Page 58 - 《软件学报》2025年第10期

P. 58

陈颖等: 具有用户自主链接及验证者条件撤销的格基群签名 4455

′ ∗ Π L 的零知识性:
中 Π L 由 UCLink 算法计算得出, 这里 S 4 运行模拟协议 S 生成 Π . 根据
p

Adv selfano (λ) ≈ Adv selfano (λ).
Game 4 Game 4
b = 1. 上述游戏 0–5 等价, A 以很大概率不可区分其
Game 5 : 这一游戏与 Game 0 一致, 除了所选择的挑战比特
中任意两个. 因此 GS-UCL-VCR 满足无私匿名性. 证毕.
定理 5. 在随机谕言机模型下, GS-UCL-VCR 满足可追溯性, 当以下条件同时成立: (1) LWR 问题是困难的;
(2) GS-UCL-VCR 满足签名可追溯性.
证明: 首先证明签名可追溯性. 在挑战者 C 和敌手 A 之间建立以下游戏.
Game 0 : 这一游戏与 Game 1 trace 一致.
Game 1 , Game 2 , Game 3 : 与定理 6
证明中的 Game 1 , Game 2 , Game 3 一致.
(
*
∗
∗
∗
∗
∗
∗
我们分析 A 赢得游戏 Game 1 的困难性. 假设 A 可以伪造一个消息-签名对 Σ = Π ,ct ,u ,µ ,nym ,τ ,scp ∗ )
trace
( ( ) )
( ) ∗T
∗
∗
∗
∗
∗
∗
∗
∗
满足 Verify gpk,pp,info ,Σ ,RL = 1. 根据协议 Φ 的可靠性, 证据 x , b , d , j ,w , r , s · r 可以被提取且等式
new j
∗ ∗ ( ∗ ( ∗ ∗ ∗ )) = 1 s.t. ∀ID ∈ reg∪RL,Identity(gpk,ID,Σ ) = 0. 这
∗
⌊Ax⌋ = G 2 · d mod p 成立, 同时 TVerify z new , d , j ,w ,...,w
p A l 1
里, 对于当前有效群成员和已被撤销的群成员其公钥均未被腐化, 因此, x i , x . 考虑以下两种情况.
∗
∗
∗
∗
(1) d < reg : 此时, 说明 d 不在 z new 的累加中而累加器验证算法仍返回 1, 等价于打破了累加器的安全性, 与
前提假设相悖.
(2) d ∈ reg : 此时, ∗ ∗ x i , x ,i ∈ reg , 必定存在:
∗
∗
∗
∗
d =d i ,i ∈ reg . 根据协议 Φ 的可靠性且
∗
Ax i p = G 2 · d i ∧ Ax = G 2 · d ,
∗
p
∗
由此可以推导出 A·(x i − x ) p = 0, 相当于得到了一个 LWR 问题的解. 然而, 对于任意多项式时间内的敌手 A, LWR
问题是困难的. 因此 GS-UCL-VCR 满足签名可追溯性.
( )
∗
接下来证明链接可追溯性. 若方案满足签名可追溯性, 则等价于不存在 Verify gpk,pp,info ,Σ ,RL ∧∀ID ∈
new
∗ Verify. 而链接验证算
ID ∈ reg∪RL,Identity(gpk,ID,Σ ) = 0, 因此由非合法群成员生成的签名不可能通过验签算法
Verify 的过程. 由此 GS-UCL-VCR 亦满足链接可追溯性.
法 VLink 包含了
综上所述, GS-UCL-VCR 满足可追溯性. 证毕.
定理 6. 在随机谕言机模型下, GS-UCL-VCR 满足不可诽谤性, 当以下条件同时成立: (1) 可验证随机函数
LaV 满足唯一性; (2) GS-UCL-VCR 满足可追溯性.
证明: 我们分别从定义 12 中敌手企图赢得不可诽谤性游戏可以采取的两种途径出发进行分析.
情形 1: 伪造签名使其与诚实用户产生的签名相链接 (签名诽谤). 若 GS-UCL-VCR 满足链接可追溯性, 则不
VLink(Σ,nym,Π L ) = 1 s.t. ∃Σ,Σ ∈ Σ : Σ ∈ Σ i ∧Σ < Σ i , 其中, Σ 为诚实用户的历史消息-签名集合, ∗
∗
∗
存在 Σ 为敌手 A
伪造的消息-签名对.
情形 2. 为诚实用户产生一个链接证明, 所涉及的签名均由该用户生成, 但该用户没有产生过该证明, 即证明
本身是伪造的 (链接诽谤). 假设诚实用户所产生的历史消息-签名集合为 Σ, 其私钥 usk = x, 原本该用户可以利用
{ ( ) }
自己的私钥 x 运行用户自主链接算法 Π L = (x) hscp,nym |nym = hscp· x p 对 Σ 产生链接证明 UCLink(Σ,usk) → Π L ,
Σ 生成一个链接证
这里, 其本质是一个可验证随机函数. 若敌手 A 企图为该诚实用户的这一历史消息-签名集合为
∗
∗
∗
明 Π , hscp 容易通过已有信息计算, 由于私钥 x 未被腐化, 则 A 用于伪造证明和伪造聚合假名 nym 的私钥 x , x,
L
( )
∗ ∗ ∗
若 Π 可以满足 VLink Σ,nym ,Π = 1, 存在以下两种情况.
L L
∗
(1) nym = nym: 此时, 容易推导出 hscp·(x−x ) p = 0, 即找到了一个 LWR 问题实例的解. 然而, 对于任意多项
∗
式时间内的敌手 A, LWR 问题是困难的.
∗
(2) nym , nym: 此时, 由于输入 hscp 相同, 对于能够通过链接验证 VLink 的证明 Π L , 其输出是唯一的. 这与可
验证随机函数的唯一性相悖.
因此, GS-UCL-VCR 满足不可诽谤性. 证毕.

53 54 55 56 57 58 59 60 61 62 63