O(1) 沒有組管理器的 EC 可連結環簽名
我正在尋找一個創建 EC 環簽名的實際範例,其細節級別非常類似於CryptoNote 白皮書中的詳細資訊,但使用 O(1)。我看到了用於 E-voting、E-cash 和 Attestation 的 Short Linkable Ring Signatures,但我不確定兩件事:
- 它真的需要一個小組經理還是我錯過了什麼?我需要一個解決方案,讓簽名者在不需要受信任方的情況下設置簽名。
- 該論文的附錄 A 不包括 SLRS 的設置,我不相信自己的實現,我更喜歡經過一些公眾審查的東西。我正在專門尋找 EC,而不是 RSA。
我將不勝感激任何幫助澄清有關上述論文的這些問題,或者建議一些經過審查的來源以用於另一種實現。
因此,非互動式零知識證明,包括您想要的環簽名零知識證明,在標準模型中是不可能的,正如 Goldreich 和 Oren 在這個時尚網頁的某處所示。
所以這意味著我們需要一些可信方,比如組管理器,或者我們需要一些可信設置來生成公共參考字元串,或者我們需要將散列函式建模為隨機預言,以便保持安全定義。我在評論中連結了一篇文章(這裡又是……:D),它給出了恆定大小的環簽名,它還提供了成員資格撤銷(這可能對您有用,具體取決於案例)。
此時的另一個選項是使用簽名方案,其中籤名隨其簽名的組的大小呈對數增長——即使使用恆定大小的環簽名,
O(n)
在這種情況下驗證可能是一組 1百萬將是不可行的。如果log(n)
大小簽名沒問題,那麼可以使用類似這樣的東西,它不需要受信任的設置/組管理器(即使 CRS 是惡意生成的,該協議也是安全的)。不過,我認為你不會找到真正的同行評審實現這樣的東西——即使是門羅幣,一種目前價值約 4 億美元的加密貨幣,也沒有經過同行評審,除了有點像這篇論文,它對區塊鏈元數據的審查比對程式碼的審查還要多……
如果確實需要資源隱私,並且證明生成時間並不重要,那麼考慮使用libsnark之類的東西可能是您最好的選擇,因為我認為它們的簽名約為 288 字節(+ 約 700 字節驗證密鑰)。不過,生成證明所需的時間可能超過一分鐘。