第八章、环签名及其在区块链中的应用.pdf

第八章、环签名及其在区块链中的应用 1 目 录 8.1. 环签名的概念 8.2. 三个经典的环签名算法 8.2.1 RST环签名算法 8.2.2 AOS环签名算法 8.2.3 ZK环签名算法 8.3. 基于国密算法的环签名 8.3.1 基于SM2签名算法的环签名 8.3.2 基于SM9签名算法的环签名 8.4. 环签名在区块链中的应用 2 目 录 8.1. 环签名的概念 8.2. 三个经典的环签名算法 8.2.1 RST环签名算法 8.2.2 AOS环签名算法 8.2.3 ZK环签名算法 8.3. 基于国密算法的环签名 8.3.1 基于SM2签名算法的环签名 8.3.2 基于SM9签名算法的环签名 8.4. 环签名在区块链中的应用 3 8.1 环签名的概念 1. 问题的提出 2001年，Rivest ， Shamir和Tauman在How to Leak a Secret一文中提出了如下问题：  Bob是一个内阁成员，他想向记者揭露首相贪污的情况，他要使记者确信此消息来自一个 内阁成员，同时又不想泄露自己的身份（保证匿名性），以免遭到首相报复.  Bob不能通过用一般的数字签名把消息传给记者，因为虽然记者会相信这个消息来自内阁 成员，但同时会暴露B 的身份；  Bob也不能通过一般的匿名方式把消息传给记者，因为虽然Bob 的身份不会暴露，但记者不 能确信消息来自一个内阁成员，没有理由相信消息是真实的.  群签名也不能解决这个问题，因为群签名的生成需要群成员的合作， 群管理者可以打开签 名.如果群管理者受到首相的控制， Bob 的身份就会暴露. 4 8.1 环签名的概念 1. 问题的提出 在此背景下， Rivest ， Shamir和Tauman提出了环签名的概念，并提出一种新型的基于 RSA 的环签名算法，通常被视为第一个环签名算法. 环签名可以很好的解决以上问题，所有的内阁成员构成一个环，Bob把消息经过环签名后 传给记者， 在不暴露Bob身份的前提下记者可以通过验证环签名的正确性，确信签名来自一个 内阁成员. Rivest R L ， Shamir A ， Tauman Y . How to Leak a Secret[C]// Proceedings of the 7th International Conference on the Theory and Application of Cryptology and Information Security: Advances in Cryptology. Springer ， Berlin ， Heidelberg ， 2001. 5 8.1 环签名的概念 2. 环签名的定义 环签名的概念是2001年Rivest ， Shamir和Tauman三人提出的签名者模糊的数字签名.在环 签名生成过程中，真正的签名者任意选取一组成员（包含它自身）作为可能的签名者，用自 己的私钥和其他成员的公钥对文件进行签名.签名者选取的这组成员称作环(Ring) ，生成的签 名称作环签名(Ring Signature) .环签名主要包含以下三个算法： 密钥生成Gen(PPT算法) ：输入安全参数 ，为每一用户 生成公私钥对( ， ) ，1