盲签名

概述

$S e t u p$ : 签名者生成公私钥对 $(p k, s k)$ 。
$B l i n d (m)$ : 用户选择随机数 $r$ ，计算盲化消息 $m^{'} = B l i n d (m, r)$ 并发送给签名者。
$S i g n (s k, m^{'})$ : 签名者使用私钥 $s k$ 对盲化消息 $m^{'}$ 进行签名，生成盲签名 $s^{'} = S i g n (s k, m^{'})$ 并返回给用户。
$U n b l i n d (s^{'}, r)$ : 用户使用随机数 $r$ 对盲签名 $s^{'}$ 进行去盲化，得到最终签名 $s = U n b l i n d (s^{'}, r)$ 。
$V e r i f y (p k, m, s)$ : 验证者使用公钥 $p k$ 验证消息 $m$ 和签名 $s$ 的有效性。

主要应用于隐私保护，例如我有一个投票消息，需要签名者对其进行签名以证明其有效性，但不希望签名者知道具体内容，也不希望签名者能够将签名与我关联起来，就可以通过盲签名来实现。

RSA盲签名

$S e t u p$ : 签名者选择两个大素数 $p$ 和 $q$ ，计算 $n = p \cdot q$ ，计算 $e d = 1 m o d ϕ (n)$ ，其中 $ϕ (n) = (p - 1) (q - 1)$ 。公钥为 $(e, n)$ ，私钥为 $d$ 。
$B l i n d (m)$ : 用户选择随机数 $r$ ，计算盲化消息 $m^{'} = (m \cdot r^{e}) m o d n$ 并发送给签名者。
$S i g n (d, m^{'})$ : 签名者使用私钥 $d$ 对盲化消息 $m^{'}$ 进行签名，生成盲签名 $s^{'} = (m^{'})^{d} m o d n$ 并返回给用户。
$U n b l i n d (s^{'}, r)$ : 用户使用随机数 $r$ 对盲签名 $s^{'}$ 进行去盲化，得到最终签名 $s = (s^{'} \cdot r^{- 1}) = m^{d} m o d n$ , $∵ s^{'} = m^{d} \cdot r^{e d} = m^{d} \cdot r m o d n$
$V e r i f y (e, n, m, s)$ : 验证者计算 $s^{e} m o d n == m$ 。

Schnorr盲签名

回顾：Schnorr签名

$S e t u p$ : 选择素数 $p, q$ 使得 $q ∣ (p - 1)$ ，取阶为 $q$ 的生成元 $g$ ；设哈希 $H : {0, 1}^{*} \to Z_{q}$ 。私钥 $x \in Z_{q}$ ，公钥 $y = g^{x} m o d p$ 。
$S i g n (x, m)$ : 签名者选随机数 $k \leftarrow Z_{q}$ ，计算 $r = g^{k} m o d p$ ，计算 $c = H (R ‖ m)$ ，计算 $s = r + c x m o d q$ ，签名为 $σ = (c, s)$ 。
$V e r i f y (y, m, σ)$ : 验证者计算 $R^{'} = g^{s} \cdot y^{- c} m o d p$ ，检查 $H (R^{'} ‖ m) ? = c$ 。
也可以令 $σ = (r, s)$ ，验证时计算 $c = H (R ‖ m)$ ，然后计算 $r^{'} = g^{s} \cdot y^{- c} m o d p$ ，检查 $R^{'} ? = R$ 。

具体步骤

原始版

优化版

$S e t u p$ : 选择素数 $p, q$ 使得 $q ∣ (p - 1)$ ，取阶为 $q$ 的生成元 $g$ ；设哈希 $H : {0, 1}^{*} \to Z_{q}$ 。私钥 $x \in Z_{q}$ ，公钥 $y = g^{x} m o d p$ 。
$C o m m i t$ : 签名者选随机数 $r \leftarrow Z_{q}$ ，计算 $R = g^{r} m o d p$ ，发送 $R$ 给用户。
$B l i n d (m, R)$ : 用户选盲化因子 $α, β \leftarrow Z_{q}$ ，计算 $R^{'} = R \cdot g^{α} \cdot y^{β} m o d p$ ，令 $c^{'} = H (R^{'} ‖ m)$ ，并令 $c = c^{'} + β m o d q$ ，把 $c$ 发给签名者。
$S i g n (x, c)$ : 签名者计算 $s = r + c x m o d q$ ，返回 $s$ 。
$U n b l i n d (s, α)$ : 用户计算 $s^{'} = s + α m o d q$ ，得到最终签名 $σ = (c^{'}, s^{'})$ 。
$V e r i f y (y, m, σ)$ : 验证者计算 $R^{″} = g^{s^{'}} \cdot y^{- c^{'}} m o d p$ ，检查 $H (R^{″} ‖ m) ? = c^{'}$ 。

正确性：本质上是确认 $R^{″} = R^{'}$ ：

R^{″} = g^{s^{'}} \cdot y^{- c^{'}} = g^{s + α} \cdot y^{- (c - β)} = g^{r + x \cdot c + α} \cdot g^{x (- c + β)}

= g^{r + α + x \cdot β} = R \cdot g^{α} \cdot y^{β} = R^{'}

BLS 盲签名

KeyGen

Sample $s k \leftarrow Z_{p}^{*}$
Calc $p k = g \cdot G_{2}$

$H = H a s h T o G_{1} (m e s s a g e) \in G_{1}$
Sample $r \leftarrow Z_{p}^{*}$
Blind the message: $H^{'} = H \cdot r$

Sign

Sign the blinded message: $σ^{'} = H^{'} \cdot s k$

Unblind

Unblind the signature: $σ = σ^{'} \cdot r^{- 1}$
Obvoiusly obtain the signature on the original message: $σ = H \cdot s k$

Verify

Calc $e (σ, G_{2}) == e (H a s h T o G_{1} (m e s s a g e), p k) == e (H, G_{2})^{s k}$

BBS+

记双线性映射为
$e : G_{1} \times G_{2} \to G_{T}$ ，阶为素数 $p$ 。
公开生成元 $G_{1} \in G_{1}, G_{2} \in G_{2}$ 。
对消息数量为 $L$ ，为每个消息准备独立基点 $H_{i} \in G_{1}$ ，并有额外基点 $H_{0} \in G_{1}$ 。

1. 签名者 - KeyGen

Setup: $G_{1}, G_{2}, G_{T}, e, p, G_{1}, G_{2}, H_{0}, H_{1}, \dots, H_{L}$
Sample $x \leftarrow Z_{p}^{*}$ （签名私钥）
Calc and publish $W = x \cdot G_{2} \in G_{2}$ （签名公钥）

设有消息向量 $(m_{1}, \dots, m_{L})$ ，其中一部分要隐藏（盲签），也可有部分公开给签名者。

用户取随机盲化因子 $r \leftarrow Z_{p}^{*}$
计算承诺（对隐藏消息）： $C = r \cdot H_{0} + \sum_{i \in H} m_{i} \cdot H_{i} \in G_{1}$ 其中 $H$ 为隐藏消息下标集合。
用户给签名者发送：
- 承诺 $C$
- 公开消息 ${m_{j}}_{j \in R}$ （若有）， $R$ 为公开下标集合
- 对 $C$ 的“消息知晓证明”（PoK，证明其确实知道 $r$ 与隐藏消息，防止恶意构造）

3. 签名者 - BlindSign

签名者验证用户 PoK 通过后：

采样随机 $e, s \leftarrow Z_{p}^{*}$
先组合公开消息项： $B_{pub} = G_{1} + \sum_{j \in R} m_{j} \cdot H_{j}$
将用户承诺并入： $B = B_{pub} + C$
计算盲签名核心： $A = (x + e)^{- 1} \cdot (B + s \cdot H_{0})$
返回盲签名： $σ^{'} = (A, e, s)$

4. 用户 - Unblind

用户收到 $σ^{'} = (A, e, s)$ 后，用自己在承诺中使用的随机数 $r$ 去盲：

计算 $s^{'} = s + r (\mod p)$
得到最终 BBS+ 签名： $σ = (A, e, s^{'})$

直观上，签名者签的是 $B + s H_{0}$ ，而 $B$ 里含有用户承诺的 $r H_{0}$ 。去盲后把这部分并入 $s^{'}$ 。

5. 验证者 - Verify

给定消息 $(m_{1}, \dots, m_{L})$ 、公钥 $W$ 、签名 $σ = (A, e, s)$ ，验证：

计算 $B = G_{1} + s \cdot H_{0} + \sum_{i = 1}^{L} m_{i} \cdot H_{i}$
检查双线性等式 $e (A, W + e \cdot G_{2}) \overset{?}{=} e (B, G_{2})$
成立则验签通过。

正确性说明（简）

由签名构造

A = (x + e)^{- 1} \cdot B

可得

(x + e) \cdot A = B

两边分别与 $G_{2}$ 做配对：

e (A, (x + e) G_{2}) = e (B, G_{2})

又因 $W = x G_{2}$ ，故 $(x + e) G_{2} = W + e G_{2}$ ，即

e (A, W + e G_{2}) = e (B, G_{2})

验证式成立。

选择性披露与零知识证明（BBS+ Proof of Knowledge）

设签名为 $σ = (A, e, s)$ ，消息为 $(m_{1}, \dots, m_{L})$ 。
证明者想公开一部分消息 ${m_{i}}_{i \in D}$ （disclosed），隐藏其余 ${m_{i}}_{i \in U}$ （undisclosed），其中 $D \cup U = {1, \dots, L}$ 且不交。

目标：向验证者证明“我持有一个有效 BBS+ 签名，且公开消息值正确”，同时不泄露隐藏消息与签名本体可链接信息。

证明者 - ProofGen

随机重随机化签名（unlinkability）
取随机 $r_{1}, r_{2} \leftarrow Z_{p}^{*}$ ，计算
$A^{'} = r_{1} \cdot A, \bar{A} = r_{1} \cdot B - r_{2} \cdot A^{'}, D = r_{1} \cdot H_{0} - r_{2} \cdot A^{'}$
其中
$B = G_{1} + s H_{0} + \sum_{i = 1}^{L} m_{i} H_{i} .$
这一步保证同一原始签名每次出示得到不同证明，防止关联。
把“签名关系”改写为线性知识关系
可整理为（等价约束）：
$\bar{A} = \sum_{i \in U} m_{i} \cdot (r_{1} H_{i}) + s \cdot (r_{1} H_{0}) + 1 \cdot (r_{1} G_{1} + \sum_{i \in D} m_{i} r_{1} H_{i}) - r_{2} A^{'}$
实际实现时通常将公开项移到常量侧，仅对秘密变量做 Schnorr 型 PoK。
承诺阶段（Sigma 协议第一步）
对秘密变量（如 $e, s, {m_{i}}_{i \in U}$ 及重随机化辅助量）采样随机掩码，构造承诺点 $T_{1}, T_{2}, \dots$ 。
挑战生成（Fiat-Shamir）
$c = H (ctx ∥ p k ∥ D, {m_{i}}_{i \in D} ∥ A^{'}, \bar{A}, D, {T_{k}})$
其中 ctx 建议包含域分离标签、协议版本、会话 nonce（防重放）。
响应计算
对每个秘密 $w$ 输出响应
$z_{w} = t_{w} + c \cdot w (\mod p)$
得到证明
$π = (A^{'}, \bar{A}, D, c, {z_{w}}, {m_{i}}_{i \in D})$

验证者 - ProofVerify

检查披露消息编码、下标集合 $D$ 合法。
用 $π$ 中的 $(A^{'}, \bar{A}, D, {z_{w}})$ 重建各承诺 ${T_{k}^{'}}$ （按验证方程）。
重新计算 $c^{'} = H (ctx ∥ p k ∥ D, {m_{i}}_{i \in D} ∥ A^{'}, \bar{A}, D, {T_{k}^{'}})$
验证 $c^{'} \overset{?}{=} c$ ；一致则证明通过。
这表示：存在隐藏消息与签名见证，使得公开消息与某个有效 BBS+ 签名一致。

盲签名 ​

概述 ​

RSA盲签名 ​

Schnorr盲签名 ​

回顾：Schnorr签名 ​

具体步骤 ​

原始版 ​

优化版 ​

BLS 盲签名 ​

KeyGen ​

Blind ​

Sign ​

Unblind ​

Verify ​

BBS+ ​

1. 签名者 - KeyGen ​

2. 用户 - Blind（承诺被盲化消息） ​

3. 签名者 - BlindSign ​

4. 用户 - Unblind ​

5. 验证者 - Verify ​

正确性说明（简） ​

选择性披露与零知识证明（BBS+ Proof of Knowledge） ​

证明者 - ProofGen ​

验证者 - ProofVerify ​

盲签名

概述