在 Boneh 等人的聚合簽名方案中，使用者是否需要不同？

Boneh 等人。

$$ 1 $$描述一個聚合簽名方案，它允許簽名聚合 $ n $ 來自不同的消息 $ n $ 將不同的使用者合併到一個簡短的簽名中。在他們的描述中，他們非常清楚地指出，消息必須不同以確保協議的安全性。（他們還列出了其他對策。） 然而，雖然論文的摘要可能暗示使用者（即使用的密鑰對）也不同，但對於我研究論文的其餘部分來說，這個“要求”並不清楚。所以基本上我的問題是，如果需要使用者不同，或者當例如單個使用者（具有單個密鑰對）為 $ n $ 然後聚合不同的消息。

$$ 1 $$Boneh，丹等人。“來自雙線性映射的聚合且可驗證的加密簽名。” 密碼技術理論與應用國際會議。Springer，柏林，海德堡，2003 年。http://crypto.stanford.edu/~dabo/papers/agggreg.pdf

您必須詳細查看論文第 6 頁中定義的安全遊戲（特別是段落Response）：

最後， $ \mathcal{A} $ 輸出 $ k − 1 $ 額外的公鑰 $ PK_2,…,PK_k $ . 這裡 $ k $ 最多是 $ N $ ，一個遊戲參數。這些密鑰以及初始密鑰 PK1 將包含在 $ \mathcal{A} $ 的鍛造骨料。 $ \mathcal{A} $ 也輸出消息 $ M_1,…,M_k $ ; 最後，一個聚合簽名 $ \sigma $ 由 $ k $ 使用者，每個人都有他相應的消息。

這意味著對手可以生成除一個之外的所有密鑰。那麼這意味著一個使用者可以訪問除一個密鑰之外的所有密鑰，該方案仍然是安全的。

當然，如果有人可以訪問 $ n $ 密鑰，他可以通過方案的正確性生成所有與他想要的密鑰對應的聚合密鑰。

引用自：https://crypto.stackexchange.com/questions/96635