群签名

群签名方案是一种类似于数字签名的密码原语，其目的在于允许用户代表群签名消息，并在该群内保持匿名。也就是说，看到签名的人可以用公钥验证该消息是由该群成员发送的，但不知道是哪一个。同时，用户不能滥用这种匿名行为，因为群管理员可以通过使用秘密信息(密钥)来消除（恶意）用户的匿名性。例如，大公司里的雇员可以使用群签名方案对消息进行签名，其中验证者知道消息是由他们公司里的雇员签名的就足够了，不需要知道是由哪个特定雇员签名的；该方案的另一个应用：通过识别卡(keycard)认证进入受限区域，在受限区域中不适合跟踪单个成员的移动，但必须确保只有该群的成员才能进入。

群签名方案的关键是“群管理员”，它负责添加群成员，并能够在发生争议时揭示签名者身份。在一些系统中，添加成员和撤销签名匿名性的责任被分开，并分别赋予给群管理员和撤销管理员。虽然学术界已经提出了许多群签名方案，但所有方案都应该满足基本的安全性要求^[1]

历史

1991年，Chaum 和 Heyst首次提出群签名的概念^[2]。从那时起，越来越多的协议被引入，并在这个模型上加入了类似于数字签名的非伪造性的概念，当然也包括更具体的概念，如废除^[3]。直到Bellare，Micciancio和Warinschi才提出了一个更精确的正式模型，这个模型如今被用于群签名方案的工程实现^[4]

定义

群签名方案实现一般由下列四个可行的算法组成：初始化，签名，验证和打开。

初始化过程：系统参数选取，输入安全参数λ和N，返回公钥gpk和私钥gsk以及私钥对 ${\mathsf {gsk}}[d]$ ,对应于用户d的私钥和打开密钥ok。
签名过程：输入密钥 ${\mathsf {gsk}}[d]$ 和消息m，返回签名σ。
验证过程：以公钥gpk和消息m，签名σ作为输入，以布尔值返回验证结果
打开过程：以打开密钥 ok，消息m，签名 σ作为输入，返回用户身份d或者错误结果错误。

真实的消息签名的验证将返回true，如下所示：

\forall m,(gpk,gsk)\gets Init(\lambda ,N):{\mathsf {Verify}}\left(gpk,m,{\mathsf {Sign}}({\mathsf {gsk}}[d],m)\right)={\mathsf {true}}

安全性要求^[5]

完整性：群成员的有效签名始终验证正确，无效签名则始终验证失败。
不可伪造性：只有群成员才能创建有效的群签名。
匿名性：给定一个群签名后，如果没有群管理员的密钥，则无法确定签名者的身份，至少在计算上是不可行的。
可跟踪性：给定任何有效的签名，群管理员应该能够确定签名者的身份。 (这也暗示了只有群管理员才能破坏其匿名性)
不关联性：给定两个消息及其签名，我们无法判断签名是否来自同一签名者。
无框架：即使所有其他群成员相互串通(包括和管理员串通)，他们也不能为非群成员伪造签名。
不可伪造的跟踪验证：撤销管理员不能错误地指责签名者创建了他本没有创建的签名。
抗合谋攻击：即使所有群成员相互串通，他们也不能产生一个合法的不能被跟踪的群签名。

参考文献

^ Ateniese, Giuseppe; Camenisch, Jan; Joye, Marc; Gene Tsudik. A practical and provably secure coalition-resistant group signature scheme. LNCS. 2000, 1880: 255–270.
^ Kim, Seung Joo; Park, Sung Jun; Won, Dong Ho. Convertible group signatures. Advances in Cryptology — ASIACRYPT '96. Lecture Notes in Computer Science (Springer, Berlin, Heidelberg). 1996-11-03: 311–321 [2018-05-20]. ISBN 9783540618720. doi:10.1007/BFb0034857. （原始内容存档于2018-05-20）（英语）.
^ Ateniese, Giuseppe; Tsudik, Gene. Some Open Issues and New Directions in Group Signatures. Financial Cryptography. Lecture Notes in Computer Science (Springer, Berlin, Heidelberg). 1999-02-22: 196–211 [2018-05-20]. ISBN 354048390X. doi:10.1007/3-540-48390-X_15. （原始内容存档于2018-05-21）（英语）.
^ https://cseweb.ucsd.edu/~mihir/papers/gs.html. cseweb.ucsd.edu. [2018-05-20]. （原始内容存档于2017-12-19）.
^ 潘, 森杉; 仲, 红. 现代密码学概论. 北京: 清华大学出版社. 2017: 160. ISBN 9787302461470.
^ Ateniese, Giuseppe; Camenisch, Jan; Joye, Marc; Tsudik, Gene. A Practical and Provably Secure Coalition-Resistant Group Signature Scheme (PDF). Advances in Cryptology - CRYPTO 2000. Lecture Notes in Computer Science. 2000, 1880: 225–270 [24 June 2012]. （原始内容存档 (PDF)于2013-05-13）.
^ ^7.0 ^7.1 Boneh, Dan; Boyen, Xavier; Shacham, Hovav. Short Group Signatures (PDF). Advances in Cryptology - CRYPTO 2004 (Springer). 2004: 227–242 [24 June 2012]. ISSN 0302-9743. （原始内容存档 (PDF)于2012-07-17）.
^ Bellare, Mihir; Micciancio, Daniele; Warinschi, Bogdan. Foundations of Group Signatures: Formal Definition, Simplified Requirements and a Construction Based on General Assumptions. Advances in Cryptology - Eurocrypt 2003. Lecture Notes in Computer Science (Warsaw, Poland: Springer). May 2003, 2656: 614–629 [2018-05-20]. （原始内容存档于2013-09-14）.

扩展阅读

Chaum, David; van Heyst, Eugene. Group signatures (PDF). Lecture Notes in Computer Science 547: 257–265. 1991. ^{[永久失效連結]}
Camenisch, Jan; Michels, Markus. A Group Signature Scheme Based on an RSA-Variant (PDF). 1998 [2018-05-20]. ISSN 0909-0878. （原始内容存档 (PDF)于2019-06-22）.
M. Bellare; H. Shi; C. Zhang. Foundations of Group Signatures: The Case of Dynamic Groups. Lecture Notes in Computer Science 3376. Springer-Verlag. 2005 [2018-05-20]. （原始内容存档于2009-02-15）.
Bellare, Mihir; Micciancio, Daniele; Warinschi, Bogdan. Foundations of Group Signatures: Formal Definition, Simplified Requirements and a Construction Based on General Assumptions. Advances in Cryptology - Eurocrypt 2003. Lecture Notes in Computer Science (Warsaw, Poland: Springer). May 2003, 2656: 614–629 [2018-05-20]. （原始内容存档于2009-02-15）.
Kilian, Joe; Petrank, Erez. Identity Escrow. Lecture Notes in Computer Science 1462: 169–185. 1998 [2018-05-20]. （原始内容存档于2013-07-03）.

[1] Ateniese, Giuseppe; Camenisch, Jan; Joye, Marc; Gene Tsudik. A practical and provably secure coalition-resistant group signature scheme. LNCS. 2000, 1880: 255–270.

[2] Kim, Seung Joo; Park, Sung Jun; Won, Dong Ho. Convertible group signatures. Advances in Cryptology — ASIACRYPT '96. Lecture Notes in Computer Science (Springer, Berlin, Heidelberg). 1996-11-03: 311–321 [2018-05-20]. ISBN 9783540618720. doi:10.1007/BFb0034857. （原始内容存档于2018-05-20）（英语）.

[3] Ateniese, Giuseppe; Tsudik, Gene. Some Open Issues and New Directions in Group Signatures. Financial Cryptography. Lecture Notes in Computer Science (Springer, Berlin, Heidelberg). 1999-02-22: 196–211 [2018-05-20]. ISBN 354048390X. doi:10.1007/3-540-48390-X_15. （原始内容存档于2018-05-21）（英语）.

[4] ttps://cseweb.ucsd.edu/~mihir/papers/gs.html. cseweb.ucsd.edu. [2018-05-20]. （原始内容存档于2017-12-19）.

[5] 潘, 森杉; 仲, 红. 现代密码学概论. 北京: 清华大学出版社. 2017: 160. ISBN 9787302461470.

[ACJT2000-6] Ateniese, Giuseppe; Camenisch, Jan; Joye, Marc; Tsudik, Gene. A Practical and Provably Secure Coalition-Resistant Group Signature Scheme (PDF). Advances in Cryptology - CRYPTO 2000. Lecture Notes in Computer Science. 2000, 1880: 225–270 [24 June 2012]. （原始内容存档 (PDF)于2013-05-13）.

[BBS04-7] 7.0 ^7.1 Boneh, Dan; Boyen, Xavier; Shacham, Hovav. Short Group Signatures (PDF). Advances in Cryptology - CRYPTO 2004 (Springer). 2004: 227–242 [24 June 2012]. ISSN 0302-9743. （原始内容存档 (PDF)于2012-07-17）.

[bmw03-8] Bellare, Mihir; Micciancio, Daniele; Warinschi, Bogdan. Foundations of Group Signatures: Formal Definition, Simplified Requirements and a Construction Based on General Assumptions. Advances in Cryptology - Eurocrypt 2003. Lecture Notes in Computer Science (Warsaw, Poland: Springer). May 2003, 2656: 614–629 [2018-05-20]. （原始内容存档于2013-09-14）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

历史

定义

安全性要求[5]

最新研究

参考文献

扩展阅读

安全性要求^[5]