沒有配對的離散日誌累加器?
這裡 $ g $ 是離散對數組的某個固定生成器。出於效率和 BDH 懷疑的原因,我不希望該組是雙線性的。
有人知道離散對數累加器嗎?我的意思是一些功能 $ f(x, A)\mapsto A’ $ (那是, $ A $ 是累加器值; $ f $ 添加 $ x $ 到累加器,將其值更改為 $ A’ $ ) 使得給定 $ (g^x, A’) $ 任何人都可以檢查是否 $ x $ 被放置在蓄能器中。
所以我粗略地要求一個具有累積元素屬性的累加器 $ x $ 擁有 $ g^x $ 作為證人。
當然。使用強 RSA 假設。蓄能器 $ x_1,\dots,x_k $ 是 $ A = g^{x_1 x_2 \cdots x_k} \bmod n $ , 在哪裡 $ n $ 是 RSA 模數和 $ g $ 是一個固定的基地。證明累加器 $ A $ 包含 $ x $ , 顯示一個值 $ h $ 這樣 $ h^x=A \pmod n $ . 這在強 RSA 假設下是安全的,並且具有離散的對數“感覺”。
看起來 Catalano 和 Fiore 的向量承諾 (VC) 方案之一最接近您的需要$$ 1 $$. 具體來說,基於計算 Diffie Hellman (CDH) 的一種(參見他們論文中的第 3.1 節)。
您也許還可以驗證 $ x $ 使用 $ g^x $ 而不是 $ x $ 如果您可以在 VC 之間使用離散對數相等證明,則它本身 $ {h_i}^x $ 在驗證過程中使用 $ \mathsf{VC.Ver} $ 和你的 $ g^x $ .
**稍後編輯:**我沒有包括基於強 RSA 的累加器,因為您只提到離散日誌作為假設。如果您對強 RSA 沒問題,有一種方法可以檢查已送出的元素是否在累加器中(請參閱Camenisch 和 Lysyanskaya的“動態累加器和用於有效撤銷匿名憑據的應用程序”)。