了解有關匿名憑據如何工作的全域
我正在嘗試了解匿名憑據系統。我從 Lysyanskaya 的論文開始,它概述瞭如何在給定一些特定原語(簽名方案、承諾等)的情況下建構 AC 系統,然後查看了一些建構這些特定原語的論文。我還遇到了一些不遵循 Lysyanskaya 的“公式”但仍設法形成有效 AC 系統的論文(一篇使用 RSA 假設,一篇使用雙線性對)。
**我可以在每篇論文中從一行到下一行,但我仍然不完全理解是什麼讓它“打勾”。**有人可以提出一種更好地理解這一點的方法嗎?當然,各種假設(配對、離散對數、RSA 等)提供了某種“隱藏”資訊以實現匿名的方式。但是我並沒有真正看到使系統正常工作所需的屬性。
抱歉,如果這個問題含糊不清。有人可以建議做什麼來更好地理解是什麼讓這些系統工作嗎?我看不到這些方案之間的共同點。
我將在下面的回答中嘗試對使用的構造範例給出一些高級直覺。首先,請注意我們區分單顯示和多顯示匿名憑證方案。
對於一個顯示的證書方案,您基本上可以將同一證書的多個顯示相互連結,而顯示與發行是不可連結的。這些方案通常使用盲簽名來實例化(例如 Brands 的憑證方案,或 Baldimtsi 和 Lysanskaya 的匿名憑證燈)。本質上,盲簽名方案是一種互動式協議,其中籤名者不學習已簽名的消息。發行者通常對使用者屬性的承諾的盲版本簽名,然後使用者在展示時使用非盲的、簽名的承諾和知識證明。從非常高級的角度來看,簽名者不學習簽名消息的屬性有助於實現發行和展示之間的不可連結性。
多場演出您基本上擁有的憑證方案即使是同一憑證的多次展示也是不可連結的。這些方案通常使用簽名方案進行實例化,其中籤名可以公開隨機化並且與零知識證明兼容。發行人簽署對屬性的承諾,並在展示時隨機化簽名並證明對簽名和屬性的了解(只有應該顯示的屬性才會被披露)。這種範式最突出的實例是 Camenisch 和 Lysyanskaya 的匿名憑證方案(RSA 變體和配對變體)。最近,Hanser 和 Slamanig 引入了另一種建構多顯示匿名憑證的範例。使用簽名方案,其中籤名和簽名消息可以公開隨機化,連同一個兼容的承諾(即,即使重新隨機化後仍然綁定已送出消息的承諾)。在這裡,發行者對承諾發出簽名並顯示數量,以重新隨機化簽名和簽名消息並打開關於要顯示的屬性的承諾(它們還需要一個簡單的零知識證明來保證新鮮度)。