Aggregate Signatures with Versatile Rand

目录

with and - Multi- .

CCS 2023

笔记

该文件讨论了在去中心化环境中对高效匿名凭证 （AC） 系统的需求，例如自我主权身份。它强调了提供来自不同颁发者的多个凭据的挑战，以及颁发者隐藏以保护隐私的重要性。该文档介绍了颁发者隐藏多颁发机构匿名凭证 （IhMA），并介绍了两种基于新签名原语的结构：具有可随机化标签和公钥的聚合签名，以及聚合 签名。作者提供了可证明的安全和有效的IhMA结构，并相信这些原语将具有超越IhMA的应用。该文档还讨论了聚合签名的重要性，并介绍了具有可随机化标签和公钥的基于标签的聚合签名。作者为这些方案提供了严格的安全模型和实例化。

大意：

后续的研究方向

提高效率：探索进一步优化所提结构效率的方法，例如减少计算开销或提高通信复杂性。

正式安全分析：对拟建结构进行严格的正式安全分析，以确保其抵御各种攻击和漏洞的能力。

可扩展性增强：研究增强颁发者隐藏多颁发机构匿名凭证的可扩展性的技术，从而在不影响性能的情况下允许更多的颁发者和属性。

隐私保护协议：开发隐私保护协议，这些协议可以与拟议的结构结合使用，以增强用户隐私并在凭证颁发和验证过程中保护敏感信息。

实际实施：在实际场景中实施所提出的结构，以评估其在生产环境中的实用性、可用性和性能。

互操作性和标准化：探索确保拟议结构的互操作性和标准化的方法，实现与现有系统和框架的无缝集成。

后量子安全：研究所提出的结构对量子攻击的弹性，并探索将其调整为后量子安全的可能性。

可用性和用户体验：专注于提高所提出结构的可用性和用户体验，使其对发行人和验证者都更加直观和用户友好。

隐私增强技术：探索整合其他隐私增强技术，如零知识证明或安全多方计算，以进一步增强拟议建筑的隐私保障。

跨领域应用：研究所提出的结构在匿名凭证以外的各个领域的适用性，例如安全消息传递、去中心化身份系统或隐私保护数据共享。

摘要

匿名凭据（AC）在以用户为中心的身份管理中提供隐私。它们允许用户匿名进行身份验证，只显示必要的属性。随着自我主权身份等去中心化系统的兴起，对去中心化环境中高效交流系统的需求也在增长。然而，依赖于传统的AC系统，用户在从不同的发卡机构获得证书时需要出示独立的证书，这导致了复杂性的增加。AC系统理想情况下应支持多个权威机构，以便有效地呈现来自不同发行人的多个凭证。另一个重要特性是发行人隐藏，确保发行人的身份被隐藏，只显示出遵守了验证者的政策。这可以防止基于凭证颁发者的唯一组合的唯一标识。到目前为止，还不存在同时满足这两种性质的AC方案。

本文介绍了利用两种新的签名原语：具有随机标签和公钥的聚合签名和聚合签名的发卡机构隐藏多权威匿名证书（IhMA）。基于这些基元，我们提供了两种具有不同权衡的IhMA结构，并相信它们将具有超越IhMA的应用。除了为我们的原语定义符号和严格的安全定义外，我们还提供了可证明的安全和高效的构造，并提供了展示实际效率的基准。

引言

身份验证和授权是数字世界中至关重要的安全任务。它们旨在确保通信合作伙伴是其声称的合作伙伴，并加强对服务等数字资源的访问控制。一个核心概念是数字身份，它可以被视为代表数字领域中（真实世界）实体的属性集合（例如，姓名、年龄、国籍、性别等）。

在互联网上，一种被广泛采用的做法是让中央身份提供商（IdP），例如谷歌或Meta，来维护用户的数字身份。然后，其他服务可以简单地依赖于IdP提供的身份。然而，从隐私的角度来看，这是有问题的，因为用户失去了对其数字身份的控制（他们的所有属性都位于IdP），并且IdP了解用户在互联网上消费的所有服务（以及与使用相关的数据）。

早在20世纪80年代，Chaum[24，25]就设想了加密技术，用于创建更隐私友好和以用户为中心的身份验证和授权解决方案。它们让用户控制自己的身份，并允许用户以不可链接且无法追踪的方式选择性地披露有关其数字身份的信息（即属性）。这种技术通常被称为匿名证书（AC），对构建这种AC系统的不同方法进行了大量研究[2，3，12，17-20，27，32，35，39，49，52，54]。

虽然早期的AC系统，如U-Prove[51]和[22]，没有得到广泛采用，但如今相关技术，如直接匿名认证（DAA）[14，15]和增强隐私ID（EPID）[13]，已部署在数十亿台设备中。最近，AC在流行的信号信使中被采用来实现私人团体[23]。他们也看到越来越受欢迎匿名令牌的形式（具有私有或公共元数据位）[31，42，56]。应用程序包括IETF（ Pass[31]和 [45]）标准化的DDoS保护的私人浏览，或的，用于从私人收集客户端遥测数据。

去中心化身份

与集中式IdP一样，到目前为止提到的所有AC解决方案都处于集中式设置中，即称为颁发者的单一方正在向用户颁发凭据。然而，今天我们看到了一种趋势，即从这种集中的环境转向去中心化的身份。去中心化身份空间中一个流行的概念是自我主权身份（SSI），就是一个突出的例子。在SSI中，用户从不同的来源收集经过验证的属性（称为可验证凭据），然后呈现该集合中的可验证凭据（子集）。在W3C中，这种可验证证书概念的标准化越来越受到推动，未来的欧洲数据基础设施（Gaia-X）或欧洲区块链服务基础设施（EBSI）等大型机构正在采用这种方法。

在W3C的可验证凭证计划中，还观察到与隐私相关的功能很重要。特别是AC系统的众所周知的特征，例如支持选择性公开和证明关于属性的断言。为了在W3C中实现这一功能，旨在将其建立在BBS+签名方案的基础上，这是一个众所周知的AC构建块，目前在IETF9中被标准化为BBS变体[58]。

去中心化环境中的隐私

上述方法允许在用户想要显示由单个方颁发的单个可验证凭证的设置中保护隐私。然而，对于去中心化的设置，通常需要显示来自不同发行人的可验证证书集合的子集，因此出现了如何有效实现这一点的问题。一种简单的方法是使用所有必需的可验证凭据进行并行凭据显示。然而，除了效率降低之外，这也会影响隐私。特别是，每个可验证的凭证都会揭示提供大量上下文部分信息的确切颁发者，例如，某个国家颁发的护照或某个州颁发的驾驶执照会揭示地理信息。在许多情况下，这可能会高度侵犯隐私，并破坏SSI系统的目标[10]。因此，希望能够以这样一种方式显示凭证，即只显示凭证来自验证者可接受的更大的一组发行人之一。最近的一组独立作品介绍了一种为AC系统提供这种功能的特性，称为发布者隐藏[6，10，27]。虽然这是解决上述隐私问题的一步，但这些作品只考虑单个发行人，因此还不适合多个发行人的去中心化环境。

分散环境中的AC

由于它们不是直接可比的，因为它们要么只是阈值，要么需要专门的基础设施（即透明日志、拜占庭系统或区块链）和[49]的TDAC，而且由于等人[36]、等人[57]、等人[33]和等人[53]，我们没有足够的空间讨论去中心化环境中的现有方法。

最后，也是最相关的，我们想讨论Hébant和[40]的工作。作者介绍了（可追踪的）多权威匿名证书（MA AC）的概念。粗略地说，他们实现MA AC的方法基于具有可随机化标签的所谓聚合签名，并允许将不同发行人的证书显示（但关于同一标签）聚合为一个紧凑的显示。由于签名和标签的随机性，有可能产生不可链接的显示。此外，标签组件具有表示用户秘密的秘密部分。虽然这是一个有趣的概念，但它并没有提供一种有效的方式来提供发布者隐藏（IH）功能[6，10，27]。有一种明显的通用方法可以使用简洁的NIZK（即zk-SNARK），并证明聚合签名在颁发者密钥的子集下验证给定的属性，而不透露哪些属性。虽然这可以导致渐近紧凑的解决方案，但由于验证密钥的大小（它们的大小为G3+2每个2个是属性的最大数量（类型））和[40]中的验证方程的复杂性，该验证方程是用zk-SNARK证明的。然而，如[6]（在结构2中）所述，切换到通过获得的非简洁型NIZK，将导致尺寸的非紧凑显示( · )具有是在聚合显示中使用的发布者的数量（即使忽略了与未显示的属性相对应的证明的大小）。

在本文中，我们的目标是有效地结合这些功能，并提出第一个AC系统，该系统专门设计用于同时提供多权限和发卡机构隐藏功能。

聚合签名

Boneh等人在[9]中引入的聚合签名允许组合多个签名对于消息和相关的公钥vk转换为单个签名,对整个消息集进行身份验证，而不是公钥集。理想情况下，聚合签名的长度与单个签名相同，因此允许将一组签名压缩为单个签名。

在压缩证书链或在区块链中聚合签名等场景中，此原语在优化存储和带宽以及最大限度地减少加密开销方面很有价值。已经提出了许多不同的变体[4，8，38，50]，我们将简要介绍一些相关方案。[44]中研究的顺序聚合要求签名者顺序交互。[1]中检查的同步聚合假设签名者之间同步，以便在每个时间段内每个签名者最多只贡献一个签名。[40]中引入的索引或基于标记的聚合签名允许在不同公钥下聚合不同消息的签名，如果它们共享相同的标记或索引。这些特征对于构建AC系统是有用的。

不幸的是，现有的聚合签名方案并不明确地具有使其适合于的设计的性质具有先进性能的高效分散式交流系统。我们将通过引入具有随机化签名、标签、（消息）和验证密钥能力的聚合（结构保留）签名来缩小这一差距。

贡献 具有随机化功能的聚合签名

实现我们目标的关键技术是引入具有可随机化标签和公钥的基于标签的聚合签名。我们进一步扩展了它们，以额外支持类似于等价类签名（SPSEQ）功能的消息随机化[35]。对于这两种类型的方案，我们都提供了严格的形式安全模型以及在该模型中可证明安全的实例。更确切地说，我们介绍：

具有可随机化密钥和标签的聚合签名（简称），其中签名与标签（由私有和公共部分组成）相关联，并且可以聚合关于同一标签的签名。除了签名，验证密钥和标签也可以随机化。标签和验证密钥是根据等价类和这些类的代表之间的随机化切换来定义的。11然后，现有的签名可以适用于在随机化公钥和标签下进行验证的签名。我们提供了一个基于众所周知的-（PS）签名的AtoSa方案[52]。PS签名已经成为各种隐私保护原语的基础，如群签名和匿名证书[52]、可编辑[54，55]或动态可延展签名[5]。它们非常高效，具有有趣的功能，例如支持盲签名，即对已提交（隐藏）消息的签名，以及证明其知识的有效方法。

具有随机标签的聚合签名（ATMS）扩展了AtoSa的功能，以支持消息的随机性，即类似于（SPSEQ）的消息的等效类。这意味着除了AtoSa之外，现有签名还可以适用于在随机化消息（即消息类的其他代表）下进行验证。因此，我们获得了一个版本的签名[30]，它既可聚合，又具有可随机化的标签。据我们所知，这是第一个保留聚合结构的签名（此外还有第一个可聚合的SPSEQ）。我们提供了一种受[29]中消息索引SPS启发的ATMS结构，该结构本身就是的SPS[37]方案的变体。

我们施工的限制。我们应该提到，与标准聚合签名相比，我们的构造1）要么要求在请求第一个签名之前知道所有聚合消息和相应的验证密钥，要么2）做出与同步聚合签名相同的假设[1，41]。特别是，根据我们的设置，后者意味着每个颁发者都确保每个标签只有一个签名发布。我们将介绍基于第一种方法的结果，并讨论第二种方法的自适应（不会更改任何接口或安全定义和证明）。由于我们的主要应用程序是匿名凭据，因此根据具体的应用程序场景，可以选择第一种方法或第二种方法。在没有任何上述假设的情况下获得完全动态的签名仍然是一个有趣的悬而未决的问题。

与其他类型的具有随机化特征的签名一样，我们也希望我们的方案能在这里提出的方案之外找到应用。

颁发者隐藏多机构匿名凭据

我们提出了一个严格的形式化模型，用于发布者隐藏多权威匿名证书（IhMA）。然后，我们分别提出了两种基于AtoSa（称为）和ATMS（称为）的构造，其中两者都是具体非常有效的，但提供了一些权衡（如下所述）。因此，这代表了对AC领域的重要贡献，因为它提供了一种解决方案，可以解决多机构（去中心化）环境中用户隐私和可扩展性的挑战。在我们的结构中，获得凭证相当于从一组具有不同属性但在相同标签下的颁发者那里获得所需属性的签名（这可以被认为是凭证方案中的用户身份）。简单地显示相当于随机化来自应该显示的发布者的签名以及标签并聚合它们。最后，提供聚合签名，打开（的子集）属性，或者在它们上证明谓词以及秘密标记部分的知识证明。

支持颁发者隐藏功能[7，27]的工作原理大致如下：每个验证器生成一个所谓的密钥策略，该策略定义了一组颁发者（通过他们的验证密钥），验证器将从中接受（聚合）证书。此策略是AtoSa或验证密钥上的SPSEQ签名的集合。由于SPSEQ（消息空间）的等价类与AtoSa和ATMS的密钥等价类匹配，因此显示凭证如上所述工作，但是AtoSa或ATMS的所有验证密钥都是随机化的，并且密钥策略中的各个SPSEQ签名相应地被适配。

对于方案，我们使用等人的框架，而不是直接对属性进行签名。[35]。这里，签名方案用于对属性集的集合承诺进行签名。此外，为了证明这种构造的匿名性，作为一种额外的贡献，我们引入了Boyen[11]对决策超假设族的推广，以及一个交互式版本。然而，使用这种方法并不简单，因为我们必须做出与ATMS的消息空间兼容的承诺。虽然和有一个共同的目标，但结构上的差异需要在功能和效率方面进行某些权衡：

凭证大小：方案可以产生固定大小的凭证，而方案在不使用签名的零知识知识证明（ZKPOK）的情况下无法实现这一点。

•效率：与方案相比，方案在显示和验证凭据方面更高效。

•需要可信方：方案需要可信方，而方案不需要。这是因为依赖于受信任方来持有活板门以产生设定的承诺，而不需要这样的受信任方。

•表达性：支持从每个发行人的一组属性中揭示一个子集属性，即每个发行人选择性披露。方案仅支持每个凭证的单个属性。因此，它只支持对所有发行人进行选择性披露。然而，这两种方案都允许在签名消息上证明任意谓词。

总体而言，具体结构的选择取决于用例或应用程序的具体情况以及整个系统中设置的优先级。