàng)式時(shí)間敵手Euclid Math OneAAp能夠以不可忽略的概率ε輸出一個(gè)本方案的有效偽造簽名,那么利用Euclid Math OneAAp的能力,可以構(gòu)造出一個(gè)挑戰(zhàn)者Euclid Math OneCAp,能夠以至少[(1-e-1)/2t]ε的概率獲得Col(h,D)問題的一個(gè)解。其中,e是自然對(duì)數(shù),t是允許敵手進(jìn)行hash詢問的最大次數(shù)。
證明根據(jù)強(qiáng)存在性不可偽造性的定義,假設(shè)存在多項(xiàng)式時(shí)間敵手Euclid Math OneAAp能以不可忽略的優(yōu)勢(shì)ε輸出本方案的一個(gè)有效偽造簽名,那么本文可以構(gòu)造出挑戰(zhàn)者Euclid Math OneCAp能夠以不可忽略的概率求解Col(h,D)問題。Euclid Math OneAAp與Euclid Math OneCAp之間的交互如下。
a)setup。挑戰(zhàn)者Euclid Math OneCAp進(jìn)行如下操作:
(a)確定一個(gè)最大環(huán)用戶集U′={U1,U2,…,Umax},其中max表示最大用戶數(shù)。
(b)挑戰(zhàn)者Euclid Math OneCAp運(yùn)行setup 算法產(chǎn)生公開參數(shù)PP、主公鑰MPK和主私鑰MSK,并將PP和MPK發(fā)送給敵手Euclid Math OneAAp。
b)query。 敵手Euclid Math OneAAp可以向挑戰(zhàn)者Euclid Math OneCAp發(fā)起一系列的哈希詢問和簽名詢問,假設(shè)敵手Euclid Math OneAAp沒有重復(fù)詢問,Euclid Math OneCAp的回答如下:
(a)hash query。挑戰(zhàn)者Euclid Math OneCAp維護(hù)兩個(gè)初始均為空的列表L1和L2,列表L1的元組為(IDi,QIDi,i),列表L2的元組為(μi,IDi,U,Yi,i)。敵手Euclid Math OneAAp隨機(jī)選取l個(gè)向量i←Dms,i∈[l],隨后向挑戰(zhàn)者Euclid Math OneCAp提交一個(gè)消息μi、環(huán)U={ID1,ID2,…,IDl}和身份信息IDi進(jìn)行詢問。當(dāng)敵手Euclid Math OneAAp對(duì)(IDi,QIDi)進(jìn)行哈希詢問時(shí),Euclid Math OneCAp檢查列表L1,假如(IDi,QIDi,i)存在,則直接將i返回給Euclid Math OneAAp;否則,Euclid Math OneCAp隨機(jī)返回i給Euclid Math OneAAp,并在列表L1中添加(IDi,QIDi,i)。當(dāng)敵手Euclid Math OneAAp對(duì)(μi,IDi,Yi)進(jìn)行哈希詢問時(shí),Euclid Math OneCAp檢查列表L2,假如(μi,IDi,U,Yi,i)存在,則直接將i返回給Euclid Math OneAAp;否則,Euclid Math OneCAp隨機(jī)返回i給Euclid Math OneAAp,并在列表L2中添加(μi,IDi,U,Yi,i)。
(b)extract query。挑戰(zhàn)者Euclid Math OneCAp維護(hù)初始為空的列表L3,列表L3的元組為(IDi,skIDi,QIDi,i)。當(dāng)敵手Euclid Math OneAAp對(duì)(IDi,QIDi,i)進(jìn)行私鑰提取詢問時(shí),Euclid Math OneCAp檢查列表L3,假如(IDi,skIDi,QIDi,i)存在,則直接將(skIDi,QIDi)返回給Euclid Math OneAAp;否則,Euclid Math OneCAp隨機(jī)選擇skIDi∈Dmz并計(jì)算QIDi=h(skIDi)-Si,其中i從哈希詢問中獲得,返回(skIDi,QIDi)給Euclid Math OneAAp,并在列表L1和L3中分別添加(IDi,QIDi,i)和(IDi,skIDi,QIDi,i)。
(c)sign query。挑戰(zhàn)者Euclid Math OneCAp維護(hù)初始為空的列表L4,列表L4的元組為(μi,IDi,U,Yi,i,I,i)。敵手Euclid Math OneAAp隨機(jī)選取l個(gè)向量i←Dms,i∈[l],隨后向挑戰(zhàn)者Euclid Math OneCAp提交一個(gè)消息μi、環(huán)U={ID1,ID2,…,IDl}和身份信息IDiU進(jìn)行詢問。當(dāng)敵手Euclid Math OneAAp對(duì)(μi,IDi,U)進(jìn)行簽名詢問時(shí),Euclid Math OneCAp檢查列表L4,假如(μi,IDi,U,Yi,i,I,i)存在,則直接將(Yi,i)返回給Euclid Math OneAAp;否則,Euclid Math OneCAp檢查列表L3,如果(IDi,skIDi,QIDi,i)不存在,則對(duì)(IDi,QIDi,i)進(jìn)行私鑰提取詢問以獲得與IDi對(duì)應(yīng)的(skIDi,QIDi)。接下來,Euclid Math OneCAp隨機(jī)選擇i←Dms(i∈l),并計(jì)算Yi=h(i)和i=ii+skIDi,其中i從哈希詢問中獲得。最后,Euclid Math OneCAp返回(μi,IDi,U,i)給Euclid Math OneAAp,并在列表L2和L4中分別添加(μi,IDi,U,Yi,i)和(μi,IDi,U,Yi,i,I,i)。
c)forge。敵手Euclid Math OneAAp完成上述詢問后以不可忽略的概率ε輸出(μ*,U*,*,*)這樣一個(gè)有效偽造簽名。其中,敵手Euclid Math OneAAp從未發(fā)起過對(duì)(μ*,U*,ID*,sk*ID)的簽名查詢,也未查詢過U*中任一用戶的私鑰。
文獻(xiàn)[26,27]中的分叉引理表明,Euclid Math OneAAp能輸出兩個(gè)有效偽造簽名(μ*,U*,*1,*1)和(μ*,U*,*2,*2)的概率ε*≥(1-e-1)/(2t)ε不可忽略,且滿足*1≠*2。
在這樣的情況下,h(*1)=Y** + S*1 + QID*且h(*2)=Y** + S*2 + QID*。從而h(*1-MSK*1)=h(*2-MSK*2)成立的概率不小于1/2。因此,能夠以ε*·1/2≥(1-e-1)/(2t)ε的概率得到關(guān)于h的碰撞。
若敵手Euclid Math OneAAp成功得到一個(gè)本方案的有效偽造簽名,那么挑戰(zhàn)者Euclid Math OneCAp就能求解出Col(h,D)問題。根據(jù)1.3節(jié)中的定理1和3.3節(jié)中的引理2,本方案滿足強(qiáng)存在不可偽造性。
引理3若方案不可偽造,則該方案滿足可鏈接性。
證明根據(jù)可鏈接性的定義,假設(shè)存在多項(xiàng)式時(shí)間敵手Euclid Math OneAAp能以不可忽略的優(yōu)勢(shì)ε贏得定義10中的可鏈接性模擬游戲。Euclid Math OneAAp與Euclid Math OneCAp之間的交互如下。
a)setup。挑戰(zhàn)者Euclid Math OneCAp執(zhí)行如下操作:
(a)確定一個(gè)最大環(huán)用戶集U′={U1,U2,…,Umax},其中max表示最大用戶數(shù)。
(b)挑戰(zhàn)者Euclid Math OneCAp運(yùn)行setup 算法產(chǎn)生公開參數(shù)PP、主公鑰MPK和主私鑰MSK,并將PP和MPK發(fā)送給敵手Euclid Math OneAAp。
b)query。 敵手Euclid Math OneAAp可以向挑戰(zhàn)者Euclid Math OneCAp發(fā)起一系列詢問,假設(shè)敵手Euclid Math OneAAp沒有重復(fù)詢問,Euclid Math OneCAp的回答如下:
(a)hash query。敵手Euclid Math OneAAp對(duì)IDi發(fā)起哈希詢問時(shí),Euclid Math OneCAp返回i和i給Euclid Math OneAAp。
(b)extract query。敵手Euclid Math OneAAp對(duì)IDi進(jìn)行私鑰提取詢問,Euclid Math OneCAp返回skIDi給Euclid Math OneAAp。
(c)sign query。敵手Euclid Math OneAAp向挑戰(zhàn)者Euclid Math OneCAp提交一個(gè)消息μi、環(huán)U={ID1,ID2,…,IDl}和身份信息IDiU進(jìn)行詢問,Euclid Math OneCAp返回(Y,Ii,i)給Euclid Math OneAAp。
c)forge。敵手Euclid Math OneAAp完成上述詢問后輸出σU1(μ1)=(1,2,…,l,I1,Y)和σU2(μ2)=(1,2,…,l,I2,Y)。
分析:假設(shè)敵手Euclid Math OneAAp在只擁有一個(gè)私鑰的情況下能夠以不可忽略的概率ε生成兩個(gè)環(huán)簽名σU1(μ1)和σU2(μ2),并且verify(PP,μi,σUi(μi),Ui)總是輸出1。由于本方案不可偽造,所以,當(dāng)敵手Euclid Math OneAAp按照規(guī)則誠實(shí)地輸出簽名σU1(μ1)和σU2(μ2)時(shí),這兩個(gè)簽名才能通過驗(yàn)證算法并輸出1。換句話說,有I1=H(C,skID1)和I2=H(C,skID2),Euclid Math OneAAp只擁有一個(gè)私鑰,即skID1=skID2,則隨機(jī)預(yù)言機(jī)H有相同的輸出,即I1=I2。表明簽名σU1(μ1)和σU2(μ2)經(jīng)鏈接算法link驗(yàn)證時(shí)會(huì)輸出link,這與定義10中的假設(shè)矛盾,Euclid Math OneAAp贏得游戲的優(yōu)勢(shì)AdvlinkEuclid Math OneAAp(n)是可忽略的,所以方案是可鏈接的。
3.4效率分析
本節(jié)將主要從時(shí)間開銷和存儲(chǔ)開銷兩方面比較本方案與現(xiàn)有的幾個(gè)方案的效率并分析,比較對(duì)象為文獻(xiàn)[6,21,22]中的方案。
四種方案的時(shí)間開銷比較結(jié)果如表3所示,其中l(wèi)表示環(huán)成員數(shù),TTG、TSP、TSD、TBD、TLHL和TMV分別表示算法TrapGen、SamplePre、SampleDom、BasisDel,剩余哈希定理(LHL)和矩陣向量之間操作的平均時(shí)間消耗,主要對(duì)主密鑰輸出(MK)、用戶密鑰輸出(UK)、簽名輸出(Sig)和驗(yàn)證(Ver)等過程的耗時(shí)進(jìn)行分析。在MK方面,本方案和文獻(xiàn)[22]中方案涉及基于身份的密碼體制,文獻(xiàn)[22]使用陷門生成算法生成主密鑰,時(shí)間開銷是TTG。本文方案不涉及陷門生成算法,時(shí)間開銷為TMV。文獻(xiàn)[6,21]的方案不是基于身份的方案,因此不存在該部分時(shí)間開銷。在UK方面,本文的方案使用一個(gè)耗時(shí)較短的hash函數(shù)來輸出公鑰,然后進(jìn)行簡(jiǎn)單的矩陣向量之間運(yùn)算來輸出私鑰。因此,可以忽略公鑰的輸出時(shí)間,而私鑰的生成時(shí)間為TMV。對(duì)于文獻(xiàn)[6,21]方案,用戶公鑰是通過隨機(jī)選擇的矩陣和向量的標(biāo)量乘法生成的。文獻(xiàn)[6]中的方案的私鑰是使用LHL產(chǎn)成的,文獻(xiàn)[21]中的方案利用SampleDom算法生成私鑰。文獻(xiàn)[22]中的方案使用一個(gè)耗時(shí)較短的哈希函數(shù)來生成用戶的公鑰,并調(diào)用SamplePre算法來生成用戶的私鑰。因此,用戶密鑰生成需要TSP。在Sig方面,本文的方案生成的簽名是Sig=(1,2,…,l,I,Y),執(zhí)行矩陣和向量的乘法操作即可。經(jīng)過比較,本文方案的簽名生成時(shí)間開銷遠(yuǎn)小于其他三種方案。在Ver方面,只需要矩陣和向量的乘法操作。經(jīng)過比較,該方案的簽名驗(yàn)證效率比其他三種參考方案更高。
四種方案的存儲(chǔ)開銷比較結(jié)果如表4所示,其中l(wèi)表示環(huán)成員數(shù)。主要分析公鑰、私鑰和簽名的大小。在公鑰方面,本文的方案對(duì)用戶的身份信息執(zhí)行哈希操作輸出一個(gè)n維列向量作為用戶的公鑰。文獻(xiàn)[6]方案進(jìn)行n×(m-1)維矩陣和(m-1)維列向量的乘法運(yùn)算生成n維列向量作為用戶公鑰。文獻(xiàn)[21]方案進(jìn)行n×m維矩陣和m維列向量的乘法運(yùn)算生成n維列向量作為用戶公鑰。文獻(xiàn)[22]的方案對(duì)用戶的身份信息執(zhí)行哈希操作輸出一個(gè)n維的列向量作為用戶公鑰。在私鑰方面,本方案的用戶私鑰是通過矩陣向量之間的標(biāo)量乘法計(jì)算的,是一個(gè)m維列向量。文獻(xiàn)[6]方案通過調(diào)用BasisDel算法和SamplePre 算法,生成為m×k維矩陣作為私鑰。文獻(xiàn)[21]的方案通過調(diào)用LHL,輸出(m-1)維列向量作為私鑰。文獻(xiàn)[22]的方案通過調(diào)用SamplePre算法生成m維列向量作為私鑰。在簽名大小方面,本方案生成的簽名中的向量i(i=1,2,…,l)和Y都是m維的列向量。分析結(jié)果表明,本方案在簽名大小上優(yōu)于其他方案。
設(shè)置參數(shù)n=8,m=640,q=232=4 294 967 296,k=6,實(shí)驗(yàn)環(huán)境為Windows 10操作系統(tǒng)、AMD Ryzen 5 4600U with Radeon Graphics 2.10 GHz處理器,編譯環(huán)境為Python 3.9、JetBrains PyCharm 2018.1.3 x64,在此條件下進(jìn)行仿真實(shí)驗(yàn)。表5和6為參考方案及本方案在環(huán)成員數(shù)分別為8、32、128的情況下的時(shí)間開銷和存儲(chǔ)開銷對(duì)比結(jié)果,由于公鑰和私鑰尺寸不受環(huán)成員數(shù)影響,此處存儲(chǔ)開銷為簽名尺寸的對(duì)比。圖1為實(shí)驗(yàn)結(jié)果對(duì)比圖,其中(a)~(c)分別表示環(huán)成員數(shù)為8、32、128的結(jié)果圖。綜合分析,本方案較其他三個(gè)參考方案在時(shí)間開銷和存儲(chǔ)開銷上均有所提升。
4結(jié)束語
基于格的環(huán)簽名的研究具有巨大的潛力和廣闊的前景。然而,現(xiàn)有的大多數(shù)基于格的環(huán)簽名方案都存在計(jì)算效率低、存儲(chǔ)開銷大等缺陷。與此同時(shí),基于身份的可鏈接環(huán)簽名實(shí)現(xiàn)了基于身份的密碼體制和環(huán)簽名技術(shù)的結(jié)合,有效地減小了系統(tǒng)開銷浪費(fèi)問題。同時(shí),為了應(yīng)對(duì)抵抗量子算法攻擊的潛在風(fēng)險(xiǎn),本文的方案結(jié)合了格密碼學(xué)中的SVP難題,對(duì)其求解難度等價(jià)于循環(huán)格上碰撞問題的求解,在方案的構(gòu)造過程中沒有使用抽樣算法和陷門算法,均為矩陣向量之間的簡(jiǎn)單乘法運(yùn)算,這極大程度地降低了計(jì)算復(fù)雜度,減少了各步驟的運(yùn)行時(shí)間和降低了存儲(chǔ)開銷。在隨機(jī)預(yù)言模型下,給出了嚴(yán)格的安全證明,方案滿足匿名性、不可偽造性和可鏈接性。與現(xiàn)有的方案相比,該方案的效率在各方面都得到了提升。
參考文獻(xiàn):
[1]Diffie W,Hellman M. New directions in cryptography [J]. IEEE Trans on Information Theory,1976,22(6): 644-654.
[2]Rivest R L,Shamir A,Tauman Y. How to leak a secret [C]// Advances in Cryptology—ASIACRYPT. Cambridge,MA: Laboratory for Computer Science,Massachusetts Institute of Technology,2001: 552-565.
[3]Forum B. GHash. IO and double-spending against BetCoin Dice [EB/OL]. (2020-07-23) [2022-04-26]. https://bitcointalk. org/index. php?topic=327767. 0.
[4]Liu J K,Wei V K,Wong D S. Linkable spontaneous anonymous group signature for Ad hoc groups [C]//Proc of Australasian Conference on Information Security and Privacy. Berlin: Springer,2004: 325-335.
[5]Torres W A,Kuchta V,Steinfeld R,et al. Lattice RingCT V2. 0 with multiple input and multiple output wallets [J]. IACR Cryptology ePrint Archive,2019,11547: 156-175.
[6]Alberto T W A,Steinfeld R,Sakzad A,et al. Post-quantum one-time linkable ring signature and application to ring confidential transactions in blockchain (Lattice RingCT v1. 0) [C]// Proc of Australasian Conference on Information Security and Privacy. Cham: Springer,2018: 558-576.
[7]Shen N,Mackenzie A. Ring confidential transactions [J]. Ledger,2016,1: 1-18.
[8]Sun S F,Au M H,Liu J K,et al. RingCT 2. 0: a compact accumulator-based (linkable ring signature) protocol for blockchain cryptocurrency monero [C]//Proc of Computer Security—ESORICS. Cham: Springer,2017: 456-474.
[9]Yuen T H,Sun Shifeng,Liu J K,et al. RingCT 3. 0 for blockchain confidential transaction: shorter size and stronger security [C]//Proc of Financial Cryptography and Data Security. Cham: Springer,2020: 464-483.
[10]Chow S,Susilo W,Yuen T H. Escrowed linkability of ring signatures and its applications [C]// Progress in Cryptology-VIETCRYPT. Berlin: Springer,2006: 175-192.
[11]Jeong I R,Kwon J O,Dong H L. Analysis of revocable-iff-linked ring signature scheme [J]. IEICE Trans on Fundamentals of Electro-nics,Communications and Computer Sciences,2009,92(1): 322-325.
[12]Ajtai M. Generating hard instances of lattice problems (extended abstract) [C]// Proc of the 28th Annual ACM Symposium on Theory of Computing. New York: ACM Press,1996: 99-108.
[13]Regev O. Lattice-based cryptography [C]// Advances in Cryptology-CRYPTO. Berlin: Springer,2006: 131-141.
[14]Gentry C,Peikert C,Vaikuntanathan V. Trapdoors for hard lattices and new cryptographic constructions [C]// Proc of the 40th Annual ACM Symposium on Theory of Computing.New York:ACM Press,2008: 197-206.
[15]Wang Fenghe,Hu Yupu,Wang Chunxiao. A lattice-based ring signature scheme from Bonsai trees [J]. Journal of Electronics and Information Technology,2010,32(10): 2400-2403.
[16]Wang Jin,Sun Bo. Ring signature schemes from lattice basis delegation [C]//Proc of Information and Communications Security the 13th International Conference. Berlin: Springer,2011: 15-28.
[17]Zhang Lili,Ma Yanqin. A lattice-based identity-based proxy blind signature scheme in the standard model [J]. Mathematical Problems in Engineering,2014 (1): article ID 307637.
[18]Lai R W F,Cheung H,Chow S. Trapdoors for ideal lattices with applications [C]//Proc of Information Security and Cryptology. Cham: Springer,2015: 239-256.
[19]Lyubashevsky V. Fiat-Shamir with aborts: applications to lattice and factoring-based signatures [C]//Proc of International Conference on Theory and Application of Cryptology and Information Security. Berlin: Springer,2009: 598-616.
[20]Lyubashevsky V. Lattice signatures without trapdoors [C]// Advances in Cryptology—EUROCRYPT. Berlin: Springer,2012: 738-755.
[21]Baum C,Lin H,Oechsner S. Towards practical lattice-based one-time linkable ring signatures [C]// Proc of Information and Communications Security. Cham: Springer,2018: 303-322.
[22]湯永利,夏菲菲,葉青,等. 格上基于身份的可鏈接環(huán)簽名 [J]. 密碼學(xué)報(bào),2021,8(2): 232-247. (Tang Yongli,Xia Feifei,Ye Qing,et al. Identity-based linkable ring signature on lattice [J]. Journal of Cryptologic Research,2021,8(2): 232-247.)
[23]Lyubashevsky V,Micciancio D. Generalized compact knapsacks are collision resistant [C]// Proc of Automata,Languages and Programming. Berlin: Springer,2006: 144-155.
[24]Micciancio D. Generalized compact knapsacks,cyclic lattices,and efficient one-way functions [J]. Computational Complexity,2007,16(4): 365-411.
[25]Lyubashevsky V. Towards practical lattice-based cryptography [D]. San Diego: University of California at San Diego,2008.
[26]Pointcheval D,Stern J. Security arguments for digital signatures and blind signatures [J]. Journal of Cryptology,2000,13(3): 361-396.
[27]Bellare M,Neven G. Multi-signatures in the plain public-key model and a general forking lemma [C]// Proc of the 13th ACM Conference on Computer and Communications Security. New York: ACM Press,2006: 390-399.
收稿日期:2022-03-08;修回日期:2022-05-05基金項(xiàng)目:國家自然科學(xué)基金資助項(xiàng)目(61163049);貴州省自然科學(xué)基金資助項(xiàng)目(黔科合J字(7641))
作者簡(jiǎn)介:劉夢(mèng)情(1996-),女,江西高安人,碩士研究生,主要研究方向?yàn)槊艽a學(xué);汪學(xué)明(1965-),男(通信作者),安徽績(jī)溪人,教授,碩導(dǎo),博士,主要研究方向?yàn)閿?shù)據(jù)挖掘、無線與移動(dòng)通信、協(xié)議分析與模型檢測(cè)、密碼學(xué)與信息安全(gs_xmwang@163.com).
