查看“︁群签名”︁的源代码

'''群签名方案'''是一种类似于数字签名的密码原语，其目的在于允许用户代表群[[数字签名|签名]]消息，并在该群内保持匿名。也就是说，看到签名的人可以用公钥验证该消息是由该群成员发送的，但不知道是哪一个。同时，用户不能滥用这种匿名行为，因为群管理员可以通过使用秘密信息(密钥)来消除（恶意）用户的匿名性。例如，大公司里的雇员可以使用群签名方案对消息进行签名，其中验证者知道消息是由他们公司里的雇员签名的就足够了，不需要知道是由哪个特定雇员签名的；该方案的另一个应用：通过识别卡(keycard)认证进入受限区域，在受限区域中不适合跟踪单个成员的移动，但必须确保只有该群的成员才能进入。

群签名方案的关键是“群管理员”，它负责添加群成员，并能够在发生争议时揭示签名者身份。在一些系统中，添加成员和撤销签名匿名性的责任被分开，并分别赋予给群管理员和撤销管理员。虽然学术界已经提出了许多群签名方案，但所有方案都应该满足基本的安全性要求<ref>{{Cite journal|title=A practical and provably secure coalition-resistant group signature scheme|last=Ateniese|first=Giuseppe|last2=Camenisch|first2=Jan|date=2000|journal=LNCS|volume=1880|pages=255–270|last3=Joye|first3=Marc|last4=[[Gene Tsudik]]}}</ref>

== 历史 ==
1991年，Chaum 和 Heyst首次提出群签名的概念<ref>{{Cite journal|title=Convertible group signatures|url=https://link.springer.com/chapter/10.1007/BFb0034857|last=Kim|first=Seung Joo|last2=Park|first2=Sung Jun|date=1996-11-03|journal=Advances in Cryptology — ASIACRYPT '96|publisher=Springer, Berlin, Heidelberg|doi=10.1007/BFb0034857|series=Lecture Notes in Computer Science|pages=311–321|language=en|isbn=9783540618720|last3=Won|first3=Dong Ho|access-date=2018-05-20|archive-date=2018-05-20|archive-url=https://web.archive.org/web/20180520124232/https://link.springer.com/chapter/10.1007/BFb0034857|dead-url=no}}</ref>。从那时起，越来越多的协议被引入，并在这个模型上加入了类似于数字签名的非伪造性的概念，当然也包括更具体的概念，如废除<ref>{{Cite journal|title=Some Open Issues and New Directions in Group Signatures|url=https://link.springer.com/chapter/10.1007/3-540-48390-X_15|last=Ateniese|first=Giuseppe|last2=Tsudik|first2=Gene|date=1999-02-22|journal=Financial Cryptography|publisher=Springer, Berlin, Heidelberg|doi=10.1007/3-540-48390-X_15|series=Lecture Notes in Computer Science|pages=196–211|language=en|isbn=354048390X|access-date=2018-05-20|archive-date=2018-05-21|archive-url=https://web.archive.org/web/20180521020846/https://link.springer.com/chapter/10.1007/3-540-48390-X_15|dead-url=no}}</ref>。直到Bellare，Micciancio和Warinschi才提出了一个更精确的正式模型，这个模型如今被用于群签名方案的工程实现<ref>{{Cite web|url=https://cseweb.ucsd.edu/~mihir/papers/gs.html|title=https://cseweb.ucsd.edu/~mihir/papers/gs.html|accessdate=2018-05-20|work=cseweb.ucsd.edu|archive-date=2017-12-19|archive-url=https://web.archive.org/web/20171219234613/http://cseweb.ucsd.edu/~mihir/papers/gs.html|dead-url=no}}</ref>

== 定义 ==
群签名方案实现一般由下列四个可行的算法组成：初始化，签名，验证和打开。

# '''初始化过程'''：系统参数选取，输入安全参数''λ''和''N''，返回公钥''gpk''和私钥''gsk''以及私钥对<math>\mathsf{gsk}[d]</math>,对应于用户''d''的私钥和打开密钥''ok''。
# '''签名过程'''： 输入密钥<math>\mathsf{gsk}[d]</math>和消息''m''，返回签名''σ''。
# '''验证过程'''： 以公钥''gpk''和消息''m''，签名''σ''作为输入，以布尔值返回验证结果
# '''打开过程'''： 以打开密钥 ''ok''，消息''m''，签名 ''σ''作为输入，返回用户身份''d''或者错误结果''错误''。
真实的消息签名的验证将返回true，如下所示：
<center><math>\forall m, (gpk, gsk) \gets Init(\lambda, N) : \mathsf{Verify}\left( gpk, m, \mathsf{Sign}(\mathsf{gsk}[d], m) \right) = \mathsf{true} </math></center>

== 安全性要求<ref>{{Cite book|title=现代密码学概论|last=潘|first=森杉|last2=仲|first2=红|publisher=清华大学出版社|year=2017|isbn=9787302461470|location=北京|pages=160}}</ref> ==

* '''完整性'''： 群成员的有效签名始终验证正确，无效签名则始终验证失败。
* '''不可伪造性'''： 只有群成员才能创建有效的群签名。
* '''匿名性'''： 给定一个群签名后，如果没有群管理员的密钥，则无法确定签名者的身份，至少在计算上是不可行的。
* '''可跟踪性'''： 给定任何有效的签名，群管理员应该能够确定签名者的身份。 (这也暗示了只有群管理员才能破坏其匿名性) 
* '''不关联性'''： 给定两个消息及其签名，我们无法判断签名是否来自同一签名者。
* '''无框架'''： 即使所有其他群成员相互串通(包括和管理员串通)，他们也不能为非群成员伪造签名。
* '''不可伪造的跟踪验证'''： 撤销管理员不能错误地指责签名者创建了他本没有创建的签名。
* '''抗合谋攻击'''： 即使所有群成员相互串通，他们也不能产生一个合法的不能被跟踪的群签名。

== 最新研究 ==
目前最新的群签名方案技术包括：ACJT 2000<ref name=ACJT2000>{{cite journal | title = A Practical and Provably Secure Coalition-Resistant Group Signature Scheme | first1 = Giuseppe | last1 = Ateniese | first2 = Jan | last2 = Camenisch | first3 = Marc | last3 = Joye | first4 = Gene | last4 = Tsudik | journal = Advances in Cryptology - CRYPTO 2000 | year = 2000 | volume = 1880 | series = Lecture Notes in Computer Science | pages = 225–270 | url = http://www.zurich.ibm.com/security/publications/2000/ACJT2000.pdf | accessdate = 24 June 2012 | archive-date = 2013-05-13 | archive-url = https://web.archive.org/web/20130513184503/http://www.zurich.ibm.com/security/publications/2000/ACJT2000.pdf | dead-url = no }}</ref>、BBS04<ref name="BBS04">{{cite journal | title=Short Group Signatures | last1=Boneh | first1=Dan | last2=Boyen | first2=Xavier | last3=Shacham | first3=Hovav | journal=Advances in Cryptology - CRYPTO 2004 | year=2004 | pages=227–242 | url=http://crypto.stanford.edu/~dabo/papers/groupsigs.pdf | accessdate=24 June 2012 | publisher=Springer | issn=0302-9743 | archive-date=2012-07-17 | archive-url=https://web.archive.org/web/20120717054331/http://crypto.stanford.edu/~dabo/papers/groupsigs.pdf | dead-url=no }}</ref>和BS04（在CCS中）。（非完整列表）

Boneh，Boyen和Shacham于2004年发表的 ''短群签名'' 描述了一种基于双线性映射的新型群签名方案。<ref name="BBS04" /> 该方案中的签名大约是标准RSA签名的大小(约200字节)。其安全性在[[隨機預言機|随机预言机]]中得到证明，并依赖于强Diffie-Hellman假设(SDH) 和一个在双线性群(bilinear groups)中的新假设：{{Link-en|Decision Linear assumption|Decision Linear assumption}} (DLin)。

Bellare, Micciancio 和Warinschi给出了针对{{Link-en|可证明安全性|Provable_security}}的更加正式的定义<ref name="bmw03">{{cite journal | url = http://cseweb.ucsd.edu/~daniele/papers/BMW.html | title = Foundations of Group Signatures: Formal Definition, Simplified Requirements and a Construction Based on General Assumptions | first1 = Mihir | last1 = Bellare | first2 = Daniele | last2 = Micciancio | first3 = Bogdan | last3 = Warinschi | journal = Advances in Cryptology - Eurocrypt 2003 | location = Warsaw, Poland | date = May 2003 | publisher = Springer | pages = 614–629 | series = Lecture Notes in Computer Science | volume = 2656 | access-date = 2018-05-20 | archive-date = 2013-09-14 | archive-url = https://web.archive.org/web/20130914080355/http://cseweb.ucsd.edu/~daniele/papers/BMW.html | dead-url = no }}</ref>。

== 参考文献 ==
<references />

== 扩展阅读 ==
* {{Cite journal|title=Group signatures|url=https://cs.uwaterloo.ca/~bssadjad/courses/crypto/group_signature_chaum.pdf|last=Chaum|first=David|last2=van Heyst|first2=Eugene|year=1991|series=[[Lecture Notes in Computer Science]]|volume=547|pages=257–265}}{{Dead link|date=October 2017|fix-attempted=yes}}
* {{Cite journal|title=A Group Signature Scheme Based on an RSA-Variant|url=http://www.brics.dk/RS/98/27/BRICS-RS-98-27.pdf|last=Camenisch|first=Jan|last2=Michels|first2=Markus|year=1998|issn=0909-0878|journal=|access-date=2018-05-20|archive-date=2019-06-22|archive-url=https://web.archive.org/web/20190622174322/https://www.brics.dk/RS/98/27/BRICS-RS-98-27.pdf|dead-url=no}}
* {{Cite journal|title=Foundations of Group Signatures: The Case of Dynamic Groups|url=http://www-cse.ucsd.edu/users/mihir/papers/dgs.html|last=M. Bellare|last2=H. Shi|publisher=Springer-Verlag|year=2005|series=Lecture Notes in Computer Science|volume=3376|last3=C. Zhang|journal=|access-date=2018-05-20|archive-date=2009-02-15|archive-url=https://web.archive.org/web/20090215112434/http://www-cse.ucsd.edu/users/mihir/papers/dgs.html|dead-url=no}}
* {{Cite journal|title=Foundations of Group Signatures: Formal Definition, Simplified Requirements and a Construction Based on General Assumptions|url=http://www-cse.ucsd.edu/users/mihir/papers/gs.html|last=Bellare|first=Mihir|last2=Micciancio|first2=Daniele|date=May 2003|journal=Advances in Cryptology - Eurocrypt 2003|publisher=Springer|series=Lecture Notes in Computer Science|location=Warsaw, Poland|volume=2656|pages=614–629|last3=Warinschi|first3=Bogdan|access-date=2018-05-20|archive-date=2009-02-15|archive-url=https://web.archive.org/web/20090215112449/http://www-cse.ucsd.edu/users/mihir/papers/gs.html|dead-url=no}}
* {{Cite journal|title=Identity Escrow|url=http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.21.6420|last=Kilian|first=Joe|last2=Petrank|first2=Erez|authorlink2=Erez Petrank|year=1998|series=Lecture Notes in Computer Science|volume=1462|pages=169–185|journal=|access-date=2018-05-20|archive-date=2013-07-03|archive-url=https://web.archive.org/web/20130703144009/http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.21.6420|dead-url=no}}

{{Portal|密码学}}
[[Category:公钥密码学]]
[[Category:密碼原語]]