盲签名

概述

主要应用于隐私保护，例如我有一个投票消息，需要签名者对其进行签名以证明其有效性，但不希望签名者知道具体内容，也不希望签名者能够将签名与我关联起来，就可以通过盲签名来实现。

$Setup$ : 签名者选择两个大素数 $p$ 和 $q$ ，计算 $n = p \cdot q$ ，计算 $ed = 1 \; mod \; \phi(n)$ ，其中 $\phi(n) = (p-1)(q-1)$ 。公钥为 $(e, n)$ ，私钥为 $d$ 。
$Blind(m)$ : 用户选择随机数 $r$ ，计算盲化消息 $m' = (m \cdot r^e) \; mod \; n$ 并发送给签名者。
$Sign(d, m')$ : 签名者使用私钥 $d$ 对盲化消息 $m'$ 进行签名，生成盲签名 $s' = (m')^d \; mod \; n$ 并返回给用户。
$Unblind(s', r)$ : 用户使用随机数 $r$ 对盲签名 $s'$ 进行去盲化，得到最终签名 $s = (s' \cdot r^{-1}) = m^d \; mod \; n$ , $\because s' = m^d \cdot r^{ed} = m^d \cdot r \; mod \; n$
$Verify(e, n, m, s)$ : 验证者计算 $s^e \; mod \; n == m$ 。

$Setup$ : 选择素数 $p, q$ 使得 $q \mid (p-1)$ ，取阶为 $q$ 的生成元 $g$ ；设哈希 $H:\{0,1\}^* \to \mathbb{Z}_q$ 。私钥 $x \in \mathbb{Z}_q$ ，公钥 $y = g^x \; mod \; p$ 。
$Sign(x, m)$ : 签名者选随机数 $k \leftarrow \mathbb{Z}_q$ ，计算 $R = g^{k} \; mod \; p$ ，计算 $e = H(R \,\|\, m)$ ，计算 $s = k + x \cdot e \; mod \; q$ ，签名为 $\sigma = (e, s)$ 。
$Verify(y, m, \sigma)$ : 验证者计算 $R' = g^{s} \cdot y^{-e} \; mod \; p$ ，检查 $H(R' \,\|\, m) \;?=\; e$ 。
也可以令 $\sigma = (R, s)$ ，验证时计算 $e = H(R \,\|\, m)$ ，然后计算 $R' = g^{s} \cdot y^{-e} \; mod \; p$ ，检查 $R' \;?=\; R$ 。

$Setup$ : 选择素数 $p, q$ 使得 $q \mid (p-1)$ ，取阶为 $q$ 的生成元 $g$ ；设哈希 $H:\{0,1\}^* \to \mathbb{Z}_q$ 。私钥 $x \in \mathbb{Z}_q$ ，公钥 $y = g^x \; mod \; p$ 。
$Commit$ : 签名者选随机数 $k \leftarrow \mathbb{Z}_q$ ，计算 $R = g^{k} \; mod \; p$ ，发送 $R$ 给用户。
$Blind(m, R)$ : 用户选盲化因子 $\alpha,\beta \leftarrow \mathbb{Z}_q$ ，计算 $R' = R \cdot g^{\alpha} \cdot y^{\beta} \; mod \; p$ ，令 $e' = H(R' \,\|\, m)$ ，并令 $e = e' + \beta \; mod \; q$ ，把 $e$ 发给签名者。
$Sign(x, e)$ : 签名者计算 $s = k + x \cdot e \; mod \; q$ ，返回 $s$ 。
$Unblind(s, \alpha)$ : 用户计算 $s' = s + \alpha \; mod \; q$ ，得到最终签名 $\sigma = (e', s')$ 。
$Verify(y, m, \sigma)$ : 验证者计算 $R'' = g^{s'} \cdot y^{-e'} \; mod \; p$ ，检查 $H(R'' \,\|\, m) \;?=\; e'$ 。

正确性：本质上是确认 $R'' = R'$ ：

$R'' = g^{s'} \cdot y^{-e'} = g^{s + \alpha} \cdot y^{-(e - \beta)} = g^{k + x \cdot e + \alpha} \cdot g^{x{(-e + \beta)}}$

$=g^{k + \alpha + x \cdot \beta} = R \cdot g^{\alpha} \cdot y^{\beta} = R'$